Microsoft legt Codesys-Fehler offen, die die Schließung von Industriebetrieben und Spionage ermöglichen

Über ein Dutzend von Microsoft-Forschern entdeckte Codesys-Schwachstellen können ausgenutzt werden, um industrielle Prozesse herunterzufahren oder Hintertüren einzusetzen.

Von

Flipboard

Über ein Dutzend von Microsoft-Forschern in Codesys-Produkten entdeckte Schwachstellen können ausgenutzt werden, um industrielle Prozesse zu stören oder Hintertüren einzusetzen, die den Diebstahl vertraulicher Informationen ermöglichen.

Das in Deutschland ansässige Unternehmen Codesys stellt Automatisierungssoftware für technische Steuerungssysteme her. Seine Produkte werden von einigen der weltweit größten Hersteller von industriellen Steuerungssystemen (ICS) verwendet. Der Anbieter gibt an, dass seine Software in Millionen von Geräten zu finden ist – etwa 1.000 verschiedene Arten von Produkten, die von über 500 Herstellern hergestellt werden.

Auf die Sicherheit cyberphysischer Systeme spezialisierte Microsoft-Forscher haben insgesamt 16 Schwachstellen in Codesys Control V3-Versionen vor 3.5.19.0 entdeckt. Die Sicherheitslücken wurden Codesys im September 2022 gemeldet und Patches im April 2023 angekündigt.

Allen Schwachstellen wurde die Einstufung „hoher Schweregrad“ zugewiesen. Sie können für Denial-of-Service (DoS)-Angriffe oder für Remote Code Execution (RCE) ausgenutzt werden.

Bedrohungsakteure könnten sie ausnutzen, um mithilfe der Codesys-Software speicherprogrammierbare Steuerungen (SPS) und andere ICS-Geräte anzugreifen. Die Forschung von Microsoft konzentrierte sich auf SPS von Schneider Electric und Wago.

Während die Ausnutzung der Schwachstellen eine Authentifizierung erfordert, zeigten die Forscher, wie Hacker ältere Codesys-Schwachstellen wie CVE-2019-9013 ausnutzen könnten, um dies zu erreichen.

„Während die Ausnutzung der entdeckten Schwachstellen umfassende Kenntnisse des proprietären Protokolls von Codesys V3 sowie der Benutzerauthentifizierung erfordert (und zusätzliche Berechtigungen erforderlich sind, damit ein Konto die Kontrolle über die SPS hat), kann ein erfolgreicher Angriff den Zielen großen Schaden zufügen.“ “, erklärte Microsoft.

Es fügte hinzu: „Bedrohungsakteure könnten einen DoS-Angriff auf ein Gerät starten, indem sie eine anfällige Version von Codesys verwenden, um den Industriebetrieb lahmzulegen, oder die RCE-Schwachstellen ausnutzen, um eine Hintertür einzusetzen, um sensible Daten zu stehlen, den Betrieb zu manipulieren oder den Betrieb einer SPS zu erzwingen.“ ein gefährlicher Weg.“

Microsoft hat einen ausführlichen Blogbeitrag veröffentlicht, in dem die Sicherheitslücken und ihre Ausnutzung beschrieben werden. Der Technologieriese hat außerdem ein Open-Source-Tool zur Verfügung gestellt, das Benutzern helfen soll, betroffene Geräte zu identifizieren.

Codesys verfügt außerdem über eine Empfehlung, in der die Mängel beschrieben werden (direkter Download-Link).

Die Codesys-Schwachstellen wurden diese Woche in einer Sitzung auf der Cybersicherheitskonferenz Black Hat vom Microsoft-Forscher Vladimir Tokarev zusammengefasst.

Verwandt: Codesys behebt 11 Fehler, die wahrscheinlich Controller mehrerer ICS-Anbieter betreffen

Verwandt: Schwerwiegende Sicherheitslücken in der CODESYS-Software gefunden, die von vielen ICS-Produkten verwendet wird

Verwandt: OT:Icefall weiterhin mit Sicherheitslücken in Produkten von Festo und Codesys

Eduard Kovacs (@EduardKovacs) ist leitender Redakteur bei SecurityWeek. Er arbeitete zwei Jahre lang als IT-Lehrer an einer High School, bevor er eine journalistische Karriere als Sicherheitsnachrichtenreporter bei Softpedia begann. Eduard hat einen Bachelor-Abschluss in Industrieinformatik und einen Master-Abschluss in Computertechnik für die Elektrotechnik.

Abonnieren Sie das E-Mail-Briefing von SecurityWeek, um über die neuesten Bedrohungen, Trends und Technologien sowie aufschlussreiche Kolumnen von Branchenexperten informiert zu bleiben.

Besprechen Sie mit Sicherheitsexperten das ungenutzte Potenzial von ZTNA zur Reduzierung von Cyber-Risiken und zur Stärkung des Unternehmens.

Nehmen Sie an einem Webinar von Microsoft und Finite State teil, in dem eine neue Strategie zur Sicherung der Software-Lieferkette vorgestellt wird.

Während quantenbasierte Angriffe noch in der Zukunft liegen, müssen Unternehmen darüber nachdenken, wie sie Daten während der Übertragung schützen können, wenn die Verschlüsselung nicht mehr funktioniert. (Marie Hattar)

So wie eine professionelle Fußballmannschaft Koordination, Strategie und Anpassungsfähigkeit benötigt, um einen Sieg auf dem Spielfeld zu sichern, muss eine umfassende Cybersicherheitsstrategie spezifische Herausforderungen und Bedrohungen bewältigen. (Matt Wilson)

Mit Inkrafttreten der SEC-Regeln zur Offenlegung von Cyber-Vorfällen werden Unternehmen gezwungen sein, ernsthaft darüber nachzudenken, Sicherheitsverantwortlichen einen Platz am Tisch zu geben. (Marc Solomon)

Die Arbeit aus der Ferne wird uns erhalten bleiben und Unternehmen sollten weiterhin sicherstellen, dass ihre grundlegenden Kommunikationsformen ordnungsgemäß konfiguriert und gesichert sind. (Matt Honea)

Die Komplexität und Herausforderung verteilter Cloud-Umgebungen erfordert oft die Verwaltung mehrerer Infrastruktur-, Technologie- und Sicherheits-Stacks, mehrerer Richtlinien-Engines, mehrerer Kontrollsätze und mehrerer Asset-Inventare. (Joshua Goldfarb)

Flipboard

Der Gesamteffekt der aktuellen globalen geopolitischen Bedingungen besteht darin, dass Nationalstaaten einen größeren Anreiz haben, das ICS/OT kritischer Industrien ins Visier zu nehmen, während ...

Das mit der Cybersicherheit verbundene Risiko ist ein Hauptanliegen, daher müssen Vorstände wissen, dass sie über die richtige Aufsicht verfügen. Erfolgreiche CISOs machen schon als Berufseinsteiger...

Wago hat kritische Schwachstellen behoben, die es Hackern ermöglichen können, die vollständige Kontrolle über seine speicherprogrammierbaren Steuerungen (SPS) zu übernehmen.

Otorio hat ein kostenloses Tool veröffentlicht, mit dem Unternehmen Probleme im Zusammenhang mit der DCOM-Authentifizierung erkennen und beheben können.

Das Cybersicherheitsunternehmen Forescout zeigt, wie verschiedene ICS-Schwachstellen für einen Exploit verkettet werden können, der es Hackern ermöglicht, Schäden an einer Brücke anzurichten.

Der Internet-of-Things- (IoT) und industrielle IoT-Sicherheitsanbieter Shield-IoT gab diese Woche bekannt, dass er eine Serie-A-Finanzierungsrunde in Höhe von 7,4 Millionen US-Dollar abgeschlossen hat.

Im Jahr 2022 wurden mehr als 1.300 ICS-Schwachstellen entdeckt, darunter fast 1.000 mit einem hohen oder kritischen Schweregrad.