Cacat Serius yang Diidentifikasi dalam Perangkat Lunak Otomasi Industri CODESYS

  • Whatsapp
Cacat Serius yang Diidentifikasi dalam Perangkat Lunak Otomasi Industri CODESYS

 

Bacaan Lainnya

Peneliti keamanan siber di perusahaan keamanan siber Rusia, Positive Technologies, menemukan sebanyak sepuluh kelemahan kritis yang memengaruhi perangkat lunak komputer otomatisasi CODESYS yang dapat dieksploitasi untuk eksekusi kode jarak jauh pada pengontrol logika yang dapat diprogram (PLC).

Perusahaan keamanan siber Rusia awalnya menemukan kerentanan dalam pengontrol logika yang dapat diprogram (PLC) yang tersedia oleh WAGO, tetapi penyelidikan lebih lanjut mengungkapkan bahwa masalah tersebut sebenarnya diperkenalkan oleh perangkat lunak CODESYS yang digunakan oleh lebih dari selusin perusahaan teknologi otomasi termasuk Beckhoff, Kontron, Moeller , Festo, Mitsubishi, HollySys dan beberapa perusahaan Rusia.

CODESYS menawarkan lingkungan yang lebih baik untuk program pengontrol pemrograman yang digunakan dalam sistem kontrol industri. Organisasi perangkat lunak Jerman memuji Vyacheslav Moskvin, Denis Goryushev, Anton Dorfman, Ivan Kurnakov, dan Sergey Fedonin dari Good Technologies dan Yossi Reuven dari SCADAfence karena mengidentifikasi kerentanan.

“Untuk mengeksploitasi kerentanan, penyerang tidak perlu memiliki nama pengguna atau kata sandi untuk mendapatkan jaringan ke pengontrol industri yang cukup. Hasil utama dari kerentanan adalah verifikasi yang tidak memadai untuk memasukkan informasi, yang mungkin dipicu oleh kegagalan untuk mematuhi tips peningkatan yang dilindungi, ”kata ilmuwan dari Positive Technologies.

Enam dari kelemahan paling kritis ditemukan dalam komponen server web CODESYS V2.3 yang digunakan oleh CODESYS WebVisu untuk memvisualisasikan antarmuka perangkat manusia (HMI) di browser web. Cacat mungkin dapat dimanfaatkan oleh musuh untuk mengirim permintaan server web yang dirancang khusus untuk memicu kondisi penolakan dukungan, menerbitkan atau mempelajari kode arbitrer ke dan dari memori sistem runtime yang dikelola.

Semua 6 kekurangan telah dinilai kritis pada skala CVSS —
• CVE-2021-30189 – Buffer Overflow yang bergantung pada tumpukan

• CVE-2021-30190 – Pegangan Aksesibilitas yang Tidak Benar

• CVE-2021-30191 – Penyalinan Penyangga tanpa Memeriksa Ukuran Input

• CVE-2021-30192 – Pemeriksaan Keamanan yang Tidak Dilakukan dengan Benar

• CVE-2021-30193 – Penerbitan di Luar Batas

• CVE-2021-30194 – Pemeriksaan di Luar Batas

“Eksploitasi mereka dapat memandu eksekusi perintah jarak jauh pada PLC, yang dapat mengganggu prosedur teknologi dan mengakibatkan insiden industri dan kerugian finansial. Ilustrasi paling terkenal dari mengeksploitasi kerentanan yang sangat mirip adalah dengan menerapkan Stuxnet,” jelas Vladimir Nazarov, Kepala Keamanan ICS di Beneficial Technologies.

CODESYS telah menerbitkan nasihat untuk server web CODESYS V2, Runtime Toolkit, dan produk PLCWinNT untuk mengatasi kerentanan.Perusahaan telah menerbitkan nasihat terpisah untuk masalah tingkat kritis, tinggi, dan sedang sambil merekomendasikan pengguna untuk menginstal pembaruan.

Bulan lalu, Departemen Keuangan pemerintah AS memberikan sanksi kepada Positive Technologies karena diduga mendukung badan intelijen Kremlin. Namun, perusahaan mengatakan akan terus secara bertanggung jawab mengungkapkan kekurangan yang ditemukan oleh karyawannya dalam produk perusahaan-perusahaan besar AS.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *