CODESYS hat Patches zur Behebung von 11 Sicherheitslücken veröffentlicht, die bei erfolgreicher Ausnutzung unter anderem zur Offenlegung von Informationen und zu einem Denial-of-Service (DoS)-Zustand führen können.
„Diese Schwachstellen sind einfach auszunutzen und können erfolgreich ausgenutzt werden, um Folgen wie die Preisgabe sensibler Informationen, den Eintritt von SPS in einen schweren Fehlerzustand und die Ausführung beliebigen Codes zu verursachen“, so das chinesische Cybersicherheitsunternehmen NSFOCUS. „In Kombination mit industriellen Szenarien in der Praxis könnten diese Schwachstellen die industrielle Produktion zum Erliegen bringen, die Anlagen beschädigen usw.“
CODESYS ist eine Software-Suite, die von Automatisierungsspezialisten als Entwicklungsumgebung für speicherprogrammierbare Steuerungen (SPS) verwendet wird.
Nach der verantwortlichen Offenlegung zwischen September 2021 und Januar 2022 hat das deutsche Softwareunternehmen letzte Woche, am 23. Juni 2022, Korrekturen ausgeliefert. Zwei der Fehler werden als kritisch, sieben als hoch und zwei als mittelschwer eingestuft. Die Probleme betreffen insgesamt die folgenden Produkte –
CODESYS Development System vor der Version V2.3.9.69
CODESYS Gateway Client vor der Version V2.3.9.38
CODESYS Gateway Server vor der Version V2.3.9.38
CODESYS Webserver vor Version V1.1.9.23
CODESYS SP Realtime NT vor Version V2.3.7.30
CODESYS PLCWinNT vor Version V2.4.7.57, und
CODESYS Runtime Toolkit 32 bit full vor der Version V2.4.7.57
Die wichtigsten Schwachstellen sind CVE-2022-31805 und CVE-2022-31806 (CVSS-Score: 9.8), die sich auf die Verwendung von Passwörtern im Klartext beziehen, die zur Authentifizierung vor der Ausführung von Operationen auf den SPSen verwendet werden, bzw. auf das Versäumnis, den Passwortschutz im CODESYS Control-Laufzeitsystem standardmäßig zu aktivieren.
Die Ausnutzung dieser Schwachstellen könnte es einem böswilligen Akteur nicht nur ermöglichen, die Kontrolle über das Ziel-SPS-Gerät zu übernehmen, sondern auch ein Rogue-Projekt auf eine SPS herunterzuladen und beliebigen Code auszuführen.
Ein Großteil der anderen Schwachstellen (von CVE-2022-32136 bis CVE-2022-32142) könnte von einem zuvor authentifizierten Angreifer auf der Steuerung ausgenutzt werden, um einen Denial-of-Service-Zustand zu verursachen.
In einem separaten Advisory, das am 23. Juni veröffentlicht wurde, erklärte CODESYS, dass es auch drei andere Schwachstellen in CODESYS Gateway Server (CVE-2022-31802, CVE-2022-31803 und CVE-2022-31804) behoben hat, die dazu genutzt werden können, um manipulierte Anfragen zu senden, die Authentifizierung zu umgehen und den Server zum Absturz zu bringen.
Neben dem rechtzeitigen Einspielen der Patches wird empfohlen, „die betroffenen Produkte hinter den Sicherheitsvorrichtungen zu lokalisieren und eine Defense-in-Depth-Strategie für die Netzwerksicherheit anzuwenden.“