Microsoft-onderzoekers hebben vijftien kwetsbaarheden ontdekt in de CODESYS V3-software development kit. Na een aantal stappen is het voor kwaadwillenden mogelijk om een Denial-of-Service-aanval uit te voeren, ook al is dit moeilijk te verwezenlijken.
De CODESYS-tool verzorgt industriële automatisering en wordt door veel grote partijen gebruikt om apparatuur aan te sturen. Zo wordt het toegepast door industriële spelers als Schneider Electric, Eaton Corporation en WAGO. In totaal is de tool compatibel met ongeveer 1000 verschillende soorten apparatuur van meer dan 500 fabrikanten, zoals Microsoft aangeeft.
Tags als gevaar
Het onderzoeksteam ontdekte vijftien kwetsbaarheden die men allemaal omschrijft als “zeer ernstig”. Ze bestudeerden een tweetal PLC’s (Programmable Logic Controllers) waarbij men het CODESYS V3-protocol kon achterhalen. Het zogeheten tag decoding-mechanisme was de boosdoener. Componenten binnen CODESYS gebruiken tags, die allerlei soorten datatypes kunnen voorstellen. Er zat echter geen mechanisme in het beperken van het formaat van een tag zodra die werd overgenomen door een component. Dit leidde tot een buffer overflow, waarna aanvallers een apparaat volledig kunnen overnemen. Zo is het mogelijk om een controlemechanisme van een energiecentrale te besturen of om te knoeien met talloze andere toepassingen in de industriële sector.
Kortom: je hebt aardig wat expertise nodig als het gaat om CODESYS. Daarvoor is het al nodig om binnen te dringen in een relevante bedrijfsomgeving. Patches zijn er ook al een tijdje: in maart was CODESYS hieraan begonnen nadat het in september 2022 informatie over de kwetsbaarheden verkreeg vanuit Microsoft. Toch geldt voor OT én IT dat patchbeheer lang niet altijd nageleefd wordt. Daarom blijft deze exploitatie gevaarlijk, dus voor gebruikers van CODESYS zaak om te controleren of alles inmiddels van een update voorzien is.
Lees ook: Is OT-security al onderdeel van je cybersecurity-strategie?