Los investigadores de ciberseguridad revelaron el jueves hasta diez vulnerabilidades críticas que afectan al software de automatización CODESYS que podrían explotarse para lograr la ejecución remota de código en controladores lógicos programables (PLC).

«Para explotar las vulnerabilidades, un atacante no necesita un nombre de usuario o una contraseña; basta con tener acceso de red al controlador industrial», dijeron investigadores de Positive Technologies. «La causa principal de las vulnerabilidades es la verificación insuficiente de los datos de entrada, que a su vez puede ser causada por el incumplimiento de las recomendaciones de desarrollo seguro».

La firma rusa de ciberseguridad señaló que detectó las vulnerabilidades en un PLC ofrecido por WAGO, que, entre otras empresas de tecnología de automatización como Beckhoff, Kontron, Moeller, Festo, Mitsubishi y HollySys, utilizan el software CODESYS para programar y configurar los controladores.

CODESYS ofrece un entorno de desarrollo para programar aplicaciones de controladores para su uso en sistemas de control industrial. La compañía de software alemana acreditó a Vyacheslav Moskvin, Denis Goryushev, Anton Dorfman, Ivan Kurnakov y Sergey Fedonin de Positive Technologies y Yossi Reuven de SCADAfence por informar sobre las fallas.

Seis de las fallas más graves se identificaron en el componente del servidor web CODESYS V2.3 utilizado por CODESYS WebVisu para visualizar una interfaz hombre-máquina (HMI) en un navegador web. Un adversario podría aprovechar las vulnerabilidades para enviar solicitudes de servidor web especialmente diseñadas para desencadenar una condición de denegación de servicio, escribir o leer código arbitrario hacia y desde la memoria de un sistema de tiempo de ejecución de control e incluso bloquear el servidor web CODESYS.

Los seis errores han sido calificados con 10 de 10 en la escala CVSS:

• CVE-2021-30189: desbordamiento de búfer basado en pila
• CVE-2021-30190: control de acceso inadecuado
• CVE-2021-30191 – Copia de búfer sin verificar el tamaño de entrada
• CVE-2021-30192: Verificación de seguridad implementada incorrectamente
• CVE-2021-30193: escritura fuera de los límites
• CVE-2021-30194: lectura fuera de los límites

Por separado, se podría abusar de otras tres debilidades (puntajes CVSS: 8.8) reveladas en el sistema de tiempo de ejecución Control V2 para crear solicitudes maliciosas que pueden resultar en una condición de denegación de servicio o ser utilizadas para la ejecución remota de código.

• CVE-2021-30186: desbordamiento de búfer basado en almacenamiento dinámico
• CVE-2021-30188: desbordamiento de búfer basado en pila
• CVE-2021-30195: validación de entrada incorrecta

Por último, una falla encontrada en la biblioteca CODESYS Control V2 Linux SysFile (CVE-2021-30187, puntaje CVSS: 5.3) podría usarse para llamar a funciones PLC adicionales, lo que a su vez permitiría que un mal actor elimine archivos e interrumpa procesos críticos.

«Un atacante con pocas habilidades podría explotar estas vulnerabilidades», advirtió CODESYS en su aviso, y agregó que no encontró vulnerabilidades públicas conocidas que se dirijan específicamente a ellas.

«Su explotación puede conducir a la ejecución de comandos remotos en PLC, lo que puede interrumpir los procesos tecnológicos y causar accidentes industriales y pérdidas económicas», dijo Vladimir Nazarov, director de seguridad de ICS en Positive Technologies. «El ejemplo más notorio de explotación de vulnerabilidades similares es el uso de Stuxnet».

La divulgación de las fallas de CODESYS se acerca a problemas similares que se abordaron en los PLC SIMATIC S7-1200 y S7-1500 de Siemens que podrían ser explotados por atacantes para obtener acceso remoto a áreas protegidas de la memoria y lograr un código no restringido y no detectado. ejecución.