Codesys Group исправила уязвимость в программном комплексе промышленной автоматизации Codesys V3 Runtime System, выявленную экспертом Positive Technologies Денисом Горюшевым. Codesys V3 Runtime System является частью Codesys — аппаратно-независимого программного обеспечения, представляющего собой среду разработки для программирования приложений контроллера в соответствии с промышленным стандартом автоматизации IEC 61131-3. Продукты компании установлены более чем у 400 промышленных компаний в более чем десятке стран, в том числе и в России.
В программном комплексе Codesys V3 Runtime System (версии 3.15.9.10) была обнаружена уязвимость высокой степени риска, которая получила идентификатор CVE-2021-36764. Эта уязвимость позволяет злоумышленнику вывести ПЛК из строя и, как следствие, нарушить технологический процесс. Ошибка содержится в компоненте CmpGateway и относится к классу уязвимостей разыменования нулевого указателя (NULL pointer dereference). Атакующий, имеющий сетевой доступ к промышленному контроллеру, может отправить специально сформированный TCP-пакет и прервать работу ПЛК. Также в данном ПО была обнаружена вторая уязвимость класса локального повышения привилегий, которая сейчас находится на рассмотрении у вендора.
«Продукты Codesys широко распространены по всему миру, включая Россию. Один из наших партнеров на их основе создает системы пожарной автоматики, применяемые на электростанциях. Если хакеры проэксплуатируют эту уязвимость и нарушат работу системы пожаротушения, то в случае возгорания это чревато огромными убытками (например, если огонь доберется до турбинного цеха)», — отметил аналитик отдела безопасности промышленных систем управления Positive Technologies Артур Ахатов.
«Исследуемая версия находится в открытом доступе уже достаточно давно — странно, что никто из экспертов до сих пор не нашел эту уязвимость. Это простая логическая ошибка, связанная с отсутствием проверки передаваемых значений: можно отправить специально сформированный запрос, управляющий соединением, что приведет к обращению по нулевому адресу и отказу в обслуживании», — сказал специалист отдела анализа приложений Positive Technologies Денис Горюшев.
Уязвимость была выявлена в марте 2021 г., и буквально за четыре месяца компания Codesys успела выпустить патч. Для устранения уязвимости необходимо установить новую версию ПО, доступную на официальном сайте Codesys. Обнаружить признаки проникновения (например, в случае невозможности установки обновления) помогут системы непрерывного мониторинга защищенности, управления инцидентами информационной безопасности промышленных систем, в частности PT Industrial Security Incident Manager.