CODESYS telah merilis patch untuk mengatasi sebanyak 11 kelemahan keamanan yang, jika berhasil dieksploitasi, dapat mengakibatkan pengungkapan informasi dan kondisi penolakan layanan (DoS), antara lain.
“Kerentanan ini mudah dieksploitasi, dan dapat berhasil dieksploitasi untuk menyebabkan konsekuensi seperti kebocoran informasi sensitif, PLC memasuki kondisi kesalahan parah, dan eksekusi kode arbitrer,” kata perusahaan keamanan siber China NSFOCUS. “Dalam kombinasi dengan skenario industri di lapangan, kerentanan ini dapat membuat produksi industri mengalami stagnasi, kerusakan peralatan, dll.”
CODESYS adalah rangkaian perangkat lunak yang digunakan oleh spesialis otomasi sebagai lingkungan pengembangan untuk aplikasi pengontrol logika yang dapat diprogram (PLC).
Setelah pengungkapan yang bertanggung jawab antara September 2021 dan Januari 2022, perbaikan dikirimkan oleh perusahaan perangkat lunak Jerman minggu lalu pada 23 Juni 2022. Dua dari bug dinilai sebagai Kritis, tujuh sebagai Tinggi, dan dua sebagai tingkat keparahan Sedang. Masalah secara kolektif mempengaruhi produk berikut –
- Sistem Pengembangan CODESYS sebelum versi V2.3.9.69
- CODESYS Gateway Client sebelum versi V2.3.9.38
- CODESYS Gateway Server sebelum versi V2.3.9.38
- CODESYS Web server sebelum versi V1.1.9.23
- CODESYS SP Realtime NT sebelum versi V2.3.7.30
- CODESYS PLCWinNT sebelum versi V2.4.7.57, dan
- CODESYS Runtime Toolkit 32 bit penuh sebelum versi V2.4.7.57
Salah satu kelemahan utama adalah CVE-2022-31805 dan CVE-2022-31806 (skor CVSS: 9,8), yang berhubungan dengan penggunaan teks jelas dari kata sandi yang digunakan untuk mengautentikasi sebelum melakukan operasi pada PLC dan kegagalan untuk mengaktifkan perlindungan kata sandi secara default dalam sistem runtime CODESYS Control masing-masing.
Memanfaatkan kelemahan tidak hanya memungkinkan aktor jahat untuk menguasai perangkat PLC target, tetapi juga mengunduh proyek jahat ke PLC dan mengeksekusi kode arbitrer.
Sebagian besar kerentanan lainnya (dari CVE-2022-32136 hingga CVE-2022-32142) dapat dipersenjatai oleh penyerang yang sebelumnya diautentikasi pada pengontrol untuk menyebabkan kondisi penolakan layanan.
Dalam nasihat terpisah yang diterbitkan pada 23 Juni, CODESYS mengatakan bahwa pihaknya juga memperbaiki tiga kelemahan lain di CODESYS Gateway Server (CVE-2022-31802, CVE-2022-31803, dan CVE-2022-31804) yang dapat dimanfaatkan untuk mengirim permintaan yang dibuat ke melewati otentikasi dan merusak server.
Selain menerapkan tambalan secara tepat waktu, disarankan untuk “menemukan produk yang terpengaruh di belakang perangkat perlindungan keamanan dan melakukan strategi pertahanan mendalam untuk keamanan jaringan.”