Language
Microsoft、産業活動の停止やスパイ行為を可能にするCodesysの欠陥を公開
ホームページホームページ > ブログ > Microsoft、産業活動の停止やスパイ行為を可能にするCodesysの欠陥を公開
最新ニュース

Microsoft、産業活動の停止やスパイ行為を可能にするCodesysの欠陥を公開

Jun 22, 2023

Microsoft 研究者によって発見された Codesys の十数件の脆弱性は、産業プロセスの停止やバックドアの展開に悪用される可能性があります。

による

フリップボード

レディット

ピンタレスト

ワッツアップ

ワッツアップ

Eメール

Microsoft 研究者が Codesys 製品で発見した十数件の脆弱性は、産業プロセスに混乱を引き起こしたり、機密情報の盗難を可能にするバックドアを展開したりするために悪用される可能性があります。

ドイツに拠点を置く Codesys は、エンジニアリング制御システム用の自動化ソフトウェアを製造しています。 同社の製品は世界最大手の産業用制御システム(ICS)メーカーの一部で使用されており、ベンダーは自社のソフトウェアが数百万台のデバイス(500社以上のメーカーが製造するおよそ1,000種類の製品)に搭載されていると主張している。

サイバー物理システムのセキュリティを専門とする Microsoft 研究者は、Codesys Control V3 バージョン 3.5.19.0 より前のバージョンに合計 16 件の脆弱性を発見しました。 このセキュリティ・ホールは2022年9月にCodesysに報告され、パッチは2023年4月に発表された。

すべての脆弱性には「重大度高」の評価が割り当てられています。 これらは、サービス拒否 (DoS) 攻撃やリモート コード実行 (RCE) に悪用される可能性があります。

攻撃者はこれらを悪用して、Codesys ソフトウェアを使用してプログラマブル ロジック コントローラー (PLC) やその他の ICS デバイスをターゲットにする可能性があります。 Microsoft の調査は、Schneider Electric と Wago 製の PLC に焦点を当てました。

脆弱性の悪用には認証が必要ですが、研究者らは、ハッカーがこれを達成するために CVE-2019-9013 などの古い Codesys の欠陥を悪用する方法を示しました。

「発見された脆弱性を悪用するには、Codesys V3 の独自プロトコルに関する深い知識とユーザー認証が必要です (また、アカウントが PLC を制御するには追加の権限が必要です)。攻撃が成功すると、ターゲットに大きな損害を与える可能性があります。」 」とマイクロソフトは説明した。

さらに、「脅威アクターは、Codesys の脆弱なバージョンを使用してデバイスに対して DoS 攻撃を開始し、産業運営を停止したり、RCE の脆弱性を悪用してバックドアを展開して機密データを盗んだり、操作を改ざんしたり、PLC を強制的に動作させたりする可能性があります」と付け加えた。危険なやり方だ。」

Microsoft は、脆弱性とその悪用方法について説明した長いブログ投稿を公開しました。 テクノロジー大手は、ユーザーが影響を受けるデバイスを特定できるように設計されたオープンソース ツールも利用可能にしました。

Codesys には、欠陥について説明したアドバイザリーもあります (直接ダウンロード リンク)。

Codesys の脆弱性は、今週開催された Black Hat サイバーセキュリティ カンファレンスのセッションで、Microsoft の研究者 Vladimir Tokarev 氏によって要約されました。

関連している: Codesys、複数の ICS ベンダーのコントローラーに影響を与える可能性のある 11 件の欠陥にパッチを適用

関連している: 多くのICS製品で使用されているCODESYSソフトウェアに重大な脆弱性が発見

関連している: OT:Icefall には Festo、Codesys 製品の脆弱性が継続

Eduard Kovacs (@EduardKovacs) は、SecurityWeek の編集長です。 彼は、Softpedia のセキュリティ ニュース記者としてジャーナリズムのキャリアを開始する前に、高校の IT 教師として 2 年間働いていました。 エデュアルドは産業情報学の学士号と、電気工学に適用されるコンピュータ技術の修士号を取得しています。

SecurityWeek 電子メール ブリーフィングを購読して、業界の専門家による洞察力に富んだコラムとともに、最新の脅威、トレンド、テクノロジーに関する最新情報を入手してください。

セキュリティの専門家と一緒に、サイバー リスクの軽減とビジネスの強化の両方を実現する ZTNA の未開発の可能性について話し合います。

ソフトウェア サプライ チェーンを保護するための新しい戦略を紹介するウェビナーに Microsoft と Finite State にご参加ください。

量子ベースの攻撃はまだ先の話ですが、組織は暗号化が機能しなくなった場合に転送中のデータを防御する方法を考える必要があります。(Marie Hattar)