- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 2ч 22м
- Сделки
- 251
- Нарушения
- 0 / 0
2 ошибки затрагивают контроллеры автоматизации немецкой компании Festo, а одна содержится в программном обеспечении компании CODESYS, которое используется сотнями производителями устройств в различных отраслях промышленности, включая Festo.
Эти уязвимости затрагивают сотни промышленных устройств автоматизации. Самая опасная из них включает отказ в обслуживании (DoS) и ее очень легко выполнить — либо путем посещения скрытой веб-страницы, либо с помощью текстового инструмента браузера.
- CVE-2022-4048 (CVSS: 7,7) – затрагивает CODESYS V3;
- CVE-2022-3079 (CVSS: 7,5) и CVE-2022-3270 (CVSS: 9,8) – влияют на контроллеры автоматизации Festo.
Самой опасной ошибкой является CVE-2022-3270, которая позволяет запускать конфиденциальные команды без аутентификации на некоторых ПЛК Festo. Эксперты сказали, что в большинстве случаев проблема возникает из-за устаревших ОТ-протоколов, разработанных в то время, когда безопасность не была серьезной проблемой для OT, но они до сих пор используются на критически важных объектах по всему миру.
Основная проблема в CODESYS V3 заключается в том, что сеансовые ключи генерируются с использованием небезопасного генератора псевдослучайных чисел (PRNG), работающего с небольшим и предсказуемым начальным числом. По словам исследователей, злоумышленник может «просто подобрать сеансовый ключ, чтобы расшифровать загруженный код для манипуляции».
Схема шифрования также использует небезопасный режим работы – код шифруется в режиме ECB без дополнительной криптографической аутентификации и целостности шифротекста в целом. Злоумышленник может тривиально расшифровать и манипулировать защищенным кодом.
Forescout сообщил об ошибках пострадавшим компаниям, а также CERT@VDE, немецкой платформе безопасности для малых и средних компаний по автоматизации. Представитель Festo предоставил рекомендации по уязвимостям.
CODESYS продала более 8 млн. лицензий на устройства, которые используются в таких отраслях, как производство, энергетическая автоматизация и автоматизация зданий. Кроме того, в Интернете доступно почти 3000 устройств с ПО CODESYS.
Festo является продавцом пневматических и электрических систем управления и приводной техники для заводов и автоматизации процессов в 61 стране с годовым доходом от продаж в миллиарды долларов. Исследователи обнаружили около 1000 контроллеров Festo, преимущественно используемых на производстве.