Microsoft обнаружила уязвимость настолько мощную, что могла отключить электростанцию
В частности, уязвимость затрагивает комплект разработки программного обеспечения (SDK) CODESYS V3, который используется для программирования логических контроллеров, устройств, открывающих и закрывающих клапаны, вращающих двигатели и управляющих многими физическими устройствами. внутри промышленных объектов по всему миру, таких как электростанции, автоматизация энергетики и автоматизация процессов.
SDK позволяет разработчикам быть совместимыми с IEC 611131-3, безопасной системой языков программирования для использования в промышленных средах.
Согласно отчету Microsoft, если хакер выполнит DOS-атаку на устройство с помощью уязвимой версии CODESYS, он может отключить электростанцию, помешать ее работе и привести к сбою систем. Логика управления работает неправильно или крадет важную информацию.
Многие поставщики по всему миру используют CODESYS, поэтому одна уязвимость может затронуть несколько секторов, типов устройств и вертикалей. Все 15 уязвимостей, обнаруженных Microsoft, могут привести к атакам DoS и RCE. Хотя использование этих уязвимостей требует глубоких знаний проприетарного протокола CODESYS V3, а также аутентификации пользователей, успешная атака может нанести огромный ущерб целевым пользователям. перец.
С сентября 2022 года Microsoft в частном порядке сообщала об уязвимостях в отдел разработчиков CODESYS и выпускала исправления. Многие поставщики, использующие SDK, уже установили обновления.