La empresa rusa de seguridad informática Positive Technologies ha identificado 10 vulnerabilidades en el software de automatización CODESYS para sistemas de control industrial. Algunas son de gravedad alta y crítica. CODESYS ha corregido las vulnerabilidades junto con publicar avisos de seguridad. CODESYS (sistema de desarrollo de controladores) es un entorno de desarrollo para aplicaciones de PLC utilizado por fabricantes de todo el mundo.
CODESYS ha corregido las vulnerabilidades junto con publicar avisos de seguridad. “El proveedor ha calificado algunas de estas vulnerabilidades como 10 de 10, es decir, extremadamente peligrosas”, afirma Vladimir Nazarov, responsable de seguridad de ICS en Positive Technologies. “Su explotación puede llevar a la ejecución remota de comandos en el PLC, lo que puede interrumpir los procesos tecnológicos y causar accidentes industriales y pérdidas económicas”. El ejemplo más notorio de explotación de vulnerabilidades similares es el uso de Stuxnet. En uno de estos ataques, este malware modificó un proyecto en PLC, obstaculizando el funcionamiento de las centrifugadoras de la instalación nuclear iraní de Natanz. Inicialmente, analizamos el PLC WAGO 750-8207. Después de que informáramos a WAGO de las vulnerabilidades encontradas, la empresa pasó la información a la gente que trabaja en CODESYS, el software utilizado como base por 15 fabricantes para construir el firmware del PLC. Además de WAGO, entre ellos se encuentran Beckhoff, Kontron, Moeller, Festo, Mitsubishi, HollySys y varios desarrolladores rusos. En otras palabras, muchos controladores están afectados por estas vulnerabilidades”.
Para explotar las vulnerabilidades, un atacante no necesita un nombre de usuario ni una contraseña; basta con tener acceso a la red del controlador industrial. Según los investigadores, la causa principal de las vulnerabilidades es la insuficiente verificación de los datos de entrada, que a su vez puede estar causada por el incumplimiento de las recomendaciones de desarrollo seguro.
Los problemas más peligrosos se revelaron en el componente del servidor web CODESYS V2.3 utilizado por CODESYS WebVisu para mostrar la interfaz hombre-máquina en un navegador web. Las múltiples vulnerabilidades descubiertas en este componente recibieron una puntuación CVSS 3.0 de 10 y los identificadores CVE-2021-30189, CVE-2021-30190, CVE-2021-30191, CVE-2021-30192, CVE-2021-30193 y CVE-2021-30194.
Otras vulnerabilidades calificadas como 8,8 se encontraron en el sistema de tiempo de ejecución de comunicaciones CODESYS Control V2, que permite que los sistemas de PC integrados sean un controlador industrial programable. Identificadores: CVE-2021-30186, CVE-2021-30188 y CVE-2021-30195.
Por último, la vulnerabilidad CVE-2021-30187 descubierta en la biblioteca SysFile de CODESYS Control V2 Linux recibió una calificación de 5,3. Esta vulnerabilidad puede utilizarse para invocar funciones adicionales del PLC utilizando la biblioteca del sistema SysFile. Los atacantes pueden, por ejemplo, eliminar algunos archivos y potencialmente interrumpir determinados procesos tecnológicos.
Para eliminar las vulnerabilidades, se aconseja a las empresas seguir las recomendaciones de los avisos oficiales de CODESYS. La empresa agrega que si es imposible instalar una actualización, se pueden detectar los signos de penetración utilizando sistemas de supervisión de la seguridad y de gestión de los incidentes de ciberseguridad, como PT Industrial Security Incident Manager.
