30 aug. 2023
1 minuut
Cybersecurity-onderzoekers van Microsoft hebben serieuze kwetsbaarheden ontdekt in het Codesys V3 software-ontwikkelplatform. Het gaat om alle softwareversies ouder dan versie 3.5.19.0. De laatste versie, die geen last heeft van de gevonden zwakheden, is gratis te downloaden via de Codesys-site.
De 15 kwetsbaarheden zijn vorig jaar september ontdekt en recent in een blog van Microsoft besproken. De onderzoekers hebben met Codesys samengewerkt en de noodzakelijke patches ontwikkeld. Wel hebben kwaadwillenden gebruikersauthenticatie nodig en diepgaande kennis van het eigen protocol van Codesys V3 en de structuur van de verschillende services die het protocol gebruikt. Maar toch. Je kan hier het advies van CODESYS-downloaden wat te doen. Of je download hier gratis versie 3.5.19.0.
RCE- en DoS
Codesys wordt gebruikt voor zowel op hard- als software gebaseerde controllers die de IEC 61131-3-programmerstandaard gebruiken. Dan heb je het over honderden fabrikanten van controllers en inmiddels meer dan duizend type controllers. De fouten stellen de besturingen mogelijk bloot aan bijvoorbeeld remote code execution (RCE) en denial of service (DoS)-aanvallen. Met een DoS-aanval op een apparaat dat een kwetsbare versie gebruikt, kan een installatie plat worden gelegd. Door het op afstand uitvoeren van een code kunnen aanvallers een achterdeur creëren waardoor aanvallers en bijvoorbeeld een PLC verkeerd laten functioneren of kritieke informatie stelen.
Het laatste nieuws
Anderen lazen ook
