新的嚴重安全漏洞影響CODESYS工業自動化軟體 或可導致遠端程式碼執行

週三，網路安全研究人員披露了影響CODESYS自動化軟體和WAGO可程式設計邏輯控制器 (PLC) 平臺的多個安全漏洞，這些漏洞可被遠端利用以控制公司的雲運營技術 (OT) 基礎設施。

工業安全公司Claroty在一份報告中表示，這些缺陷可以“轉化為創新攻擊，使威脅行為者能夠遠端控制公司的雲OT實施，並威脅到任何從雲管理的工業流程”。同時補充稱，它們“可用於從受感染的現場裝置瞄準基於雲的管理控制檯，或接管公司的雲並攻擊 PLC和其他裝置以中斷運營。”

關於CODESYS

CODESYS 是一種用於程式設計控制器應用程式的開發環境，可在工業控制系統中輕鬆配置 PLC。WAGO PFC100/200 是一系列利用CODESYS平臺對控制器進行程式設計和配置的 PLC。

關於漏洞

下面列出了7個漏洞的列表 ：

CVE-2021-29238(CVSS 分數：8.0)- CODESYS 自動化伺服器中的跨站點請求偽造

CVE-2021-29240(CVSS 分數：7.8)- CODESYS 包管理器中資料真實性驗證不足

CVE-2021-29241(CVSS 分數：7.5)- CODESYS V3產品中包含CmpGateway元件的空指標解引用

CVE-2021-34569(CVSS 評分：10.0)——WAGO PFC 診斷工具——越界寫入

CVE-2021-34566(CVSS 評分：9.1)——WAGO PFC iocheckd 服務“I/O-Check”——共享記憶體緩衝區溢位

CVE-2021-34567(CVSS 評分：8.2)——WAGO PFC iocheckd 服務“I/O-Check”——越界讀取

CVE-2021-34568(CVSS 評分：7.5)——WAGO PFC iocheckd 服務“I/O-Check”——資源分配無限制

成功利用這些漏洞可以安裝惡意CODESYS包，導致拒絕服務(DoS) 條件，或透過執行惡意 JavaScript程式碼導致許可權升級，更糟糕的是操縱或完全破壞裝置。

在野攻擊中，可透過“自下而上”或“自上而下”這兩種方式之一進行。這兩種方法模擬了攻擊者可能採用的路徑來控制PLC端點以最終破壞基於雲的管理控制檯，或者相反，控制雲以操縱所有聯網的現場裝置。

在由Claroty設計的複雜的“自下而上”的漏洞利用鏈中，CVE-2021-34566、CVE-2021-34567 和 CVE-2021-29238 的組合漏洞被利用來在WAGO PLC上獲取遠端程式碼執行，結果只是為了獲得訪問CODESYS WebVisu人機介面，並進行跨站點請求偽造( CSRF )攻擊，以奪取CODESYS自動化伺服器例項的控制權。

“攻擊者獲得對自動化伺服器雲管理的PLC的訪問許可權可以修改 'webvisu.js' 檔案並將JavaScript程式碼附加到檔案末尾，該程式碼將代表登入的使用者向雲伺服器傳送惡意請求。

“當雲使用者檢視WebVisu頁面時，修改後的JavaScript將利用CSRF令牌的缺失，同時在使用者檢視它的上下文中執行;請求將包含CAS cookie。攻擊者可以使用它來POST到 '/api/ db/User'並使用新的管理員使用者，從而完全訪問CODESYS雲平臺。

另一方面，另一種“自上而下”攻擊場景涉及透過部署惡意包 (CVE-2021-29240) 來破壞 CODESYS 工程師站，該包旨在洩漏與操作員帳戶關聯的雲憑據，然後用它篡改程式設計邏輯，獲得對所有連線的plc的自由訪問。

推進基於雲的OT和ICS裝置管理的組織必須意識到內在風險，以及來自攻擊者的日益增加的威脅，這些攻擊者熱衷於以工業企業為目標進行基於勒索的攻擊，包括勒索軟體以及更復雜的可以造成物理損害的攻擊。

物聯網及關鍵基礎設施安全須重視

這是CODESYS和WAGO PLC數月內第二次發現嚴重缺陷。今年6月，Positive Technologies的研究人員揭示了該軟體Web伺服器和執行時系統元件中的10個關鍵漏洞，這些漏洞可能被濫用以在PLC上獲得遠端程式碼執行。

在物聯網安全公司披露了一個影響施耐德電氣Modicon PLC的關鍵身份驗證繞過漏洞(稱為“ ModiPwn ”(CVE-2021-22779))一週後，該漏洞可用於完全控制PLC，包括覆蓋關鍵記憶體區域、洩漏敏感記憶體內容或呼叫內部函式。

在今年5月初，，Claroty公開了西門子SIMATIC S7-1200和 S7-1500 PLC中的記憶體保護繞過漏洞 ( CVE-2020-15782 )，惡意行為者可以利用該漏洞遠端訪問保護區記憶體，並實現無限制和不被檢測到的程式碼執行。

不難發現，網路攻擊已經成為國家之間的作戰“武器”。

21世紀初，美國利用惡意軟體“震網”感染了伊朗全國超過60%的電腦，主要攻擊物件即重要的基礎設施使用的工業控制系統;

2016年，美國前國防部長卡特首次承認，美國使用網路手段攻擊了敘利亞ISIS組織等，這是美國首次公開將網路攻擊作為一種作戰手段。

2019年3月初，委內瑞拉全國出現大規模停電，23個州中有18個州受到影響，直接導致交通、醫療、通訊及基礎設施的癱瘓。委內瑞拉總統馬杜羅指責美國策劃了對該國電力系統的“網路攻擊”，目的是透過全國範圍的大停電，製造混亂，迫使政府下臺。

隨著物聯網、5G的快速發展，新的技術架構、生產體系也帶來了新的安全風險挑戰。國家一直在提倡建立自己的 資訊保安，包括各種 自主可控的體系。資訊保安，不僅是安全技術防護要做到位，更重要的是從最基礎的資訊化，到相關的技術裝置，都能實現自主可控，將重要的資訊和技術掌握在自己手裡。