Security Week 2334: уязвимости в промышленном SDK Codesys
Одна из презентаций на недавно прошедшей конференции BlackHat была посвящена уязвимостям в SDK Codesys. Уязвимости нашли специалисты компании Microsoft, а история их обнаружения подробно изложена в этой публикации. Codesys — это среда разработки для систем промышленной автоматизации, а именно для работы с программируемыми логическими контроллерами (PLC). Специалисты Microsoft показали практическую эксплуатацию проблемы в двух контроллерах производства Schneider Electric и WAGO, но так как уязвимости были найдены именно в SDK, скорее всего, им подвержены все устройства, использующие данную среду разработки, — а это несколько сотен наименований.
Всего специалисты нашли 15 уязвимостей в пяти разных компонентах SDK, реализующих коммуникацию по сети с использованием проприетарного протокола Codesys V3. При этом все уязвимости имеют одну и ту же причину: некорректная обработка так называемых меток данных для маркировки пересылаемых пакетов. При наихудшем сценарии отправка модифицированного пакета данных на уязвимый контроллер PLC может приводить либо к выполнению произвольного кода и перехвату контроля, либо к отказу в обслуживании.
Читать дальше →
Всего специалисты нашли 15 уязвимостей в пяти разных компонентах SDK, реализующих коммуникацию по сети с использованием проприетарного протокола Codesys V3. При этом все уязвимости имеют одну и ту же причину: некорректная обработка так называемых меток данных для маркировки пересылаемых пакетов. При наихудшем сценарии отправка модифицированного пакета данных на уязвимый контроллер PLC может приводить либо к выполнению произвольного кода и перехвату контроля, либо к отказу в обслуживании.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Black, gray, white: разбираемся в методологиях пентеста
- Антон Пустовалов: Как поднять рейтинг компании на Яндекс.Картах: полезные лайфхаки и секретные фичи
- Соловьев Павел: Умный дом под ключ? Почему обычная реклама не работает и что делать вместо этого
- Как мы дали абонентам возможность управлять мобильной сетью на уровне оператора: архитектура Membrana МТС
- 42Clouds - 1C Онлайн: Оценка бизнеса от ФНС: как новый закон изменит правила игры для ИП и компаний
- Уязвимости в Naumen Service Desk
- bit kogan: Каждый стейблкоин поддерживает госдолг США
- GooD_News: xAI Маска подаёт в суд на Apple и OpenAI из-за конкуренции в сфере ИИ и ранжирования в App Store
- Новости кибербезопасности за неделю с 18 по 24 августа 2025
- Как не потерять бренд из-за изменений в законе: у бизнеса осталось полгода на смену вывесок