A equipe de sistemas ciberfísicos da Microsoft fez uma descoberta preocupante: várias vulnerabilidades de alta gravidade foram identificadas no kit de desenvolvimento de software (SDK) CODESYS V3, um ambiente amplamente utilizado para programar controladores lógicos programáveis (PLCs). Essas vulnerabilidades impactam todas as versões anteriores à 3.5.19.0 do CODESYS V3, criando riscos significativos para a infraestrutura de tecnologia operacional (OT) ao possibilitar ataques como execução remota de código (RCE) e negação de serviço (DoS).
VEJA TAMBÉM: Melhores práticas para segurança ICS e OT
As versões anteriores à 3.5.19.0 do CODESYS V3, como identificado pelos pesquisadores da Microsoft, estão vulneráveis às falhas descobertas. A causa raiz reside em um problema de segurança no mecanismo de decodificação de tags, desencadeando múltiplas vulnerabilidades que permitem a exploração de ataques como RCE e DoS. Essas vulnerabilidades, conforme enfatizado no post, podem ser exploradas mediante autenticação do usuário e superando medidas de segurança como a Prevenção de Execução de Dados (DEP) e a Randomização de Layout de Espaço de Endereço (ASLR) implementadas pelos PLCs.
Adicionalmente, a exploração dessas vulnerabilidades exige não apenas autenticação do usuário, mas também um profundo conhecimento do protocolo proprietário do CODESYS V3 e da estrutura dos diversos serviços que o protocolo utiliza. Colaborando com a CODESYS, os pesquisadores da Microsoft reportaram suas descobertas em setembro de 2022 e trabalharam em conjunto para garantir que as vulnerabilidades fossem corrigidas.
Dada a ampla adoção do CODESYS por múltiplos fornecedores, uma única vulnerabilidade pode desencadear uma cadeia de impactos em diversos setores, dispositivos e áreas verticais. O potencial de DoS e RCE acompanha todas as vulnerabilidades identificadas, tornando essencial a mitigação desses riscos. Mesmo que a exploração dessas vulnerabilidades exija um conhecimento aprofundado do protocolo proprietário do CODESYS V3 e autenticação do usuário, um ataque bem-sucedido tem o poder de causar sérios danos aos alvos.
Além disso, o post ressalta que invasores poderiam lançar ataques de negação de serviço (DoS) contra dispositivos que utilizam versões vulneráveis do CODESYS, interrompendo operações industriais. Alternativamente, as vulnerabilidades de RCE poderiam ser exploradas para implantar backdoors e roubar dados sensíveis, interferir em operações ou forçar PLCs a operar perigosamente.
O CODESYS é uma tecnologia amplamente empregada em diversos setores, como automação de fábricas, energia e processos industriais. A vulnerabilidade afeta especificamente as versões anteriores à 3.5.19.0 do CODESYS V3.
Os pesquisadores da Microsoft desvendaram essas vulnerabilidades enquanto investigavam a segurança do protocolo proprietário do CODESYS V3. O objetivo era elevar os padrões de segurança e desenvolver ferramentas forenses para dispositivos OT. Durante essa investigação, foram analisadas a estrutura e a segurança do protocolo utilizado por vários tipos e fornecedores de PLCs. Os modelos Schneider Electric Modicon TM251 e WAGO PFC200, ambos empregando o CODESYS V3, foram examinados em detalhes.
O post também destaca que o protocolo de rede CODESYS opera tanto por TCP quanto por UDP, com portas específicas para cada tipo de tráfego. As quatro camadas do protocolo incluem um driver de bloco, datagrama, canal e serviços. A camada de serviços, composta por diversos componentes, lida com a funcionalidade do PLC, incluindo codificação, decodificação e criptografia dos dados transmitidos.
Uma descoberta notável foi a presença de dois tipos de tags, cada uma com sua própria estrutura e finalidade. As tags desempenham um papel vital nas operações e ações dos PLCs. Além disso, o post informou que informações sobre os patches lançados pela CODESYS para corrigir essas vulnerabilidades estão disponíveis online. A comunidade é fortemente aconselhada a aplicar essas atualizações de segurança sem demora.
VEJA TAMBÉM: DeltaV Alliance: OPSWAT e Emerson juntas na proteção de Infraestruturas Críticas Os pesquisadores recomendam uma abordagem proativa para identificar dispositivos que empregam o CODESYS na rede e colaborar com os fabricantes para determinar as versões utilizadas e a disponibilidade de patches. A atualização do firmware para a versão 3.5.19.0 ou superior também é crucial
Recomendações adicionais incluem a aplicação de patches nos dispositivos afetados, a segmentação adequada da rede, a exigência de autenticação única para cada usuário e senha e a redução de usuários com privilégios de gravação. Essas medidas, quando aplicadas de forma coordenada, ajudam a fortalecer a cibersegurança e a proteger os ativos industriais contra potenciais ataques.
Benefícios das soluções OPSWAT para a Indústria 4.0
A OPSWAT é líder global em segurança cibernética e oferece soluções de ponta para a proteção de ambientes de TO e TA. Suas soluções abrangentes ajudam a mitigar os riscos de segurança associados à crescente complexidade das ameaças cibernéticas. Aqui estão alguns benefícios das soluções OPSWAT:
Proteção avançada contra malware: Detecção e prevenção de malware altamente eficazes, permitindo a identificação proativa de ameaças em tempo real. O MetaDefender da OPSWAT, utiliza uma abordagem baseada em vários mecanismos de antivírus e antimalware para garantir uma proteção abrangente contra ameaças conhecidas e desconhecidas.
Verificação de integridade de arquivos e dispositivos: As soluções da OPSWAT permitem a verificação da integridade de arquivos e dispositivos antes de serem permitidos nos sistemas de TO e TA. Através da verificação de hashes, assinaturas digitais e outras técnicas avançadas, você pode garantir que apenas arquivos confiáveis e dispositivos autorizados tenham acesso aos sistemas críticos.
Gerenciamento centralizado e conformidade: Facilite o monitoramento e o gerenciamento de segurança em ambientes de TO e TA com recursos como gerenciamento de políticas, distribuição de atualizações de segurança e relatórios abrangentes para garantir a conformidade com regulamentações e padrões de segurança.
Proteção contra ameaças de perímetro: A OPSWAT oferece soluções para proteger os pontos de entrada da rede e os dispositivos de TO e TA contra ameaças de perímetro. Isso inclui recursos como firewall de aplicativos da web (WAF), proteção contra invasões, filtragem de conteúdo e inspeção SSL/TLS para garantir uma proteção abrangente em todas as camadas da infraestrutura de TI.
A cibersegurança é essencial para garantir a integridade, disponibilidade e confidencialidade dos sistemas de TO e TA. Com a crescente sofisticação das ameaças cibernéticas, as soluções da OPSWAT desempenham um papel fundamental na proteção desses ambientes críticos.
Com sua abordagem abrangente e recursos avançados de detecção, prevenção e gerenciamento, a OPSWAT permite que as organizações operem com confiança na Indústria 4.0, mantendo a segurança e a eficiência em sua infraestrutura de TO e TA.
Entre em contato conosco e descubra como podemos ajudá-lo a proteger o seu negócio!
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!