PLC-programmeurs: update je CODESYS V3- ontwikkelplatform!

Cybersecurity-onderzoekers van Microsoft hebben serieuze kwetsbaarheden ontdekt in het CODESYST V3 software-ontwikkelplatform. Het gaat om alle softwareversies ouder dan versie 3.5.19.0. Laatstgenoemde versie die dus geen last heeft van de gevonden zwakheden is gratis te downloaden via de CODESYS-site.

De 15 kwetsbaarheden zijn vorig jaar september ontdekt en recnet in een blog van Microsoft besproken. De onderzoekers hebben met CODESYS samengewerkt en de noodzakelijke patches ontwikkeld. Wel hebben kwaadwillenden gebruikersauthenticatie nodig en diepgaande kennis van het eigen protocol van CODESYS V3 en de structuur van de verschillende services die het protocol gebruikt. Maar toch. Je kan hier het advies van CODESYS-downloaden wat te doen. Of je download hier gratis versie 3.5.19.0.

RCE- en DoS

CODESYS wordt gebruikt voor zowel op hard- als software gebaseerde controllers die de IEC 61131-3-programmerstandaard gebruiken. Dan heb je het over honderden fabrikanten van controllers en inmiddels meer dan duizend type controllers. De fouten stellen de besturingen mogelijk bloot aan bijvoorbeeld remote code execution (RCE) en denial of service (DoS)-aanvallen. Met een DoS-aanval op een apparaat dat een kwetsbare versie gebruikt, kan een installatie plat worden gelegd. Door het op afstand uitvoeren van een code kunnen aanvallers een achterdeur creëren waardoor aanvallers en bijvoorbeeld een PLC verkeerd laten functioneren of kritieke informatie stelen.