影响CODESYS工业自动化软件的几个新的关键缺陷

网络安全研究人员周三披露了影响CODESYS自动化软件和WAGO可编程逻辑控制器（PLC）平台的多个安全漏洞，这些漏洞可被远程利用，以控制一家公司的云操作技术（OT）基础设施。

总部位于纽约的工业安全公司Claroty在与《黑客新闻》分享的一份报告中说，这些漏洞可以转化为“创新性攻击，使威胁行为人能够远程控制公司的云OT实施，并威胁到通过云管理的任何工业流程。”，补充说，它们“可用于从受损的现场设备中瞄准基于云的管理控制台，或接管公司的云并攻击PLC和其他设备以中断运营。”

CODESYS是一个用于编程控制器应用程序的开发环境，可以在工业控制系统中轻松配置PLC。WAGO PFC100/200是一系列PLC，利用CODESYS平台对控制器进行编程和配置。

下面列出了七个漏洞-

• CVE-2021-29238（CVSS分数：8.0）-CODESYS Automation Server中的跨站点请求伪造
• CVE-2021-29240（CVSS分数：7.8）-CODESYS Package Manager中的数据真实性验证不足
• CVE-2021-29241（CVSS分数：7.5）-包含CmpGateway组件的CODESYS V3产品中的空指针解引用

• CVE-2021-34569（CVSS得分：10.0）-WAGO PFC诊断工具–；越界写入
• CVE-2021-34566（CVSS得分：9.1）-WAGO PFC iocheckd服务“I/O-Check”和#8211；共享内存缓冲区溢出
• CVE-2021-34567（CVSS得分：8.2）-WAGO PFC iocheckd服务“I/O-Check”和#8211；出界阅读
• CVE-2021-34568（CVSS得分：7.5）-WAGO PFC iocheckd服务“I/O-Check”和#8211；无限制地分配资源

成功利用这些漏洞可能会安装恶意CODESYS软件包，导致拒绝服务（DoS）情况，或通过执行恶意JavaScript代码导致权限升级，更糟糕的是，操纵或完全中断设备。

在野外，这可能以两种方式之一进行：“自下而上”或“自上而下”这两种方法模拟了对手可能采取的路径，即控制PLC端点以最终危及基于云的管理控制台，或相反，占领云以操纵所有联网的现场设备。

在Claroty设计的一个复杂的“自下而上”利用链中，CVE-2021-34566、CVE-2021-34567和CVE-2021-29238的组合被用来在WAGO PLC上远程执行代码，仅获得对CODESYS WebVisu人机界面的访问权，并发起跨站点请求伪造（CSRF）攻击，以夺取CODESYS automation server实例的控制权。

Claroty高级研究员Uri Katz发现并报告了这些漏洞，他解释说：“获得对自动化服务器云管理的PLC的访问权限的攻击者可以修改‘webvisu.js’文件，并在文件末尾附加JavaScript代码，这将代表登录用户向云服务器发送恶意请求。”。

“当云用户查看WebVisu页面时，修改后的JavaScript将利用缺少CSRF令牌的漏洞，并在查看该页面的用户的上下文中运行；该请求将包含CAS cookie。攻击者可以使用该cookie与新的管理员用户一起发布到“/api/db/user”，使他们能够完全访问CODESYS云平台，”Katz补充道。

另一方面，另一种“自上而下”的攻击方案涉及通过部署恶意软件包（CVE-2021-29240）破坏CODESYS工程站，该软件包旨在泄漏与运营商帐户相关的云凭据，然后使用它来篡改编程逻辑，并获得对所有连接的PLC的不受限制的访问。

卡茨说：“对OT和ICS设备进行基于云的管理的组织必须意识到固有的风险，以及来自热衷于以工业企业为目标的攻击者的日益增加的威胁，这些攻击包括勒索软件和可能造成物理损害的更复杂的攻击。”。

这些披露标志着CODESYS和WAGO PLC在数月内第二次发现关键缺陷。今年6月，Positive Technologies的研究人员发现，该软件的web服务器和运行时系统组件中存在10个关键漏洞，这些漏洞可能被滥用，从而在PLC上获得远程代码执行。

一周前，物联网安全公司Armis披露了一个影响施耐德电气Modicon PLC的关键认证绕过漏洞—；被称为“ModiPwn”（CVE-2021-22779）可以利用该漏洞对PLC进行完全控制，包括覆盖关键内存区域、泄漏敏感内存内容或调用内部功能。

在今年5月早些时候发布的一份相关报告中，Claroty公开了西门子SIMATIC S7-1200和S7-1500 PLC（CVE-2020-15782）中的一个内存保护旁路漏洞，恶意参与者可利用该漏洞远程访问内存的受保护区域，并实现不受限制且未被检测到的代码执行。

披露这些信息的同时，美国网络安全和基础设施安全局（CISA）和联邦调查局（FBI）发布了一份联合网络安全咨询报告，记录了2011年12月至2013年由国家赞助的中国行为体开展的历史性矛式网络钓鱼和入侵活动，针对全国23家石油和天然气（ONG）管道运营商。

这些机构说：“CISA和FBI评估，这些行为体专门针对美国的管道基础设施，目的是让美国的管道基础设施处于危险之中。”。“此外，CISA和FBI评估，这项活动最终旨在帮助中国发展针对美国管道的网络攻击能力，以物理破坏管道或扰乱管道运营。”