新的嚴重安全漏洞影響CODESYS工業(yè)自動化軟件 或可導致遠程代碼執(zhí)行

周三，網(wǎng)絡(luò)安全研究人員披露了影響CODESYS自動化軟件和WAGO可編程邏輯控制器 (PLC) 平臺的多個安全漏洞，這些漏洞可被遠程利用以控制公司的云運營技術(shù) (OT) 基礎(chǔ)設(shè)施。

工業(yè)安全公司Claroty在一份報告中表示，這些缺陷可以“轉(zhuǎn)化為創(chuàng)新攻擊，使威脅行為者能夠遠程控制公司的云OT實施，并威脅到任何從云管理的工業(yè)流程”。同時補充稱，它們“可用于從受感染的現(xiàn)場設(shè)備瞄準基于云的管理控制臺，或接管公司的云并攻擊 PLC和其他設(shè)備以中斷運營?！?/p>

關(guān)于CODESYS

CODESYS 是一種用于編程控制器應用程序的開發(fā)環(huán)境，可在工業(yè)控制系統(tǒng)中輕松配置 PLC。WAGO PFC100/200 是一系列利用CODESYS平臺對控制器進行編程和配置的 PLC。

關(guān)于漏洞

下面列出了7個漏洞的列表 ：

CVE-2021-29238(CVSS 分數(shù)：8.0)- CODESYS 自動化服務(wù)器中的跨站點請求偽造

CVE-2021-29240(CVSS 分數(shù)：7.8)- CODESYS 包管理器中數(shù)據(jù)真實性驗證不足

CVE-2021-29241(CVSS 分數(shù)：7.5)- CODESYS V3產(chǎn)品中包含CmpGateway組件的空指針解引用

CVE-2021-34569(CVSS 評分：10.0)——WAGO PFC 診斷工具——越界寫入

CVE-2021-34566(CVSS 評分：9.1)——WAGO PFC iocheckd 服務(wù)“I/O-Check”——共享內(nèi)存緩沖區(qū)溢出

CVE-2021-34567(CVSS 評分：8.2)——WAGO PFC iocheckd 服務(wù)“I/O-Check”——越界讀取

CVE-2021-34568(CVSS 評分：7.5)——WAGO PFC iocheckd 服務(wù)“I/O-Check”——資源分配無限制

成功利用這些漏洞可以安裝惡意CODESYS包，導致拒絕服務(wù)(DoS) 條件，或通過執(zhí)行惡意 JavaScript代碼導致權(quán)限升級，更糟糕的是操縱或完全破壞設(shè)備。

在野攻擊中，可通過“自下而上”或“自上而下”這兩種方式之一進行。這兩種方法模擬了攻擊者可能采用的路徑來控制PLC端點以最終破壞基于云的管理控制臺，或者相反，控制云以操縱所有聯(lián)網(wǎng)的現(xiàn)場設(shè)備。

在由Claroty設(shè)計的復雜的“自下而上”的漏洞利用鏈中，CVE-2021-34566、CVE-2021-34567 和 CVE-2021-29238 的組合漏洞被利用來在WAGO PLC上獲取遠程代碼執(zhí)行，結(jié)果只是為了獲得訪問CODESYS WebVisu人機界面，并進行跨站點請求偽造( CSRF )攻擊，以奪取CODESYS自動化服務(wù)器實例的控制權(quán)。

“攻擊者獲得對自動化服務(wù)器云管理的PLC的訪問權(quán)限可以修改 'webvisu.js' 文件并將JavaScript代碼附加到文件末尾，該代碼將代表登錄的用戶向云服務(wù)器發(fā)送惡意請求。

“當云用戶查看WebVisu頁面時，修改后的JavaScript將利用CSRF令牌的缺失，同時在用戶查看它的上下文中運行;請求將包含CAS cookie。攻擊者可以使用它來POST到 '/api/ db/User'并使用新的管理員用戶，從而完全訪問CODESYS云平臺。

另一方面，另一種“自上而下”攻擊場景涉及通過部署惡意包 (CVE-2021-29240) 來破壞 CODESYS 工程師站，該包旨在泄漏與操作員帳戶關(guān)聯(lián)的云憑據(jù)，然后用它篡改編程邏輯，獲得對所有連接的plc的自由訪問。

推進基于云的OT和ICS設(shè)備管理的組織必須意識到內(nèi)在風險，以及來自攻擊者的日益增加的威脅，這些攻擊者熱衷于以工業(yè)企業(yè)為目標進行基于勒索的攻擊，包括勒索軟件以及更復雜的可以造成物理損害的攻擊。

物聯(lián)網(wǎng)及關(guān)鍵基礎(chǔ)設(shè)施安全須重視

這是CODESYS和WAGO PLC數(shù)月內(nèi)第二次發(fā)現(xiàn)嚴重缺陷。今年6月，Positive Technologies的研究人員揭示了該軟件Web服務(wù)器和運行時系統(tǒng)組件中的10個關(guān)鍵漏洞，這些漏洞可能被濫用以在PLC上獲得遠程代碼執(zhí)行。

在物聯(lián)網(wǎng)安全公司披露了一個影響施耐德電氣Modicon PLC的關(guān)鍵身份驗證繞過漏洞(稱為“ ModiPwn ”(CVE-2021-22779))一周后，該漏洞可用于完全控制PLC，包括覆蓋關(guān)鍵內(nèi)存區(qū)域、泄漏敏感內(nèi)存內(nèi)容或調(diào)用內(nèi)部函數(shù)。

在今年5月初，，Claroty公開了西門子SIMATIC S7-1200和 S7-1500 PLC中的內(nèi)存保護繞過漏洞 ( CVE-2020-15782 )，惡意行為者可以利用該漏洞遠程訪問保護區(qū)內(nèi)存，并實現(xiàn)無限制和不被檢測到的代碼執(zhí)行。

不難發(fā)現(xiàn)，網(wǎng)絡(luò)攻擊已經(jīng)成為國家之間的作戰(zhàn)“武器”。

21世紀初，美國利用惡意軟件“震網(wǎng)”感染了伊朗全國超過60%的電腦，主要攻擊對象即重要的基礎(chǔ)設(shè)施使用的工業(yè)控制系統(tǒng);

2016年，美國前國防部長卡特首次承認，美國使用網(wǎng)絡(luò)手段攻擊了敘利亞ISIS組織等，這是美國首次公開將網(wǎng)絡(luò)攻擊作為一種作戰(zhàn)手段。

2019年3月初，委內(nèi)瑞拉全國出現(xiàn)大規(guī)模停電，23個州中有18個州受到影響，直接導致交通、醫(yī)療、通信及基礎(chǔ)設(shè)施的癱瘓。委內(nèi)瑞拉總統(tǒng)馬杜羅指責美國策劃了對該國電力系統(tǒng)的“網(wǎng)絡(luò)攻擊”，目的是通過全國范圍的大停電，制造混亂，迫使政府下臺。

隨著物聯(lián)網(wǎng)、5G的快速發(fā)展，新的技術(shù)架構(gòu)、生產(chǎn)體系也帶來了新的安全風險挑戰(zhàn)。國家一直在提倡建立自己的信息安全，包括各種自主可控的體系。信息安全，不僅是安全技術(shù)防護要做到位，更重要的是從最基礎(chǔ)的信息化，到相關(guān)的技術(shù)設(shè)備，都能實現(xiàn)自主可控，將重要的信息和技術(shù)掌握在自己手里。

參讀鏈接：

https://thehackernews.com/2021/07/several-new-critical-flaws-affect.html

https://3g.163.com/news/article/GFGA44VA00019K82.html

https://baijiahao.baidu.com/s?id=1637127859744741645&wfr=spider&for=pc