Una nuova diffusa compromissione dell’IoT potrebbe colpire milioni di chip di controller logici
AGGIORNATO 12:05 EDT / 15 AGOSTO 2023
di David Strom
Il ricercatore di sicurezza Microsoft Vladimir Tokarev ha dimostrato un interessante attacco al software di automazione industriale dell'Internet of Things chiamato Codesys.
Tokarev, che ha mostrato l'exploit la scorsa settimana alla conferenza annuale sulla sicurezza BlackHat a Las Vegas, ha utilizzato un modello di ascensore in miniatura per dimostrare come l'attacco potrebbe far schiantare il suo taxi. Il software – e, cosa ancora più importante, il suo kit di sviluppo software – è ampiamente utilizzato in milioni di controller logici programmabili o chip PLC che gestiscono qualsiasi cosa, dai semafori e impianti di trattamento delle acque all’automazione delle operazioni degli edifici commerciali e alle condutture energetiche.
Lo scorso settembre, Tokarev ha scoperto 16 vulnerabilità che chiama collettivamente CoDe16. Questi utilizzano sia l'esecuzione di codice remoto che tecniche di negazione del servizio per assumere il controllo sui PLC e consentire agli aggressori di inserire malware.
"Poiché Codesys viene utilizzato da molti fornitori, una vulnerabilità può interessare molti settori, tipi di dispositivi e verticali, per non parlare di più vulnerabilità", ha affermato in un post sul blog che descrive la ricerca. Microsoft Corp. stima che il software venga utilizzato in 1.000 diversi tipi di dispositivi realizzati da oltre 500 produttori.
Questa non è la prima vulnerabilità di Codesys. Lo scorso novembre, i ricercatori di Forescout hanno riscontrato un altro problema con il software che ne influenza i processi logici.
Tokarev ha pubblicato la sua analisi e il codice su GitHub affinché altri possano esaminarli, insieme a uno strumento che le aziende possono utilizzare per identificare i componenti a rischio. Il framework Codesys utilizza i propri protocolli di rete e speciali numeri di porta TCP/IP che ha dovuto decodificare per comprenderne il funzionamento e scoprire queste vulnerabilità.
Molti degli attacchi hanno fatto uso di condizioni di buffer overflow. Tokarev ha assemblato una varietà di attrezzature nel suo lavoro e ha mostrato ai partecipanti alla conferenza questa foto:
Codesys viene fornito con un software di gestione basato su Windows e un simulatore utilizzato a scopo di test. "A causa della sua popolarità e del suo ampio utilizzo in tutto il mondo, si tratta di un vettore di attacco critico e molto interessante che dovrebbe essere protetto e mitigato", ha affermato durante la sessione della conferenza.
Le versioni di Codesys precedenti alla c.3.5.19.0 sono vulnerabili alle vulnerabilità scoperte e gli utenti devono aggiornare il proprio firmware utilizzando questo collegamento. Microsoft offre altre raccomandazioni, tra cui la segmentazione della rete per isolare i PLC dall'accesso diretto online, nonché tecniche di gestione dei privilegi minimi per limitare gli utenti che hanno accesso ai dispositivi e hanno la possibilità di pubblicare modifiche ai componenti.
GRAZIE
Una nuova diffusa compromissione dell’IoT potrebbe colpire milioni di chip di controller logici
MongoDB svela la tecnologia di crittografia dei dati per gli sviluppatori per migliorare la privacy e la conformità dei dati
Nuovi rapporti mostrano che il phishing è in aumento e sta diventando sempre più sofisticato
Nutanix offre un approccio rapido allo sviluppo dell'intelligenza artificiale
Dialpad integra l'intelligenza artificiale generativa nella sua suite per call center
La startup di osservabilità full-stack Highlight viene lanciata con un finanziamento di 8 milioni di dollari
Una nuova diffusa compromissione dell’IoT potrebbe colpire milioni di chip di controller logici
SICUREZZA - DI DAVID STROM . 1 MINUTO FA
MongoDB svela la tecnologia di crittografia dei dati per gli sviluppatori per migliorare la privacy e la conformità dei dati
GRANDI DATI - DI JOHN FURRIER . 34 MINUTI FA
Nuovi rapporti mostrano che il phishing è in aumento e sta diventando sempre più sofisticato
SICUREZZA - DI DAVID STROM . 3 ORE FA
Nutanix offre un approccio rapido allo sviluppo dell'intelligenza artificiale
AI - DI PAUL GILLIN . 3 ORE FA
Dialpad integra l'intelligenza artificiale generativa nella sua suite per call center
AI - DI PAUL GILLIN . 3 ORE FA
La startup di osservabilità full-stack Highlight viene lanciata con un finanziamento di 8 milioni di dollari
APP - DI MIKE WHEATLEY . 3 ORE FA