3 CVE sui sistemi di automazione minacciano la catena di fornitura globale

Redazione RHC : 18 Dicembre 2022 08:20

I ricercatori della società di sicurezza informatica Forescout hanno scoperto 3 pericolose vulnerabilità che interessano i prodotti di automazione industriale.

2 bug interessano i controller di automazione dell’azienda tedesca Festo ementre un altro è relativa ai software della società CODESYS, utilizzata da centinaia di produttori di dispositivi in ​​​​vari settori, tra cui Festo.

Queste vulnerabilità interessano centinaia di dispositivi di automazione industriale. Il più pericoloso di questi comporta la negazione del servizio (DoS) ed è molto facile da eseguire, visitando una pagina Web nascosta o utilizzando lo strumento di testo del browser.

• CVE-2022-4048 (CVSS: 7.7) – Interessa CODESYS V3.
• CVE-2022-3079 (CVSS: 7.5) e CVE-2022-3270 (CVSS: 9.8) influenzano i controllori di automazione Festo.

CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?  Conosci il nostro corso sul cybersecurity awareness a fumetti?  Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.  Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Daniel dos Santos, capo della ricerca sulla sicurezza di Forescout, ha affermato che CODESYS CVE-2022-4048 è correlato a bug di implementazioni della crittografia nei sistemi OT: l’uso di generatori di numeri pseudo-casuali non sicuri, un vettore di inizializzazione nullo e un comportamento di crittografia ECB non sicuro.

Il bug più pericoloso è il CVE-2022-3270, che consente di eseguire comandi riservati senza autenticazione su alcuni PLC Festo. Gli esperti hanno affermato che nella maggior parte dei casi il problema è dovuto a protocolli OT obsoleti sviluppati in un momento in cui la sicurezza non era una delle principali preoccupazioni per i sistemi OT, ma sono ancora utilizzati in strutture critiche in tutto il mondo.

Il problema principale in CODESYS V3 è che le chiavi di sessione vengono generate utilizzando un generatore di numeri pseudo-casuali insicuro (PRNG) che opera in modo prevedibile. Secondo i ricercatori, un utente malintenzionato può “semplicemente prelevare una chiave di sessione per decrittografare il codice scaricato per la manipolazione”.

Forescout ha segnalato i bug alle aziende interessate, nonché al CERT@VDE, una piattaforma di sicurezza tedesca per le aziende di automazione di piccole e medie dimensioni. Un rappresentante di Festo ha fornito raccomandazioni sulle vulnerabilità.

CODESYS ha venduto oltre 8 milioni di licenze per dispositivi utilizzati in settori come la produzione, l’automazione energetica e l’automazione degli edifici. Inoltre, su Internet sono disponibili quasi 3.000 dispositivi con software CODESYS.

Festo è un distributore di sistemi di controllo pneumatici ed elettrici e tecnologia di azionamento per fabbriche e automazione di processo in 61 paesi con miliardi di dollari di vendite annuali. I ricercatori hanno trovato circa 1.000 controllori Festo, utilizzati principalmente nella produzione.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli