3 CVE sui sistemi di automazione minacciano la catena di fornitura globale

I ricercatori della società di sicurezza informatica Forescout hanno scoperto 3 pericolose vulnerabilità che interessano i prodotti di automazione industriale.

2 bug interessano i controller di automazione dell’azienda tedesca Festo ementre un altro è relativa ai software della società CODESYS, utilizzata da centinaia di produttori di dispositivi in ​​​​vari settori, tra cui Festo.

Queste vulnerabilità interessano centinaia di dispositivi di automazione industriale. Il più pericoloso di questi comporta la negazione del servizio (DoS) ed è molto facile da eseguire, visitando una pagina Web nascosta o utilizzando lo strumento di testo del browser.

• CVE-2022-4048 (CVSS: 7.7) – Interessa CODESYS V3.
• CVE-2022-3079 (CVSS: 7.5) e CVE-2022-3270 (CVSS: 9.8) influenzano i controllori di automazione Festo.

Daniel dos Santos, capo della ricerca sulla sicurezza di Forescout, ha affermato che CODESYS CVE-2022-4048 è correlato a bug di implementazioni della crittografia nei sistemi OT: l’uso di generatori di numeri pseudo-casuali non sicuri, un vettore di inizializzazione nullo e un comportamento di crittografia ECB non sicuro.

Il bug più pericoloso è il CVE-2022-3270, che consente di eseguire comandi riservati senza autenticazione su alcuni PLC Festo. Gli esperti hanno affermato che nella maggior parte dei casi il problema è dovuto a protocolli OT obsoleti sviluppati in un momento in cui la sicurezza non era una delle principali preoccupazioni per i sistemi OT, ma sono ancora utilizzati in strutture critiche in tutto il mondo.

Il problema principale in CODESYS V3 è che le chiavi di sessione vengono generate utilizzando un generatore di numeri pseudo-casuali insicuro (PRNG) che opera in modo prevedibile. Secondo i ricercatori, un utente malintenzionato può “semplicemente prelevare una chiave di sessione per decrittografare il codice scaricato per la manipolazione”.

Forescout ha segnalato i bug alle aziende interessate, nonché al CERT@VDE, una piattaforma di sicurezza tedesca per le aziende di automazione di piccole e medie dimensioni. Un rappresentante di Festo ha fornito raccomandazioni sulle vulnerabilità.

CODESYS ha venduto oltre 8 milioni di licenze per dispositivi utilizzati in settori come la produzione, l’automazione energetica e l’automazione degli edifici. Inoltre, su Internet sono disponibili quasi 3.000 dispositivi con software CODESYS.

Festo è un distributore di sistemi di controllo pneumatici ed elettrici e tecnologia di azionamento per fabbriche e automazione di processo in 61 paesi con miliardi di dollari di vendite annuali. I ricercatori hanno trovato circa 1.000 controllori Festo, utilizzati principalmente nella produzione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks