微软曝Codesys工业软件出现15个漏洞,可被利用窃取数据、关停电厂
发布时间:2024-11-23
近日,微软安全专家透露,德国工业软件巨头欧德神思(Codesys)的系统中存在15个高危安全漏洞,可导致电厂关停或重要关基系统信息被窃取。2022年9月,微软情报威胁专家Vladimir Tokarev向Codesys报告了Codesys Control V3 3.5.19.0 之前版本存在的安全漏洞。2023年4月Codesys发布了相关漏洞的补丁。
总部位于德国的德国工业软件巨头欧德神思(Codesys)提供工控系统的自动化软件,广泛存在于大量设备中——500 多家制造商生产的大约 1,000 种不同类型的产品。
这15个安全漏洞的编号为CVE-2022-47379到CVE-2022-47393,均属于高危评级,其中多数评分为8.8/10,可被用于拒绝服务 (DoS) 攻击或远程代码执行 (RCE)。其中的12个漏洞为缓存溢出漏洞,可用于对PLC实现远程代码执行。但需要攻击者可以绕开身份验证,以及绕过数据执行保护(DEP)和地址空间配置随机加载(ASLR)措施。
安全专家认为,这些漏洞利用的难度不低,攻击者不仅需要需要绕过身份认证或窃取登录凭证,还需要深入了解 Codesys V3 的专有协议和协议使用的不同服务的架构。但考虑到这些的漏洞极大风险——可能导致工厂停工和切断电力,专家强烈建议尽快修补漏洞。
微软公司在博客中发布了相关漏洞的列表:
展开全文
其他新闻
- 集聚140余家国内外机器人企业 世界机器人大会10大应用场景本周亮相 2024-11-23
- 如何通过提升代码质量,加速完成项目的功能安全认证 2024-11-23
- 中国首份仿生机器人产业全景报告发布!大模型带来加速度,三大指标决定竞争格局 2024-11-23
- 第八届世界机器人大会暨博览会开幕 2024-11-23
- 全新设计,全新功能:新型PC机柜,有效兼容VX25配件 2024-11-23
- 精准适配,全新升级:新型Flat-PLS母线系统 2024-11-23
- 西门子订单明显下降,自动化至暗时刻或未到 2024-11-23
- 年中回顾丨加满油,续航再出发! 2024-11-23
- 未来已来!3D定位引领抓取技术革命,更精准、更高效! 2024-11-23
- 小米生态链企业短期连续成立3家新公司,欲布局机器人多个赛道 2024-11-23