Kritieke softwarefout maakt Codesys-systemen kwetsbaar

Alexander Pil
Leestijd: 1 minuut

De ontwikkelomgeving Codesys bevat een achterdeurtje waardoor kwaadwillenden zonder authenticatie commando‘s kunnen geven en industriële controlesystemen kunnen verstoren. IOActive-consultant Reid Wightman ontdekte het lek tijdens Project Basecamp, een initiatief van adviesbureau Digital Bond om de veiligheid van industriële controlesystemen te onderzoeken. 261 fabrikanten gebruiken Codesys om software op hun PLC‘s, besturingssystemen en andere industriële controllers uit te voeren.

Het probleem zit in de Codesys-runtime, die draait op PLC‘s. De runtime zorgt ervoor dat een PLC zogenaamde ladder logic files die met de Codesys-ontwikkeltool op een gewone pc zijn gemaakt, kan laden en uitvoeren. Volgens het rapport van Digital Bond opent de Codesys-runtime een TCP-verbinding voor binnenkomende berichten. Die service geeft echter ook toegang tot een commandoregel zonder authenticatie te vragen. Afhankelijk van de PLC kunnen buitenstaanders daarmee onder meer programma‘s starten, stoppen en resetten, wachtwoorden beheren, en bestanden kopiëren, hernoemen en verwijderen.

Codesys wordt ontwikkeld door het Duitse 3S-Smart Software Solutions. ’We zijn ons bewust van dit beveiligingsprobleem‘, aldus Edwin Schwellinger, supportmanager van het bedrijf uit Kempten, op techworld.com. ’We werken met hoge prioriteit aan een patch.‘ Hij voegt eraan toe dat het lek alleen maar toegankelijk is voor aanvallers die al toegang hebben tot het netwerk waar de PLC-runtime draait. Schwellinger stelt dat runtimesystemen niet toegankelijk zouden moeten zijn via internet, tenzij er extra beveiligingsmaatregelen zijn genomen. In de praktijk blijken die hindernissen echter niet altijd hoog genoeg om iedereen buiten te houden.

Dit artikel is exclusief voor premium leden van High-Tech Systems Magazine. Al premium lid? Log dan in. Nog geen premium lid? Neem dan een premium lidmaatschap en geniet van alle voordelen.

Inloggen

Problemen met inloggen? Bel dan (tijdens kantooruren) naar 024 350 3532 of stuur een e-mail naar info@techwatch.nl.