Buzz
Hơn 15 điểm yếu đáng chú ý đã được Microsoft phát hiện trong bộ phần mềm được sử dụng cho các cơ sở công nghiệp, gây ảnh hưởng lớn đến hệ thống các nhà máy điện.
Các nhà nghiên cứu của Microsoft đã tiết lộ không chỉ một mà nhiều lỗ hổng bảo mật nghiêm trọng trong bộ công cụ được sử dụng cho các cơ sở công nghiệp, mà các kẻ tấn công có thể sử dụng để gây ra sự cố cho các nhà máy điện.
Cụ thể, chuyên gia Microsoft, Vladimir Tokarev, đã tiết lộ tổng cộng 15 lỗ hổng trong bộ công cụ phát triển phần mềm (SDK) CODESYS V3, được sử dụng để lập trình các bộ điều khiển logic (PLC) trong ngành công nghiệp trên toàn cầu. Các lỗ hổng này đã được phân loại từ CVE-2022-47379 đến CVE-2022-47393 và được xếp hạng từ 7,5 đến 10 trong tổng số 10 điểm.
Hơn 500 nhà sản xuất thiết bị tương tự đã sử dụng SDK CODESYS V3 để lập trình hơn 1.000 mẫu PLC khác nhau và phát triển các ứng dụng tự động hóa tuỳ chỉnh trong nhiều lĩnh vực sử dụng khác nhau, từ máy CNC và robot đến điều khiển chuyển động, cung cấp năng lượng cho trung tâm dữ liệu, công nghệ y tế và an ninh hệ thống, để tự động hóa các tòa nhà thương mại và dân cư. Tuy nhiên, nhóm bảo mật của Microsoft tập trung chủ yếu vào các thiết bị nhúng từ Wago và Schneider Electric.
Theo Microsoft, việc phát hiện này đã được báo cáo cho CODESYS vào tháng 9 năm 2022 và công ty đã tung ra các bản vá để khắc phục các lỗi bảo mật đã được nêu.
Ưu tiên hàng đầu của các quản trị viên hệ thống là nâng cấp lên phiên bản CODESYS V3 v3.5.19.0 sớm nhất có thể, trong khi các chuyên gia bảo mật của Microsoft cũng khuyến nghị ngắt kết nối PLC, bộ định tuyến và các cơ sở hạ tầng liên quan khỏi Internet và phân đoạn để giảm thiểu nguy cơ bị tấn công.
