Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità multiple in prodotti CODESYS V3

CODESYS  ICS   venerdì, 21 dicembre 2018

CODESYS è una piattaforma software per sistemi di controllo industriale prodotta dalla società tedesca 3S-Smart Software Solutions GmbH.

Sono state scoperte due vulnerabilità, di cui una critica, in svariati prodotti CODESYS che contengono server per client che utilizzano il protocollo di comunicazione CODESYS o il componente CmpRouter.

Se sfruttate con successo, queste vulnerabilità potrebbero consentire a un attaccante remoto di mascherare l’origine dei pacchetti di comunicazione malevoli e di sfruttare altresì una debolezza dei numeri casuali generati per l’instaurazione delle sessioni di comunicazione per compromettere la riservatezza e l’integrità dei dati memorizzati sul dispositivo.

Riassunto delle vulnerabilità (in Inglese):

  • [Critical] CODESYS communication servers use insufficiently random values (CVE-2018-20025)
  • [Medium] CODESYS routing protocol may disguise the source of crafted communication packets (CVE-2018-20026)

Queste vulnerabilità affliggono i seguenti prodotti CODESYS V3:

  • CODESYS Control for BeagleBone
  • CODESYS Control for emPC-A/iMX6
  • CODESYS Control for IOT2000
  • CODESYS Control for Linux
  • CODESYS Control for PFC100
  • CODESYS Control for PFC200
  • CODESYS Control for Raspberry Pi
  • CODESYS Control RTE V3
  • CODESYS Control RTE V3 (for Beckhoff CX)
  • CODESYS Control Win V3 (also part of the CODESYS Development System setup)
  • CODESYS Control V3 Runtime System Toolkit
  • CODESYS V3 Embedded Target Visu Toolkit
  • CODESYS V3 Remote Target Visu Toolkit
  • CODESYS V3 Safety SIL2
  • CODESYS Gateway V3
  • CODESYS HMI V3
  • CODESYS OPC Server V3
  • CODESYS PLCHandler SDK
  • CODESYS V3 Development System
  • CODESYS V3 Simulation Runtime (part of the CODESYS Development System)

Il produttore ha rilasciato la versione V3.5.14.0 del software CODESYS che risolve le vulnerabilità in oggetto. Non sono disponibili soluzioni alternative per mitigare queste vulnerabilità. Si raccomanda di installare l’aggiornamento al più presto.

Per maggiori informazioni su queste vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Vulnerabilità critiche in switch Ethernet industriali Moxa

12 marzo 2019

Sono state scoperte diverse vulnerabilità critiche in switch Ethernet industriali delle famiglie IKS e EDS prodotti da Moxa.Leggi tutto

Vulnerabilità in sistemi di controllo e automazione industriali Yokogawa

7 gennaio 2019

È stata recentemente svelata l'esistenza di una vulnerabilità di gravità elevata di tipo DoS in sistemi di controllo distribuito (DCS) e altri prodotti della società giapponese Yokogawa. Leggi tutto

Vulnerabilità critica in controllori industriali Yokogawa STARDOM

5 giugno 2018

È stata recentemente svelata l'esistenza di una vulnerabilità critica all'interno di controllori industriali (PLC) della famiglia STARDOM, prodotti dalla società giapponese Yokogawa.Leggi tutto