Theo Arstechnica, Microsoft đã công bố 15 lỗ hổng nghiêm trọng trong bộ công cụ được dùng rộng rãi để lập trình các thiết bị vận hành bên trong các cơ sở công nghiệp như nhà máy phát điện, tự động hóa năng lượng và tự động hóa quy trình. Công ty cảnh báo mặc dù việc khai thác các lỗ hổng thực thi mã và từ chối dịch vụ rất khó khăn, nhưng nó cho phép hacker gây thiệt hại lớn cho các mục tiêu.
Các lỗ hổng ảnh hưởng đến bộ công cụ phát triển phần mềm (SDK) CODESYS V3. Các nhà phát triển như Schneider Electric và WAGO sử dụng các công cụ này để lập trình các bộ điều khiển logic, các thiết bị mở và đóng van, quay motor và điều khiển nhiều thiết bị vật lý khác trong các cơ sở công nghiệp trên toàn thế giới. SDK cho phép các nhà phát triển tương thích với IEC 611131-3, tiêu chuẩn quốc tế xác định các ngôn ngữ lập trình an toàn để sử dụng trong môi trường công nghiệp.
Báo cáo từ Microsoft cho biết một cuộc tấn công DOS nhằm vào một thiết bị sử dụng phiên bản CODESYS tồn tại lỗ hổng bảo mật có thể cho phép hacker đóng cửa một nhà máy điện, trong khi việc thực thi mã từ xa có thể tạo ra một cửa hậu cho các thiết bị và cho phép chúng can thiệp vào hoạt động, khiến các bộ điều khiển logic chạy bất thường, hoặc lấy cắp thông tin quan trọng.
Vì CODESYS đang được nhiều nhà cung cấp sử dụng, một lỗ hổng có thể ảnh hưởng đến nhiều lĩnh vực, loại thiết bị và ngành dọc chứ chưa nói đến nhiều lỗ hổng. Tất cả các lỗ hổng được Microsoft khám phá ra đều có thể dẫn đến tấn công DoS và RCE. Mặc dù việc khai thác các lỗ hổng đã phát hiện đòi hỏi kiến thức sâu về giao thức độc quyền của CODESYS V3 cũng như xác thực người dùng, một cuộc tấn công thành công có khả năng gây thiệt hại lớn cho các mục tiêu.
Microsoft đã thông báo riêng cho đơn vị phát triển Codesys về các lỗ hổng vào tháng 9/2022 và đã phát hành các bản vá. Hiện tại có thể nhiều nhà cung cấp sử dụng SDK đã cài đặt các bản cập nhật.