微軟揭露一系列工具中存在的 15 個高危漏洞,這些工具用於編程工業操作設備,比如發電廠、工廠自動化、能源自動化、過程自動化等。微軟警告,雖然利用代碼執行並拒絕服務的漏洞很難利用,但仍能使意圖不軌者對目標造成巨大損害。
這些漏洞會影響 CODESYS V3 此軟體開發套件(Software Development Kit,SDK),該軟體可打開關閉閥門、轉動轉子、控制各種工業物理設備。
具體來說,該 SDK 允許開發人員使可程式化邏輯控制器(PLC)與 IEC 611131-3(可在工業環境中安全使用的編程語言)兼容,採用 CODESYS V3 的設備包括 Schneider Electric 的 Modicon TM251、WAGO PFC200。
而微軟研究人員最近指出,意圖不軌者若使用易受攻擊的 CODESYS 版本對設備進行 DOS 攻擊有機會關閉發電廠,遠程代碼執行可為設備建立後門讓攻擊者篡改操作,強制 PLC 以異常方式運行或竊取敏感資訊。
微軟已私下向 Codesys 通報這些漏洞,後者也已發布修復漏洞的更新。
不過這些漏洞其實很難被利用,一些人認為微軟警告的可怕後果似乎不太可能發生,僅僅擁有 RCE 或 DOS 漏洞並不等同於能關閉發電廠,或對製造流程進行特定更改,比如 2017 年的TRISIS 攻擊,除了造成一些經濟影響,攻擊者並未能做出災難性危害,原因是工業系統極其複雜,能攻擊其中一部分不代表整個系統都會崩潰。
(首圖來源:pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
