Um dos problemas com a segurança informática dos equipamentos industriais é que só são aplicadas actualizações quando algo deixa de funcionar ou quando os equipamentos começam a funcionar mal. A equipa de cibersegurança da Microsoft descobriu várias vulnerabilidades num kit de desenvolvimento de software muito usado na programação de controladores lógicos, por isso é necessário que os fabricantes e integradores que os usam encontrem uma forma de actualizar o seu software assim que possível.
No documento publicado pela Microsoft, o especialista de segurança Vladimir Tokarev dá conta de 15 vulnerabilidades no kit de desenvolvimento de software CODESYS V3, que é utilizado em milhões de controladores lógicos programáveis, ou PLC, que são usados em ambientes industriais um pouco por todo o mundo. Estas vulnerabilidades receberam as designações CVE-2022-47379 até CVE-2022-47393 e na escala de severidade estão entre os 7,5 e os 10, num máximo de 10.
Mais de 500 fabricantes de equipamentos industriais usam o CODESYS V3 na programação de mais de 1000 modelos diferentes de PLC para muitos tipos de utilizações diferentes, incluindo o controlo de sistemas CNC, robôs, distribuição de energia em centros de dados, tecnologia aplicada à medicina, sistemas de segurança e automação de edifícios comerciais e residenciais. No entanto, a equipa de segurança da Microsoft focou-se principalmente no código presente em dispositivos fabricados pela Wago e pela Schneider Electric.
Estas vulnerabilidades de segurança, tornam o hardware susceptível à execução remota de código e a ataques DDoS. E embora a exploração destas vulnerabilidades requeira que o atacante tenha acesso autenticado aos sistema, isso, de certeza, não será um grande impedimento para que estiver determinado a levar a cabo um ataque a instalações industriais ou à infra-estrutura de energia.
As vulnerabilidades foram comunicadas à CODESYS em Setembro de 2022 e estão a ser distribuídas actualizações para mitigar os problemas de segurança. A prioridade é a actualização para o CODESYS V3 v3.5.19.0 o mais depressa possível. Entretanto, os especialistas da Microsoft aconselham desligar da Internet os PLC, routers e outro hardware relevante e segmentar as redes para reduzir a superfície susceptível a ataques.
A Microsoft também lançou uma ferramenta, que permite determinar que dispositivos estão vulneráveis ou se já foram comprometidos.
