Các lỗ hổng nghiêm trọng được Microsoft phát hiện trong phần mềm công nghiệp giúp hacker khai thác để đóng cửa các nhà máy điện.
Một trong những vấn đề với thiết bị công nghiệp là nó hiếm khi được vá các lỗi bảo mật trừ khi có gì đó không hoạt động và cản trở sản xuất hoặc gây ra các sự cố lớn khác. Nhóm an ninh mạng của Microsoft đã tìm thấy một số lỗi bảo mật trong bộ công cụ phát triển phần mềm được sử dụng rộng rãi dành cho bộ điều khiển logic có thể lập trình, vì vậy nhiều nhà chế tạo và tích hợp máy sẽ phải tìm cách triển khai các bản vá có liên quan càng sớm càng tốt.
Các nhà nghiên cứu của Microsoft tin rằng họ đã xác định được không chỉ một mà là nhiều lỗ hổng bảo mật nghiêm trọng cao trong phần mềm công nghiệp được sử dụng rộng rãi mà các tác nhân đe dọa có thể sử dụng để “đóng cửa các nhà máy điện”.
Trong báo cáo, Vladimir Tokarev, chuyên gia tình báo về mối đe dọa của Microsoft, đã nêu chi tiết không dưới 15 lỗ hổng trong bộ công cụ phát triển phần mềm (SDK) CODESYS V3, được sử dụng cho hàng triệu bộ điều khiển logic khả trình (PLC) trong môi trường công nghiệp trên toàn thế giới. Các lỗ hổng được theo dõi là CVE-2022-47379 đến CVE-2022-47393 và đã nhận được xếp hạng mức độ nghiêm trọng từ 7,5 đến 10 trên 10.
Hơn 500 nhà sản xuất thiết bị như vậy tận dụng CODESYS V3 SDK để lập trình hơn 1.000 mẫu PLC khác nhau và phát triển các ứng dụng tự động hóa tùy chỉnh trong nhiều trường hợp sử dụng khác nhau, từ CNC và rô bốt đến điều khiển chuyển động, cung cấp năng lượng cho trung tâm dữ liệu, công nghệ y tế và hệ thống an toàn, cho đến tự động hóa các tòa nhà thương mại và dân cư. Tuy nhiên, nhóm bảo mật của Microsoft tập trung nỗ lực chủ yếu vào các thiết bị nhắm mục tiêu mã nhúng từ Wago và Schneider Electric.
Mặc dù điều này giúp đơn giản hóa công việc của các kỹ sư, nhưng mã nhúng giúp thực hiện tất cả những điều này lại dễ bị tấn công từ xa và thực thi mã từ xa. Và trong khi khai thác 15 lỗ hổng yêu cầu kẻ tấn công xác thực, điều đó sẽ không phải là một rào cản lớn cho các tác nhân đe dọa có động cơ muốn can thiệp vào các hoạt động công nghiệp trong các nhà máy hoặc cơ sở hạ tầng năng lượng.
PLC khiêm tốn là trái tim và bộ não của tự động hóa công nghiệp và thương mại
Microsoft đã báo cáo phát hiện của mình cho CODESYS vào tháng 9 năm 2022 và công ty sau đang tung ra các bản vá để giải quyết các lỗi bảo mật được đề cập. Ưu tiên lớn nhất đối với quản trị viên hệ thống là nâng cấp lên CODESYS V3 v3.5.19.0 càng sớm càng tốt, trong khi các chuyên gia bảo mật của Microsoft cũng khuyến nghị ngắt kết nối PLC, bộ định tuyến và cơ sở hạ tầng có liên quan khác khỏi Internet và phân đoạn nó để giảm bề mặt tấn công.
Ngoài ra, nhóm Bộ bảo vệ Microsoft 365 đã phát hành một công cụ phần mềm mã nguồn mở điều đó có thể giúp các kỹ sư và quản trị viên xác định thiết bị nào trong cơ sở hạ tầng của họ dễ bị tấn công hoặc nếu chúng đã bị xâm phạm.
