Vulnerabilità Codesys su PLC WAGO 

 

Proto: N011217.

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di importanti vulnerabilità all’interno di molteplici versioni di firmware PLC prodotti da WAGO, dispositivi tipicamente utilizzati per il controllo di processi e macchinari in ambienti industriali e safety-critical. 

Le criticità in oggetto derivano da falle architetturali presenti nel runtime-engine utilizzato dal Vendor all’interno del firmware dei suoi dispositivi: l’SDK utilizzato per il runtime-engine CODESYS in uso è afflitto da pesanti vulnerabilità come CVE-2012-6068 e CVE-2012-6069 per le quali sono noti dettagli tecnici e strumenti di attacco.

Nel dettaglio sono presenti gravi lacune all’interno del servizio “plclinux_rt” le quali possono permettere ad un attaccante di rete non autenticato con visibilità della porta di programmazione tcp/2455 di:

  • Effettuare letture/scritture/cancellazioni arbitrarie all’interno del PLC, ivi compresi file privilegiati contenenti credenziali di accesso ai dispositivi.
  • Alterare il flusso di esecuzione dei programmi PLC
  • Alterare o cancellare le variabili di stato dei programmi PLC in esecuzione

Il Vendor ha confermato le problematiche per versioni dei dispositivi “WAGO PFC200 Series / Firmware 02.07.07(10)” quali:

  • 750-8202
  • 750-8202/025-000
  • 750-8202/025-001
  • 750-8202/025-002
  • 750-8202/040-001
  • 750-8203
  • 750-8203/025-000
  • 750-8204
  • 750-8204/025-000
  • 750-8206
  • 750-8206/025-000
  • 750-8206/025-001
  • 750-8207
  • 750-8207/025-000
  • 750-8207/025-001
  • 750-8208
  • 750-8208/025-000

Il Vendor sta rilasciando versioni firmware aggiornate in grado di risolvere le problematiche, pertanto Yoroi consiglia caldamente di contattare il Produttore al fine di ottenere firmware aggiornati. Non risultano afflitte le serie  “750-88X Series” e “750-810X (PFC100)” .

Qualora all’interno della Vostra Organizzazione fossero presenti dispositivi coinvolti dalle criticità indicate per i quali l’aggiornamento software non risulti possibile in tempi celeri, Yoroi suggerisce di applicare restrizioni alla visibilità della porta di programmazione (tcp/2455) limitandone l’accesso a porzioni di rete segregate e valutare la disabilitazione del servizio “plclinux_rt”.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index