Vulnerabilità su webserver CODESYS “WebVisu”

 

Proto: N020218.

Con la presente Yoroi desidera informarLa riguardo al rilevamento una grave vulnerabilità all’interno di CODESYS “WebVisu”, componente software utilizzata per la visualizzazione di schermate di gestione e monitoraggio in contesti SCADA/ICS basati su tecnologia CODESYS,  tecnologia utilizzata in 116 modelli tra PLC e HMI prodotti da molteplici Vendor. La criticità è nota con l’identificativo CVE-2018-5440.

La problematica è originata dalle gravi lacune nella gestione della memoria all’interno webserver integrato in WebVisu, attraverso le quali un attaccante di rete può essere in grado di creare interruzioni di servizio ed eseguire codice arbitrario all’interno del dispositivo vittima, accedendo abusivamente ad infrastrutture potenzialmente critiche.



Figura 1. Esposizione PLC o HMI basati su 3S-Smart Software CODESYS potenzialmente affetti (Fonde SHODANHQ)


Il Produttore ha confermato la problematica per i webserver CODESYS su piattaforma Microsoft Windows e WinCE, rilasciando la versione 1.1.9.19 del CODESYS web server per la suite CODESYS v2.3. Per ulteriori dettagli si rimanda direttamente al comunicato del Produttore: 2018-01_LCDS-282

Vista la potenziale esposizione della superficie di attacco e la possibile criticità della tipologia di dispositivi afflitti, Yoroi consiglia di verificare l’esposizione di eventuali interfacce di gestione PLC e HMI potenzialmente affette alle sole porzioni di rete ritenute fidate. Il framework CODESYS è utilizzato da più Vendor pertanto è possibile che nelle prossime settimane vengano recepiti e rilasciati aggiornamenti specifici dai singoli Produttori di soluzioni SCADA/ICS, per questa ragione Yoroi consiglia di monitorare e pianificare l’applicazione degli aggiornamenti di sicurezza relativamente alle case produttrici dei dispositivi potenzialmente afflitti presenti all’interno delle Vostre infrastrutture; come indicazione di massima utile al rilievo di possibili installazioni interessate si suggerisce di verificare la presenza di risorse web “/plc/webvisu.htm” o similari.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index