Denetleyici programlama için yaygın olarak kullanılan entegre bir ortam olan CODESYS, aşağıdakiler gibi çeşitli sektörlerde Operasyonel Teknolojide güçlü bir varlığa sahiptir: –
- Fabrika otomasyonu
- Enerji
- Mobil
- Bina
- Gömülü
- İşlem
500’den fazla üretici (Schnieder Electric, Beckhoff, Wago, Eaton, ABB, Festo, vb. dahil) tarafından desteklenen ve aşağıda bahsettiğimiz çeşitli mimarileri kapsayan CODESYS, milyonlarca küresel cihaza güç sağlar:-
- MIPS
- Renesas
- KOL
- Güç Bilgisayarı
- üç çekirdekli
Microsoft’ta Siber Güvenlik Araştırmacısı Vladimir Eliezer Tokarev, yakın zamanda CODESYS’te (CODESYS V3 SDK) çok sayıda yüksek önem dereceli güvenlik açığı ve 16 sıfır gün güvenlik açığı belirledi.
Bunun yanı sıra Vladimir Eliezer Tokarev, CODESYS’te bulduğu 16 sıfır gün güvenlik açığını, bu eksiksiz CODESYS sıfır gün güvenlik açıkları kümesi için bir kod adı olan “CoDe16” olarak adlandırdı.
OT altyapısı, CODESYS V3 SDK’da keşfedilen tüm bu yüksek önemdeki güvenlik açıklarından başarıyla yararlanılarak ciddi şekilde etkilenebilir.
Ayrıca Microsoft Tehdit İstihbaratı ekibi, BHUSA etkinliğinde (Black Hat USA 2023) kullanıcıların 10 Ağustos’ta bu güvenlik açığı profiliyle ilgili resmi oturumlarına katılmalarını istedi ve önerdi.
BHUSA Etkinlik Oturumu
Siber güvenlik araştırmacıları, bu etkinlik oturumu sırasında aşağıdaki önemli şeyleri detaylandıracak:-
- Heyecan verici bulgular
- Güvenlik açığı keşfine ilişkin teknik içgörüleri paylaşın
- Bellenim çıkarma
- Analiz
Bunun dışında, tescilli ağ protokolleri ve hata ayıklayıcısız analiz gibi tüm zorluklar da keşfedilecek.
Güvenlik analistleri ayrıca önemli kusurların temel nedenini ortaya çıkaracak ve kötü amaçlı yükü yerleştirmek için uzaktan kod yürütme zincirini gösterecek, tam PLC kontrolü ve fabrika zemini manipülasyonu elde edecek.
Kapanış konuşmaları, hafifletme stratejilerini, CODESYS cihazları için bir açık kaynak doğrulama aracını ve açığa çıkan bir sistemde başarılı RCE’nin canlı bir demosunu içerecektir.