Microsoft phát hiện ra lỗi bảo mật nghiêm trọng đến mức có thể ngắt toàn bộ nhà máy điện

Các nhà nghiên cứu của Microsoft công bố không chỉ một mà nhiều lỗ hổng bảo mật nghiêm trọng trong bộ công cụ được dùng cho các cơ sở công nghiệp được sử dụng rộng rãi mà các tác nhân đe dọa có thể sử dụng để "đóng cửa các nhà máy điện".

Cụ thể, chuyên gia Microsoft, Vladimir Tokarev, đã tiết lộ 15 lỗ hổng trong bộ công cụ phát triển phần mềm (SDK) CODESYS V3, dụng để lập trình các bộ điều khiển logic (PLC) trong môi trường công nghiệp trên toàn thế giới. Các lỗ hổng được theo dõi là CVE-2022-47379 đến CVE-2022-47393 và đã nhận được xếp hạng mức độ nghiêm trọng từ 7,5 đến 10 trên 10, 

Hơn 500 nhà sản xuất thiết bị tương tự đã tận dụng SDK CODESYS V3 để lập trình hơn 1.000 mẫu PLC khác nhau và phát triển các ứng dụng tự động hoá tuỳ chỉnh trong nhiều trường hợp sử dụng khác nhau, từ CNC và robot đến điều khiển chuyển động, cung cấp năng lượng cho trung tâm dữ liệu, công nghệ y tế và an toàn hệ thống, để tự động hóa các tòa nhà thương mại và dân cư. Tuy nhiên, nhóm bảo mật của Microsoft tập trung nỗ lực chủ yếu vào các thiết bị nhắm mục tiêu mã nhúng từ Wago và Schneider Electric.

Theo Microsoft, phát hiện đã được báo cáo cho cho CODESYS vào tháng 9 năm 2022 và công ty sau đang tung ra các bản vá để giải quyết các lỗi bảo mật được đề cập. 

Ưu tiên lớn nhất đối với quản trị viên hệ thống là nâng cấp lên CODESYS V3 v3.5.19.0 càng sớm càng tốt, trong khi các chuyên gia bảo mật của Microsoft cũng khuyến nghị ngắt kết nối PLC, bộ định tuyến và cơ sở hạ tầng có liên quan khác khỏi Internet và phân đoạn để giảm khả năng tấn công.