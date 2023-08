Objavljeno: 12.8.2023 13:00

Microsoft odkril ranljivosti, ki bi lahko ustavile elektrarne – a jih niso

Verjetnost za kaj takega je sicer majhna, mirijo v Redmondu. Včeraj so zakrpali 15 ranljivosti v več orodjih, ki se uporabljajo v industrijskih in infrastrukturnih okoljih, denimo v elektrarnah, proizvodnih halah in drugod, kjer uporabljajo avtomatizacijo procesov. Prizadet je komplet CODESYS V3.

Ta se uporablja za razvoj PLC-jev (programljivih krmilnikov), ki usmerjajo in nadzorujejo delovanje različnih naprav od ventilov do velikih transformatorskih postaj. CODESYS V3 omogoča razvoj PLC-jev, ki so združljivi s standardom IEC 611131-3: primera sta Schneider Electric Modicon TM251 in WAGO PFC200.

Microsoft je zapisal, da ranljivost omogoča izvedbo napada DOS ali pa izvajanje nepooblaščene kode, s čimer bi lahko izključili posamezne PLC-je, spremenili njihovo delovanje ali ukradli pomembne podatke. Podjetja, ki uporabljajo CODESYS V3, so bila o ranljivosti diskretno obveščena septembra, sedaj pa so večinoma že zakrpala svoje sisteme.

Varnostni strokovnjaki ob tem poudarjajo, da elektrarne večinoma ne uporabljajo teh orodij. Tudi kjer se uporabljajo – zlasti v proizvodnji – pa bi za učinkovito izrabo napadalec potreboval prijavne podatke.

