YourDesires.ru » IT-сектор » Новости IT » Критическая уязвимость в web-сервере CODESYS ставит под угрозу более 100 АСУ ТП

Критическая уязвимость в web-сервере CODESYS ставит под угрозу более 100 АСУ ТП

Критическая уязвимость в web-сервере CODESYS ставит под угрозу более 100 АСУ ТП В компоненте, используемом более чем в 100 автоматизированных системах управления технологическими процессами (АСУ ТП) от различных производителей обнаружена критическая уязвимость, позволяющая удаленному злоумышленнику выполнить произвольный код.

Уязвимость CVE-2018-5440 затрагивает web-сервер продукта 3S-Smart Software Solutions CODESYS WebVisu, который позволяет отображать пользовательский интерфейс программируемых логических контроллеров (ПЛК) в web-браузере.

Согласно информации на web-сайте 3S-Smart Software Solutions, продукт WebVisu используется в 116 моделях ПЛК и ЧМИ (человеко-машинный интерфейс) от порядка 50 производителей, включая Schneider Electric, WAGO, Hitachi, Advantech, Beck IPC, Berghof Automation, Hans Turck и NEXCOM.

Проблема представляет собой уязвимость переполнения буфера, позволяющая злоумышленнику добиться отказа в обслуживании (DoS) и выполнить произвольный код на web-сервере.

Уязвимость затрагивает web-серверы CODESYS v2.3, работающие под управлением любой версии ОС Windows (включая Windows Embedded Compact). Проблема исправлена с выходом версии 1.1.9.19.

По словам представителей 3S-Smart Software Solutions, в настоящее время нет свидетельств того, что данная уязвимость была проэксплуатирована хакерами. Производитель отметил, что для ее эксплуатации не требуется иметь какие-либо специальные навыки.

По данным поисковика Shodan, в настоящее время в Сети насчитывается более 5600 систем, доступных через порт 2455. Большинство из них находится в США, Германии, Турции, Китае и Франции.

CODESYS — инструментальный программный комплекс промышленной автоматизации. Производится и распространяется компанией 3S-Smart Software Solutions GmbH.

Источник: SecurityLab

Похожие публикации

HTTP (англ. HyperText Transfer Protocol — «протокол передачи гипертекста») — протокол прикладного уровня передачи данных (изначально — в виде
Выдается сообщение об ошибке при попытке запустить Kaspersky Security Center: "Не удалось подключиться к северу администрирования. Неверно