Especialistas en ciberseguridad reportan la detección de múltiples vulnerabilidades en CODESYS, entorno de desarrollo para la programación de controladores conforme con el estándar industrial internacional IEC 61131-3. Acorde al reporte, la explotación exitosa de estas fallas permitiría la ejecución de código arbitrario y otras variantes de ataque.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2021-21868: La validación de entrada insegura al procesar datos serializados en la funcionalidad ObjectManager.plugin Project.get_MissingTypes() permitiría a los actores de amenazas pasar datos especialmente diseñado/s en la aplicación afectada.
La falla recibió un puntaje CVSS de 7.7/10 y su ejecución exitosa permitiría la ejecución de comandos arbitrarios en el sistema objetivo.
CVE-2021-21863: La validación de entrada insegura al procesar datos serializados en la funcionalidad ComponentModel Profile.FromFile() permitiría a los actores de amenazas remotos pasar datos especialmente diseñados a la aplicación y ejecutar código arbitrario en el sistema objetivo.
Esta vulnerabilidad recibió un puntaje CVSS de 7.7/10.
CVE-2021-21865: La validación de entrada insegura al procesar datos serializados en la funcionalidad PackageManagement.plugin ExtensionMethods.Clone() permite a los actores de amenazas pasar datos especialmente diseñados a la aplicación afectada.
La falla recibió un puntaje de 7.7/10 y su explotación exitosa permitiría a los hackers maliciosos ejecutar comandos arbitrarios en el sistema objetivo.
CVE-2021-21866: La validación insegura de entradas al procesar datos serializados en la funcionalidad ObjectManager.plugin ProfileInformation.ProfileData podría permitir a los hackers maliciosos cargar datos especialmente diseñados en los sistemas afectados.
La vulnerabilidad recibió un puntaje CVSS de 7.7/10 y su explotación exitosa permitiría la ejecución de código arbitrario.
CVE-2021-21867: La validación de entrada insegura al procesar datos serializados en la funcionalidad ObjectManager.plugin ObjectStream.ProfileByteArray permite a los actores de amenazas pasar datos especialmente diseñados a la aplicación objetivo con el fin de ejecuta código arbitrario en el sistema vulnerable.
La vulnerabilidad recibió un puntaje CVSS de 7.7/10 y su ejecución exitosa permitiría el compromiso total del sistema afectado.
CVE-2021-21864: La validación de entrada insegura al procesar datos serializados en la funcionalidad ComponentModel ComponentManager.StartupCultureSettings permitiría a los atacantes remotos pasar datos especialmente diseñados a la aplicación y ejecutar código arbitrario en el sistema objetivo.
La falla recibió un puntaje CVSS de 7.7/10.
CVE-2021-21869: La validación de entrada insegura al procesar datos serializados en la funcionalidad Engine.plugin ProfileInformation ProfileData permitiría a los atacantes remotos pasar datos especialmente diseñados a la aplicación y ejecutar código arbitrario en el sistema afectado.
Estas fallas residen en las siguientes versiones de CODESYS Development System: v3.5.16.0 y v3.5.17.0.
Si bien estas fallas pueden ser explotadas por actores de amenazas no autenticados de forma remota, hasta el momento no se han detectado intentos de explotación en escenarios reales o bien la existencia de una variante de malware asociada al ataque.
Las fallas ya han sido abordadas, por lo que se recomienda a los usuarios de versiones afectadas actualizar a la brevedad. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.