Изследване на Nozomi Networks Labs разкрива опасна верига от атаки
Ново изследване на Nozomi Networks Labs показва как атакуващи могат да комбинират множество уязвимости в широко използваната платформа CODESYS Control, за да компрометират индустриални контролни приложения и да поемат пълен контрол над засегнатите устройства.
Става дума за особено тревожен сценарий, при който дори потребител с ограничени Service-права може да ескалира до root ниво, заобикаляйки защити като криптиране и подписване на код.
Как работи атаката: от легитимен достъп до пълен компромис
Атаката не разчита на класически пробив, а на злоупотреба с вече налични функционалности. При наличие на валидни Service креденшъли, атакуващият може да:
- Изтегли контролното приложение чрез backup функцията
- Извлече криптографски материали чрез CVE-2025-41659
- Дешифрира и модифицира легитимния код
- Инжектира зловредна логика в бинарния файл
- Върне компрометираната версия чрез CVE-2025-41660
След рестарт на системата, зловредният код се изпълнява с root права, което отваря път към пълен контрол над устройството, включително създаване на администраторски достъп.
Допълнителен риск идва от CVE-2025-41658, който позволява извличане на хешове на пароли при локален достъп.
Защо това е критично: директно въздействие върху физически процеси
Платформата CODESYS се използва в PLC устройства, внедрени в:
- Производствени линии
- Енергийни системи
- Водоснабдяване и пречистване
- Сградна автоматизация
Компрометирано PLC не е просто ИТ проблем – то може да доведе до:
- Манипулация на клапани, мотори и роботи
- Нарушаване на производствени процеси
- Създаване на опасни или аварийни условия
Това поставя уязвимостите директно в контекста на индустриални контролни системи и реални кибер-физически заплахи.
Слабата точка: дизайнът на правата и backup механизма
Един от ключовите проблеми е архитектурен. В CODESYS Control съществуват четири нива на достъп:
- Administrator
- Developer
- Service
- Watch
Въпреки ограниченията, Service потребителите запазват право да записват и възстановяват приложения, което на практика позволява:
- Изтегляне на .tbf backup файлове (ZIP архиви)
- Промяна на съдържанието им
- Пресмятане на контролни суми (CRC)
- Възстановяване на модифицирани версии
Така функционалност, създадена за поддръжка, се превръща в основен вектор за атака.
MITRE ATT&CK for ICS: картографиране на реална заплаха
Изследването свързва уязвимостите с конкретни техники от MITRE ATT&CK for ICS:
- T0839 – Module Firmware: подмяна на легитимни приложения със зловредни
- T0831 – Manipulation of Control: директна намеса във физически процеси
- T0882 – Theft of Operational Information: кражба на конфигурации и чувствителни данни
Това показва, че не става дума за теоретичен риск, а за напълно приложим сценарий в реални индустриални среди.
Реакция и мерки: кръпки, но и по-широк урок
От CODESYS GmbH вече са адресирали проблема чрез:
- Пачове за runtime средата
- Актуализации на development системата
- Въвеждане на задължително подписване на код
Но по-важният извод е стратегически:
Дори легитимни функции като backup/restore могат да се превърнат в критична уязвимост, ако не са правилно ограничени.
Какво трябва да направят организациите
За да ограничат риска, операторите на индустриални системи трябва да:
- Актуализират всички CODESYS базирани устройства
- Прилагат мрежова сегментация между IT и OT среди
- Ограничат достъпа до Service акаунти
- Мониторират трафика за аномалии
- Защитят инженерните работни станции
Hовото лице на атаките срещу OT среда
Този случай е ясен пример за тенденция в киберсигурността – вече не търсят само уязвимости, а злоупотребяват с доверени механизми.
В контекста на индустриалните системи това означава, че защитата трябва да се фокусира не само върху външни заплахи, но и върху вътрешната логика на платформите и управлението на привилегии.
