Un fallo de diseño en CoDeSys deja desprotegidos a los sistemas de control industrial
La empresa de seguridad Digital Bond ha encontrado una vulnerabilidad en este software que se ejecuta en equipos de 200 vendedores de todo el mundo.
La consultora de seguridad Digital Bond ha descubierto un fallo de diseño en el sistema CoDeSys que, en la práctica, permitiría a los ciberdelincuentes ejecutar comandos sin identificarse como usuarios del dispositivo afectado.
La vulnerabilidad radica en el CoDeSys runtime, una aplicación gracias a la cual los dispositivos PLC pueden ejecutar archivos de lógica desarrollados en un ordenador normal con el kit de herramientas CoDeSys. Pero que, al parecer, también abre un servicio TCP con acceso directo a las líneas de comando.
A partir de ahí, las posibildiades son casi infinitas, desde la oportunidad para terceros de resetear programas hasta obtener información sobre las tareas que se estén realizando en el equipo, pasando por la eliminación de contraseñas online.
La situación es seria ya que CoDeSys se trata de un software que se ejecuta en los sistemas de control industrial de cerca de 200 vendedores en todo el mundo.
Más información en ITespresso.