Microsoft odkril ranljivosti, ki bi lahko ustavile elektrarne – a jih niso
Verjetnost za kaj takega je sicer majhna, mirijo v Redmondu. Včeraj so zakrpali 15 ranljivosti v več orodjih, ki se uporabljajo v industrijskih in infrastrukturnih okoljih, denimo v elektrarnah, proizvodnih halah in drugod, kjer uporabljajo avtomatizacijo procesov. Prizadet je komplet CODESYS V3.
Ta se uporablja za razvoj PLC-jev (programljivih krmilnikov), ki usmerjajo in nadzorujejo delovanje različnih naprav od ventilov do velikih transformatorskih postaj. CODESYS V3 omogoča razvoj PLC-jev, ki so združljivi s standardom IEC 611131-3: primera sta Schneider Electric Modicon TM251 in WAGO PFC200.
Microsoft je zapisal, da ranljivost omogoča izvedbo napada DOS ali pa izvajanje nepooblaščene kode, s čimer bi lahko izključili posamezne PLC-je, spremenili njihovo delovanje ali ukradli pomembne podatke. Podjetja, ki uporabljajo CODESYS V3, so bila o ranljivosti diskretno obveščena septembra, sedaj pa so večinoma že zakrpala svoje sisteme.
Varnostni strokovnjaki ob tem poudarjajo, da elektrarne večinoma ne uporabljajo teh orodij. Tudi kjer se uporabljajo – zlasti v proizvodnji – pa bi za učinkovito izrabo napadalec potreboval prijavne podatke.