TokyoBlackHatNews

gbhackers.com 4分で読了

攻撃者、複数のCODESYS脆弱性を連鎖させてアプリケーションへのバックドア化を実行

Nozomi Networks Labsは、CODESYS Controlランタイムの3つの新しい脆弱性に関する重要な調査結果を発表しました。

これらのセキュリティ上の欠陥を組み合わせると、低レベルの権限を持つ認証済み攻撃者が正当な産業用制御アプリケーションを、バックドア化されたバージョンに置き換えることができます。

最終的に、この攻撃パスはターゲットデバイスとそのホストオペレーティングシステムへの完全な管理者制御につながります。

この発見は、運用技術ネットワーク内の増加する危険性と、堅牢な認証情報管理の絶対的な必要性を浮き彫りにしています。

CODESYSソフトPLCの役割

CODESYSは、産業オートメーション部門全体で広く使用されているメーカー非依存の開発環境を提供しています。

このソフトウェアは、汎用コンピューティングハードウェアをソフトウェア型Programmable Logic Controller(ソフトPLC)に変換し、専用の産業用モジュールと同じエンジニアリング機能をコストの一部で提供します。

Image

このエコシステムは2つの主要コンポーネントに依存しています。コードを作成・コンパイルするためのWindows ベースのIDEと、そのコードをターゲットハードウェア上で実行するCODESYS Controlランタイムです。

これらのソフトPLCは、エネルギーシステムから製造ラインまで、多様な環境における重要な物理プロセスを制御し、バルブ位置からロボット動作まですべてを調整しています。

Image

Nozomi Networksのセキュリティ研究者は3つの特定の脆弱性を特定しており、これらはすべてCODESYS Groupによってパッチが適用されています。

  • CVE-2025-41658(CVSS 5.5): ローカルユーザーが機密ファイルにアクセスできるようにする不正なデフォルトパーミッション欠陥で、パスワードハッシュのオフライン抽出を可能にします。
  • CVE-2025-41659(CVSS 8.3): 不正なパーミッション割り当てによってデバイスに保存された重要な暗号化資料への不正アクセスを攻撃者に付与する高い重大度の問題。
  • CVE-2025-41660(CVSS 8.8): 攻撃者が改ざんされたプロジェクトファイルをシームレスにアップロード・復元できるようにする不正なリソース転送に関わる重大な欠陥。

攻撃チェーンの悪用

コア攻撃パスでは、まず脅威者がサービスレベル認証情報を取得する必要があります。攻撃者は弱いデフォルトパスワードを悪用したり、エンジニアのワークステーションを侵害したり、CVE-2025-41658を活用してローカルパスワードハッシュを盗むことでこれらを確保できます。

認証された後、攻撃者は標準的なプロジェクトバックアップワークフローを悪用します。デバイスのブートアプリケーションをバックアップファイルとしてダウンロードします。このファイルは、アプリケーションバイナリと基本的な非暗号化CRC32チェックサムを含む標準的なZIPアーカイブとして構成されています。

CVE-2025-41659を使用して、攻撃者はデバイスの暗号化キーを抽出し、コード暗号化と署名などのオプション保護を回避します。

Image

その後、攻撃者はリバースシェルなどの悪意のあるマシンコードをバイナリに注入し、ファイルが正当に見えるように安全でないCRC32チェックサムを簡単に再計算します。

CVE-2025-41660を悪用して、攻撃者はこの改ざんされたバックアップをPLCに復元します。サービスユーザーはアプリケーションを直接再起動できないため、攻撃者は定期的なリブートまたはオペレーター主導の再起動を待つ必要があります。

ソフトPLCが再起動されると、注入されたバックドアはルート権限で実行され、攻撃者はアクセスを完全な管理者権限に昇格させることができます。

MITRE ATT&CK for ICS フレームワークに従うと、この脆弱性チェーンは産業運用に重大な脅威をもたらします。攻撃者はモジュールファームウェアを置き換え、機密の運用レイアウトを抽出し、物理制御を直接操作できます。

侵害されたアプリケーションは、センサー値を改ざんしたり、セーフティインターロックをバイパスしたり、危険な機器動作を引き起こしたりする可能性があり、壊滅的な物理的損傷を引き起こす可能性があります。

責任ある情報開示に従って、CODESYSはCODESYS Control Runtime バージョン4.21.0.0およびRuntime Toolkit バージョン3.5.22.0でパッチを速やかにリリースしました。

根本原因を恒久的に解決するために、ベンダーはPLCコード署名をデフォルトで必須にしました。これはすべてのPLCコードが配布または実行される前に署名される必要があることを意味します。

産業オペレーターには、これらのアップデートを直ちに適用し、厳格なネットワークセグメンテーションを実施し、脆弱なアセットの兆候がないか運用技術トラフィックを監視することを強くお勧めします。

翻訳元: https://gbhackers.com/attackers-chain-codesys-vulnerabilities/

ソース: gbhackers.com
#CODESYS #CVE #ICS #OT #PLC #セキュリティアップデート #バックドア #権限昇格 #産業制御システム #脆弱性チェーン

関連記事

疑わしいMicrosoft Store アプリ「Vibing.exe」がスクリーンとオーディオを無断収集している疑い

Fast16マルウェアが破壊能力でハイバリューシステムをターゲット

ハッカーがエージェントID管理者ロールを悪用してサービスプリンシパルをハイジャック