Microsoft đã công bố 15 lỗ hổng nghiêm trọng trong bộ công cụ được dùng cho các cơ sở công nghiệp. Dù dù việc khai thác lỗi này sẽ khá khó khăn, nhưng nguy cơ mất an toàn là rất cao, gây thiệt hại lớn cho các mục tiêu.
Cụ thể, lỗ hổng ảnh hưởng đến bộ công cụ phát triển phần mềm (SDK) CODESYS V3 được sử dụng để lập trình các bộ điều khiển logic, các thiết bị mở và đóng van, quay motor và điều khiển nhiều thiết bị vật lý khác bên trong các cơ sở công nghiệp trên toàn thế giới như nhà máy phát điện, tự động hóa năng lượng và tự động hóa quy trình.
SDK cho phép các nhà phát triển tương thích với IEC 611131-3, hệ thống ngôn ngữ lập trình an toàn để sử dụng trong môi trường công nghiệp.
Theo báo cáo của Microsoft, nếu hacker thực hiện một cuộc tấn công DOS nhằm vào một thiết bị sử dụng phiên bản CODESYS tồn tại lỗ hổng bảo mật thì có thể đóng cửa một nhà máy điện, can thiệp vào hoạt động, khiến các bộ điều khiển logic chạy bất thường, hoặc lấy cắp thông tin quan trọng.
Rất nhiều nhà cung cấp trên thế giới đang sử dụng CODESYS nên chỉ cần một lỗ hổng có thể ảnh hưởng đến nhiều lĩnh vực, loại thiết bị và ngành dọc. 15 lỗ hổng được Microsoft khám phá ra đều có thể dẫn đến tấn công DoS và RCE. Mặc dù để có thể khai thác các lỗ hổng này cần kiến thức sâu về giao thức độc quyền của CODESYS V3 cũng như xác thực người dùng nhưng chỉ cần một cuộc tấn công thành công cũng có khả năng gây thiệt hại cực lớn cho các mục tiêu.
Từ tháng 9/2022, Microsoft đã thông báo riêng về các lỗ hổng cho đơn vị phát triển CODESYS và đã phát hành các bản vá. Nhiều nhà cung cấp sử dụng SDK hiện đã cài đặt các bản cập nhật.