O sistema de tempo de execução CODESYS Control permite que dispositivos embarcados ou baseados em PC sejam um controlador industrial programável. Os programas de controle podem acessar E/Ss locais ou remotos, interfaces de comunicação, como portas seriais ou soquetes, e funções do sistema local, como o sistema de arquivos, o relógio em tempo real e outras funções do sistema operacional. O programa de controle pode utilizar essa vulnerabilidade para ler e modificar o arquivo(s) de configuração dos produtos afetados por meio do Arquivo CAA, SysFile, SysFileAsync ou outras bibliotecas de código IEC para acesso ao arquivo. A programação do controlador só é possível se o gerenciamento de usuários on-line estiver desativado/inativo ou se o invasor tiver se autenticado anteriormente com sucesso no controlador.
CVE-2022-22515
CODESYS
Sistema de desenvolvimento CODESYS
7.1
A Team82 tem o compromisso de relatar, de forma privada, vulnerabilidades aos fornecedores afetados de maneira coordenada e oportuna, a fim de garantir a segurança do ecossistema de cibersegurança em todo o mundo. Para se envolver com o fornecedor e a comunidade de pesquisa, a Team82 convida você a baixar e compartilhar nossa Política de divulgação coordenada. A Team82 aderirá a esse processo de divulgação e relatório quando descobrirmos vulnerabilidades em produtos e serviços.
A Team82 também disponibilizou sua chave PGP pública para que o fornecedor e a comunidade de pesquisa troquem informações de vulnerabilidade e pesquisa conosco com segurança.
