El sistema de tiempo de ejecución de CODESYS Control permite que los dispositivos integrados o basados en PC sean un controlador industrial programable. Los programas de control pueden acceder a E/S locales o remotas, interfaces de comunicación como puertos o sockets seriales y funciones del sistema local como el sistema de archivos, el reloj en tiempo real y otras funciones del SO. El programa de control podría utilizar esta vulnerabilidad para leer y modificar el/los archivo(s) de configuración de los productos afectados a través de CAA File, SysFile, SysFileAsync u otras bibliotecas de códigos IEC para el acceso a archivos. La programación del controlador solo es posible si la administración de usuarios en línea está desactivada/no activa o si el atacante se ha autenticado previamente en el controlador.
CVE-2022-22515
CÓDIGOS
Sistema de desarrollo de CODESYS
7.1
Team82 se compromete a informar de manera privada las vulnerabilidades a los proveedores afectados de manera coordinada y oportuna para garantizar la seguridad del ecosistema de ciberseguridad en todo el mundo. Para interactuar con el proveedor y la comunidad de investigación, Team82 lo invita a descargar y compartir nuestra Política de Divulgación Coordinada. Team82 cumplirá con este proceso de informe y divulgación cuando descubramos vulnerabilidades en productos y servicios.
Team82 también ha puesto a disposición su Clave pública de PGP para que el proveedor y la comunidad de investigación intercambien de manera segura la información de vulnerabilidad e investigación con nosotros.
