CODESYS a publié des mises à jour pour corriger onze vulnérabilités de sécurité affectant ses produits, elles pourraient permettre à un acteur de la menace de révéler les informations des utilisateurs ou de provoquer un état de déni de service.

CODESYS est une suite logicielle utilisée par les spécialistes de l'automatisation comme environnement de développement pour les applications d'automates programmables (PLC).

Selon la société chinoise de cybersécurité NSFOCUS, ces failles sont simples à exploiter, et elles peuvent provoquer des conséquences graves allant jusqu’à mettre la production industrielle en danger de blocage, d'endommagement des équipements, etc.

Les mises à jour portent des correctifs pour deux bogues sont considérés comme critiques, sept comme élevés et deux comme de gravité moyenne.

Les deux premiers bogues (CVE-2022-31805 et CVE-2022-31806) ont reçu un score CVSS de 9.8, qui concernent respectivement l'utilisation en clair des mots de passe utilisés pour s'authentifier avant d'effectuer des opérations sur les automates et l'absence d'activation par défaut de la protection par mot de passe dans le système d'exécution CODESYS Control.

Les sept failles considérées comme étant de gravité élevée (de CVE-2022-32136 à CVE-2022-32142) pourraient permettre à un attaquant authentifié de provoquer un déni de service.

Il est recommandé d’appliquer les correctifs sur les produits concernés dès que possible, ainsi de mettre en œuvre une stratégie de défense en profondeur pour la sécurité du réseau.