Kritische CODESYS Schwachstellen in der WAGO PFC 200-Serie

Title

Critical CODESYS vulnerabilities

Product

WAGO PFC 200 Series

Vulnerable Version

plclinux_rt 2.4.7.0, see "Vulnerable / tested versions"

Fixed Version

PFC200 FW11

CVE Number

Impact

critical

Found

07.27.2017

By

T. Weber (Office Vienna) | SEC Consult Vulnerability Lab

Die WAGO PFC200 PLC-Serie auf Linux-Basis enthält eine anfällige Version der CODESYS-Runtime (2.4.7.0). Der CODESYS-Prozess läuft mit "Root"-Rechten und kann auf vielfältige Weise missbraucht werden, um Dateien zu lesen/schreiben/löschen oder das SPS-Programm während der Laufzeit ohne jegliche Authentifizierung zu modifizieren.

Zum vollständigen Advisory (Englisch).

EOF T. Weber / @2017

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern?
Kontaktieren Sie unsere lokalen Büros.