Nozomi Networks Labs的最新研究表明，攻擊者可以利用廣泛使用的 CODESYS Control 運行時中的多個漏洞，建立後門，從而完全控制受影響的設備。這些漏洞允許擁有有限服務級權限的已認證攻擊者提取加密材料，繞過程式碼簽署和加密等可選保護措施，並將合法的控制邏輯替換為惡意版本，該惡意版本在重新啟動後將以 root 權限執行。由於基於 CODESYS 的 PLC 被廣泛應用於包括製造業、能源和水務系統在內的關鍵產業，因此，利用這些漏洞可能導致實體流程被操縱、運作中斷，或在工業環境中造成不安全狀況。

CODESYS Control for Raspberry Pi SL 是一款商業產品，廣泛應用於各種工業環境：從生產線和能源系統到水處理廠和樓宇自動化。在這些應用中，PLC 執行控制應用程序，以控制物理過程，例如調節閥門位置、控制馬達轉速或控制機器人操作順序。一旦控制應用程式發生故障，可能會造成實際損害，例如生產中斷或運行環境不安全。

此攻擊需要攻擊者持有 CODESYS 運行時的有效服務級憑證。標準操作控制通常可以防止未經授權的存取，但攻擊者可以透過多種方式取得此類憑證：利用弱密碼或預設密碼、入侵儲存憑證的工程工作站，或者，如果他們已經擁有對軟 PLC 的本地存取權限，則可以利用 CVE-2025-41658 漏洞讀取包含 CODESYS 密碼雜湊值的檔案。

在 CODESYS Control 運行時中發現的漏洞與MITRE ATT&CK for ICS框架中的幾種技術相一致，突顯了它們如何在現實世界的工業攻擊場景中被利用。

根據技術 T0839（模組韌體），CVE-2025-41659 和 CVE-2025-41660 的組合允許低權限攻擊者將合法的控制應用程式替換為帶有後門的版本。此外，攻擊者還可以透過存取加密材料繞過加密和代碼簽名等可選保護措施，使修改後的應用程式在部署過程中看起來合法。

Nozomi 發現，CODESYS 的備份文件以 .tbf 壓縮包的形式存儲，本質上是包含應用程式二進位和簡單 CRC 校驗和的 zip 文件，而 CRC 校驗和很容易被修改和重新計算。這種設計允許服務級用戶下載備份文件，透過注入惡意程式碼來篡改應用程序，重新計算校驗和，並將篡改後的文件恢復到設備上。

由於應用程式以 root 權限運行，注入的程式碼會在系統重新啟動後以最高權限執行，從而實現完全控制並提升至管理員權限。即使是加密和簽名等可選保護措施，也可以利用暴露的加密材料繞過。雖然目前已透過修補程式和強製程式碼簽章緩解了這一攻擊鏈，但這些發現凸顯了備份和復原功能可能被濫用，從而實現對工業設備的持久且隱藏的控制。CODESYS 已透過針對 CODESYS 開發系統和 CODESYS 控制運行時環境的安全性修補程式解決了這些漏洞。強烈建議資產所有者和操作人員將受影響的軟 PLC 更新到最新的運行時版本，實施網路分段以降低風險，並監控網路流量以識別易受攻擊的資產。

資料來源：https://industrialcyber.co/industrial-cyber-attacks/chained-vulnerabilities-in-codesys-runtime-could-allow-root-level-control-of-industrial-devices-nozomi-warns/