Компания Schneider Electric выпустила несколько обновлений и патчей, закрывающих опасные уязвимости в программном обеспечении промышленного оборудования, широко используемого для управления энергосистемами.

Под угрозой оказалось встроенное ПО контроллера для автоматизации трансформаторных подстанций Easergy T300 (HU250) с поставляемым отдельно софтом Easergy Builder, который используется для настройки конфигурации такого оборудования.

Среди исправленных ошибок: возможность исполнения злоумышленниками произвольных команд на веб-сервере Easergy T300 и изменения конфигурации контроллера, возможность перехвата трафика устройства, получения доступа к ключам шифрования и к учётным записям пользователей, что фактически означает получение полного контроля над энергетическим оборудованием. Производитель рекомендует предприятиям как можно скорее установить выпущенные патчи.

Уязвимости обнаружили эксперты «Лаборатории кибербезопасности АСУ ТП» компании «Ростелеком-Солар», входящей в состав ПАО «Ростелеком».

«Контроллеры Schneider Electric Easergy T300, которые управляются с помощью ПО Easergy Builder, широко используются электросетевыми и инфраструктурными организациями по всему миру, в том числе в системах Smart Grid. От их работы зависит электроснабжение населения, больниц, школ, транспортной инфраструктуры и других социально значимых объектов. Далеко не всегда подключение таких устройств к сетям передачи данных осуществляется с соблюдением лучших практик, в результате чего оборудование может оказаться доступным для атак из интернета. По этой причине подобным устройствам особенно важно иметь надёжные встроенные средства защиты информации. Мы благодарим компанию Schneider Electric за профессиональный подход в работе по обнаруженным уязвимостям и надеемся на дальнейшее продуктивное сотрудничество по улучшению защищённости средств промышленной автоматизации», — говорится в сообщении компании «Ростелеком-Солар».

Уровень защиты современных корпоративных интернет-систем от хакерских атак по-прежнему остаётся крайне низким и оставляет желать лучшего. Об этом свидетельствует исследование компании «Ростелеком-Солар», проанализировавшей защищённость веб-приложений организаций государственного и банковского сектора, сферы производства, информационных технологий, IT-безопасности и других.

Проведённая специалистами «Ростелеком-Солар» экспертиза показала, что около 70 % исследованных приложений содержат критические уязвимости, которые позволяют киберпреступникам получить доступ к конфиденциальным данным предприятий и пользователей, а также совершать в уязвимых онлайн-сервисах различные операции.

В частности, выяснилось, что почти 70 % веб-приложений оказались подвержены IDOR-уязвимостям (Insecure Direct Object References — небезопасные прямые ссылки на объекты). Более 50 % веб-приложений содержат недостатки в фильтрации поступающих на сервер данных, что даёт киберпреступникам возможность провести атаки типа XSS (Cross-Site Scripting — межсайтовое выполнение сценариев). Ещё 30 % уязвимостей связаны с возможностью удалённого внедрения SQL-кода.

С полной версией исследования «Ростелеком-Солар» можно ознакомиться по адресу rt-solar.ru.

Федеральная служба по техническому и экспортному контролю начала открытое тестирование программного решения «ScanOVAL для Linux», предназначенного для проведения автоматизированных проверок наличия уязвимостей ПО.

Приложение разработано компанией «Алтэкс-Софт» и доступно для скачивания на официальном сайте «Банка данных угроз безопасности информации» ФСТЭК России.

«ScanOVAL для Linux» позволяет проводить оценку защищённости операционных систем и программного обеспечения Linux на наличие уязвимостей, сведения о которых содержатся в «Банке данных угроз безопасности информации» ФСТЭК России и бюллетенях разработчиков. В программе предусмотрены функции регулярного обновления базы данных о новых уязвимостях, также имеется возможность построения отчётов по найденным «дырам» в форматах HTML и CSV.

Первая тестовая версия программы предназначена для проверки на уязвимости в локальном режиме ОС специального назначения Astra Linux Special Edition версии 1.6, а также общесистемного и прикладного софта, входящего в её состав.

В ведомстве подчёркивают, что инструментарий «ScanOVAL для Linux» может использоваться только для исследовательских целей, в частности, для поиска уязвимостей ПО, разработки и отладки описаний (определений) на языке OVAL проблем безопасности программных продуктов, функционирующих на платформе Linux. Для коммерческого использования, а также для проведения проверок в сетевом режиме рекомендуется использовать профессиональные сканеры уязвимостей. С перечнем подобного решений можно ознакомиться в нашем материале «Игра на опережение: обзор сканеров безопасности корпоративных IT-систем».

Специалист по безопасности беспроводных сетей Матеус Гарбелини (Matheus Garbelini) выложил в открытый доступ описание трёх возможных атак на популярное семейство микроконтроллеров ESP32/8266, имеющих в составе собственный Wi-Fi контроллер.

Ранее он уведомил об этом Espressif Systems, благодаря чему, китайская компания уже исправила большинство уязвимостей. Так что, если вы используете оборудование с любым из данных чипов, вам лучше как можно быстрее загрузить новую прошивку.

Исследователь по безопасности Матеус Гарбелини обнаружил три уязвимости в Wi-Fi модулях популярных микроконтроллеров для IoT-устройств ESP32 и ESP8266

Первая уязвимость наиболее проста для реализации и затрагивает только ESP8266. При подключении к точке доступа последняя отправляет ESP8266 пакет «AKM suite count», который содержит количество методов аутентификации, доступных для соединения.

Поскольку ESP не выполняет проверку границ для этого значения, поддельная точка доступа может отправить слишком большое число, что приведёт к переполнению буфера и сбою ESP. Таким образом, если вы можете отправить ESP8266 фальшивый маячковый или ответный фрейм в зависимости от режима работы Wi-Fi точки, то вы просто выведите ESP чип из строя.

Схема проведения атаки, которая может привести к сбою в ESP8266

Вторая и третья уязвимости используют ошибки в обработки протокола EAP, который чаще всего используется в корпоративных сетях и сетях требующих повышенной безопасности. При этом одна приводит к сбою в работе ESP32 и ESP8266 в сетях с поддержкой EAP, а другая к полному взлому и перехвату зашифрованной сессии. Эти уязвимости вызывают особое беспокойство, так как перехват сессии куда как более опасен, чем простой сбой в работе устройства.

Новая прошивка для ESP32 уже получила необходимое исправление, но более старый ESP8266 всё ещё уязвим к подобной атаке. Таким образом, если вы используете ESP8266 в сети с аутентификацией на базе EAP, то на данный момент вы уязвимы. Точно не известно сколько устройств ESP8266 в мире на данный момент работают с использованием протокола EAP, пусть это и довольно старый микроконтроллер, но очень хотелось бы, чтобы Espressif всё-таки залатали эту дыру в безопасности своего продукта.

Диаграмма механизма атаки на микроконтроллеры EPS8266 и EPS32 при использовании протокола EAP

Матеус рекомендует всем, кто использует устройства на базе ESP8266 в сети с аутентификацией через EAP и не может это никак изменить, как минимум зашифровать и подписать все свои данные, чтобы предотвратить атаки направленные на их перехват.

Так как Матеус в первую очередь уведомил о уязвимостях Espressif Systems, большинство из них уже исправлено. Необходимый патч уже попал даже в последнюю версию ESP-компонетов для IED Arduino, но для некоторых встроенных устройств обновить прошивку может оказаться не так просто, вплоть до необходимости её ручной перекомпиляции.

Казалось бы, какое отношение китайцы имеют к процессорами Intel Xeon? Да ещё к защите от атак? Не их ли обвиняют во всех грехах и запрещают подвоз серверных процессоров Intel в Поднебесную? Как оказалось, Intel весьма плотно сотрудничала с Университетом Цинхуа (Tsinghua University) в процессе создания технологии аппаратной защиты серверных процессоров от любых потенциально возможных атак и уязвимостей. Неужели такое возможно? Утверждается, что да.

На конференции Hot Chips 31 группа Jintide представила однокорпусное решение размером с процессор Skylake, но очень непростое внутри (все представленный слайды с сайта AnandTech). В корпус процессора оказались заключены три кристалла: обычный Xeon с числом ядер до 24 штук и два 28-нм чипа разработки Jintide. Также в системе используются модифицированные модули памяти, хотя сами слоты памяти — обычные LRDIMM. Заявлено, что вся эта комплексная система теряет не больше 10 % производительности, но зато она минимально уязвима для всех известных и ещё неизвестных уязвимостей как аппаратных (архитектурных), так и программных.

Идея разработки заключается в том, что все вычислительные потоки в процессоре и в памяти находятся под постоянным наблюдением специальных блоков (чипов). Трассировка происходит в самом процессоре и в буферах памяти. Частота выборки 1 Гц, длительность выборки ― 100 мкс.

Любая враждебная активность, отклонение от ожидаемого поведения или другое ненормальное поведение вычислительных потоков немедленно изолируются или доводятся до сведения пользователю (системе). Современные процессоры настолько сложны, утверждают разработчики, что защитить их от всех векторов атак невозможно в принципе. Чтобы вычисления считать доверенными, необходимо только одно ― наблюдать, следить и контролировать все вычислительные потоки.

За мониторингом вычислительных потоков в процессоре следят встроенные чипы RCP (re-configurable processor, процессор с изменяемой конфигурацией) и ITR (трассировка ввода/вывода). Соответствующие  буферы и решения для трассировки обращения к памяти также встроены в чипы и модули памяти DDR4.

Кстати, одного-единственного сценария на все виды уязвимостей не существует. Но возможность перепрограммировать RCP и ITR позволит защитить процессор от обнаруженных новых уязвимостей без снижения производительности, что невозможно для современных решений с программными патчами.

Чипы и вычислительные ядра соединяются линиями PCIe 3.0. Всего поддерживаются до 48 линий PCIe 3.0, что допускает конфигурации до 4 Xeon на одной плате. Уровень TDP решения: от 145 до 205 Вт. Процессор поддерживается обычным чипсетом Intel C620. Готовые системы предлагает компания Lenovo.

Компания «Ростелеком-Solar», занимающаяся разработкой продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, выпустила новую версию сканера программного кода Solar appScreener 3.2 (прежнее название — Solar inCode).

Solar appScreener представляет собой инструмент статического анализа кода, предназначенный для выявления уязвимостей и недекларированных возможностей (НДВ) в программных продуктах. Поддерживается анализ приложений, написанных более чем на 25+ языках программирования или скомпилированных в одном из 7 различных расширений исполняемых файлов, в том числе для Windows, macOS, Android и iOS. Доступна интеграция с различными средами разработки, средствами автоматизированной сборки ПО и системами отслеживания ошибок. Продукт можно развернуть как на собственных вычислительных мощностях организации, так и пользоваться им как сервисом, доступным из облака компании «Ростелеком-Solar».

Обновлённый программный комплекс Solar appScreener 3.2 получил поддержку популярного в нашей стране языка приложений «1С» и возможность работы с реестром банка данных угроз безопасности информации ФСТЭК России. Также в продукте появились средства интеграции с платформой Azure DevOps Server 2019, поддержка фреймворка ASP.NET и широко используемого в офисных, бухгалтерских и прочих пакетах языка программирования VBA (Visual Basic for Applications).

«Благодаря поддержке языка «1С» новая версия нашего анализатора может выявлять уязвимости и НДВ в приложении, с которым работают практически все российские организации, — «1С:Предприятие». При этом на каждом конкретном предприятии используются кастомизированные конфигурации этого ПО, которые реализуются многочисленными партнёрами «1С». В процессе разработки модификаций и новых версий в приложение могут быть случайно внесены уязвимости или умышленно заложены НДВ», — говорится в заявлении разработчика Solar appScreener.

Более подробную информацию о возможностях сканера программного кода можно найти на сайте rt-solar.ru/products/solar_appscreener.

Материалы по теме:

• Microsoft выпустила пакет средств разработки для квантовых компьютеров;
• Сканер программного кода Solar inCode получил сертификат ФСТЭК России;
• Эксперты: российский рынок разработки ПО демонстрирует рост при острой нехватке инвестиций.

Источник:

• rt-solar.ru

Эксперты «Лаборатории Касперского» исследовали контроллер для управления экосистемой «умного» дома и обнаружили в нём ряд опасных уязвимостей.

Специалисты «Лаборатории Касперского» нашли опасные «дыры» в продукции компании Fibaro. Наиболее серьёзными оказались проблемы в облачной инфраструктуре устройства, а также потенциальная возможность удалённого исполнения вредоносного кода. С помощью этих программных уязвимостей злоумышленник может получить права суперпользователя и начать манипулировать системой «умного» дома в своих целях.

Атаки, как отмечается, могут быть осуществлены через протокол беспроводной коммуникации Z-Wave, широко использующийся в решениях домашней автоматизации, а также через веб-интерфейс в панели администратора.

Впрочем, компания Fibaro уже устранила обнаруженные бреши и обновила протоколы безопасности.

«Мы настоятельно рекомендуем всем пользователям Fibaro установить последние обновления: они повышают функциональность системы и делают её более устойчивой к взлому. Также мы советуем всегда сверять информацию из получаемых электронных сообщений с актуальными объявлениями на сайте компании», — заявляет Fibaro. 

Продажи устройств для смарт-жилищ устойчиво растут. Так, в прошлом году, по оценкам  International Data Corporation (IDC), в глобальном масштабе было реализовано 656,2 млн всевозможных гаджетов и приборов для современного «умного» дома. В текущем году, как ожидается, отгрузки устройств для смарт-жилища поднимутся на 26,9 % по сравнению с прошлым годом. В результате объём отрасли достигнет 832,7 млн единиц.

Гордость компании AMD ― технология защиты памяти виртуальных машин Secure Encrypted Virtualization (SEV) ― оказалась подвержена атаке и взлому. Технология SEV и её аппаратная реализация появились в серверных платформах AMD EPYC. Как и технология Intel SGX (Software Guard Extensions), реализация AMD SEV защищает пользователей (отдельные виртуальные машины) удалённых сервисов от доступа к приватным данным со стороны соседей по сервису (других клиентов ресурса) и со стороны администраторов сервиса. Однако технология AMD SEV выглядит более защищённой, чем Intel SGX. Если Intel SGX создаёт защищённые и недоступные для чужого глаза регионы в виртуальной памяти, то AMD SEV на лету шифрует приватные данные в памяти процессора, выдавая в память виртуальной машины блоки данных, которые нельзя прочитать даже с ключом гипервизора (ключ гипервизора позволяет считать данные в общей памяти виртуальной машины).

Как выяснили исследователи компании Google, механизм AMD SEV оказался не безупречен. В общем случае в защите AMD SEV используются данные об эллиптических кривых (ECC), утверждённые организацией NIST и получившие распространение в криптографии около 15 лет назад. С помощью уязвимости CVE-2019-9836 злоумышленник может восстановить параметры кривой, задействованной для шифрования приватного гостевого ключа, и отправить для запуска виртуальной машины параметры кривой, не соответствующие рекомендациям NIST. Серия «неправильных» последовательностей и изученный отклик системы дают возможность получить закрытый Platform Diffie-Hellman (PDH) ключ. Этот ключ считался «невидимым» для ОС и приложений. Он генерируется виртуальной машиной на основе точек с эллиптической кривой. Подмена контрольных точек, тем самым, даёт в руки хакера PDH-ключ и возможность восстановить сессионный (приватный) ключ и, соответственно, увидеть данные в защищённой области памяти чужой виртуальной машине. Даже если никто не взломает чужие VM, данный способ уже компрометирует технологию AMD SEV и поставщиков услуг на базе серверов с процессорами AMD EPYC.

Сообщается, что компания AMD ещё 4 июня выпустила исправление для прошивок процессоров AMD с фиксацией для защиты от уязвимости. Если в системе установлена прошивка SEV до версии 0.17 build 11, то компания настоятельно рекомендует обновить микрокод, который доступен по этой ссылке.

В профессиональной среде, занимающейся разработкой встраиваемых систем, решений для Интернета вещей и «умных» устройств, практически не развита культура киберзащиты аппаратной составляющей таких продуктов. Об этом свидетельствует исследование «Атаки на встраиваемые системы», проведённое компанией BI.ZONE.

По мнению экспертов BI.ZONE, безопасность аппаратного обеспечения современных вычислительных устройств находится в крайне плачевном состоянии, и такое положение дел делает уязвимой практически любую IT-инфраструктуру.

«Можно провести прямые параллели с состоянием безопасности ПО 20 лет назад: надлежащий аудит отсутствует, редкие специалисты понимают, как разрабатывать защищённое «железо», не сформирован образ мышления, подразумевающий необходимость проверки безопасности аппаратной части, — говорят исследователи. — Ситуация усугубляется тем, что уязвимости в «железе» нельзя исправить выпуском обновления, как это делается с софтом. Производитель здесь не поможет: допущенные ошибки останутся на весь срок эксплуатации устройства, а это может быть и десять лет, и пятнадцать, и больше, что категорически неприемлемо для критически важной инфраструктуры».

Классификация атак на встраиваемые системы (источник: BI.ZONE)

В опубликованном BI.ZONE отчёте подчёркивается, что от безопасности аппаратной части зависят многие отрасли. Дешёвые копии сложного продукта могут разорить компанию-инноватора, сбой автоматизированных систем управления грозит в лучшем случае простоем производства, а незаконное манипулирование светофорами, медицинским оборудованием, диспетчерскими системами в авиации и на железной дороге способны привести к катастрофическим последствиям для общества. Всё это свидетельствует о серьёзности ситуации и необходимости проактивного подхода в вопросе безопасности аппаратного обеспечения, как на уровне отдельного разработчика «железа», так и индустрии в целом.

Подробнее с результатами исследования компании BI.ZONE можно ознакомиться на сайте bi.zone/research/attacks_on_hardware. Документ будет интересен всем, кто так или иначе связан со встраиваемыми системами: программистам, специалистам электронной и компьютерной инженерии, администраторам и руководителям.

Материалы по теме:

• Атаки в киберпространстве происходят каждые 14 секунд;
• Cisco Systems представила защищённое оборудование Heavy Duty для IoT-сетей;
• Выявлены опасные «дыры» в платформе управления производственными процессами B&R APROL.

Источник:

• bi.zone

Компания Positive Technologies сообщает об обнаружении опасных уязвимостей в системе управления производственными процессами APROL австрийской компании B&R Automation.

Названная платформа применяется в различных отраслях. Это, в частности, нефтегазовая, энергетическая и машиностроительная сферы. Кроме того, система востребована в ряде других областей.

Итак, сообщается, что «дыры» выявлены в двенадцати компонентах системы APROL. Так, найдены ошибки доступа к памяти в компоненте TbaseServer, ошибки в компонентах AprolLoader и AprolSqlServer, SQL-инъекции в системе контроля и учёта энергопотребления EnMon, возможность внедрения произвольных команд в веб-сервере.

«Возможность выполнения произвольного кода в операционной системе компонентов АСУ ТП позволяет злоумышленнику негативно влиять на технологический процесс. Например, атакующий может несанкционированно отправлять команды управления оборудованием, изменять параметры конфигурации, в том числе программные алгоритмы. Такие изменения могут привести к нештатному режиму работы вплоть до возникновения аварийной ситуации на производстве», — говорят специалисты Positive Technologies.

Впрочем, нужно отметить, что обнаруженные уязвимости уже устранены. Для обеспечения безопасности пользователям APROL необходимо инсталлировать последнюю версию системы.