Исследование, проведённое компанией Positive Technologies, говорит о том, что число уязвимостей в автоматизированных системах управления технологическим процессом (АСУ ТП) за последний год резко выросло.

Отмечается, что общее количество компонентов АСУ ТП, доступных в Интернете, в 2018-м поднялось на 27 % и теперь составляет более 220 тысяч. Наибольшее число таких систем находятся в США (95 661), Германии (21 449) и Китае (12 262).

Любопытно, что Россия демонстрирует одни из самых высоких в мире темпов роста количества компонентов АСУ ТП, доступных через Сеть: число таких объектов подскочило с 892 в 2017 году до 3993 в 2018-м.

Вместе с тем ухудшается и ситуация с безопасностью. Количество обнаруженных уязвимостей в компонентах АСУ ТП за год поднялось практически на треть — на 30 %.

Более половины «дыр» (58 %) позволяют атакующему оказывать комплексное воздействие на устройство — нарушить конфиденциальность, целостность и доступность. Ситуация усугубляется тем, что в большинстве случаев злоумышленнику не требуется никаких специальных условий, чтобы осуществить атаку.

Около 75% уязвимостей связаны с возможным нарушением доступности (полным или частичным) компонентов АСУ ТП. Эксплуатация таких уязвимостей, к примеру, в сетевом оборудовании может негативно повлиять на технологический процесс, нарушив передачу команд между компонентами.

Говорится также, что во многих случаях проблема связана с некорректной аутентификацией или избыточными правами. Зачастую такие «дыры» могут эксплуатироваться удалённо.

Более подробную информацию об исследовании можно найти здесь. 

Компания Positive Technologies опубликовала результаты исследования, посвящённого анализу безопасности веб-приложений в 2018 году: ситуация в данной сфере оставляет желать много лучшего.

Отмечается, что в среднем на одно веб-приложение приходится 33 уязвимости. Причём шесть из них имеют высокий уровень риска, то есть их эксплуатация злоумышленниками может привести к серьёзным последствиям.

Исследование показало, что число критически опасных «дыр», которые приходятся на одно веб-приложение, по сравнению с 2017 годом выросло в три раза. После двухгодичного курса на снижение доли веб-приложений, содержащих уязвимости высокого уровня риска, она вновь выросла и достигла 67 %.

Персональные данные хранятся и обрабатываются почти в каждом исследованном веб-приложении (91 %). При этом возможность хищения личной информации пользователей существует в 18 % веб-приложений, где осуществляется обработка таких сведений.

Утечка конфигурационной и отладочной информации, исходных кодов, идентификаторов сессий, а также другой чувствительной информации возможна в 79 % веб-приложений.

Приблизительно каждое пятое веб-приложение (19 %) позволяет злоумышленнику получить контроль над операционной системой сервера. Если такой сервер находится на сетевом периметре организации, злоумышленник может проникнуть во внутреннюю сеть компании.

Специалисты отмечают, что в большинстве случаев веб-приложения уязвимы из-за ошибок в коде. Более подробно с результатами исследования можно ознакомиться здесь. 

Компания Positive Technologies сообщает об обнаружении опасных уязвимостей в промышленных коммутаторах Phoenix Contact: для эксплуатации этих «дыр» злоумышленникам не обязательно иметь высокую квалификацию.

Phoenix Contact

Выявлены уязвимости разного класса. Одна из наиболее опасных «дыр» позволяет атакующим осуществить межсайтовую подмену запроса для выполнения произвольных команд в веб-интерфейсе коммутатора от лица легитимного пользователя.

Ещё одна серьёзная проблема связана с отсутствием у коммутаторов функции тайм-аута входа в систему. Это позволяет злоумышленникам получить доступ к устройству путём перебора паролей по словарям.

Другая «дыра» обеспечивает возможность совершения атак типа «отказ в обслуживании». Атакующий также может перехватить учётные данные пользователя, которые передаются в открытом виде при заводских настройках веб-интерфейса.

«Успешное использование этих недостатков может привести к нарушению технологического процесса, вплоть до его полной остановки. Злоумышленник может перехватить учётные данные пользователя, а затем, перенастроив коммутатор, отключить на нём порты, в результате чего может нарушиться сетевое взаимодействие между компонентами АСУ ТП», — говорят специалисты Positive Technologies.

Для устранения проблем необходимо обновить прошивку уязвимых устройств до версии 1.35 или выше. 

Компания Microsoft выпустила объёмный набор патчей, устраняющих уязвимости в операционных системах Windows и Windows Server различных редакций, браузерах Edge и Internet Explorer, пакете офисных приложений Office, платформах SharePoint, Exchange Server, Visual Studio, .NET Framework, .NET/ASP.NET Core и других программных продуктах.

Согласно представленным на сайте технического ресурса Microsoft TechNet сведениям, всего специалистами софтверного гиганта было закрыто полсотни брешей, в том числе критически опасных, теоретически допускающих возможность несанкционированного доступа к удалённому компьютеру и выполнения на нем произвольного вредоносного кода.

Сводная информация по количеству и типу исправленных уязвимостей в продуктах Microsoft

В виду опасности ряда обнаруженных «дыр», Microsoft рекомендует пользователям и IT-администраторам не затягивать с инсталляцией апдейтов и установить их при первой же возможности.

Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности ПО Microsoft можно найти на портале Security Update Guide.

Материалы по теме:

• Исследование: 66 % утечек данных из организаций происходят из-за ошибок персонала;
• InfoWatch озвучила прогнозы по информационной безопасности на 2019 год;
• Скрытый криптомайнинг продолжит набирать обороты в 2019 году.

Источник:

• Microsoft TechNet

Компания Positive Technologies сообщает об обнаружении ряда серьёзных уязвимостей в системах управления производственными процессами: «дыры» теоретически позволяют удалённому злоумышленнику получить контроль над оборудованием и даже вывести его из строя.

Проблемы затрагивают контроллеры Schneider Electric — решения Modicon Premium, Modicon Quantum, Modicon M340 и Modicon BMXNOR0200. Это оборудование применяется в самых разных областях, в частности, в аэропортах, в нефтехимической и цементной отраслях, в металлургии, энергетике, водоснабжении и пр.

Сообщается, что одна из уязвимостей позволяет атакующему с помощью CGI-запросов обойти механизм авторизации на встроенном веб-сервере перечисленных контроллеров. Ещё одна брешь даёт возможность выполнить произвольный код на веб-сервере контроллеров BMXNOR0200.

Кроме того, выявлены «дыры», способные спровоцировать переполнение буфера, что может обернуться отказом в обслуживании. Наконец, обнаружена брешь, позволяющая получить несанкционированный доступ к файловой системе, однако ей подвержены только контроллеры серии Modicon Quantum.

«Наличие этих уязвимостей на критически важных производственных объектах повышает риск нарушения непрерывности технологических процессов, аварий, мошенничества и других неприятных последствий», — говорят эксперты. Компания Schneider Electric уже обнародовала рекомендации по устранению проблем. 

Компания Positive Technologies сообщает об обнаружении опасных уязвимостей в мобильных POS-терминалах (mPOS). Проблема затрагивает системы ведущих производителей Европы и США — Square, SumUp, iZettle и PayPal.

Терминалы mPOS позволяют принимать к оплате банковские карты везде, где есть сотовая связь.

Обнаруженные «дыры» связаны с использованием беспроводного соединения Bluetooth. Злоумышленники могут получить доступ к Bluetooth-трафику и изменить сумму, которая до этого отображалась на mPOS, а покупатель, сам того не зная, подтвердит оплату на совершенно другую сумму.

«Кроме того, на некоторых mPOS была выявлена возможность отправки специальных команд, которые могут использоваться в целях мошенничества и влиять на действия покупателя. Неблагонадёжный продавец может, например, вынудить покупателя использовать менее защищённый способ оплаты (через магнитную полосу карты) или сказать, что платёж отклонён, заставив его таким образом произвести оплату ещё раз», — пишет Positive Technologies.

Говорится также, что в ряде mPOS присутствует уязвимость, обеспечивающая возможность удалённого выполнения произвольного программного кода. Её эксплуатация позволяет получить полный контроль над операционной системой устройства, считывающего данные банковской карты. 

Компания HP, по сообщениям сетевых источников, запустила уникальную программу Bug Bounty по поиску уязвимостей в своих продуктах.

Традиционная схема Bug Bounty заключается в том, что сторонние специалисты в области информационной безопасности проверяют программные продукты или веб-ресурсы на предмет наличия уязвимостей. Разработчики в данном случае обычно выплачивают «белым хакерам» вознаграждение за обнаруженные баги.

Компания HP решила воспользоваться схемой Bug Bounty применительно к принтерам с возможностями сетевого подключения. Дело в том, что злоумышленники всё чаще атакуют устройства Интернета вещей, к которым как раз и относятся печатающие и многофункциональные аппараты с сетевыми функциями.

Новая инициатива Bug Bounty реализуется в партнёрстве с площадкой Bugcrowd. За информацию о ранее неизвестных «дырах» в программном обеспечении принтеров HP обещано вознаграждение в размере до $10 тыс. Те, кто предоставят новые сведения об уже обнаруженных уязвимостях, могут рассчитывать на «справедливую выплату».

Очевидно, что HP таким образом рассчитывает повысить безопасность прежде всего аппаратов корпоративного класса. Многие компании оперируют масштабными парками устройств печати, и нарушение работы этого оборудования может обернуться огромными финансовыми потерями. 

Российские специалисты из компании Positive Technologies обнаружили новые уязвимости в промышленных коммутаторах немецкого электротехнического концерна Phoenix Contact.

Речь идёт об устройствах серии FL Switch. Они используются для выполнения задач автоматизации на цифровых подстанциях, в нефтегазовой, морской и других отраслях.

Всего обнаружены четыре «дыры». Они присутствуют в коммутаторах FL Switch 3xxx, 4xxx и 48xxx, функционирующих на программном обеспечении версий 1.0–1.33.

Одна из уязвимостей позволяет злоумышленнику выполнить произвольные команды на устройстве — например, отключить оборудование от промышленной сети. Понятно, что в таком случае будет нарушена работа промышленного объекта, что может обернуться серьёзными последствиями.

Ещё две «дыры» связаны с угрозой переполнения буфера. Киберпреступники теоретически могут выполнить произвольный код на устройстве, спровоцировать отказ в обслуживании или получить доступ к файлам операционной системы.

Наконец, ещё одна уязвимость позволяет злоумышленнику, не прошедшему аутентификацию, прочитать содержимое конфигурационного файла устройства.

Для устранения проблем производитель рекомендует установить прошивку версии 1.34. Более подробную информацию об обнаруженных «дырах» можно найти здесь. 

Специалисты Kaspersky Lab ICS CERT, центра «Лаборатории Касперского» по реагированию на киберинциденты, выявили ряд опасных уязвимостей в популярном протоколе для промышленных предприятий.

Речь идёт о протоколе OPC UA — Object Linking and Embedding for Process Control Unified Automation. Он был разработан в 2006 году консорциумом OPC Foundation с целью надёжной и безопасной передачи данных в технологической сети. Стандарт является усовершенствованной версией своего предшественника — протокола OPC, повсеместно применяемого на современных промышленных объектах.

Отмечается, что системы мониторинга и управления в продуктах разных производителей нередко используют несовместимые, часто закрытые, протоколы сетевой коммуникации. Шлюзы/серверы OPC как раз и являются связующим звеном между различными системами автоматизированного управления технологическим процессом, а также системами телеметрии и мониторинга.

Итак, сообщается, что специалисты Kaspersky Lab ICS CERT по состоянию на конец марта нынешнего года выявили 17 уязвимостей в продуктах OPC Foundation и несколько уязвимостей в коммерческих приложениях, которые их используют. Эксплуатация некоторых из обнаруженных «дыр» позволяет проводить атаки «отказ в обслуживании» (DoS), а также обеспечивает возможность удалённого исполнения кода.

Важно отметить, что обо всех обнаруженных уязвимостях исследователи незамедлительно сообщали создателям ПО. Представители OPC Foundation и других команд разработки коммерческих продуктов оперативно реагировали на уведомления и своевременно устраняли найденные неполадки.

Более подробно о проделанной работе можно узнать здесь. 

Специалисты Positive Technologies предупреждают о наличии опасных уязвимостей в модулях управления сетевыми источниками бесперебойного питания APC компании Schneider Electric.

Системы APC широко применяются в промышленности, медицине, нефтегазовом секторе, центрах обработки данных, системах управления зданиями и в других сферах.

Как сообщается, в общей сложности обнаружены четыре «дыры». Проблемы безопасности выявлены в модулях управления APC MGE SNMP/Web Card Transverse 66074, установленных в источниках бесперебойного питания Galaxy 5000/6000/9000, EPS 7000/8000/6000, Comet UPS/3000, Galaxy PW/3000/4000, STS (Upsilon и Epsilon).

Одна из уязвимостей позволяет удалённому злоумышленнику в обход системы аутентификации получить полный доступ к управлению источником бесперебойного питания. Это открывает путь к нарушению работы системы энергоснабжения организации.

Ещё одна брешь позволяет получать информацию об источнике бесперебойного питания. Третья уязвимость даёт возможность без авторизации изменять различные параметры устройства, в том числе параметры отключения. Наконец, ещё одна «дыра» позволяет перехватывать данные учётной записи администратора.

Таким образом, обнаруженные уязвимости теоретически могут применяться для организации атак с весьма плачевными последствиями. О способах устранения «дыр» можно узнать здесь.