Компания Positive Technologies опубликовала результаты исследования, посвящённого анализу безопасности веб-приложений в 2018 году: ситуация в данной сфере оставляет желать много лучшего.

Отмечается, что в среднем на одно веб-приложение приходится 33 уязвимости. Причём шесть из них имеют высокий уровень риска, то есть их эксплуатация злоумышленниками может привести к серьёзным последствиям.

Исследование показало, что число критически опасных «дыр», которые приходятся на одно веб-приложение, по сравнению с 2017 годом выросло в три раза. После двухгодичного курса на снижение доли веб-приложений, содержащих уязвимости высокого уровня риска, она вновь выросла и достигла 67 %.

Персональные данные хранятся и обрабатываются почти в каждом исследованном веб-приложении (91 %). При этом возможность хищения личной информации пользователей существует в 18 % веб-приложений, где осуществляется обработка таких сведений.

Утечка конфигурационной и отладочной информации, исходных кодов, идентификаторов сессий, а также другой чувствительной информации возможна в 79 % веб-приложений.

Приблизительно каждое пятое веб-приложение (19 %) позволяет злоумышленнику получить контроль над операционной системой сервера. Если такой сервер находится на сетевом периметре организации, злоумышленник может проникнуть во внутреннюю сеть компании.

Специалисты отмечают, что в большинстве случаев веб-приложения уязвимы из-за ошибок в коде. Более подробно с результатами исследования можно ознакомиться здесь. 

Компания Positive Technologies сообщает об обнаружении опасных уязвимостей в промышленных коммутаторах Phoenix Contact: для эксплуатации этих «дыр» злоумышленникам не обязательно иметь высокую квалификацию.

Phoenix Contact

Выявлены уязвимости разного класса. Одна из наиболее опасных «дыр» позволяет атакующим осуществить межсайтовую подмену запроса для выполнения произвольных команд в веб-интерфейсе коммутатора от лица легитимного пользователя.

Ещё одна серьёзная проблема связана с отсутствием у коммутаторов функции тайм-аута входа в систему. Это позволяет злоумышленникам получить доступ к устройству путём перебора паролей по словарям.

Другая «дыра» обеспечивает возможность совершения атак типа «отказ в обслуживании». Атакующий также может перехватить учётные данные пользователя, которые передаются в открытом виде при заводских настройках веб-интерфейса.

«Успешное использование этих недостатков может привести к нарушению технологического процесса, вплоть до его полной остановки. Злоумышленник может перехватить учётные данные пользователя, а затем, перенастроив коммутатор, отключить на нём порты, в результате чего может нарушиться сетевое взаимодействие между компонентами АСУ ТП», — говорят специалисты Positive Technologies.

Для устранения проблем необходимо обновить прошивку уязвимых устройств до версии 1.35 или выше. 

Компания Microsoft выпустила объёмный набор патчей, устраняющих уязвимости в операционных системах Windows и Windows Server различных редакций, браузерах Edge и Internet Explorer, пакете офисных приложений Office, платформах SharePoint, Exchange Server, Visual Studio, .NET Framework, .NET/ASP.NET Core и других программных продуктах.

Согласно представленным на сайте технического ресурса Microsoft TechNet сведениям, всего специалистами софтверного гиганта было закрыто полсотни брешей, в том числе критически опасных, теоретически допускающих возможность несанкционированного доступа к удалённому компьютеру и выполнения на нем произвольного вредоносного кода.

Сводная информация по количеству и типу исправленных уязвимостей в продуктах Microsoft

В виду опасности ряда обнаруженных «дыр», Microsoft рекомендует пользователям и IT-администраторам не затягивать с инсталляцией апдейтов и установить их при первой же возможности.

Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности ПО Microsoft можно найти на портале Security Update Guide.

Материалы по теме:

• Исследование: 66 % утечек данных из организаций происходят из-за ошибок персонала;
• InfoWatch озвучила прогнозы по информационной безопасности на 2019 год;
• Скрытый криптомайнинг продолжит набирать обороты в 2019 году.

Источник:

• Microsoft TechNet

Компания Positive Technologies сообщает об обнаружении ряда серьёзных уязвимостей в системах управления производственными процессами: «дыры» теоретически позволяют удалённому злоумышленнику получить контроль над оборудованием и даже вывести его из строя.

Проблемы затрагивают контроллеры Schneider Electric — решения Modicon Premium, Modicon Quantum, Modicon M340 и Modicon BMXNOR0200. Это оборудование применяется в самых разных областях, в частности, в аэропортах, в нефтехимической и цементной отраслях, в металлургии, энергетике, водоснабжении и пр.

Сообщается, что одна из уязвимостей позволяет атакующему с помощью CGI-запросов обойти механизм авторизации на встроенном веб-сервере перечисленных контроллеров. Ещё одна брешь даёт возможность выполнить произвольный код на веб-сервере контроллеров BMXNOR0200.

Кроме того, выявлены «дыры», способные спровоцировать переполнение буфера, что может обернуться отказом в обслуживании. Наконец, обнаружена брешь, позволяющая получить несанкционированный доступ к файловой системе, однако ей подвержены только контроллеры серии Modicon Quantum.

«Наличие этих уязвимостей на критически важных производственных объектах повышает риск нарушения непрерывности технологических процессов, аварий, мошенничества и других неприятных последствий», — говорят эксперты. Компания Schneider Electric уже обнародовала рекомендации по устранению проблем. 

Компания Positive Technologies сообщает об обнаружении опасных уязвимостей в мобильных POS-терминалах (mPOS). Проблема затрагивает системы ведущих производителей Европы и США — Square, SumUp, iZettle и PayPal.

Терминалы mPOS позволяют принимать к оплате банковские карты везде, где есть сотовая связь.

Обнаруженные «дыры» связаны с использованием беспроводного соединения Bluetooth. Злоумышленники могут получить доступ к Bluetooth-трафику и изменить сумму, которая до этого отображалась на mPOS, а покупатель, сам того не зная, подтвердит оплату на совершенно другую сумму.

«Кроме того, на некоторых mPOS была выявлена возможность отправки специальных команд, которые могут использоваться в целях мошенничества и влиять на действия покупателя. Неблагонадёжный продавец может, например, вынудить покупателя использовать менее защищённый способ оплаты (через магнитную полосу карты) или сказать, что платёж отклонён, заставив его таким образом произвести оплату ещё раз», — пишет Positive Technologies.

Говорится также, что в ряде mPOS присутствует уязвимость, обеспечивающая возможность удалённого выполнения произвольного программного кода. Её эксплуатация позволяет получить полный контроль над операционной системой устройства, считывающего данные банковской карты. 

Компания HP, по сообщениям сетевых источников, запустила уникальную программу Bug Bounty по поиску уязвимостей в своих продуктах.

Традиционная схема Bug Bounty заключается в том, что сторонние специалисты в области информационной безопасности проверяют программные продукты или веб-ресурсы на предмет наличия уязвимостей. Разработчики в данном случае обычно выплачивают «белым хакерам» вознаграждение за обнаруженные баги.

Компания HP решила воспользоваться схемой Bug Bounty применительно к принтерам с возможностями сетевого подключения. Дело в том, что злоумышленники всё чаще атакуют устройства Интернета вещей, к которым как раз и относятся печатающие и многофункциональные аппараты с сетевыми функциями.

Новая инициатива Bug Bounty реализуется в партнёрстве с площадкой Bugcrowd. За информацию о ранее неизвестных «дырах» в программном обеспечении принтеров HP обещано вознаграждение в размере до $10 тыс. Те, кто предоставят новые сведения об уже обнаруженных уязвимостях, могут рассчитывать на «справедливую выплату».

Очевидно, что HP таким образом рассчитывает повысить безопасность прежде всего аппаратов корпоративного класса. Многие компании оперируют масштабными парками устройств печати, и нарушение работы этого оборудования может обернуться огромными финансовыми потерями. 

Российские специалисты из компании Positive Technologies обнаружили новые уязвимости в промышленных коммутаторах немецкого электротехнического концерна Phoenix Contact.

Речь идёт об устройствах серии FL Switch. Они используются для выполнения задач автоматизации на цифровых подстанциях, в нефтегазовой, морской и других отраслях.

Всего обнаружены четыре «дыры». Они присутствуют в коммутаторах FL Switch 3xxx, 4xxx и 48xxx, функционирующих на программном обеспечении версий 1.0–1.33.

Одна из уязвимостей позволяет злоумышленнику выполнить произвольные команды на устройстве — например, отключить оборудование от промышленной сети. Понятно, что в таком случае будет нарушена работа промышленного объекта, что может обернуться серьёзными последствиями.

Ещё две «дыры» связаны с угрозой переполнения буфера. Киберпреступники теоретически могут выполнить произвольный код на устройстве, спровоцировать отказ в обслуживании или получить доступ к файлам операционной системы.

Наконец, ещё одна уязвимость позволяет злоумышленнику, не прошедшему аутентификацию, прочитать содержимое конфигурационного файла устройства.

Для устранения проблем производитель рекомендует установить прошивку версии 1.34. Более подробную информацию об обнаруженных «дырах» можно найти здесь. 

Специалисты Kaspersky Lab ICS CERT, центра «Лаборатории Касперского» по реагированию на киберинциденты, выявили ряд опасных уязвимостей в популярном протоколе для промышленных предприятий.

Речь идёт о протоколе OPC UA — Object Linking and Embedding for Process Control Unified Automation. Он был разработан в 2006 году консорциумом OPC Foundation с целью надёжной и безопасной передачи данных в технологической сети. Стандарт является усовершенствованной версией своего предшественника — протокола OPC, повсеместно применяемого на современных промышленных объектах.

Отмечается, что системы мониторинга и управления в продуктах разных производителей нередко используют несовместимые, часто закрытые, протоколы сетевой коммуникации. Шлюзы/серверы OPC как раз и являются связующим звеном между различными системами автоматизированного управления технологическим процессом, а также системами телеметрии и мониторинга.

Итак, сообщается, что специалисты Kaspersky Lab ICS CERT по состоянию на конец марта нынешнего года выявили 17 уязвимостей в продуктах OPC Foundation и несколько уязвимостей в коммерческих приложениях, которые их используют. Эксплуатация некоторых из обнаруженных «дыр» позволяет проводить атаки «отказ в обслуживании» (DoS), а также обеспечивает возможность удалённого исполнения кода.

Важно отметить, что обо всех обнаруженных уязвимостях исследователи незамедлительно сообщали создателям ПО. Представители OPC Foundation и других команд разработки коммерческих продуктов оперативно реагировали на уведомления и своевременно устраняли найденные неполадки.

Более подробно о проделанной работе можно узнать здесь. 

Специалисты Positive Technologies предупреждают о наличии опасных уязвимостей в модулях управления сетевыми источниками бесперебойного питания APC компании Schneider Electric.

Системы APC широко применяются в промышленности, медицине, нефтегазовом секторе, центрах обработки данных, системах управления зданиями и в других сферах.

Как сообщается, в общей сложности обнаружены четыре «дыры». Проблемы безопасности выявлены в модулях управления APC MGE SNMP/Web Card Transverse 66074, установленных в источниках бесперебойного питания Galaxy 5000/6000/9000, EPS 7000/8000/6000, Comet UPS/3000, Galaxy PW/3000/4000, STS (Upsilon и Epsilon).

Одна из уязвимостей позволяет удалённому злоумышленнику в обход системы аутентификации получить полный доступ к управлению источником бесперебойного питания. Это открывает путь к нарушению работы системы энергоснабжения организации.

Ещё одна брешь позволяет получать информацию об источнике бесперебойного питания. Третья уязвимость даёт возможность без авторизации изменять различные параметры устройства, в том числе параметры отключения. Наконец, ещё одна «дыра» позволяет перехватывать данные учётной записи администратора.

Таким образом, обнаруженные уязвимости теоретически могут применяться для организации атак с весьма плачевными последствиями. О способах устранения «дыр» можно узнать здесь. 

«Лаборатория Касперского» опубликовала развёрнутый отчёт, посвящённый анализу ситуации с безопасностью в области промышленной автоматизации.

Как мы уже сообщали, промышленный сектор является объектом повышенного интереса со стороны киберпреступников. В 2017 году общее число уязвимостей, выявленных в различных компонентах автоматизированных систем управления технологическими процессами (АСУ ТП), составило 322.

Исследование говорит о том, что злоумышленники всё чаще обращают своё внимание на устройства Интернета вещей (IoT). В прошлом году зафиксирован существенный рост числа уязвимостей, обнаруженных в IoT-продуктах. На этом фоне участились случаи использования устройств Интернета вещей для создания ботнетов.

Множественные уязвимости были выявлены в роутерах Dlink 850L, беспроводных IP-камерах WIFICAM, сетевых видеорегистраторах Vacron и других устройствах.

Сферу IoT-устройств также затронули проблемы безопасности традиционных информационных технологий. Так, уязвимости в реализациях протокола Bluetooth обусловили появление нового вектора атаки BlueBorne, представляющего опасность для мобильных, настольных и IoT-операционных систем.

За прошедший год было выявлено 18 уязвимостей в промышленном сетевом оборудовании разных производителей. Типичные уязвимости: раскрытие информации, повышение привилегий в системе, выполнение произвольного кода, отказ в обслуживании.

Специалисты выделяют несколько основных проблем Интернета вещей. Это, в частности, устаревшие прошивки устройств, а также стандартные пароли, устанавливаемые разработчиком. В настоящее время «Лаборатория Касперского» совместно с производителями IoT-продуктов ведёт работу по повышению защищённости решений.