В ПО для управления критической инфраструктурой найдены множественные зияющие «дыры»

В промышленной системе mySCADA myPRO, используемой в критической инфраструктуре, нашёлся почти десяток опасных и критических уязвимостей. Пользователям рекомендуется срочно обновиться.

    • КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента
    • ГлавнаяНовостиНовостиНовости, 202201Новости, 202201 → В ПО для управления критической инфраструктурой найдены множественные зияющие «дыры»
P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}.content img{float:right;}.hidden_block{display:none;}

Пять ошибок по десять баллов

В системе визуализации и управления промышленными процессами mySCADA myPRO выявлен ряд уязвимостей, в том числе критических, которые позволяют осуществлять инъекцию команд.

Уязвимости выявил эксперт по информационной безопасности Михаэль Хайнцль (Michael Heinzl). 21 декабря 2021 г. он опубликовал обширную серию бюллетеней по безопасности, касающихся не только ошибок в mySCADA, но и в других промышленных контроллерах.

В mySCADA Хайнцль идентифицировал восемь уязвимостей, пять из которых связаны с инъекцией команд, одна - с наличием встроенного аккаунта-бэкдора, оставленного разработчиками, одна - со слабым шифрованием хранилища паролей. Ещё одна уязвимость позволяет обходить авторизацию на устройствах.

Всем уязвимостям, связанным с инъекцией команд, - CVE-2021-44453, CVE-2021-22657, CVE-2021-23198, CVE-2021-43981 и CVE-2021-43984 - присвоен максимальный индекс угрозы - 10 баллов по шкале CVSS v3.

В промышленной системе mySCADA myPRO найден десяток опасных и критических уязвимостей

Уязвимости CVE-2021-43987, связанной с наличием незадокументированного административного аккаунта (очевидно, артефакта разработки), присвоено значение 9,8 балла по шкале CVSS v3, что также означает её критический статус.

Ещё одна критическая уязвимость - CVE-2021-43985 - связана с возможностью получить доступ к управляющему приложению без авторизации. Она получила 9,1 балл по шкале CVSS и, соответственно, также считается критической.

«Баг» CVE-2021-43989, связанный со слабым шифрованием хранилища паролей (MD5), получила оценку в 7,5 баллов по шкале CVSS v3.

Проблема критического характера

Разработка mySCADA myPRO довольно широко используется в энергетике, сельском хозяйстве и на транспорте; его также используют операторы канализационных систем.

«Поскольку эти уязвимости довольно просто эксплуатировать, они открывают возможность для совершения крупномасштабных атак на критическую инфраструктуру даже со стороны хакеров с невысокой квалификацией, - указывает Алексей Водясов, технический директор компании SEQ. - Хотя о существовании публичных эксплойтов пока ничего не известно, теперь, когда информация о них опубликована, ждать вряд ли придётся долго».

Уязвимости устраняются обновлением mySCADA myPRO до версии 8.22.0 и выше.

Патч был выпущен в ноябре 2021 г. Операторам систем, использующих уязвимую версию myPRO рекомендовано минимизировать доступность к ним извне, закрыть доступ файерволлами и использовать защищённые соединения для удалённых подключений.

Роман Георгиев

Поделиться Подписаться на новости Короткая ссылка

Нажимая кнопку «Подписаться», вы даете свое согласие на обработку и хранение персональных данных.

Цедал Нили: не совершайте главную ошибку при возвращении в офис

Менеджмент Статьи РБК Многие руководители стараются забыть про опыт удаленной работы после возвращения в офис, но профессор Гарварда Цедал Нили считает такой подход опасным. Какие пять ошибок менеджеры совершают чаще всего - в подборке ее идей ...


Группы: ВК|Fb|Tw|OK
Рубрики
Каталог
Новости
Контакты
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent{border-radius:5px 10px 0 0;border:1px solid #542437;padding:1px;font-size:75%;font-weight:900;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:10px;}.hidden, label + .cd-accordion-menu, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202201Новости, 202201 → В ПО для управления критической инфраструктурой найдены множественные зияющие «дыры»