«Лаборатория кибербезопасности АСУ ТП» компании «Ростелеком-Солар» представила аналитический отчет об уязвимостях, выявленных в популярных компонентах автоматизированных систем управления технологическими процессами (АСУ ТП). Почти три четверти (72%) всех выявленных уязвимостей относятся к высокому или критическому уровню опасности. Основная масса имеет сетевой вектор, то есть для их эксплуатации нужен только сетевой доступ к атакуемой системе.\nСпециалисты проанализировали более 170 новых уязвимостей, выявленных в программном обеспечении и программно-аппаратных комплексах (ПАК), которые массово используются в электроэнергетике, нефтегазовой и химической промышленности, на производственных предприятиях, а также для автоматизации инженерных систем и домашней автоматизации.
\nКак отметили в компании, 20% уязвимостей по всему миру приходятся именно на промышленное сетевое оборудование, однако многие организации, в том числе Schneider Electric, делятся информацией в лучшем случае только на собственных ресурсах и с национальными CERT. Помимо того, что это снижает общий уровень защищенности участников рынка, компании не спешат закрывать бреши в инфраструктуре, объясняя это сложностью установления обновлений на оборудование. А тем временем, как указывается в отчете, 72% из них могут парализовать работу предприятия.
\nИз трех наиболее часто встречающихся уязвимостей на первом месте укоренились связанные с управлением доступом. В 28% случаев обнаруживаются проблемы с аутентификацией и авторизацией, позволяющие в итоге повысить пользовательские привилегии, а в ряде случаев — полностью обойти механизмы авторизации.
\nНа втором месте оказались проблемы с разглашением информации. 22% случаев такого рода произошли потому, что в ряде решений данные учетных записей хранятся в открытом виде, либо же защиты недостает VPN, OPC или почтовым сервисам. Таким образом злоумышленники могут не только выдавать себя за легитимного пользователя и долгое время оставаться незамеченными, но и анализировать внутреннюю работу устройств для поиска слабых мест в защите.
\nТретье, но не менее важное место занимает подверженность исследуемого ПО различным инъекциям, от XSS-инъекций в веб-интерфейсах до инъекций исполняемого кода с повышенными привилегиями. 17% случаев такого рода дают злоумышленникам разнообразные преимущества – от доступа к конфиденциальной информации до полного контроля над системой.
\nОтдельно стоит отметить частоту проблемы реализации криптографии. По данным экспертов, ненадежные криптоалгоритмы присутствуют в трех четвертях исследованных устройств и ПО, то есть практически везде, где производители применяют криптографические методы защиты данных.
\nМеньшая доля – не значит менее опасная. На уязвимости, связанные с проблемами работы с памятью, приходится всего 7%, однако они позволяют злоумышленнику выполнять произвольный код и были классифицированы как критические.
\nПроизводителям была направлена вся информация о выявленных уязвимостях, в данный момент они находятся на той или иной стадии исправления. Тем не менее стоит понимать, что специфика отрасли вносит свои коррективы. Технологии меняются быстро, ошибки и угрозы возникают постоянно, и не всегда их можно исправить. Так, например, на IIoT (промышленный интернет вещей), поставить необходимое сложное ПО бывает просто невозможно из-за ограничений в памяти. А есть еще случаи, когда для установки софта придется временно остановить оборудование, что практически ровняется «невозможно», так как бесперебойность процесса всегда находится на первом месте.
\nИсточник : https://clck.ru/KLdPk
"}},"seoTitle":"Меньшая доля – не значит менее опасная.","seoDescription":" На уязвимости, связанные с проблемами работы с памятью, приходится всего 7%","seoAuthor":null,"seoKeywords":null,"seoImage":{"fluid":{"base64":"data:image/jpeg;base64,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","aspectRatio":1.5,"src":"//images.ctfassets.net/aphotxgpdvah/01tWaIelKB0iOmeoREG8rJ/eb59a0fdeded189fdb6ddb92cb86ddc2/rtc2.jpg?w=1200&q=100","srcSet":"//images.ctfassets.net/aphotxgpdvah/01tWaIelKB0iOmeoREG8rJ/eb59a0fdeded189fdb6ddb92cb86ddc2/rtc2.jpg?w=300&h=200&q=100 300w,\n//images.ctfassets.net/aphotxgpdvah/01tWaIelKB0iOmeoREG8rJ/eb59a0fdeded189fdb6ddb92cb86ddc2/rtc2.jpg?w=600&h=400&q=100 600w,\n//images.ctfassets.net/aphotxgpdvah/01tWaIelKB0iOmeoREG8rJ/eb59a0fdeded189fdb6ddb92cb86ddc2/rtc2.jpg?w=936&h=624&q=100 936w","sizes":"(max-width: 1200px) 100vw, 1200px"}},"featuredImage":{"fluid":{"base64":"data:image/jpeg;base64,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","aspectRatio":1.5,"src":"//images.ctfassets.net/aphotxgpdvah/01tWaIelKB0iOmeoREG8rJ/eb59a0fdeded189fdb6ddb92cb86ddc2/rtc2.jpg?w=1200&q=100","srcSet":"//images.ctfassets.net/aphotxgpdvah/01tWaIelKB0iOmeoREG8rJ/eb59a0fdeded189fdb6ddb92cb86ddc2/rtc2.jpg?w=300&h=200&q=100 300w,\n//images.ctfassets.net/aphotxgpdvah/01tWaIelKB0iOmeoREG8rJ/eb59a0fdeded189fdb6ddb92cb86ddc2/rtc2.jpg?w=600&h=400&q=100 600w,\n//images.ctfassets.net/aphotxgpdvah/01tWaIelKB0iOmeoREG8rJ/eb59a0fdeded189fdb6ddb92cb86ddc2/rtc2.jpg?w=936&h=624&q=100 936w","sizes":"(max-width: 1200px) 100vw, 1200px"}}}},"pageContext":{"id":"82eec295-03a3-5ab7-84f3-f6fca4f8a5a5","prev":{"id":"bbfcfc19-c55d-567d-b3c1-98c71cae49a5","slug":"kvantovyi-superkompyuter-google-reshil-zadachu-vselenskogo-masshtaba"},"next":{"id":"557c47e4-2143-57d7-b5d8-8190d9919870","slug":"napisan-plan-perekhoda-5g-na-rossiiskuyu-kriptografiyu-s-otechestvennymi"}}}}