В ПО для управления критической инфраструктурой найдены множественные зияющие «дыры»

0
29

Пять ошибок по десять баллов

В системе визуализации и управления промышленными процессами mySCADA myPRO выявлен ряд уязвимостей, в том числе критических, которые позволяют осуществлять инъекцию команд.

Уязвимости выявил эксперт по информационной безопасности Михаэль Хайнцль (Michael Heinzl). 21 декабря 2021 г. он опубликовал обширную серию бюллетеней по безопасности, касающихся не только ошибок в mySCADA, но и в других промышленных контроллерах.

В mySCADA Хайнцль идентифицировал восемь уязвимостей, пять из которых связаны с инъекцией команд, одна — с наличием встроенного аккаунта-бэкдора, оставленного разработчиками, одна — со слабым шифрованием хранилища паролей. Ещё одна уязвимость позволяет обходить авторизацию на устройствах.

Всем уязвимостям, связанным с инъекцией команд, — CVE-2021-44453, CVE-2021-22657, CVE-2021-23198, CVE-2021-43981 и CVE-2021-43984 — присвоен максимальный индекс угрозы — 10 баллов по шкале CVSS v3.

В ПО для управления критической инфраструктурой найдены множественные зияющие «дыры»

В промышленной системе mySCADA myPRO найден десяток опасных и критических уязвимостей

Уязвимости CVE-2021-43987, связанной с наличием незадокументированного административного аккаунта (очевидно, артефакта разработки), присвоено значение 9,8 балла по шкале CVSS v3, что также означает её критический статус.

Ещё одна критическая уязвимость — CVE-2021-43985 — связана с возможностью получить доступ к управляющему приложению без авторизации. Она получила 9,1 балл по шкале CVSS и, соответственно, также считается критической.

«Баг» CVE-2021-43989, связанный со слабым шифрованием хранилища паролей (MD5), получила оценку в 7,5 баллов по шкале CVSS v3.

Проблема критического характера

Разработка mySCADA myPRO довольно широко используется в энергетике, сельском хозяйстве и на транспорте; его также используют операторы канализационных систем.

«Поскольку эти уязвимости довольно просто эксплуатировать, они открывают возможность для совершения крупномасштабных атак на критическую инфраструктуру даже со стороны хакеров с невысокой квалификацией, — указывает Алексей Водясов, технический директор компании SEQ. — Хотя о существовании публичных эксплойтов пока ничего не известно, теперь, когда информация о них опубликована, ждать вряд ли придётся долго».

Уязвимости устраняются обновлением mySCADA myPRO до версии 8.22.0 и выше.

Патч был выпущен в ноябре 2021 г. Операторам систем, использующих уязвимую версию myPRO рекомендовано минимизировать доступность к ним извне, закрыть доступ файерволлами и использовать защищённые соединения для удалённых подключений.