OberonCore

Библиотека  Wiki  Форум  BlackBox  Компоненты  Проекты
Текущее время: Понедельник, 17 Декабрь, 2018 20:57

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
Автор Сообщение
СообщениеДобавлено: Среда, 14 Декабрь, 2016 16:21 
Модератор
Аватара пользователя

Зарегистрирован: Понедельник, 14 Ноябрь, 2005 18:39
Сообщения: 9063
Откуда: Россия, Орёл
Ветка для обсуждения ИБ применительно к АСУ ТП.

В том числе примеров уязвимостей.

Из новостей этого года попалось:
"Подробности о беспрецедентном взломе электрической сети Украины"
https://geektimes.ru/post/272232/


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Понедельник, 13 Февраль, 2017 15:03 
Аватара пользователя

Зарегистрирован: Воскресенье, 12 Апрель, 2015 18:12
Сообщения: 1094
Откуда: СССР v2.0 rc 1
Да,я там активно пообсуждал "что не так"))
https://geektimes.ru/post/272232/#comment_9082598


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Суббота, 23 Декабрь, 2017 19:58 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 289
Откуда: Москва
ЛАНДШАФТ УГРОЗ ДЛЯ СИСТЕМ ПРОМЫШЛЕННОЙ АВТОМАТИЗАЦИИ, ПЕРВОЕ ПОЛУГОДИЕ 2017, Лаборатория Касперского.
Цитата:
В июне 2017 года были опубликованы результаты исследований вредоносного ПО, которое получило название CrashOverride/Industroyer. Эксперты компаний ESET, Dragos Inc. и ряд независимых специалистов пришли к выводу, что это вредоносное программное обеспечение предназначено для нарушения рабочих процессов в промышленных системах управления (ICS), в частности, на электрических подстанциях. CrashOverride/Industroyer позволяет напрямую управлять выключателями и прерывателями цепи в сети электрических подстанций.

Зловред умеет работать с четырьмя промышленными протоколами, распространенными в электроэнергетике, управлении транспортом, водоснабжении и других критических инфраструктурах: IEC 60870-5-101 (aka IEC 101), IEC 60870-5-104 (aka IEC 104), IEC 61850, OLE for Process Control Data Access (OPC DA). Создатели Crash Override/Industroyer могут перенастроить программу, чтобы атаковать любую промышленную среду, где используются целевые протоколы связи.

Вот они, родненькие, сетевые протокольчики: 101, 104, и, конечно же OPC DA.

Основные источники угроз, заблокированных на компьютерах АСУ, первое полугодие 2017
Вложение:
threat-sources.png
threat-sources.png [ 24 КБ | Просмотров: 1396 ]


Платформы, используемые вредоносным ПО, первое полугодие 2017
Вложение:
threat-platforms.png
threat-platforms.png [ 25.84 КБ | Просмотров: 1396 ]


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Воскресенье, 14 Январь, 2018 14:42 
Аватара пользователя

Зарегистрирован: Воскресенье, 12 Апрель, 2015 18:12
Сообщения: 1094
Откуда: СССР v2.0 rc 1
Да уж. Не долго было ждать до первых атак на EK 101/104...
А ведь, когда эти протоколы разрабатывались уже поднимались вопросы "а как на счёт безопасности?"
Вообще, современная инфраструктура сетей и ПО просто кричит о том, что бы кто-нибудь что-нибудь сломал)))
Нельзя за это наказывать, имхо. Это всё-равно, что перед маленьким ребёнком положить шоколадку, сказать "низзя" и уйти.

Стоит почитать раздел "Интересные факты" тут:
Википедия: Ядерный чемоданчик (США)
(* Мне не для протокола. Чисто поржать -- длина кодовой последовательности для активации протокола массированного запуска МБР *)


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Суббота, 17 Февраль, 2018 18:12 
Модератор
Аватара пользователя

Зарегистрирован: Понедельник, 14 Ноябрь, 2005 18:39
Сообщения: 9063
Откуда: Россия, Орёл
Свежее:

https://www.securitylab.ru/news/491507.php
В ПЛК WAGO выявлена критическая уязвимость

Цитата:
Теги: WAGO, ПЛК, АСУ ТП, уязвимость

Проблема позволяет неавторизованному злоумышленнику получить доступ к ПЛК.
В программируемых логических контроллерах (ПЛК) производства немецкой компании WAGO обнаружена критическая уязвимость, позволяющая удаленному неавторизованному атакующему получить доступ к котроллерам и выполнять различные действия.
Проблема, получившая идентификатор CVE-2018-5459, затрагивает серию WAGO PFC200, в частности модели 750-820х с версией прошивки до 02.07.07(10): 750-8202, 750-8202/025-000, 750-8202/025-001, 750-8202/025-002, 750-8202/040-001, 750-8203, 750-8203/025-000, 750-8204, 750-8204/025-000, 750-8206, 750-8206/025-000, 750-8206/025-001, 750-8207, 750-8207/025-000, 750-8207/025-001, 750-8208 и 750-8208/025-000.
Проблема связана с использованием программы CoDeSys Runtime (версии 2.3.х, 2.4.х), являющейся частью прошивки ПЛК. Проэксплуатировав уязвимость, неавторизованный атакующий может выполнить различные действия, в том числе читать, записывать, удалять произвольные файлы или управлять работой ПЛК путем отправки специально сформированных TCP-пакетов на порт 2455. Производитель уже выпустил патч, исправляющий проблему.


С CoDeSys сталкивались при конфигурировании ПЛК (г)ОВЕН - штука, которая работает и падает через раз, при этом может запороть файл проекта, нужно всегда сохранять версии.

https://www.securitylab.ru/news/491504.php
В Schneider Electric IGSS SCADA исправлена опасная уязвимость

Цитата:
Теги: АСУ ТП, уязвимость, обновление, Schneider Electric, SCADA
Из-за некорректной реализации ASLR и DEP хакер может вызвать аварийное завершение работы или выполнить произвольный код.
Компания Schneider Electric исправила уязвимость в своем программном обеспечении IGSS SCADA. В случае ее успешной эксплуатации злоумышленник может вызвать аварийное завершение работы атакуемого устройства или выполнить произвольный код.

Согласно уведомлению ICS-CERT, проблема возникает из-за некорректной реализации функций для защиты памяти ASLR и DEP. По системе оценки опасности уязвимостей CVSS v3 она получила оценку 7.0

Уязвимость (CVE-2017-9967) может быть проэксплуатирована только локально, а для успешного осуществления атаки злоумышленник должен обладать хорошими навыками. Проблема затрагивает версию продукта IGSS SCADA Software V12 и все предыдущие. Для предупреждения возможных атак рекомендуется обновиться до IGSS SCADA Software V13.

Для минимизации рисков эксплуатации уязвимости пользователям рекомендуется воздержаться от перехода по ссылкам, присланным в электронных письмах, и от открытия вложенных в них документов. В настоящее время известных эксплоитов для CVE-2017-9967 не существует.

ASLR (address space layout randomization) – «рандомизация размещения адресного пространства». Применяемая в операционных системах технология для усложнения эксплуатации нескольких типов уязвимостей. ASLR предполагает произвольное изменение расположения в адресном пространстве процесса важных структур данных (образов исполняемого файла, подгружаемых библиотек, кучи и стека

DEP (data execution prevention) – «предотвращение выполнения данных». Встроенная в ОС функция безопасности, не позволяющая приложению выполнять код из области памяти, помеченной как «только для данных». DEP защищает от некоторых типов атак, сохраняющих код в такой области с помощью переполнения буфера.


https://www.securitylab.ru/news/491235.php
Критическая уязвимость в web-сервере CODESYS ставит под угрозу более 100 АСУ ТП

Цитата:
Уязвимость позволяет злоумышленнику добиться отказа в обслуживании и выполнить произвольный код на web-сервере.

В компоненте, используемом более чем в 100 автоматизированных системах управления технологическими процессами (АСУ ТП) от различных производителей обнаружена критическая уязвимость, позволяющая удаленному злоумышленнику выполнить произвольный код.

Уязвимость CVE-2018-5440 затрагивает web-сервер продукта 3S-Smart Software Solutions CODESYS WebVisu, который позволяет отображать пользовательский интерфейс программируемых логических контроллеров (ПЛК) в web-браузере.

Согласно информации на web-сайте 3S-Smart Software Solutions, продукт WebVisu используется в 116 моделях ПЛК и ЧМИ (человеко-машинный интерфейс) от порядка 50 производителей, включая Schneider Electric, WAGO, Hitachi, Advantech, Beck IPC, Berghof Automation, Hans Turck и NEXCOM.

Проблема представляет собой уязвимость переполнения буфера, позволяющая злоумышленнику добиться отказа в обслуживании (DoS) и выполнить произвольный код на web-сервере.

Уязвимость затрагивает web-серверы CODESYS v2.3, работающие под управлением любой версии ОС Windows (включая Windows Embedded Compact). Проблема исправлена с выходом версии 1.1.9.19.

По словам представителей 3S-Smart Software Solutions, в настоящее время нет свидетельств того, что данная уязвимость была проэксплуатирована хакерами. Производитель отметил, что для ее эксплуатации не требуется иметь какие-либо специальные навыки.

По данным поисковика Shodan, в настоящее время в Сети насчитывается более 5600 систем, доступных через порт 2455. Большинство из них находится в США, Германии, Турции, Китае и Франции.

CODESYS — инструментальный программный комплекс промышленной автоматизации. Производится и распространяется компанией 3S-Smart Software Solutions GmbH.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Суббота, 17 Февраль, 2018 18:14 
Модератор
Аватара пользователя

Зарегистрирован: Понедельник, 14 Ноябрь, 2005 18:39
Сообщения: 9063
Откуда: Россия, Орёл
https://www.securitylab.ru/news/491224.php
В России в полтора раза увеличилось число компонентов АСУ ТП, доступных из интернета

Цитата:
Количество доступных компонентов АСУ ТП в глобальной сети растет с каждым годом: если в 2016 году в России были обнаружены IP-адреса 591 подсистем, то в 2017 году уже 892. Такие результаты содержатся в исследовании компании Positive Technologies, где проанализированы угрозы, связанные с доступностью и уязвимостями АСУ ТП за минувший год .

Наибольшее число компонентов АСУ ТП, присутствующих в интернете, обнаружено в странах, в которых системы автоматизации развиты лучше всего — США, Германия, Китай, Франция, Канада. За год доля США возросла почти на 10 % и теперь составляет примерно 42% от общего числа (175 632). Россия поднялась на три позиции и занимает 28 место.

Эксперты Positive Technologies обращают внимание на увеличение доли сетевых устройств (с 5,06 % до 12,86 %), таких как конвертеры интерфейсов Lantronix и Moxa. Доступность подобных устройств, несмотря на их вспомогательную роль, представляет большую опасность для технологического процесса. Например, в ходе кибератаки на «Прикарпатьеоблэнерго» злоумышленники удаленно вывели из строя конвертеры фирмы Moxa, в результате чего была потеряна связь с полевыми устройствами на электроподстанциях.

Среди программных продуктов в глобальной сети чаще всего встречаются компоненты Niagara Framework. Подобные системы управляют кондиционированием, энергоснабжением, телекоммуникациями, сигнализацией, освещением, камерами видеонаблюдения и другими ключевыми инженерными элементами, содержат немало уязвимостей [1] и уже подвергались взлому. [2]

Второе важное наблюдение исследователей касается растущего числа угроз в компонентах АСУ ТП. Число опубликованных уязвимостей за год выросло на 197, тогда как годом ранее стало известно о 115. Свыше половины новых недостатков безопасности имеют критическую и высокую степень риска. Кроме того, значительная доля уязвимостей в 2017 году пришлась на промышленное сетевое оборудование (коммутаторы, конвертеры интерфейсов, шлюзы и т.д.), которое все чаще встречается в открытом доступе. При этом, большинство обнаруженных за год недостатков безопасности в АСУ ТП могут эксплуатироваться удаленно без необходимости получения привилегированного доступа.

По сравнению с 2016 годом лидеры поменялись. Первую позицию вместо компании Siemens теперь занимает Schneider Electric. В 2017 году было опубликовано почти в десять раз больше уязвимостей (47), связанных с компонентами этого вендора, нежели годом ранее (5). Также следует обратить внимание на количество новых недостатков безопасности в промышленном сетевом оборудовании Moxa — их было опубликовано вдвое больше (36), нежели в прошлом году (18).

«Несмотря на многочисленные инциденты и работу регуляторов, защищенность многих промышленных объектов остается на уровне десятилетней давности. До сих пор в интернете можно обнаружить уязвимые системы автоматизации зданий, ЦОДов, подстанций, производственных предприятий, — отмечает руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров. — Атаки на подобные объекты чреваты не только нарушением функционирования технологического процесса, но и угрозой для жизни людей, поэтому сегодня разработчики еще на этапе проектирования должны предусматривать механизмы безопасности, предназначенные для защиты компонентов АСУ ТП от нарушителей, а если данные механизмы устарели — надо оперативно их модернизировать».

В исследовании описан ряд мер, позволяющих снизить уровень угрозы на действующих объектах. Например, авторы отмечают важность отделения технологической сети от корпоративной и внешних сетей, своевременной установки обновлений безопасности, регулярного анализа защищенности АСУ ТП для выявления потенциальных векторов атак.

https://ics-cert.us-cert.gov/advisories/ICSA-12-228-01A

https://info.publicintelligence.net/FBI-AntisecICS.pdf


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пятница, 20 Апрель, 2018 18:05 
Модератор
Аватара пользователя

Зарегистрирован: Понедельник, 14 Ноябрь, 2005 18:39
Сообщения: 9063
Откуда: Россия, Орёл
Infotecs родил что-то:

https://infotecs.ru/resheniya/zashchita ... i-m2m.html


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Вся информация, размещаемая участниками на конференции (тексты сообщений, вложения и пр.) © 2005-2018, участники конференции «OberonCore», если специально не оговорено иное.
Администрация не несет ответственности за мнения, стиль и достоверность высказываний участников, равно как и за безопасность материалов, предоставляемых участниками во вложениях.
Без разрешения участников и ссылки на конференцию «OberonCore» любое воспроизведение и/или копирование высказываний полностью и/или по частям запрещено.
Powered by phpBB® Forum Software © phpBB Group
Русская поддержка phpBB