OberonCore https://forum.oberoncore.ru/ |
|
Информационная (не)безопасность АСУ ТП https://forum.oberoncore.ru/viewtopic.php?f=152&t=5976 |
Страница 1 из 1 |
Автор: | Илья Ермаков [ Среда, 14 Декабрь, 2016 16:21 ] |
Заголовок сообщения: | Информационная (не)безопасность АСУ ТП |
Ветка для обсуждения ИБ применительно к АСУ ТП. В том числе примеров уязвимостей. Из новостей этого года попалось: "Подробности о беспрецедентном взломе электрической сети Украины" https://geektimes.ru/post/272232/ |
Автор: | prospero78 [ Понедельник, 13 Февраль, 2017 15:03 ] |
Заголовок сообщения: | Re: Информационная (не)безопасность АСУ ТП |
Да,я там активно пообсуждал "что не так")) https://geektimes.ru/post/272232/#comment_9082598 |
Автор: | Дмитрий Дагаев [ Суббота, 23 Декабрь, 2017 19:58 ] |
Заголовок сообщения: | Re: Информационная (не)безопасность АСУ ТП |
ЛАНДШАФТ УГРОЗ ДЛЯ СИСТЕМ ПРОМЫШЛЕННОЙ АВТОМАТИЗАЦИИ, ПЕРВОЕ ПОЛУГОДИЕ 2017, Лаборатория Касперского. Цитата: В июне 2017 года были опубликованы результаты исследований вредоносного ПО, которое получило название CrashOverride/Industroyer. Эксперты компаний ESET, Dragos Inc. и ряд независимых специалистов пришли к выводу, что это вредоносное программное обеспечение предназначено для нарушения рабочих процессов в промышленных системах управления (ICS), в частности, на электрических подстанциях. CrashOverride/Industroyer позволяет напрямую управлять выключателями и прерывателями цепи в сети электрических подстанций. Зловред умеет работать с четырьмя промышленными протоколами, распространенными в электроэнергетике, управлении транспортом, водоснабжении и других критических инфраструктурах: IEC 60870-5-101 (aka IEC 101), IEC 60870-5-104 (aka IEC 104), IEC 61850, OLE for Process Control Data Access (OPC DA). Создатели Crash Override/Industroyer могут перенастроить программу, чтобы атаковать любую промышленную среду, где используются целевые протоколы связи. Вот они, родненькие, сетевые протокольчики: 101, 104, и, конечно же OPC DA. Основные источники угроз, заблокированных на компьютерах АСУ, первое полугодие 2017 Вложение: Платформы, используемые вредоносным ПО, первое полугодие 2017 Вложение:
|
Автор: | prospero78 [ Воскресенье, 14 Январь, 2018 14:42 ] |
Заголовок сообщения: | Re: Информационная (не)безопасность АСУ ТП |
Да уж. Не долго было ждать до первых атак на EK 101/104... А ведь, когда эти протоколы разрабатывались уже поднимались вопросы "а как на счёт безопасности?" Вообще, современная инфраструктура сетей и ПО просто кричит о том, что бы кто-нибудь что-нибудь сломал))) Нельзя за это наказывать, имхо. Это всё-равно, что перед маленьким ребёнком положить шоколадку, сказать "низзя" и уйти. Стоит почитать раздел "Интересные факты" тут: Википедия: Ядерный чемоданчик (США) (* Мне не для протокола. Чисто поржать -- длина кодовой последовательности для активации протокола массированного запуска МБР *) |
Автор: | Илья Ермаков [ Суббота, 17 Февраль, 2018 18:12 ] |
Заголовок сообщения: | Re: Информационная (не)безопасность АСУ ТП |
Свежее: https://www.securitylab.ru/news/491507.php В ПЛК WAGO выявлена критическая уязвимость Цитата: Теги: WAGO, ПЛК, АСУ ТП, уязвимость Проблема позволяет неавторизованному злоумышленнику получить доступ к ПЛК. В программируемых логических контроллерах (ПЛК) производства немецкой компании WAGO обнаружена критическая уязвимость, позволяющая удаленному неавторизованному атакующему получить доступ к котроллерам и выполнять различные действия. Проблема, получившая идентификатор CVE-2018-5459, затрагивает серию WAGO PFC200, в частности модели 750-820х с версией прошивки до 02.07.07(10): 750-8202, 750-8202/025-000, 750-8202/025-001, 750-8202/025-002, 750-8202/040-001, 750-8203, 750-8203/025-000, 750-8204, 750-8204/025-000, 750-8206, 750-8206/025-000, 750-8206/025-001, 750-8207, 750-8207/025-000, 750-8207/025-001, 750-8208 и 750-8208/025-000. Проблема связана с использованием программы CoDeSys Runtime (версии 2.3.х, 2.4.х), являющейся частью прошивки ПЛК. Проэксплуатировав уязвимость, неавторизованный атакующий может выполнить различные действия, в том числе читать, записывать, удалять произвольные файлы или управлять работой ПЛК путем отправки специально сформированных TCP-пакетов на порт 2455. Производитель уже выпустил патч, исправляющий проблему. С CoDeSys сталкивались при конфигурировании ПЛК (г)ОВЕН - штука, которая работает и падает через раз, при этом может запороть файл проекта, нужно всегда сохранять версии. https://www.securitylab.ru/news/491504.php В Schneider Electric IGSS SCADA исправлена опасная уязвимость Цитата: Теги: АСУ ТП, уязвимость, обновление, Schneider Electric, SCADA Из-за некорректной реализации ASLR и DEP хакер может вызвать аварийное завершение работы или выполнить произвольный код. Компания Schneider Electric исправила уязвимость в своем программном обеспечении IGSS SCADA. В случае ее успешной эксплуатации злоумышленник может вызвать аварийное завершение работы атакуемого устройства или выполнить произвольный код. Согласно уведомлению ICS-CERT, проблема возникает из-за некорректной реализации функций для защиты памяти ASLR и DEP. По системе оценки опасности уязвимостей CVSS v3 она получила оценку 7.0 Уязвимость (CVE-2017-9967) может быть проэксплуатирована только локально, а для успешного осуществления атаки злоумышленник должен обладать хорошими навыками. Проблема затрагивает версию продукта IGSS SCADA Software V12 и все предыдущие. Для предупреждения возможных атак рекомендуется обновиться до IGSS SCADA Software V13. Для минимизации рисков эксплуатации уязвимости пользователям рекомендуется воздержаться от перехода по ссылкам, присланным в электронных письмах, и от открытия вложенных в них документов. В настоящее время известных эксплоитов для CVE-2017-9967 не существует. ASLR (address space layout randomization) – «рандомизация размещения адресного пространства». Применяемая в операционных системах технология для усложнения эксплуатации нескольких типов уязвимостей. ASLR предполагает произвольное изменение расположения в адресном пространстве процесса важных структур данных (образов исполняемого файла, подгружаемых библиотек, кучи и стека DEP (data execution prevention) – «предотвращение выполнения данных». Встроенная в ОС функция безопасности, не позволяющая приложению выполнять код из области памяти, помеченной как «только для данных». DEP защищает от некоторых типов атак, сохраняющих код в такой области с помощью переполнения буфера. https://www.securitylab.ru/news/491235.php Критическая уязвимость в web-сервере CODESYS ставит под угрозу более 100 АСУ ТП Цитата: Уязвимость позволяет злоумышленнику добиться отказа в обслуживании и выполнить произвольный код на web-сервере.
В компоненте, используемом более чем в 100 автоматизированных системах управления технологическими процессами (АСУ ТП) от различных производителей обнаружена критическая уязвимость, позволяющая удаленному злоумышленнику выполнить произвольный код. Уязвимость CVE-2018-5440 затрагивает web-сервер продукта 3S-Smart Software Solutions CODESYS WebVisu, который позволяет отображать пользовательский интерфейс программируемых логических контроллеров (ПЛК) в web-браузере. Согласно информации на web-сайте 3S-Smart Software Solutions, продукт WebVisu используется в 116 моделях ПЛК и ЧМИ (человеко-машинный интерфейс) от порядка 50 производителей, включая Schneider Electric, WAGO, Hitachi, Advantech, Beck IPC, Berghof Automation, Hans Turck и NEXCOM. Проблема представляет собой уязвимость переполнения буфера, позволяющая злоумышленнику добиться отказа в обслуживании (DoS) и выполнить произвольный код на web-сервере. Уязвимость затрагивает web-серверы CODESYS v2.3, работающие под управлением любой версии ОС Windows (включая Windows Embedded Compact). Проблема исправлена с выходом версии 1.1.9.19. По словам представителей 3S-Smart Software Solutions, в настоящее время нет свидетельств того, что данная уязвимость была проэксплуатирована хакерами. Производитель отметил, что для ее эксплуатации не требуется иметь какие-либо специальные навыки. По данным поисковика Shodan, в настоящее время в Сети насчитывается более 5600 систем, доступных через порт 2455. Большинство из них находится в США, Германии, Турции, Китае и Франции. CODESYS — инструментальный программный комплекс промышленной автоматизации. Производится и распространяется компанией 3S-Smart Software Solutions GmbH. |
Автор: | Илья Ермаков [ Суббота, 17 Февраль, 2018 18:14 ] |
Заголовок сообщения: | Re: Информационная (не)безопасность АСУ ТП |
https://www.securitylab.ru/news/491224.php В России в полтора раза увеличилось число компонентов АСУ ТП, доступных из интернета Цитата: Количество доступных компонентов АСУ ТП в глобальной сети растет с каждым годом: если в 2016 году в России были обнаружены IP-адреса 591 подсистем, то в 2017 году уже 892. Такие результаты содержатся в исследовании компании Positive Technologies, где проанализированы угрозы, связанные с доступностью и уязвимостями АСУ ТП за минувший год .
Наибольшее число компонентов АСУ ТП, присутствующих в интернете, обнаружено в странах, в которых системы автоматизации развиты лучше всего — США, Германия, Китай, Франция, Канада. За год доля США возросла почти на 10 % и теперь составляет примерно 42% от общего числа (175 632). Россия поднялась на три позиции и занимает 28 место. Эксперты Positive Technologies обращают внимание на увеличение доли сетевых устройств (с 5,06 % до 12,86 %), таких как конвертеры интерфейсов Lantronix и Moxa. Доступность подобных устройств, несмотря на их вспомогательную роль, представляет большую опасность для технологического процесса. Например, в ходе кибератаки на «Прикарпатьеоблэнерго» злоумышленники удаленно вывели из строя конвертеры фирмы Moxa, в результате чего была потеряна связь с полевыми устройствами на электроподстанциях. Среди программных продуктов в глобальной сети чаще всего встречаются компоненты Niagara Framework. Подобные системы управляют кондиционированием, энергоснабжением, телекоммуникациями, сигнализацией, освещением, камерами видеонаблюдения и другими ключевыми инженерными элементами, содержат немало уязвимостей [1] и уже подвергались взлому. [2] Второе важное наблюдение исследователей касается растущего числа угроз в компонентах АСУ ТП. Число опубликованных уязвимостей за год выросло на 197, тогда как годом ранее стало известно о 115. Свыше половины новых недостатков безопасности имеют критическую и высокую степень риска. Кроме того, значительная доля уязвимостей в 2017 году пришлась на промышленное сетевое оборудование (коммутаторы, конвертеры интерфейсов, шлюзы и т.д.), которое все чаще встречается в открытом доступе. При этом, большинство обнаруженных за год недостатков безопасности в АСУ ТП могут эксплуатироваться удаленно без необходимости получения привилегированного доступа. По сравнению с 2016 годом лидеры поменялись. Первую позицию вместо компании Siemens теперь занимает Schneider Electric. В 2017 году было опубликовано почти в десять раз больше уязвимостей (47), связанных с компонентами этого вендора, нежели годом ранее (5). Также следует обратить внимание на количество новых недостатков безопасности в промышленном сетевом оборудовании Moxa — их было опубликовано вдвое больше (36), нежели в прошлом году (18). «Несмотря на многочисленные инциденты и работу регуляторов, защищенность многих промышленных объектов остается на уровне десятилетней давности. До сих пор в интернете можно обнаружить уязвимые системы автоматизации зданий, ЦОДов, подстанций, производственных предприятий, — отмечает руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров. — Атаки на подобные объекты чреваты не только нарушением функционирования технологического процесса, но и угрозой для жизни людей, поэтому сегодня разработчики еще на этапе проектирования должны предусматривать механизмы безопасности, предназначенные для защиты компонентов АСУ ТП от нарушителей, а если данные механизмы устарели — надо оперативно их модернизировать». В исследовании описан ряд мер, позволяющих снизить уровень угрозы на действующих объектах. Например, авторы отмечают важность отделения технологической сети от корпоративной и внешних сетей, своевременной установки обновлений безопасности, регулярного анализа защищенности АСУ ТП для выявления потенциальных векторов атак. https://ics-cert.us-cert.gov/advisories/ICSA-12-228-01A https://info.publicintelligence.net/FBI-AntisecICS.pdf |
Автор: | Илья Ермаков [ Пятница, 20 Апрель, 2018 18:05 ] |
Заголовок сообщения: | Re: Информационная (не)безопасность АСУ ТП |
Infotecs родил что-то: https://infotecs.ru/resheniya/zashchita ... i-m2m.html |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |