Positive Technologies помогла устранить уязвимости в решении Inductive Automation Ignition
Компания Inductive Automation выпустила ряд обновлений, закрывающих уязвимости в продукте Ignition, которые могли привести к раскрытию важных данных, подбору паролей и повышению привилегий в системе. Проблемы безопасности были обнаружены экспертами Positive Technologies во время анализа защищенности АСУ ТП. В исследовании участвовали Евгений Дружинин, Алексей Осипов и Илья Карпов, сообщили CNews в компании Positive Technologies.
Кроссплатформенный инструмент Ignition используется для автоматизации систем управления производственными процессами химических заводов, электростанций и других критически важных объектов.
Среди найденных исследователями уязвимостей: возможность обхода механизма защиты от подбора паролей к учетным записям — злоумышленник может обойти механизм защиты от атак с использованием подбора, сбросив идентификатор сессии в HTTP-запросе; «неубиваемые» после выхода пользователя из системы сессии («повышение привилегий») — уязвимость позволяет злоумышленникам осуществить атаку повторного воспроизведения в контексте данного пользователя; хранение аутентификационных данных сервера OPC в незашифрованном виде; а также отображение конфиденциальной информации в предупреждениях или сообщениях об ошибке (могут указывать на расположение файла, вызвавшего необрабатываемое исключение). Вдобавок была обнаружена проблема безопасности, которая позволяет изменять JNLP-файлы и заставляет пользователей загружать произвольные Java-апплеты.
Уязвимостям подвержена платформа Inductive Automation Ignition 7.7.3 и более ранние версии. В Positive Technologies рекомендуют установить последнюю версию приложения.
Все необходимые проверки на наличие недостатков безопасности, выявленных в программном обеспечении Inductive Automation Ignition, добавлены в базу знаний системы контроля защищенности и соответствия стандартам MaxPatrol. Часть этих проблем безопасности обнаруживается эвристическими механизмами MaxPatrol и без обновления базы знаний, указали в компании.
Как отмечается, Positive Technologies регулярно проводит анализ защищенности продуктов, используемых в различных АСУ ТП. Компания сотрудничает с такими производителями систем управления, как Honeywell, Siemens, Schneider Electric и Invensys.
Кроссплатформенный инструмент Ignition используется для автоматизации систем управления производственными процессами химических заводов, электростанций и других критически важных объектов.
Среди найденных исследователями уязвимостей: возможность обхода механизма защиты от подбора паролей к учетным записям — злоумышленник может обойти механизм защиты от атак с использованием подбора, сбросив идентификатор сессии в HTTP-запросе; «неубиваемые» после выхода пользователя из системы сессии («повышение привилегий») — уязвимость позволяет злоумышленникам осуществить атаку повторного воспроизведения в контексте данного пользователя; хранение аутентификационных данных сервера OPC в незашифрованном виде; а также отображение конфиденциальной информации в предупреждениях или сообщениях об ошибке (могут указывать на расположение файла, вызвавшего необрабатываемое исключение). Вдобавок была обнаружена проблема безопасности, которая позволяет изменять JNLP-файлы и заставляет пользователей загружать произвольные Java-апплеты.
Уязвимостям подвержена платформа Inductive Automation Ignition 7.7.3 и более ранние версии. В Positive Technologies рекомендуют установить последнюю версию приложения.
Все необходимые проверки на наличие недостатков безопасности, выявленных в программном обеспечении Inductive Automation Ignition, добавлены в базу знаний системы контроля защищенности и соответствия стандартам MaxPatrol. Часть этих проблем безопасности обнаруживается эвристическими механизмами MaxPatrol и без обновления базы знаний, указали в компании.
Как отмечается, Positive Technologies регулярно проводит анализ защищенности продуктов, используемых в различных АСУ ТП. Компания сотрудничает с такими производителями систем управления, как Honeywell, Siemens, Schneider Electric и Invensys.
Ещё новости по теме:
18:20