Positive Technologies помогла устранить уязвимости в решении Inductive Automation Ignition

Понедельник, 23 марта 2015 г.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e

Компания Inductive Automation выпустила ряд обновлений, закрывающих уязвимости в продукте Ignition, которые могли привести к раскрытию важных данных, подбору паролей и повышению привилегий в системе. Проблемы безопасности были обнаружены экспертами Positive Technologies во время анализа защищенности АСУ ТП. В исследовании участвовали Евгений Дружинин, Алексей Осипов и Илья Карпов, сообщили CNews в компании Positive Technologies.

Кроссплатформенный инструмент Ignition используется для автоматизации систем управления производственными процессами химических заводов, электростанций и других критически важных объектов.

Среди найденных исследователями уязвимостей: возможность обхода механизма защиты от подбора паролей к учетным записям — злоумышленник может обойти механизм защиты от атак с использованием подбора, сбросив идентификатор сессии в HTTP-запросе; «неубиваемые» после выхода пользователя из системы сессии («повышение привилегий») — уязвимость позволяет злоумышленникам осуществить атаку повторного воспроизведения в контексте данного пользователя; хранение аутентификационных данных сервера OPC в незашифрованном виде; а также отображение конфиденциальной информации в предупреждениях или сообщениях об ошибке (могут указывать на расположение файла, вызвавшего необрабатываемое исключение). Вдобавок была обнаружена проблема безопасности, которая позволяет изменять JNLP-файлы и заставляет пользователей загружать произвольные Java-апплеты.

Уязвимостям подвержена платформа Inductive Automation Ignition 7.7.3 и более ранние версии. В Positive Technologies рекомендуют установить последнюю версию приложения.

Все необходимые проверки на наличие недостатков безопасности, выявленных в программном обеспечении Inductive Automation Ignition, добавлены в базу знаний системы контроля защищенности и соответствия стандартам MaxPatrol. Часть этих проблем безопасности обнаруживается эвристическими механизмами MaxPatrol и без обновления базы знаний, указали в компании.

Как отмечается, Positive Technologies регулярно проводит анализ защищенности продуктов, используемых в различных АСУ ТП. Компания сотрудничает с такими производителями систем управления, как Honeywell, Siemens, Schneider Electric и Invensys.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e


Просмотров: 936
Рубрика: Hi-Tech


Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003