23 Марта 2015 15:03 23 Мар 2015 15:03 |

Поделиться

Positive Technologies помогла устранить уязвимости в решении Inductive Automation Ignition

Компания Inductive Automation выпустила ряд обновлений, закрывающих уязвимости в продукте Ignition, которые могли привести к раскрытию важных данных, подбору паролей и повышению привилегий в системе. Проблемы безопасности были обнаружены экспертами Positive Technologies во время анализа защищенности АСУ ТП. В исследовании участвовали Евгений Дружинин, Алексей Осипов и Илья Карпов, сообщили CNews в компании Positive Technologies.

Кроссплатформенный инструмент Ignition используется для автоматизации систем управления производственными процессами химических заводов, электростанций и других критически важных объектов.

Среди найденных исследователями уязвимостей: возможность обхода механизма защиты от подбора паролей к учетным записям — злоумышленник может обойти механизм защиты от атак с использованием подбора, сбросив идентификатор сессии в HTTP-запросе; «неубиваемые» после выхода пользователя из системы сессии («повышение привилегий») — уязвимость позволяет злоумышленникам осуществить атаку повторного воспроизведения в контексте данного пользователя; хранение аутентификационных данных сервера OPC в незашифрованном виде; а также отображение конфиденциальной информации в предупреждениях или сообщениях об ошибке (могут указывать на расположение файла, вызвавшего необрабатываемое исключение). Вдобавок была обнаружена проблема безопасности, которая позволяет изменять JNLP-файлы и заставляет пользователей загружать произвольные Java-апплеты.

Уязвимостям подвержена платформа Inductive Automation Ignition 7.7.3 и более ранние версии. В Positive Technologies рекомендуют установить последнюю версию приложения.

Как с помощью ad-hoc инструмента снизить расходы на внедрение аналитики

Импортонезависимость

Все необходимые проверки на наличие недостатков безопасности, выявленных в программном обеспечении Inductive Automation Ignition, добавлены в базу знаний системы контроля защищенности и соответствия стандартам MaxPatrol. Часть этих проблем безопасности обнаруживается эвристическими механизмами MaxPatrol и без обновления базы знаний, указали в компании.

Как отмечается, Positive Technologies регулярно проводит анализ защищенности продуктов, используемых в различных АСУ ТП. Компания сотрудничает с такими производителями систем управления, как Honeywell, Siemens, Schneider Electric и Invensys.

Татьяна Короткова

Поделиться

Подписаться на новости Короткая ссылка