Спецпроекты

Positive Technologies помогла устранить уязвимости в системе управления производственными процессами B&R APROL

Безопасность Стратегия безопасности Интеграция Системное ПО

Эксперты отделов безопасности промышленных систем управления и анализа приложений Positive Technologies выявили множественные уязвимости в 12 компонентах системы управления производственными процессами APROL австрийской компании B&R Automation. Данная система управления применяется в нефтегазовой, энергетической, машиностроительной и других отраслях.

Наибольшую опасность представляют пять уязвимостей, которые позволяют удаленному атакующему выполнить произвольный код в системе APROL.

«Возможность выполнения произвольного кода в операционной системе компонентов АСУ ТП позволяет злоумышленнику негативно влиять на технологический процесс. Например, атакующий может несанкционированно отправлять команды управления оборудованием, изменять параметры конфигурации, в том числе программные алгоритмы. Такие изменения могут привести к нештатному режиму работы вплоть до возникновения аварийной ситуации на производстве», — отметил руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.

Среди выявленных уязвимостей были найдены ошибки доступа к памяти в компоненте TbaseServer, ошибки в компонентах AprolLoader и AprolSqlServer, SQL-инъекции в системе контроля и учета энергопотребления EnMon, возможность внедрения произвольных команд в веб-сервере.

Пользователям уязвимых версий необходимо установить последнюю версию APROL R.

По данным Positive Technologies, в 2018 г. продолжился рост числа новых уязвимостей, выявляемых в оборудовании различных производителей систем промышленной автоматизации (на 30%), а также количества доступных в интернете компонентов АСУ ТП (на 27%).

Для выявления киберинцидентов и обнаружения уязвимостей в АСУ ТП компания Positive Technologies предлагает продукты PT Industrial Security Incident Manager (PT ISIM) и Maxpatrol 8, учитывающие особенности промышленных протоколов.



Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития

Персона месяца

Власти Петербурга переходят на рыночную модель цифровизации

Денис Чамара

ИТ-директор Санкт-Петербурга