Разработчики: | Valmet |
Дата последнего релиза: | 2022/11/24 |
Технологии: | ОС |
Основная статья: Операционные системы
2022: Выявление ряда уязвимостей в Valmet Oy ACN CS
Эксперты Национального киберполигона компании «РТК-Солар» выявили ряд уязвимостей в программном обеспечении для промышленной автоматизации финской компании Valmet. Большинство из них критические с уровнем опасности от 9,6 до максимально возможных 10 баллов по шкале CVSS 3.0. Об этом сообщила компания «РТК-Солар» 24 ноября 2022 года.
Уязвимости, обнаруженные экспертами Национального киберполигона во главе с руководителем отдела исследований Ильей Карповым, затрагивают компоненты автоматизированной системы управления технологическим процессом Metso DNA: программный комплекс Valmet System 2019 и операционную систему Valmet Oy ACN CS. Уязвимости связаны с отсутствием защиты передаваемых данных (CWE-319), незашифрованным хранением критичной информации (CWE-256, CWE-312), небезопасным управлением привилегиями (CWE-250, CWE-269), недостаточной проверкой вводимых данных (CWE-20, CWE-328), небезопасным использованием криптографических алгоритмов (CWE-916) и отсутствием аутентификации для критичной функции (CWE-287, CWE-306, CWE-489). В случае их эксплуатации злоумышленники могут удаленно повысить привилегии в системе, получить доступ к защищаемой информации, выполнить произвольный код, в том числе на сервере, вызвать отказ в обслуживании и реализовать атаку «человек посередине» для перехвата данных.
Сразу после выявления уязвимостей в программном комплексе Metso DNA исследователи Национального киберполигона сообщили о них вендору, а также передали информацию во ФСТЭК России. Для снижения риска возникновения потенциальных инцидентов, связанных с эксплуатацией обнаруженных уязвимостей, эксперты «РТК-Солар» рекомендуют использовать компенсирующие меры. Сведения об уязвимостях и детальные рекомендации по минимизации рисков их эксплуатации опубликованы в Банке данных угроз безопасности информации ФСТЭК России (BDU:2022-06151 — BDU:2022-06158).
В результате ухода из страны целого ряда иностранных вендоров российские пользователи импортных решений лишились возможности получать обновления безопасности от производителей. Отсутствие патч-менеджмента создает серьезную угрозу для предприятий, особенно на объектах критической информационной инфраструктуры. Атаки, связанные с эксплуатацией уязвимостей, являются одним из наиболее распространенных векторов проникновения в инфраструктуру компаний. Идущий процесс импортозамещения в перспективе позволит заменить в том числе и специфическое иностранное промышленное оборудование на отечественное. Однако из-за дефицита компонентной базы и отсутствия российских аналогов по ряду направлений предприятиям необходимо уделять повышенное внимание управлению уязвимостями, а исследователям совместно с производителями —увеличивать компетенции и развивать сообщества исследований уязвимостей в отечественных продуктах, отметил заместитель директора департамента Национального киберполигона компании «РТК-Солар», Дмитрий Малинкин.
|
После публикации сведений в БДУ ФСТЭК России о выявленных уязвимостях в программном обеспечении компании Valmet эксперты «РТК-Солар» также передали информацию о них в Национальный центр кибербезопасности Финляндии (National Cyber Security Centre Finland, NCSC-FI).
Подрядчики-лидеры по количеству проектов
НППКТ (17)
Almi Partner, Алми партнер (ГК Алми) (7)
Ред Софт (Red Soft) (4)
РусБИТех-Астра (ГК \"Астра\")
Кортис (4)
Другие (46)
НППКТ (23)
Кортис (7)
Ред Софт (Red Soft) (5)
ОТР-БИТ (ОТР - безопасность информационных технологий) (2)
Астра Группа компаний (1)
Другие (8)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Microsoft (80, 144)
Ред Софт (Red Soft) (3, 67)
РусБИТех-Астра (ГК Астра) (3, 45)
НППКТ (2, 41)
ИВК (3, 27)
Другие (302, 133)
НППКТ (1, 17)
РусБИТех-Астра (ГК Астра) (2, 9)
Ред Софт (Red Soft) (1, 8)
Almi Partner, Алми партнер (ГК Алми) (1, 7)
Microsoft (2, 6)
Другие (11, 19)
НППКТ (1, 23)
Ред Софт (Red Soft) (1, 13)
ИВК (2, 4)
Базальт СПО (BaseALT) ранее ALT Linux (3, 3)
РусБИТех-Астра (ГК Астра) (2, 3)
Другие (0, 0)
Ред Софт (Red Soft) (1, 6)
Базальт СПО (BaseALT) ранее ALT Linux (1, 2)
ИВК (1, 2)
Microsoft (1, 1)
Атлант (ГК Applite) (1, 1)
Другие (0, 0)
Ред Софт (Red Soft) (1, 10)
Jolla (Sailfish Holding) (1, 1)
Открытая мобильная платформа (ОМП) (1, 1)
Synology (SLMP PTE) (1, 1)
Другие (0, 0)
Распределение систем по количеству проектов, не включая партнерские решения
Ред ОС (Red OS) - 62
Microsoft Windows - 60
НППКТ: ОСнова (Операционная система общего назначения, ОС ОН) - 41
Astra Linux Common Edition - 27
Astra Linux Special Edition - 21
Другие 197
НППКТ: ОСнова (Операционная система общего назначения, ОС ОН) - 17
Ред ОС (Red OS) - 8
Astra Linux Common Edition - 7
AlterOS - 7
Microsoft Windows - 5
Другие 18
НППКТ: ОСнова (Операционная система общего назначения, ОС ОН) - 23
Ред ОС (Red OS) - 13
Альт Рабочая станция - 2
Astra Linux Common Edition - 2
ОС Альт (ранее Альт Линукс (ALT Linux) - 2
Другие 2
Ред ОС (Red OS) - 6
ОС Альт (ранее Альт Линукс (ALT Linux) - 2
Атлант ОС - 1
Windows Server 2019 - 1
Другие 0