ABB Freelance AC-серия Контроллеры

Основная статья: АСУ ТП - типовая структура

2024: Устранение уязвимостей, позволяющих перехватить управление контроллерами

В контроллерах ABB исправлены уязвимости, обнаруженные экспертами компании Positive Technologies, которая сообщила об этом 19 марта 2024 года. Атакующий, используя их, мог остановить работу контроллеров или перехватить управление ими.

Компания ABB поблагодарила Наталью Тляпову и Дениса Горюшева за обнаружение двух уязвимостей в контроллерах Freelance AC 900F и AC 700F. Эти устройства применяются в металлургии, химической промышленности и в других сферах. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.

Контроллеры AC 900F и AC 700F используются для построения распределенных систем управления (РСУ) на предприятиях и предназначены для автоматизации крупных производств непрерывного цикла. ABB является лидером мирового рынка РСУ с долей 20%. Уязвимости CVE-2023-0425 и CVE-2023-0426 (доступ из России — через VPN) получили одинаковую оценку 8,6 по шкале CVSS v3.1, которая означает высокий уровень опасности.Российский рынок CRM-систем: оценки, перспективы, крупнейшие поставщики. Обзор TAdviser 9.7 т

Специалисты отдела анализа приложений Positive Technologies, обнаружившие уязвимости, отмечают, что, эксплуатируя эти недостатки безопасности, атакующий смог бы остановить работу контроллеров и нарушить технологический процесс. Кроме того, с помощью отправки специально сформированного пакета злоумышленник мог бы провести атаку типа remote code execution (выполнение произвольного кода), что позволило бы ему перехватить управление устройством.

Компания ABB рекомендует в кратчайшие сроки установить обновления Freelance 2016 SP1 RU06, Freelance 2019 SP1 RU02 и Freelance 2019 SP1 FP1 RU03. Для снижения угрозы пользователи также могут применять меры, описанные в уведомлении безопасности (доступ — через VPN).