B&R Aprol

Продукт
Разработчики: B&R Automation
Дата последнего релиза: 2023/03/07
Отрасли: Газовая промышленность,  Машиностроение и приборостроение,  Нефтяная промышленность,  Энергетика
Технологии: АСУ ТП

Aprol — система управления производственными процессами, которая предлагает широкие возможности масштабирования, позволяя охватить каждую область применения.

2023: Устранение пяти уязвимостей

В системе управления B&R APROL устранили уязвимости, выявленные Positive Technologies, которая и сообщила об этом 7 марта 2023 года.

Злоумышленник мог проникнуть в базу данных системы, контролирующей производственные процессы.

Австрийская компания B&R, входящая в группу ABB, поблагодарила старшего специалиста отдела анализа приложений Positive Technologies Наталью Тляпову за обнаружение пяти уязвимостей в базе данных системы управления производственными процессами APROL. Решение применяется в энергетической, машиностроительной, нефтегазовой, пищевой и других отраслях. Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и исправил уязвимости в новых версиях ПО.

«
Наибольшую опасность представляли три уязвимости, которые позволили бы злоумышленнику осуществить удаленное выполнение кода, — сказала Наталья Тляпова. — Это CVE-2022-43761 (оценка 9,4 по шкале CVSS v3.1), CVE-2022-43762 (оценка 7,5) и CVE-2022-43764 (оценка 9,8). Комбинация этих ошибок могла использоваться для проникновения на сервер, на котором запущена B&R APROL, а CVE-2022-43761 сама по себе давала возможность чтения и искажения информации в базе данных этой системы. Такие изменения могли привести к нештатному режиму работы системы управления и нарушению технологического процесса.
»

Еще две уязвимости, найденные Натальей Тляповой, — CVE-2022-43763 и CVE-2022-43765 (оценки 7,5) — позволяли выполнить атаку типа «отказ в обслуживании».Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга 2.1 т

Пользователям необходимо установить исправленные версии системы APROL (R 4.2-07 с AutoYaST или V4.2-070.0.120102). Эти обновления обеспечивают защищенный доступ к базе данных с помощью TLS-шифрования.

2019: Выявление множественных уязвимостей в 12 компонентах Aprol

30 мая 2019 года компания Positive Technologies сообщила, что её эксперты отделов безопасности промышленных систем управления и анализа приложений выявили множественные уязвимости в 12 компонентах системы управления производственными процессами APROL австрийской компании B&R Automation. Данная система управления применяется в нефтегазовой, энергетической, машиностроительной и других отраслях.

Наибольшую опасность представляют пять уязвимостей (№ 5, 7, 8, 10, 11 из уведомления производителя), которые позволяют удаленному атакующему выполнить произвольный код в системе APROL.

«
Возможность выполнения произвольного кода в операционной системе компонентов АСУ ТП позволяет злоумышленнику негативно влиять на технологический процесс. Например, атакующий может несанкционированно отправлять команды управления оборудованием, изменять параметры конфигурации, в том числе программные алгоритмы. Такие изменения могут привести к нештатному режиму работы вплоть до возникновения аварийной ситуации на производстве,
отметил Владимир Назаров, руководитель отдела безопасности промышленных систем управления Positive Technologies
»

Среди выявленных уязвимостей были найдены ошибки доступа к памяти в компоненте TbaseServer, ошибки в компонентах AprolLoader и AprolSqlServer, SQL-инъекции в системе контроля и учета энергопотребления EnMon, возможность внедрения произвольных команд в веб-сервере.

Пользователям уязвимых версий необходимо установить последнюю версию APROL R.

По данным Positive Technologies, в 2018 году продолжился рост числа уязвимостей, выявляемых в оборудовании различных производителей систем промышленной автоматизации (на 30%), а также количества доступных в интернете компонентов АСУ ТП (на 27%).



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  КРУГ НПФ (89)
  Бест (Бест Софт ПКФ) (14)
  Модульные системы Торнадо (13)
  РТСофт (RTSoft) (7)
  ВидеоМатрикс (Videomatrix) (6)
  Другие (100)

  КРУГ НПФ (7)
  Siemens AG (Сименс АГ) (2)
  ВидеоМатрикс (Videomatrix) (2)
  Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (1)
  РТСофт (RTSoft) (1)
  Другие (5)

  КРУГ НПФ (8)
  ПНИПУ Пермский Национальный Исследовательский Политехнический Университет (1)
  РИР (Росатом Инфраструктурные решения) (1)
  СМУ ОВК (1)
  СО ЕЭС - Системный оператор Единой энергетической системы (1)
  Другие (6)

  КРУГ НПФ (12)
  ОВЕН (OWEN) (2)
  РИР (Росатом Инфраструктурные решения) (1)
  Цифровые Платформы и Решения Умного Города (1)
  Ctrl2Go Solutions, Кловер Групп (ранее Clover Group) (1)
  Другие (3)

  КРУГ НПФ (4)
  Reksoft (Рексофт) (1)
  Флагман Инжиниринг (1)
  Цифровые Платформы и Решения Умного Города (1)
  Другие (0)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  КРУГ НПФ (9, 93)
  Бест (Бест Софт ПКФ) (1, 16)
  Модульные системы Торнадо (4, 13)
  РТСофт (RTSoft) (6, 7)
  ВидеоМатрикс (Videomatrix) (3, 6)
  Другие (173, 76)

  КРУГ НПФ (3, 7)
  Siemens AG (Сименс АГ) (3, 2)
  ВидеоМатрикс (Videomatrix) (2, 2)
  Rockwell Automation (1, 1)
  Siemens Digital Industries Software (ранее Siemens PLM Software) (1, 1)
  Другие (5, 5)

  КРУГ НПФ (3, 8)
  ДИАТЕХ (1, 1)
  ПНИПУ Пермский Национальный Исследовательский Политехнический Университет (1, 1)
  СО ЕЭС - Системный оператор Единой энергетической системы (1, 1)
  ВидеоМатрикс (Videomatrix) (1, 1)
  Другие (3, 3)

  КРУГ НПФ (4, 12)
  ОВЕН (OWEN) (1, 2)
  CyberPhysics (СайберФизикс) (1, 1)
  Новософт развитие (1, 1)
  РИР (Росатом Инфраструктурные решения) (1, 1)
  Другие (1, 1)

  КРУГ НПФ (4, 4)
  Reksoft (Рексофт) (1, 1)
  РИР (Росатом Инфраструктурные решения) (1, 1)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ПТК КРУГ-2000 - 59
  SCADA КРУГ-2000 - 54
  DevLink-C1000 Промышленные контроллеры - 24
  1С:Предприятие 8. Энергетика. Управление распределительной сетевой компанией - 16
  ПТК Торнадо-N (прототип Национальной платформы промышленной автоматизации, НППА) - 12
  Другие 104

  SCADA КРУГ-2000 - 5
  ПТК КРУГ-2000 - 5
  DevLink-C1000 Промышленные контроллеры - 3
  Vmx Qualex: Track - 1
  Aspen DMC3 - 1
  Другие 10

  SCADA КРУГ-2000 - 6
  ПТК КРУГ-2000 - 5
  DevLink-C1000 Промышленные контроллеры - 4
  Инка Цифровое производство (Консом.Инка.ЦП, Konsom.Inka.DI) - 1
  ПНИПУ: Технология оперативного измерения влажности продукции после сушки - 1
  Другие 4

  SCADA КРУГ-2000 - 10
  ПТК КРУГ-2000 - 10
  DevLink-C1000 Промышленные контроллеры - 2
  ОВЕН: КосМастер Блок для управления установками обратного осмоса - 2
  КРУГ: Тропа Компьютерный тренажёрный комплекс - 1
  Другие 4

  ПТК КРУГ-2000 - 4
  SCADA КРУГ-2000 - 4
  Росатом Цифровое ресурсоснабжение - 1
  DevLink-C1000 Промышленные контроллеры - 1
  КРУГ: АСУ ТП турбоагрегата - 1
  Другие 1