Разработчики: | mySCADA Technologies |
Технологии: | SCADA |
Содержание |
Продукт mySCADA myPRO[1] представляет собой систему визуализации и управления промышленными процессами, которая может быть установлена на операционные системы Windows или Linux и позволяет визуализировать данные из АСУ ТП с помощью веб-интерфейса.
История
2024: Обнаружение опасной уязвимости, исправление для россиян недоступно
В системе визуализации и управления промышленными процессами mySCADA myPRO ФСТЭК в начале июля обнаружила уязвимость BDU:2024-05050[2], которая позволяет удаленному злоумышленнику выполнить произвольный код. Уязвимость связана с предустановленными учетными данными, то есть вшитыми в ПО паролями от административных учетных записей. Опасность уязвимости по методике оценки CVSS 3.1 составляет 9,8 из 10. Указано, что в версии myPRO 8.31.0 ошибка исправлена, и нужно бы до нее обновиться, однако производитель – чешская компания – настроена против российских пользователей.
mySCADA - простой и удобный инструмент визуализации промышленных процессов, он был довольно широко распространён в России до санкций, в которых производитель продукта, чешская компания, выступает с очень жёстких позиций, – пояснил для TAdviser ситуацию Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда», – Доступ к системе осуществляется через обычный веб-браузер. Дополнительным преимуществом является возможность написания сценариев на языке JavaScript, что позволяет пользователям расширять функциональность системы. Ввиду всего вышесказанного такие системы небезопасны сами по себе, поэтому их обычно проектируют без прямой связи с технологическим контуром. Поэтому при классической архитектуре вряд ли хакеру удастся получить контроль над технологическим процессам, то есть нанести вред промышленной инфраструктуре и, тем более, здоровью и жизни людей. |
В то же время, по мнению Владимира Дащенко, эксперта по кибербезопасности Kaspersky ICS CERT, ситуация может оказаться опасной.
Это достаточно критичная уязвимость, так как речь идет о потенциальном бэкдоре – это недекларированный функционал ПО, а именно «вшитые» аутентификационные данные, – заявил он в переписке с TAdviser. – Непонятно, были ли они забыты или же оставлены с намерением. Когда в компании внедрены лучшие практики безопасной разработки, то такие ситуации невозможно пропустить. Эксплуатация такой уязвимости может нести очень серьёзные последствия для технологического процесса. |
Действительно, принятый в России ГОСТ Р 65939 определяет процессы разработки безопасного программного обеспечения, где предусмотрена проверка в том числе и на наличие встроенных учетных данных – этот процесс должен выполнять сам производитель. Причем ФСТЭК своими требованиями по использованию ПО, которое проверено на безопасность, фактически обязывает производителей программного обеспечения внедрять проверки на наличие встроенных административных привилегий в конвейер разработки. Однако у чешской компании, похоже, подобные процедуры реализованы не были. В результате пользователям ее продуктов приходиться либо обновляться до новой версии – 8.31.0, либо выполнять следующие рекомендации ФСТЭК:
- сегментировать сети для ограничения доступа к промышленному сегменту из других подсетей;
- ограничить доступ из внешних сетей (интернет) к промышленному сегменту;
- использовать виртуальные частные сети для организации удаленного доступа (VPN);
- применять средства межсетевого экранирования для ограничения возможности прямого удалённого доступа.
Необходимо следовать принципам эшелонированной защиты своих активов, – дополнил рекомендации ФСТЭК Владимир Дащенко. – Также использовать специализированные средства защиты для промышленных сетей и автоматизированных систем, регулярно обучать персонал и пользоваться сервисами раннего информирования об угрозах. Еще рекомендую проверять ПО силами сторонних исследователей на предмет наличия недекларированных возможностей и уязвимостей «нулевого дня». |
Примечания
Подрядчики-лидеры по количеству проектов
КРУГ НПФ (83)
РТСофт (RTSoft) (9)
Консом групп, Konsom Group (КонсОМ СКС) (9)
Фиорд (Fiord) (6)
Системы и технологии (5)
Другие (96)
КРУГ НПФ (7)
Свизитом (Svisitom) (2)
Добротех (2)
НИПИГАЗ (НИПИгазпереработка) (1)
ОСК (Объединенная сервисная компания) (1)
Другие (7)
КРУГ НПФ (8)
РИР (Росатом Инфраструктурные решения) (1)
РТСофт (RTSoft) (1)
Ростелеком (1)
СМУ ОВК (1)
Другие (8)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
КРУГ НПФ (5, 85)
ARC Informatique (2, 12)
Wonderware (4, 10)
Honeywell Process Solutions (HPS) (3, 9)
Siemens Digital Industries Software (ранее Siemens PLM Software) (2, 7)
Другие (146, 68)
КРУГ НПФ (3, 7)
Свизитом (Svisitom) (1, 2)
Siemens AG (Сименс АГ) (2, 1)
Schneider Electric Global (1, 1)
Доза НПП (1, 1)
Другие (4, 4)
КРУГ НПФ (3, 8)
Юникорн (1, 1)
Schneider Electric (1, 1)
Группа компаний 1520 (1, 1)
Коркласс (ранее ТехноИнвестПроект УК Технологии Проектных Инвестиций) (1, 1)
Другие (5, 5)
КРУГ НПФ (3, 4)
Системы и технологии (1, 2)
AdAstra Research Group (АдАстра Рисерч Груп) (1, 1)
Reksoft (Рексофт) (1, 1)
РИР (Росатом Инфраструктурные решения) (1, 1)
Другие (1, 1)
Распределение систем по количеству проектов, не включая партнерские решения
ПТК КРУГ-2000 - 59
SCADA КРУГ-2000 - 54
DevLink-C1000 Промышленные контроллеры - 24
PcVue - 10
АСУ ТП Experion Process Knowledge System (PKS) - 9
Другие 88
SCADA КРУГ-2000 - 5
ПТК КРУГ-2000 - 5
DevLink-C1000 Промышленные контроллеры - 3
Свизитом: Эксплуатация и обслуживание зданий - 2
НИПИгазпереработка: Комплексное решение по контролю за логистикой мегапроектов - 1
Другие 7
SCADA КРУГ-2000 - 6
ПТК КРУГ-2000 - 5
DevLink-C1000 Промышленные контроллеры - 4
Ujin Виртуальная диспетчерская - 1
Ростелеком и КорКласс: Цифровая платформа экомониторинга - 1
Другие 6