Сотрудник Google объявил об уязвимости в SCADA-системах Siemens

Специалист Билли Райос в мае этого года выявил существенные изъяны в механизме удаленной аутентификации пользователей программного обеспечения Siemens SIMATIC. Данное ПО относится к SCADA-системам и активно используется для управления особо важными объектами инфраструктуры во многих странах мира. Исследователь незамедлительно направил производителю уведомление, но адекватного ответа не получил.


Говорить о том, что реакции от Siemens не было вовсе, нельзя: некоторое время назад представители компании сообщили журналистам, что на данный момент "нет никаких открытых вопросов", которые были бы связаны с проблемами обхода механизмов аутентификации. Аналитик Google ответил записью в блоге, где указал, что в таком случае пора рассказать общественности о выявленной уязвимости. По его мнению, отрицание наличия изъяна было бы прямой ложью со стороны производителя; "но Siemens не стала бы лгать, так что, полагаю, никаких проблем с обходом аутентификации нет", - не без иронии написал г-н Райос.

Итак, одним из опасных недостатков системы было использование стандартного административного пароля для служб Интернета, виртуальных сетевых вычислений (VNC) и Telnet-соединений. Логин-парольная комбинация, задаваемая производителем по умолчанию, состоит из имени "Administrator" и пароля "100", причем служба VNC не требует даже логина - достаточно ввести вышеуказанные три цифры, чтобы получить привилегированный доступ. Невнимательность администратора, забывшего изменить аутентификационные данные, в таком случае может открыть двери злоумышленникам. Специалист Google не исключает, что именно этот изъян мог обусловить успешное вторжение взломщика в SCADA-систему Южного Хьюстона, которое имело место в прошлом месяце: предполагаемый хакер, в частности, заявлял впоследствии, что на страже системы стоял пароль из трех знаков.

Изменение пароля по умолчанию также содержало ряд сюрпризов. Например, смена кодового слова для веб-интерфейса не оказывала никакого влияния на учетные данные к службе VNC, а если задаваемый пользовательский пароль содержал специальные символы, то он автоматически сбрасывался обратно на "100". Однако наиболее потенциально опасной проблемой, по мнению исследователя, являлась предсказуемость идентификаторов сессий, генерируемых интерфейсом SIMATIC Web Human Machine Interface; взломщик имел возможность сформировать "правильную" метку и получить доступ к системе вообще без учетных сведений.

О реакции Siemens на сообщение г-на Райоса пока ничего не известно.

PC World

Письмо автору

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

28% сотрудников компаний сливают рабочие логины и пароли фишерам

Тренировочные фишинговые рассылки, проведенные МТС RED в рамках сервиса Security Awareness, показали, что около трети сотрудников компаний переходят по ссылкам в таких письмах, а 28% оставляют на фейковых сайтах ключи от рабочих аккаунтов.

Пробные сообщения были разосланы 1018 сотрудникам крупных компаний. Результаты показали, что 319 получателей не умеют распознавать письма фишеров, а 285 — поддельные страницы.

«Порядка 30% переходов по фишинговым ссылкам в электронных письмах, замаскированных под рядовую корпоративную переписку, — стандартный показатель для компаний, реализующих базовые меры профилактики фишинга, — комментирует Илья Одинцов, руководитель направления Security Awareness. — Однако нас удивило, что 28% получателей писем вводят свои рабочие учетные данные на фишинговой странице. Мы ожидали, что этот показатель будет в два раза ниже».

Примечательно, что после первого обучения с использованием результатов тренировки доля переходов сокращается два раза и более. Однако хорошие показатели держатся недолго и откатываются до прежнего уровня. Следовательно, такие тренинги эффективны, когда они проводятся регулярно.

Статистика получена путем анализа результатов тренировочных рассылок, проведенных в 2024 году с февраля по март. В качестве темы в письмах фигурировали внутренние новости компаний, а также подарки к 23 Февраля и 8 Марта.

Перед праздниками объемы фишинга обычно возрастают. По данным МТС RED SOC, в этом году всплеск такой активности наблюдался только накануне 8 Марта. Скачок был заметным: за несколько дней число посланий фишеров возросло на 27%.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru