40% систем управления промышленными процессами уязвимы для хакеров

Более 40% подключенных к интернету автоматизированных систем управления технологическим процессом (АСУ ТП), применяющихся на предприятиях в энергогенерирующей, нефтеперерабатывающей и других отраслях, уязвимы для простейших хакерских атак, в результате чего целые заводы могут быть выведены из строя, говорится в исследовании российской компании Positive Technologies, опубликованном в среду.

Системы АСУ ТП в настоящее время применяются практически в каждой отрасли: начиная с транспортной (скоростные поезда «Сапсан», метрополитен), заканчивая атомными и гидроэлектростанциями, и даже сетями распределения электроэнергии и водоснабжения. Последствия успешной хакерской атаки на любую из таких систем могут оказаться катастрофическими, однако, как выяснили специалисты Positive Technologies, безопасность современных АСУ ТП оставляет желать лучшего, сообщает digit.ru.

«Как минимум 42% доступных через интернет систем АСУ ТП содержат уязвимости, которыми без труда может воспользоваться злоумышленник. Доля систем, безопасность которых была достоверно подтверждена в ходе исследования, составляет всего лишь 17%», — говорится в тексте исследования.

Специалисты отмечают рост числа именно подключенных к сети систем (еще несколько лет назад такие примеры были редкостью и АСУ ТП в основном работали автономно). США и Европа лидируют по числу доступных из интернета систем АСУ ТП, при этом 54% доступных извне систем в Старом Свете и 39% в США уязвимы и могут быть взломаны. На третьей позиции — Азия (32%). В России уязвима половина интернет-доступных систем АСУ ТП.

Большинство проблем безопасности IT-систем управления связаны с ошибками конфигурации (например, со стандартными паролями) и отсутствием обновлений. В подобных ситуациях системы могут быть взломаны даже непрофессиональными хакерами. В настоящий момент 35% всех представленных уязвимостей АСУ ТП имеют эксплойты (готовые средства для использования уязвимости), которые свободно распространяются в виде отдельных утилит, входят в состав программных пакетов для проведения тестов на проникновение, либо описаны в уведомлениях об уязвимости, отмечают исследователи.

Отчасти в подобной ситуации виноваты сами производители систем АСУ ТП. По данным исследователей, примерно каждая пятая уязвимость «закрывалась» с серьезной задержкой, а в некоторых случаях так и не была устранена. Например, Siemens устранил и выпустил обновления для 92% уязвимостей, тогда как Schneider Electric ликвидировал только чуть больше половины (56%). Исследование охватило период с 2005 года до 1 октября 2012 года. В период с 2005 года по 2010 год было обнаружено всего 9 уязвимостей в системах АСУ ТП. Однако после появления червя Stuxnet в 2010 году, который, предположительно, атаковал ряд ядерных объектов Ирана, за 2011 год было найдено уже 64 уязвимости.

За первые восемь месяцев 2012 года появились сообщения о 98 новых уязвимостях: это больше, чем за все предыдущие годы. При этом около 65% уязвимостей относятся к высокой и критической степени риска. «Этот показатель значительно превышает аналогичный показатель в прочих IТ-системах, что свидетельствует о низком уровне развития информационной безопасности систем АСУ ТП», — отмечают эксперты Positive Technologies.

Наибольший интерес для злоумышленников представляют такие составляющие АСУ ТП, как системы SCADA (системы сбора и анализа информации о работе производства) и интерфейсы управления Human Machine Interface, в которых обнаружено 87 и 49 уязвимостей соответственно. В программируемых логических контроллерах (устройствах, контролирующих работу оборудования) различных производителей за отчетный период найдены 20 уязвимостей.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google устранила опасную уязвимость в Java-клиенте OAuth

В прошлом месяце Google выпустила новую сборку клиентской Java-библиотеки, обеспечивающей авторизацию по протоколу OAuth. В продукте закрыта уязвимость, эксплуатация которой позволяет подменить токен для доступа к API и развернуть на атакуемой платформе полезную нагрузку по своему выбору.

Степень опасности проблемы CVE-2021-22573 в Google оценили в 8,7 балла по шкале CVSS. Автору находки было выплачено $5 тыс. в рамках программы bug bounty.

Согласно официальному описанию, причиной появления уязвимости является неадекватная верификация криптографической подписи токенов — удостоверения провайдера полезной нагрузки. В результате автор атаки сможет предъявить скомпрометированный токен с кастомным пейлоадом, и тот успешно пройдет проверку на стороне клиента.

Использование кода OAuth-библиотеки Google позволяет приложению или юзеру войти в любой веб-сервис, поддерживающий этот протокол авторизации. Во избежание неприятностей пользователям рекомендуется обновить пакет google-oauth-java-client до версии 1.33.3.

OAuth-авторизация пользуется большой популярностью у веб-серферов. Протокол избавляет от необходимости доверять приложению логин и пароль, а также позволяет сократить число аккаунтов в Сети, то есть аудиторию с доступом к персональным данным.

К сожалению, спецификации OAuth не предусматривают обязательных функций безопасности, и надежность в этом плане всецело зависит от усилий разработчика, реализующего эту технологию. Небрежная защита клиентского приложения или сервиса с поддержкой OAuth провоцирует атаки и грозит утечкой конфиденциальных данных.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru