В системах управления электроподстанциями обнаружены уязвимости

Александр Панасенко 26 Декабря 2016 - 13:57

...

В системах управления электроподстанциями обнаружены уязвимости

Специалисты компании Positive Technologies Илья Карпов и Дмитрий Скляров выявили уязвимости в программном обеспечении Siemens SICAM PAS (Power Automation System), предназначенном для построения АСУ ТП в энергетике.

Данное ПО используется на подстанциях различных классов напряжения в России, странах Европы и на других континентах. Производитель подтвердил наличие брешей и выпустил рекомендации по их устранению.

Уязвимости связаны с ненадежным хранением паролей и разглашением чувствительной информации. Наибольшую опасность представляет ошибка безопасности CVE-2016-8567, получившая оценку 9,8 по 10-балльной шкале CVSSv3, что соответствует высокому уровню опасности. Злоумышленники могут удаленно получить привилегированный доступ к базе данных SICAM PAS, используя стандартную возможность дистанционного конфигурирования через TCP-порт 2638 и жестко закодированные пароли в заводских учетных записях.

Вторая обнаруженная Positive Technologies уязвимость CVE-2016-8566 с оценкой 7,8 позволяет узнать учетные записи пользователей и восстановить к ним пароли (после получения доступа к базе данных SICAM PAS). Причина — в слабых алгоритмах хеширования паролей.

«Критический уровень опасности этих уязвимостей обусловлен возможностью удаленно переконфигурировать SICAM PAS на энергетическом объекте, блокировать работу системы диспетчеризации или вызвать различные аварии, включая системные», — отметил руководитель отдела исследований и аудита промышленных систем управления Positive Technologies Илья Карпов.

Для устранения этих уязвимостей производитель рекомендует обновить SICAM PAS до версии 8.0. Необходимо также заблокировать доступ к портам 19235/TCP и 19234/TCP с помощью, например, брандмауэра Windows, что позволит до выпуска дополнительных патчей закрыть две другие описанные в бюллетене безопасности бреши.

Это не первая совместная работа двух компаний в 2016 году. Летом Siemens сообщил о двух уязвимостях CVE-2016-5848 и CVE-2016-5849, обнаруженных также Ильей Карповым и Дмитрием Скляровым. Данные уязвимости получили низкий уровень опасности, так как ими нельзя воспользоваться удаленно (оценка 2,5 по шкале CVSSv3). Для их устранения надо обновить SICAM PAS до версии 8.08.

В октябре 2016 года Siemens опубликовал информацию также о двух уязвимостях (CVE-2016-7959 и CVE-2016-7960) в интегрированной среде разработки программного обеспечения SIMATIC STEP 7 (TIA Portal), найденных руководителем отдела анализа приложений Positive Technologies Дмитрием Скляровым. В частности, злоумышленник, имея локальный доступ к проектам SIMATIC STEP 7 и TIA Portal, может разобрать алгоритм скрытия хешей паролей и узнать используемые пароли в проекте для ПЛК Simatic S7.

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Июня 2026 - 08:45

Трояны Домашние пользователи Лаборатория Касперского

В WhatsApp рассылают VBS-файлы для удаленного доступа к ПК жертвы

Киберпреступники развернули новую международную кампанию через WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России), используя взломанные аккаунты пользователей для распространения вредоносных файлов. Под удар попали пользователи в Бразилии, Индии, Мексике, Великобритании, Испании, России и ряде других стран.

Об атаке сообщили специалисты «Лаборатории Касперского». Жертва получает сообщение от знакомого контакта в WhatsApp.

Внутри лежит файл с названием вроде финансового отчёта, счёта, платёжного документа или уведомления по аккаунту. Названия адаптированы под разные языки и регионы, что говорит о глобальном масштабе кампании.

Но вместо документа пользователя ждёт вредоносный VBS-файл. Как выяснили исследователи, злоумышленники получают доступ к учётным записям WhatsApp и рассылают заражённые вложения по списку контактов. Каким именно способом компрометируются аккаунты, пока неизвестно.

После запуска файла на компьютере под управлением Windows начинается цепочка заражения. Скрипт скачивает дополнительные компоненты, отключает часть защитных механизмов системы и загружает архив с программой ManageEngine Endpoint Central.

Сама по себе ManageEngine Endpoint Central является легитимным корпоративным инструментом удалённого администрирования, который используют ИТ-специалисты для управления рабочими станциями. Однако в данном случае программа устанавливается скрытно и подключается к серверам злоумышленников.

В результате атакующие получают удалённый доступ к компьютеру жертвы практически на правах администратора.

Отдельную опасность представляет версия WhatsApp Desktop. Если в WhatsApp Web вредоносный файл сначала необходимо скачать, то в настольном клиенте Windows такой VBS-файл может запускаться напрямую через Windows Script Host.

Исследователи пока не связывают атаку с конкретной группировкой. Однако в инфраструктуре кампании были обнаружены следы использования китайского языка и пересечения с активностью известных зловредов ValleyRAT и Gh0st RAT.

Эксперты советуют не доверять вложениям даже от знакомых контактов. Если кто-то неожиданно прислал файл с финансовым отчётом или счётом, лучше уточнить его происхождение через звонок или другое средство связи. А любые загруженные файлы перед открытием стоит проверять антивирусом.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!