В контроллерах Schneider Electric выявлены опасные уязвимости

Олег Иванов 22 Августа 2018 - 10:41

...

В контроллерах Schneider Electric выявлены опасные уязвимости

Эксперты Positive Technologies Никита Максимов, Алексей Стенников, Кирилл Чернышов, Антон Дорфман, Александр Мелких и Иван Курнаков выявили ряд уязвимостей в контроллерах компании Schneider Electric. Это оборудование применяется для обеспечения работы различных систем в аэропортах, в нефтехимической и цементной отраслях, в металлургии, энергетике, водоснабжении и в других сферах.

Уязвимости выявлены в контроллерах Modicon Premium, Modicon Quantum, Modicon M340 и Modicon BMXNOR0200.

«Наличие этих уязвимостей на критически важных производственных объектах повышает риск нарушения непрерывности технологических процессов, аварий, мошенничества и других неприятных последствий», — отмечает руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.

Наиболее опасная уязвимость (CVE-2018-7760, оценка 7,7 по шкале CVSS) была опубликована в уведомлении Schneider Electric от 22 марта. Она позволяет атакующему с помощью CGI-запросов обойти механизм авторизации на встроенном веб-сервере перечисленных контроллеров. Вторая уязвимость CVE-2018-7761 (оценка 7,3) дает возможность выполнить произвольный код на веб-сервере контроллеров линейки BMXNOR0200. Еще две уязвимости, CVE-2018-7759 и CVE-2018-7762, с оценкой 5,9, позволяют переполнить буфер, что может привести к отказу в облуживании; им подвержены все упомянутые ПЛК.

Кроме того, Schneider Electric выпустила второе уведомление, в котором описывались три другие уязвимости, обнаруженные специалистами Positive Technologies. Два недостатка получили оценку 5,9. Первая уязвимость CVE-2018-7241 связана с наличием жестко закодированных учетных записей на контроллерах. Во втором случае уязвимость CVE-2018-7242 связана со слабым алгоритмом хеширования пароля. В результате алгоритм, используемый для шифрования пароля, подвержен коллизиям, что может помочь злоумышленнику подобрать пароль.

Третья уязвимость CVE-2018-7240 (оценка 4,8) позволяет получить несанкционированный доступ к файловой системе, однако ей подвержены только контроллеры серии Modicon Quantum. Команда FTP для обновления прошивки модуля может быть использована неправильно, что позволяет атакующему вызвать отказ контроллера или загрузить вредоносную прошивку.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 09 Июня 2026 - 14:25

Гарда NDR Корпорации ГК «Гарда»

Гарда NDR научилась искать скрытые атаки по поведению хостов

Компания «Гарда» обновила систему анализа сетевого трафика и выявления угроз «Гарда NDR». В новой версии появились механизмы автоматической оценки риска для хостов и кластеризации устройств на основе машинного обучения.

Главная идея обновления заключается в том, чтобы помочь специалистам по информационной безопасности быстрее находить действительно подозрительные события среди большого количества сетевой активности.

Для этого система анализирует поведение устройств в сети и группирует их по схожим признакам. Если один из хостов начинает заметно отличаться от других устройств своего кластера, это может указывать на аномалию или потенциальный инцидент.

Такой подход позволяет выявлять нестандартные сценарии атак, которые не всегда обнаруживаются классическими сигнатурными средствами защиты.

Параллельно в продукте появился риск-скоринг хостов. Вместо длинного списка разрозненных уведомлений аналитик получает ранжированный перечень узлов с оценкой потенциального уровня риска.

Для формирования этой оценки используются сразу несколько источников данных: сетевой трафик, телеметрия NetFlow, сигнатурный анализ, индикаторы компрометации и данные от механизмов Deception.

В компании отмечают, что подобное сочетание кластеризации и автоматической оценки риска реализовано в российских NDR-решениях впервые.

Обновление затронуло и другие компоненты системы. В продукт добавили поддержку цифровых отпечатков JA4 для анализа зашифрованного трафика, а также новую ML-модель для выявления автоматически сгенерированных доменов (DGA), которые часто используются для связи зловредов с управляющими серверами.

Кроме того, разработчики упростили развёртывание решения. В системе появились графический мастер установки и механизм автоматической загрузки политик из архивов. Также были расширены возможности интеграции с SIEM-платформами и доработан пользовательский интерфейс.

По данным компании, изменения затронули и процессы расследования инцидентов. Ряд операций теперь требует меньше действий со стороны аналитиков, что должно сократить время на обработку событий безопасности и снизить вероятность пропуска важных сигналов на фоне большого количества уведомлений.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!