Siemens устранил 17 дыр в системе управления производством энергии
Главная » Новости

Siemens устранил 17 дыр в системе управления производством энергии

Олег Иванов 13 Декабря 2019 - 18:14
...
Siemens устранил 17 дыр в системе управления производством энергии

Positive Technologies помогла Siemens устранить опасные уязвимости в системе управления производством электроэнергии. Уязвимости были обнаружены в двух компонентах SPPA-T3000 — в сервере приложений и сервере миграции.

В коде сервера приложений было найдено семь уязвимостей. Три из них позволяют выполнить произвольный код в системе. В первом случае это возможно благодаря использованию незащищенного сервиса Remote Method Invocation (RMI), причем для эксплуатации уязвимости аутентификация не требуется. Другая возможность выявлена в сервисе Java Management Extensions (JMX), запущенном на сервере приложений. Выполнить код в системе позволяет и наличие в системе метода, доступного через удаленный вызов процедур (RPC-метода), предназначенного для администрирования и не требующего аутентификации.

Еще три уязвимости сервера приложений связаны с недостатком аутентификации некоторых сервисов, который позволяет остановить некоторые запущенные внутри системы контейнеры и вызвать отказ в обслуживании сервера. Последняя уязвимость позволяет загружать произвольные файлы без какой-либо авторизации.

Другие десять уязвимостей обнаружены в сервере миграции MS-3000. В их числе две возможности удаленного чтения и записи произвольных файлов. Так, например, злоумышленник может прочитать файл /etc/shadow, содержащий зашифрованные пароли пользователей, и попробовать подобрать пароль.

Также выявлены множественные недостатки безопасности типа «переполнение буфера на куче». Их эксплуатация может, среди прочего, привести к отказу сервера миграции.

«Эксплуатация некоторых уязвимостей может позволить злоумышленнику выполнить произвольный код на сервере приложений (одном из важнейших компонентов системы SPPA-T3000), получить контроль над технологическим процессом и нарушить его. Это грозит прекращением выработки электроэнергии и аварийными ситуациями на ТЭС или ГЭС — там, где установлена уязвимая система», — отмечает руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.

Пользователям рекомендуется установить последнюю версию SPPA-T3000, в которой устранены обнаруженные уязвимости.

Следующая главная новость »
AM LiveVulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

YouTube удалил госканалы Беларуси: БЕЛТА, ОНТ и СТВ
Екатерина Быстрова 03 Апреля 2026 - 21:03
Информационные войны Общее
YouTube удалил госканалы Беларуси: БЕЛТА, ОНТ и СТВ

Государственные YouTube-каналы Беларуси, включая БЕЛТА, ОНТ и СТВ, 3 апреля были удалены с платформы. В белорусском Мининформе этот шаг оценили резко негативно и назвали его недружественным и безосновательным.

Об этом сообщило агентство БЕЛТА. Там же уточнили, что причиной названы санкции.

Ведомство заявило, что оставляет за собой право на ответные меры. БЕЛТА отдельно подчёркивает, что само агентство, по его версии, под санкциями не находится.

На этом фоне пользователям также посоветовали быть внимательнее: если на YouTube начнут появляться каналы с теми же названиями, это могут быть клоны. История уже вышла за рамки просто удаления страниц и быстро превращается ещё и в вопрос доверия к тому, что пользователи увидят вместо них.

Пока подробностей со стороны YouTube немного, но сама ситуация выглядит как очередной виток давления на государственные медиа Беларуси в зарубежных цифровых платформах.

Для аудитории это означает, что теперь придётся следить за тем, где появятся их новые площадки или зеркала.

AM LiveVulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!
Россиянам могут отключить домашний интернет за отказ от оптики
Новость
Россиянам могут отключить домашний интернет за отказ от опти...
В Nova Container Platform 7.4.0 упростили управление кластерами и бэкапами
Новость
В Nova Container Platform 7.4.0 упростили управление кластер...
Один клик — и Copilot сливает данные: как работает атака Reprompt
Новость
Один клик — и Copilot сливает данные: как работает атака Rep...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.