Критическая дыра в ENIP-совместимых устройствах грозит взломом АСУ ТП

Критическая дыра в ENIP-совместимых устройствах грозит взломом АСУ ТП

Критическая дыра в ENIP-совместимых устройствах грозит взломом АСУ ТП

В прошивках десятка устройств, использующих комплект разработчика 499ES EtherNet/IP (ENIP) производства Real Time Automation (RTA), присутствует критическая уязвимость, позволяющая удаленно выполнить вредоносный код.

Разработчик SDK выпустил патч еще в 2012 году, однако многие продавцы оборудования для промышленной автоматизации приобрели право пользования проектом задолго до этого и продолжают привносить уязвимый код в свои реализации сетевого стека ENIP.

Согласно бюллетеню, выпущенному американской Группой реагирования на киберинциденты в сфере АСУ ТП (ICS-CERT), уязвимость, зарегистрированная под идентификатором CVE-2020-25159, относится к классу «переполнение буфера». Использование этой ошибки позволяет с помощью особого сетевого пакета, поданного на TCP-порт 44818, вызвать на устройстве состояние отказа в обслуживании, а при благоприятных условиях — даже выполнить произвольный код в системе.

Проблема была оценена в 9,8 балла из 10 возможных по шкале CVSS. Она присутствует во всех выпусках EtherNet/IP Adapter Source Code Stack, предшествующих пропатченному 2.28.

Поскольку стандарт ENIP широко используется в системах промышленной автоматизации, обнаружившие лазейку исследователи попытались определить современные масштабы бедствия. Поиск через специализированные сервисы вроде Shodan выявил более 8 тыс. систем, совместимых с ENIP и подключенных к интернету.

Чтобы вычленить из них уязвимые устройства, эксперты создали уникальный цифровой отпечаток для компонентов прошивки, созданных на основе SDK RTA, и провели сканирование. В итоге им удалось обнаружить 11 потенциально уязвимых устройств и шесть производителей, использующих ENIP-стек RTA. Затронутые провайдеры уже уведомлены о возможной проблеме.

Операторам подобных устройств рекомендуется по возможности обновить прошивки. Снизить риск эксплуатации помогут превентивные меры, рекомендованные ICS-CERT США:

  • Предельное ограничение сетевого доступа ко всем управляющим устройствам и системам, а также введение запрета на доступ к ним из интернета.
  • Организация защиты систем и сетей управления с помощью межсетевых экранов, а также путем изоляции их от бизнес-сети.
  • Использование надежных средств удаленного доступа вроде VPN и своевременное обновление этих инструментов.
  • Удаление, деактивация или переименование дефолтных системных аккаунтов.
  • Введение политик, диктующих использование только сильных паролей.
  • Мониторинг создания учетных записей администратора субподрядчиками.

Карты с бензином под подозрением: Минэнерго заявило о риске сбора данных

Минэнерго России призвало автомобилистов осторожнее относиться к сайтам и сервисам, которые показывают наличие топлива на заправках. В ведомстве считают, что такие площадки могут быть опасны из-за возможного незаконного сбора персональных данных.

По данным министерства, с конца июня 2026 года резко выросла активность интернет-ресурсов, где пользователям предлагают смотреть, на каких АЗС есть бензин или другое топливо. Информация на таких сервисах якобы добавляется самими автомобилистами.

Но в Минэнерго настроены скептически. Ведомство заявило, что анализ опубликованных данных указывает на их недостоверность. Кроме того, специалисты заметили манипуляции сведениями о наличии топлива на заправках.

Проще говоря, если сервис показывает, что где-то точно есть бензин, это еще не значит, что он там действительно есть. Зато риск оставить свои данные на сомнительной площадке вполне реальный.

Предупреждение появилось на фоне сообщений СМИ о быстром росте популярности подобных проектов. Один из них — сервис «ГдеБенз» — якобы собрал около 2 млн посетителей всего за три дня.

При этом сам сервис утверждает, что не требует регистрации, не просит скачивать приложения и не собирает пользовательские данные.

Тем не менее Минэнерго советует не доверять таким ресурсам безоговорочно. Ведомство указывает, что информация о наличии топлива может быть неточной, а сами площадки — использовать интерес автомобилистов для сбора данных или распространения недостоверных сведений.

На днях мы также сообщали о новом зловреде для Android, который маскируется под видом сервиса поиска топлива.

RSS: Новости на портале Anti-Malware.ru