Дыра в ПЛК-софте Horner позволяет выполнить код через файлы шрифтов

Дыра в ПЛК-софте Horner позволяет выполнить код через файлы шрифтов

Дыра в ПЛК-софте Horner позволяет выполнить код через файлы шрифтов

Исследователь Майкл Хайнцль (Michael Heinzl) обнаружил семь схожих уязвимостей в программном обеспечении Cscape производства Horner Automation. Все они вызваны некорректной проверкой пользовательского ввода и позволяют выполнить сторонний код в контексте текущего процесса с помощью специально созданного файла шрифтов.

Бесплатный софт Cscape широко используется для программирования контроллеров производственных процессов, а также устройств управления инженерным оборудованием зданий. Найдя опасные уязвимости (все по 7,8 балла CVSS), баг-хантер подал отчеты в CISA (Федеральное агентство по кибербезопасности, США) и опубликовал информационные бюллетени.

Одновременно вышли алерты американской ICS-CERT (группы быстрого реагирования на киберинциденты в сфере АСУ ТП), посвященные находкам Хайнцля, — один в конце мая, другой недавно, 4 октября.

Майский бюллетень ICS-CERT содержит список из четырех уязвимостей, проявляющихся при парсинге файлов шрифтов. Две из них классифицируются как запись за границами выделенного буфера, одна — как чтение за пределами буфера, еще одна — как переполнение буфера в куче.

Эксплойт во всех случаях тривиален и осуществляется с помощью вредоносного файла FNT, который жертва должна открыть (чтобы вызвать нужную реакцию, автору атаки придется прибегнуть к социальной инженерии). В случае успеха злоумышленник сможет выполнить в системе свой код с привилегиями текущего пользователя.

В октябрьском бюллетене ICS-CERT перечислены новые ошибки, которые могут возникнуть при работе Cscape с памятью в ходе парсинга: запись за границами буфера и две возможности доступа к неинициализированному указателю.

Данных о злонамеренном использовании какой-либо уязвимости Cscape на настоящий момент нет. Патчи Horner уже выпустила — четыре в составе пакета 9.90 SP6 (вышел 14 января), три в составе 9.90 SP8 от 22 сентября. Пользователям рекомендуется обновить продукт до последней версии и хорошо вооружиться на случай атаки с элементами социальной инженерии: научиться распознавать уловки фишеров и других мошенников, а также взять в привычку не кликать бездумно по ссылкам и вложениям в письмах от незнакомцев.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ГК Солар запустила Solar DNS Radar для защиты от атак через DNS

Группа компаний «Солар» объявила о запуске сервиса Solar DNS Radar, который анализирует исходящий трафик и блокирует подключения к фишинговым доменам и серверам управления хакеров. По сути, это позволяет останавливать кибератаки ещё на раннем этапе — до того, как они успеют нанести ущерб.

По данным центра Solar 4RAYS, около 89% атак проходит именно через DNS-протокол — ту самую систему, которая сопоставляет адрес сайта с IP-адресом сервера.

Злоумышленники используют эту особенность, чтобы перенаправлять пользователей на поддельные сайты или поддерживать связь с вредоносами внутри инфраструктуры.

Solar DNS Radar в реальном времени фильтрует DNS-запросы, выявляет подозрительную активность и блокирует соединения с фишинговыми ресурсами, серверами управления (C2), доменами сгенерированными алгоритмами (DGA) и другими источниками, связанными с APT-группами. Кроме того, сервис можно использовать для ограничения доступа сотрудников к нежелательным сайтам.

В работе решения используются несколько подходов:

  • блокировка доступа к недавно зарегистрированным доменам (Zero Trust),
  • данные о киберугрозах из сервиса Solar TI Feeds,
  • аналитика сенсоров «Ростелекома» и телеметрия сервисов Solar JSOC,
  • результаты расследований Solar 4RAYS,
  • алгоритмы ИИ для точного распознавания атак и снижения ложных срабатываний.

Сервис доступен в трёх вариантах: как облачное решение (SaaS), как управляемый сервис с настройкой от специалистов «Солара» (MSS) или как локальная установка (on-prem) на стороне заказчика.

По словам разработчиков, Solar DNS Radar может быть полезен и небольшим компаниям, которые только начинают выстраивать процессы безопасности, и крупным организациям, которым важно разгрузить SOC и быстро закрыть «серые зоны» в инфраструктуре.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru