Эксперт Positive Technologies обнаружил три уязвимости в УСПД СЕ805М производства компании «Энергомера»; одна из проблем была признана критической. Обновление с патчами для встроенного софта уже доступно и предоставляется по запросу.
УСПД СЕ805М предназначено для использования на энергообъектах ЖКХ и розничного рынка. Устройство осуществляет сбор данных с умных счетчиков электроэнергии и передает их на верхний уровень автоматизированной системы коммерческого учета электроэнергии (АСКУЭ); с помощью УСПД также можно удаленно управлять нагрузкой.
Найденные уязвимости характеризуются следующим образом:
- BDU:2023-04841 (9,8 балла CVSS) — возможность несанкционированного изменения настроек на уровне SUPERVISOR (причина — вшитые в код учетки и использование хеша вместо пароля для аутентификации);
- BDU:2023-04842 (8,1 балла) — возможность нарушения целостности базы данных и отказа в обслуживании (DoS) через SQL-инъекцию;
- BDU:2023-04843 (8,8 балла) — возможность инъекции команд, выполняемых при запуске автообновления прикладной программы.
«К одному такому устройству могут быть подключены сотни счетчиков, — комментирует Антон Бояркин, автор опасных находок и сотрудник отдела PT по безопасности промышленных систем управления. — Используя уязвимый УСПД как шлюз, атакующий мог не только получить к ним доступ и нарушить работу системы учета на этом участке, но и отключить подачу электроэнергии. Устройство широко применяется в составе систем АСКУЭ электросетевыми компаниями и представлено у нас на полигоне Standoff 365».
По данным экспертов, большинство потенциально уязвимых устройств находятся в России и Азербайджане (51 и 28% соответственно). В небольшом количестве они также присутствуют в Белоруссии (2%), Германии (2%) и Казахстане (1%).
Пользователям советуют (PDF) обновить встроенный софт до сборки 4.13. Для надежности можно также ограничить или запретить доступ к порту, который используется для удаленной настройки УСПД.