«Ростелеком» рассказал об уязвимостях в ИТ на производстве
«Лаборатория кибербезопасности АСУ ТП» компании «Ростелеком-Солар» представила аналитический отчет об уязвимостях, выявленных в популярных компонентах автоматизированных систем управления технологическими процессами (АСУ ТП). Почти три четверти (72%) всех выявленных уязвимостей относятся к высокому или критическому уровню опасности. Основная масса имеет сетевой вектор, то есть для их эксплуатации нужен только сетевой доступ к атакуемой системе.
Специалисты проанализировали более 170 новых уязвимостей, выявленных в программном обеспечении и программно-аппаратных комплексах (ПАК), которые массово используются в электроэнергетике, нефтегазовой и химической промышленности, на производственных предприятиях, а также для автоматизации инженерных систем и домашней автоматизации.
Как отметили в компании, 20% уязвимостей по всему миру приходятся именно на промышленное сетевое оборудование, однако многие организации, в том числе Schneider Electric, делятся информацией в лучшем случае только на собственных ресурсах и с национальными CERT. Помимо того, что это снижает общий уровень защищенности участников рынка, компании не спешат закрывать бреши в инфраструктуре, объясняя это сложностью установления обновлений на оборудование. А тем временем, как указывается в отчете, 72% из них могут парализовать работу предприятия.
Из трех наиболее часто встречающихся уязвимостей на первом месте укоренились связанные с управлением доступом. В 28% случаев обнаруживаются проблемы с аутентификацией и авторизацией, позволяющие в итоге повысить пользовательские привилегии, а в ряде случаев — полностью обойти механизмы авторизации.
На втором месте оказались проблемы с разглашением информации. 22% случаев такого рода произошли потому, что в ряде решений данные учетных записей хранятся в открытом виде, либо же защиты недостает VPN, OPC или почтовым сервисам. Таким образом злоумышленники могут не только выдавать себя за легитимного пользователя и долгое время оставаться незамеченными, но и анализировать внутреннюю работу устройств для поиска слабых мест в защите.
Третье, но не менее важное место занимает подверженность исследуемого ПО различным инъекциям, от XSS-инъекций в веб-интерфейсах до инъекций исполняемого кода с повышенными привилегиями. 17% случаев такого рода дают злоумышленникам разнообразные преимущества – от доступа к конфиденциальной информации до полного контроля над системой.
Отдельно стоит отметить частоту проблемы реализации криптографии. По данным экспертов, ненадежные криптоалгоритмы присутствуют в трех четвертях исследованных устройств и ПО, то есть практически везде, где производители применяют криптографические методы защиты данных.
Меньшая доля – не значит менее опасная. На уязвимости, связанные с проблемами работы с памятью, приходится всего 7%, однако они позволяют злоумышленнику выполнять произвольный код и были классифицированы как критические.
Производителям была направлена вся информация о выявленных уязвимостях, в данный момент они находятся на той или иной стадии исправления. Тем не менее стоит понимать, что специфика отрасли вносит свои коррективы. Технологии меняются быстро, ошибки и угрозы возникают постоянно, и не всегда их можно исправить. Так, например, на IIoT (промышленный интернет вещей), поставить необходимое сложное ПО бывает просто невозможно из-за ограничений в памяти. А есть еще случаи, когда для установки софта придется временно остановить оборудование, что практически ровняется «невозможно», так как бесперебойность процесса всегда находится на первом месте.