Мировой производитель промышленного оборудования МОХА устранил ряд уязвимостей в программном обеспечении сервера управления беспроводными устройствами NPort IAW5250A-6I/O, которые были выявлены Константином Кондратьевым, Ильей Карповым и Евгением Дружининым – экспертами «Лаборатории кибербезопасности АСУ ТП» компании «Ростелеком-Солар», входящей в состав «Национального киберполигона». В случае эксплуатации выявленных уязвимостей злоумышленник мог спровоцировать аварийную ситуацию на производстве. Разработчик устройств выпустил исправления для устранения обнаруженных уязвимостей в своих продуктах. Обнаруженные уязвимости и рекомендации по их устранению зафиксированы в «Банке данных угроз безопасности информации» ФСТЭК России под номерами BDU:2021-02699 и BDU:2021-02708. Пользователям указанного оборудования необходимо связаться с технической поддержкой MOXA.
Беспроводное переполнение буферов
MOXA Inc. производит и разрабатывает оборудование связи для систем промышленной автоматики. Корпорация представлена в 70 странах, включая Россию. Она один из мировых лидеров в сегменте Industrial Ethernet – оборудования, которое позволяет объединить системы управления технологическими процессами в единую сеть и централизованно управлять ими с помощью MES-/SCADA-систем. Промышленные Ethernet-устройства МОХА используются в нефтегазовом и электроэнергетическом комплексах, в транспортной сфере, в том числе в России.
Уязвимости, обнаруженные экспертами «Ростелеком-Солар», относятся к программному обеспечению сервера беспроводных устройств NPort IAW5250A-6I/O и затрагивают прошивку версии 2.2 или ниже. Они позволяют злоумышленнику повысить свои привилегии и выполнять системные команды ОС, запустить произвольный код или вызвать отказ в обслуживании с помощью специально сформированного пакета. Уязвимости связаны со следующими типами ошибкок: «Переполнение буфера в стеке» (CWE-121), «Недостаточная проверка вводимых данных» (CWE-20), «Непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы (Внедрение в команду операционной системы)» (CWE-78) и «Копирование буфера без проверки размера входных данных (классическое переполнение буфера)» (CWE-120).
«Промышленное оборудование MOXA Inc. эксплуатируется в системах автоматизации десятки лет, а новые векторы атак и подходы к поиску уязвимостей появляются постоянно, — прокомментировал ситуацию менеджер по развитию бизнеса Представительства Moxa Inc. в России Иван Лопухов. — Поэтому компания MOXA постоянно проводит работу по повышению безопасности выпущенных в производство устройств, и мы ценим сотрудничество с «Ростелеком-Солар» в данном направлении».
Защищённость промышленных систем
«В прошлом году Solar JSOC зафиксировал двукратный рост числа кибератак на стратегические предприятия России, – пояснил ситуацию с защитой промышленных систем в России руководитель «Лаборатории кибербезопасности АСУ ТП» компании «Ростелеком-Солар» Андрей Кузнецов. – При этом, когда мы говорим об атаках на промышленные системы, речь идет об общемировой тенденции. Поэтому мы уделяем большое внимание не только тому, чтобы промышленный сегмент «Киберполигона» обогащался информацией о самых новых методах атак, но и самостоятельно ищем уязвимости в оборудовании разработчиков, которое широко применяется в российской промышленности. Коллеги из MOXA оперативно решили проблемы с безопасностью и внесли вклад в повышение защищенности промышленного сегмента сети большого числа предприятий».
Следует отметить, что факт обнаружения уязвимости и выпуска исправления для нее ещё не делает информационную систему безопасной. Обновления ещё нужно установить, а сделать это не просто с учётом того, что оборудование промышленное и установлено, как правило, в сегментах с АСУ ТП. Часто для обновления такого оборудования необходимо прерывать технологический процесс и останавливать производство. Обычно это делается во время регламентных работ, планы которых ни как не согласуются с выпуском информации об уязвимостях. А до тех пор система может быть уязвимой и ее нужно прикрывать от возможных атак, например, с помощью технологии виртуального патчинга или системы предотвращения вторжений.
