Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

8 ноября 2016 г.

Schneider предложила временный фикс для Magelis

Спустя неделю после выпуска патча для критической уязвимости в Unity Pro разработчик этой инструментальной системы столкнулся с новой проблемой: в ряде HMI-продуктов семейства Magelis объявились две серьезные бреши. Их эксплуатация может повлечь сбой производственного процесса, который на критически важных объектах — энерго-, водоснабжения — может обернуться угрозой для жизни.

Обе уязвимости, нареченные PanelShock, обнаружили исследователи из профильного стартапа Critifence, соответствующий отчет был направлен в Schneider Electric в апреле. В блоге Critifence технический директор Эран Гольдштейн (Eran Goldstein) отметил, что уязвимости CVE-2016-8367 и CVE-2016-8374 присутствуют в графических терминалах Magelis серий GTO, GTU, STO, STU и XBT. Schneider предлагает разные временные решения проблемы, а патч операторам панелей управления GTO Advanced Optimum и GTU Universal придется ждать до марта, когда будет произведен общий апгрейд.

На запрос Threatpost о комментарии Schneider пока не ответила.

«Используя уязвимости PanelShock, злоумышленник сможет удаленно «подвесить» панель, нарушив соединение средств человеко-машинного интерфейса с сетью SCADA и прервав коммуникации этого терминала с ПЛК и другими устройствами, — гласит блог-запись Critifence. — В итоге действия диспетчера или оператора окажутся неверными, и ущерб для завода или фабрики возрастет».

Обе уязвимости, по свидетельству Critifence, вызваны некорректной реализацией методов подачи HTTP-запросов и механизма управления потреблением ресурсов. Schneider со своей стороны отметила, что успешная эксплуатация требует, чтобы шлюзовый сервер, по умолчанию отключенный, был активным.

«Идентифицированные способы использования показали возможность создания условия зависания на HMI, которое может повлечь отказ в обслуживании из-за неполной обработки ошибок в HTTP-запросах на Web Gate Server, — пишет разработчик в бюллетене. — В ходе атаки посредством вредоносного HTTP-запроса HMI может потерять способность управлять коммуникациями из-за большого расхода ресурсов. Это может привести к потере связи с устройствами, такими как программируемые логические контроллеры (ПЛК); для ее восстановления потребуется перезапуск HMI».

Во избежание неприятностей Schneider советует ограничить интернет-доступ к уязвимым HMI и отключить Web Gate Server. Также рекомендуется изолировать сеть систем управления от бизнес-сетей и защитить ее экраном. Если нужен удаленный доступ, его лучше осуществлять через VPN-соединение; также следует удостовериться, что все системы надлежащим образом пропатчены.


Источник: Threatpost | Новости ИБ