31 мая 2016

[уязвимость] В SCADA-системах обнаружены неподлежащие исправлению уязвимости

Исправить проблему невозможно, поскольку на устройствах некуда устанавливать патчи.


Компьютерная группа реагирования на чрезвычайные ситуации (ICS-CERT) предупредила об уязвимостях в SCADA-системах на основе web-технологий, позволяющих удаленно вносить конфигурационные изменения и управлять процессами. Исправить их невозможно, поскольку на устройствах в буквальном смысле некуда устанавливать патчи.

Как сообщается в уведомлении ICS-CERT, независимый исследователь безопасности Максим Рупп (Maxim Rupp) обнаружил уязвимости в контроллерах Environmental Systems Corporation (ESC) 8832 Data Controller. Компании ESC стало известно о проблеме еще 18 февраля 2015 года от ИБ-эксперта Балажа Маканя (Balazs Makany). Тем не менее, согласно ее заявлению, в коде 8832 Data Controller недостаточно места для установки патчей, поэтому обновить прошивку невозможно.

Две уязвимости затрагивают ESC 8832 Data Controller 3.02 и более ранние версии. Одна из них позволяет обойти механизмы аутентификации и вносить изменения в конфигурацию, а другая – получить доступ к функциям, не отображающимся в меню. В настоящее время свидетельства эксплуатации данных уязвимостей обнаружены не были, однако PoC-код для их эксплуатации уже доступен online.

ESC прекратила выпуск и продажу контроллеров 8832 Data Controller в 2013 году. Компания продолжит их поддержку в будущих версиях ПО StackVision до 1 января 2019 года.

Источник: Securitylab.ru