30 мая 2019 г.
Эксперты отделов безопасности промышленных систем управления и анализа приложений Positive Technologies выявили множественные уязвимости в 12 компонентах системы управления производственными процессами APROL австрийской компании B&R Automation . Данная система управления применяется в нефтегазовой, энергетической, машиностроительной и других отраслях.
Наибольшую опасность представляет ряд уязвимостей , которые позволяют удаленному атакующему выполнить произвольный код в системе APROL.
«Возможность выполнения произвольного кода в операционной системе компонентов АСУ ТП позволяет злоумышленнику негативно влиять на технологический процесс. Например, атакующий может несанкционированно отправлять команды управления оборудованием, изменять параметры конфигурации, в том числе программные алгоритмы. Такие изменения могут привести к нештатному режиму работы вплоть до возникновения аварийной ситуации на производстве», — отмечает руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.
Среди выявленных уязвимостей были найдены ошибки доступа к памяти в компоненте TbaseServer, ошибки в компонентах AprolLoader и AprolSqlServer, SQL-инъекции в системе контроля и учета энергопотребления EnMon, возможность внедрения произвольных команд в веб-сервере.
Пользователям уязвимых версий необходимо установить последнюю версию APROL R.
По данным Positive Technologies, в 2018 году продолжился рост числа новых уязвимостей, выявляемых в оборудовании различных производителей систем промышленной автоматизации (на 30%), а также количества доступных в интернете компонентов АСУ ТП (на 27%).
Источник: Пресс-служба компании Positive Technologies