Уязвимости систем промышленного контроля угрожают объектам критической инфраструктуры

Исследователи компании Tenable сообщили о выявленных ими уязвимостях в системах промышленного контроля, выпускаемых ведущими мировыми производителями – Siemens, Fuji Electric, Schneider Electric и Rockwell Automation. В общей сложности специалисты Tenable обнаружили в них 17 уязвимостей, 14 из которых оцениваются как критические. В этой связи исследователи напоминают об атаке вируса Stuxnet. Это вредоносное ПО, разработанное, как предполагается, спецслужбами США и Израиля поразило в 2010 году порядка 1000 центрифуг, использовавшихся Ираном для обогащения урана.

Считается, что атака Stuxnet отбросила иранские ядерные исследования на несколько лет назад. Вирус эксплуатировал три уязвимости в ОС Windows и еще одну в системе промышленного контроля SIMATIC от Siemens (которая и использовалась для контроля скорости вращения роторов центрифуг). Представители Tenable отмечают, что выявленные ими 17 уязвимостей создают едва ли не больший риск. В частности, они выделяют уязвимость CVE-2019-10915 в веб-приложении Siemens для удаленного управления промышленными контроллерами. Она потенциально позволяет организаторам атаки обойти систему аутентификации и без всякого пароля направлять произвольные команды на промышленное оборудование.

По счастью, компания Siemens уже исправила эту уязвимость и настоятельно рекомендовала всем пользователям незамедлительно установить обновление. Тем не менее, обилие критических уязвимостей в системах промышленного контроля не может не вызывать тревогу. Особенно если учесть, что системы перечисленных выше производителей широко используются на электростанциях, сборочных конвейерах крупных предприятий и других объектах критической инфраструктуры.


Источник:  The Register

Возврат к списку