Исследователь нашел три уязвимости в устройствах учета энергоресурсов компании «Энергомера» - «Новости» » Интернет технологии
sitename
«Роснано» запустила сборку микросхем в Зеленограде по российской технологии - «Новости сети»
«Роснано» запустила сборку микросхем в Зеленограде по российской технологии - «Новости сети»
 Искусственное Солнце на Земле первым зажжёт Китай — не позже 2030 года, пообещали учёные - «Новости сети»
Искусственное Солнце на Земле первым зажжёт Китай — не позже 2030 года, пообещали учёные - «Новости сети»
 Бывший глава разработки Tesla Optimus теперь будет строить роботов в Boston Dynamics - «Новости сети»
Бывший глава разработки Tesla Optimus теперь будет строить роботов в Boston Dynamics - «Новости сети»
 Micron запустила строительство мегафабрики памяти в Нью-Йорке за $100 млрд — проекта ждали с 2022 года - «Новости сети»
Micron запустила строительство мегафабрики памяти в Нью-Йорке за $100 млрд — проекта ждали с 2022 года - «Новости сети»
 Совершеннолетние пользователи бесплатной версии ChatGPT в США первыми увидят рекламу - «Новости сети»
Совершеннолетние пользователи бесплатной версии ChatGPT в США первыми увидят рекламу - «Новости сети»
 Управляйте продвижением в мобильном приложении Директа — «Блог для вебмастеров»
Управляйте продвижением в мобильном приложении Директа — «Блог для вебмастеров»
 Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
 Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
 Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
 В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Преимущества стилей » Исследователь нашел три уязвимости в устройствах учета энергоресурсов компании «Энергомера» - «Новости»

✔Исследователь нашел три уязвимости в устройствах учета энергоресурсов компании «Энергомера» - «Новости»

30 декабря 2023 471 Преимущества стилей / Новости 0

Эксперт Positive Technologies Антон Бояркин выявил три уязвимости в УСПД СЕ805М производства компании «Энергомера» — устройствах для сбора данных с приборов учета энергоресурсов и передачи полученной информации на верхний уровень систем АСКУЭ, а также для управления и контроля состояния объекта автоматизации.  С помощью этих багов потенциальные злоумышленники могли отключить электричество в многоквартирном доме, офисе или на предприятии.


Такое оборудование применяется на подстанциях, в распределительных щитах промышленных предприятий, жилых и офисных зданий. А с конвейеров производителя ежегодно сходит более 3 млн устройств.


Как сообщили эксперты, больше всего потенциально уязвимых устройств находятся в России (51%) и Азербайджане (28%), а также встречаются в Белоруссии (2%), Германии (2%) и Казахстане (1%).


«К одному такому устройству могут быть подключены сотни счетчиков. Используя уязвимый УСПД как шлюз, атакующий мог не только получить к ним доступ и нарушить работу системы учета на этом участке, но и отключить подачу электроэнергии», — комментирует Антон Бояркин, руководитель группы отдела безопасности промышленных систем управления Positive Technologies.


Первая обнаруженная уязвимость относится к критическому уровню опасности, а две другие — к высокому. Уязвимость BDU:2023-04841, получившая почти максимальную оценку по шкале CVSS 3.0 (9,8 балла), позволяла менять параметры оборудования.


Вторая уязвимость — BDU:2023-04842 — давала возможность нарушить целостность базы данных или вызвать отказ в обслуживании (оценка 8,1 балла), а третья — BDU:2023-04843 — позволяла атакующему модифицировать параметр устройства таким образом, чтобы вставить команды ОС, которые будут выполнены при запуске автоматического обновления прикладного ПО (оценка 8,8 балла).


Производителя уведомили о проблемах в рамках политики ответственного разглашения и тот уже выпустил обновление ПО для устранения уязвимостей. Теперь «Энергомера» рекомендует обновить встроенное ПО устройства до версии 4.13. В дополнение к этому специалисты Positive Technologies советуют по возможности ограничить или запретить доступ к сетевому порту, предназначенному для удаленной настройки УСПД.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперт Positive Technologies Антон Бояркин выявил три уязвимости в УСПД СЕ805М производства компании «Энергомера» — устройствах для сбора данных с приборов учета энергоресурсов и передачи полученной информации на верхний уровень систем АСКУЭ, а также для управления и контроля состояния объекта автоматизации. С помощью этих багов потенциальные злоумышленники могли отключить электричество в многоквартирном доме, офисе или на предприятии. Такое оборудование применяется на подстанциях, в распределительных щитах промышленных предприятий, жилых и офисных зданий. А с конвейеров производителя ежегодно сходит более 3 млн устройств. Как сообщили эксперты, больше всего потенциально уязвимых устройств находятся в России (51%) и Азербайджане (28%), а также встречаются в Белоруссии (2%), Германии (2%) и Казахстане (1%). «К одному такому устройству могут быть подключены сотни счетчиков. Используя уязвимый УСПД как шлюз, атакующий мог не только получить к ним доступ и нарушить работу системы учета на этом участке, но и отключить подачу электроэнергии», — комментирует Антон Бояркин, руководитель группы отдела безопасности промышленных систем управления Positive Technologies. Первая обнаруженная уязвимость относится к критическому уровню опасности, а две другие — к высокому. Уязвимость BDU:2023-04841, получившая почти максимальную оценку по шкале CVSS 3.0 (9,8 балла), позволяла менять параметры оборудования. Вторая уязвимость — BDU:2023-04842 — давала возможность нарушить целостность базы данных или вызвать отказ в обслуживании (оценка 8,1 балла), а третья — BDU:2023-04843 — позволяла атакующему модифицировать параметр устройства таким образом, чтобы вставить команды ОС, которые будут выполнены при запуске автоматического обновления прикладного ПО (оценка 8,8 балла). Производителя уведомили о проблемах в рамках политики ответственного разглашения и тот уже выпустил обновление ПО для устранения уязвимостей. Теперь «Энергомера» рекомендует обновить встроенное ПО устройства до версии 4.13. В дополнение к этому специалисты Positive Technologies советуют по возможности ограничить или запретить доступ к сетевому порту, предназначенному для удаленной настройки УСПД.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: