✔Исследователь нашел три уязвимости в устройствах учета энергоресурсов компании «Энергомера» - «Новости»

30 декабря 2023 167 Преимущества стилей / Новости 0

Такое оборудование применяется на подстанциях, в распределительных щитах промышленных предприятий, жилых и офисных зданий. А с конвейеров производителя ежегодно сходит более 3 млн устройств.

Как сообщили эксперты, больше всего потенциально уязвимых устройств находятся в России (51%) и Азербайджане (28%), а также встречаются в Белоруссии (2%), Германии (2%) и Казахстане (1%).

«К одному такому устройству могут быть подключены сотни счетчиков. Используя уязвимый УСПД как шлюз, атакующий мог не только получить к ним доступ и нарушить работу системы учета на этом участке, но и отключить подачу электроэнергии», — комментирует Антон Бояркин, руководитель группы отдела безопасности промышленных систем управления Positive Technologies.

Первая обнаруженная уязвимость относится к критическому уровню опасности, а две другие — к высокому. Уязвимость BDU:2023-04841, получившая почти максимальную оценку по шкале CVSS 3.0 (9,8 балла), позволяла менять параметры оборудования.

Вторая уязвимость — BDU:2023-04842 — давала возможность нарушить целостность базы данных или вызвать отказ в обслуживании (оценка 8,1 балла), а третья — BDU:2023-04843 — позволяла атакующему модифицировать параметр устройства таким образом, чтобы вставить команды ОС, которые будут выполнены при запуске автоматического обновления прикладного ПО (оценка 8,8 балла).

Производителя уведомили о проблемах в рамках политики ответственного разглашения и тот уже выпустил обновление ПО для устранения уязвимостей. Теперь «Энергомера» рекомендует обновить встроенное ПО устройства до версии 4.13. В дополнение к этому специалисты Positive Technologies советуют по возможности ограничить или запретить доступ к сетевому порту, предназначенному для удаленной настройки УСПД.

Эксперт Positive Technologies Антон Бояркин выявил три уязвимости в УСПД СЕ805М производства компании «Энергомера» — устройствах для сбора данных с приборов учета энергоресурсов и передачи полученной информации на верхний уровень систем АСКУЭ, а также для управления и контроля состояния объекта автоматизации. С помощью этих багов потенциальные злоумышленники могли отключить электричество в многоквартирном доме, офисе или на предприятии. Такое оборудование применяется на подстанциях, в распределительных щитах промышленных предприятий, жилых и офисных зданий. А с конвейеров производителя ежегодно сходит более 3 млн устройств. Как сообщили эксперты, больше всего потенциально уязвимых устройств находятся в России (51%) и Азербайджане (28%), а также встречаются в Белоруссии (2%), Германии (2%) и Казахстане (1%). «К одному такому устройству могут быть подключены сотни счетчиков. Используя уязвимый УСПД как шлюз, атакующий мог не только получить к ним доступ и нарушить работу системы учета на этом участке, но и отключить подачу электроэнергии», — комментирует Антон Бояркин, руководитель группы отдела безопасности промышленных систем управления Positive Technologies. Первая обнаруженная уязвимость относится к критическому уровню опасности, а две другие — к высокому. Уязвимость BDU:2023-04841, получившая почти максимальную оценку по шкале CVSS 3.0 (9,8 балла), позволяла менять параметры оборудования. Вторая уязвимость — BDU:2023-04842 — давала возможность нарушить целостность базы данных или вызвать отказ в обслуживании (оценка 8,1 балла), а третья — BDU:2023-04843 — позволяла атакующему модифицировать параметр устройства таким образом, чтобы вставить команды ОС, которые будут выполнены при запуске автоматического обновления прикладного ПО (оценка 8,8 балла). Производителя уведомили о проблемах в рамках политики ответственного разглашения и тот уже выпустил обновление ПО для устранения уязвимостей. Теперь «Энергомера» рекомендует обновить встроенное ПО устройства до версии 4.13. В дополнение к этому специалисты Positive Technologies советуют по возможности ограничить или запретить доступ к сетевому порту, предназначенному для удаленной настройки УСПД.

запостил(а)

Евгения

Вернуться назад

Смотрите также

В контроллерах OMRON устранили критическую уязвимость - «Новости»

В контроллерах Mitsubishi обнаружены множественные уязвимости - «Новости»

Positive Technologies обнаружила критические уязвимости в CODESYS - «Новости»

В устройствах, которые раздают Wi-Fi в самолетах, обнаружили уязвимости - «Новости»

А что там на главной? )))

Комментарии )))

Комментарии для сайта Cackle

« Май 2024 »
Пн	Вт	Ср	Чт	Пт	Сб	Вс
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31