Услуги
Аудит информационной безопасности

Аудит информационной безопасности компании – многоплановая задача, в
которую входит несколько направлений анализа
ИТ-инфраструктуры и оценки защищенности приложений и устройств

Подробнее
Решения
Решения

Аккумулировав весь опыт Digital Security, мы подготовили отдельные решения по аудиту безопасности. Каждое решение объединяет специализированные услуги для конкретной отрасли бизнеса или сферы исследования. Вы можете выбрать любую из них или несколько — в комплексе

О нас
Digital Security

Практическая информационная безопасность – наша специализация и любимое дело. Уже 18 лет мы помогаем нашим клиентам уберечь сервисы и системы от киберугроз, а также активно участвуем в развитии мирового ИБ-сообщества

Подробнее
Экспертиза
Экспертиза

Для клиентов Digital Security работает команда экспертов ИБ мирового уровня. Мы получаем благодарности за вклад в обеспечение безопасности от лидеров ИТ-индустрии, а также подтверждаем свои навыки международными сертификатами в области ИБ

Подробнее
Ресурсы
Ресурсы

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Подробнее

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Посмотреть раздел

Масштабные исследования и аналитические обзоры. Описания хакерских инструментов и техник

Статьи и аналитические работы, полезные для бизнеса. Экспертное мнение об актуальных проблемах информационной безопасности

Видеоархив наших вебинаров и конференций. А также анонсы предстоящих мероприятий

Руководства, презентации, чек-листы. Гайды для повышения уровня осведомленности в вопросах ИБ

Наверх

Endress+Hauser и CodeWrights закрывают уязвимость в ПО через 2,5 года после уведомления

05.10.2015 /
Прочитать позже

    Отправим материал на:

    Компания Digital Security, специализирующаяся на анализе защищенности систем и исследованиях в области ИБ, сообщает о закрытии уязвимости в библиотеке HART Device Type Manager (DTM), разрабатываемой компанией CodeWrights и используемой в HART-оборудовании Endress+Hauser. Данная проблема безопасности была обнаружена Александром Большевым, старшим исследователем департамента безопасности АСУ ТП Digital Security, два с половиной года назад.

    Александр Большев оперативно уведомил Endress+Hauser о проблеме еще в мае 2013 года. Однако это сообщение, как и другие официальные обращения, в том числе, в CodeWrights осенью 2013 года и в мае 2014 года, остались без ответа. Процесс закрытия уязвимости начался после того, как уведомление о проблеме было направлено в ICS CERT (The Industrial Control Systems Cyber Emergency Response Team) в ноябре 2014 года. Столь долгое время реакции, к сожалению, является стандартным для сферы АСУ ТП. Подобная ситуация была несколько лет назад, мы рассказывали еще в 2011 году о том, что уязвимости в ПО JD Edwards, к примеру, живут годами.

    Уязвимость, обнаруженная специалистом Digital Security, связана с обработкой компонента HART longtag, который используется в поле Endress+Hauser и CodeWrights HART Comm DTM (часть FDT/DTM-архитектуры, применяемая для коммуникации с Frame Application). Фактически, с помощью этой «дыры» в безопасности возможно осуществить XML-иньекцию кода и атаку типа SSRF (Server Side Request Forgery), среди ключевых последствий которых стоит назвать раскрытие конфиденциальных данных, отказ в обслуживании, сканирование портов. В случае реализации атаки SSRF подключение будет исходить от сервера, находящегося во внутренней сети, и злоумышленник сможет использовать его для обхода межсетевых экранов.

    Чтобы оценить масштаб последствий возможных действий со стороны злоумышленников, отметим, что указанные DTM-компоненты применяются в устройствах химической, энергетической промышленности и системах водоснабжения по всему миру. При этом, для эксплуатации проблемы не нужно обладать высокой квалификацией.

    Наконец, в конце сентября 2015 года, на сайте ICS CERT появилось сообщение о проблеме безопасности с рекомендацией по ее устранению. В частности, в обращении организации-регулятора говорится о том, что воздействию уязвимости подвержены все HART DTM-компоненты, которые базируются на технологии Fieldcare и CodeWrights HART Comm DTM. Список потенциально уязвимых устройств довольно велик, а потому NCCIC/ICS-CERT рекомендует оценить влияние описанной проблемы всем компаниям, использующим указанную технологию, как с точки зрения архитектуры, так и с точки зрения сетевое окружения и продуктов. Компаниям, применяющим FieldCare или CodeWright HART Comm DTM, рекомендуется как можно скорее обновить свое программное обеспечение до последней версии.

    Описанная выше проблема безопасности получила идентификатор CVE-2015-6463b по классификации ICS CERT. Патчи Endress+Hauser и CodeWrights можно найти здесь:

    Endress+Hauser: https://portal.endress.com/webdownload/FieldCareDownloadGui/

    CodeWrights: http://www.codewrights.de/index.php/en/downloads/software

    ICS-CERT рекомендует пользователям принять меры, чтобы снизить риск эксплуатации этой уязвимости. В частности, пользователи должны:

    • уменьшить количество связей с контролирующими системами и/или устройствами и убедиться, что они не имеют доступа из Интернет;
    • разместить системы управления и удаленные устройства за МСЭ и изолировать от их от КИС;
    • для удаленного доступа применять VPN.

    Больше интересных статей

    Мы используем куки. Никогда такого не было, объясните

    ОК