При проведении работ по анализу защищенности специалисты Positive Technologies обнаружили серьезную ошибку безопасности в программном обеспечении распределенной системы управления предприятием Emerson DeltaV. Злоумышленник, имеющий локальный доступ к системе, может просматривать и подменять ее конфигурационные файлы, а также выполнять команды с правами любого пользователя. Уязвимости подвержены версии 10.3.1, 11.3 и 12.3 продукта DeltaV. Данная система используется для контроля процессов на предприятиях нефтяной, газовой и химической промышленности по всему миру.
Подробная информация об ошибке содержится в бюллетене CERT ICSA-14-133-02. Уязвимость была обнаружена специалистами Positive Technologies Кириллом Нестеровым, Александром Тляповым, Дмитрием Нагибиным, Алексеем Осиповым и Тимуром Юнусовым.
Компания Emerson выпустила патч для исправления ошибок, а также распространила уведомление, в котором можно найти информацию об уязвимости и рекомендации по устранению возможных последствий ее эксплуатации.
Специалисты ICS-CERT рекомендуют всем пользователям Emerson DeltaV дополнительно сократить доступ к своим сетям извне, защитить их межсетевыми экранами и при организации удаленного доступа использовать безопасные протоколы (например, VPN).
Emerson — глобальная технологическая компания, разрабатывающая продукты и сервисы для промышленного, коммерческого и потребительского рынка. В частности, компания производит системы контроля мощности сети, системы управления и автоматизации промышленных процессов, средства для хранения данных и управления климатическими системами.
Специалисты Positive Technologies не в первый раз находят серьезные уязвимости в промышленных системах. Ранее компания Siemens выпустила несколько патчей, устраняющих ряд серьезных уязвимостей, — проблемы безопасности были обнаружены, в частности, в компонентах АСУ ТП (средствах разработки и HMI). Кроме того, эксперты Positive Technologies помогли устранить опасные уязвимости в продукте Wonderware Information Server компании Invensys, который входит в состав унифицированного решения для построения SCADA- и HMI-систем.