Компания Honeywell, один из ведущих мировых производителей автоматизированных систем контроля и управления (DCS, SCADA), поблагодарила экспертов Positive Technologies за обнаружение множественных уязвимостей в системе дистанционного контроля Experion PKS R311.2.
Система контроля Experion PKS используется сейчас на критических промышленных объектах многих стран мира. В частности, в США с помощью этой системы контролируются атомные электростанции, а в Китае именно эта платформа выбрана для обеспечения безопасности самого длинного в мире газопровода, который строит компания PetroChina.
В России система Experion PKS применяется для автоматизации работы нефтеперерабатывающих предприятий. Напомним также, что согласно отчету "Безопасность промышленных систем в цифрах", в России специалисты по решениям Honeywell входят в десятку наиболее востребованных среди тех, кто работает с программируемыми логическими контроллерами. Это означает, что решения АСУ ТП от данного производителя нередко используются на российских предприятиях.
При этом в процессе исследования программного обеспечения для серверов Experion PKS R311.2 специалисты по безопасности Positive Technologies Александр Тляпов, Кирилл Нестеров, Илья Карпов, Артем Чайкин и Глеб Грицай обнаружили около трёх десятков уязвимостей, в основном это различные варианты "переполнения буфера".
Как отмечают эксперты, эксплуатация данных уязвимостей могла позволить злоумышленникам на низком уровне вмешиваться в технологические процессы - например, ухудшить качество переработки нефтепродуктов или даже вызвать аварию на нефтепроводе. Компания Honeywell поблагодарила экспертов Positive Technologies в уведомлении о патче, который закрывает данные уязвимости.