© 1995-2023 Компания «Инфосистемы Джет»
Главная>Новости>Новости отрасли>Эксперты Национального киберполигона обнаружили критические уязвимости в SCADA-системе Valmet

30.11.2022

Посетителей: 16

Просмотров: 12

Время просмотра: 2.3

Компания Valmet разрабатывает и производит средства автоматизации для целлюлозно-бумажной промышленности и энергетики. В минувшем июне вендор сообщил о планах по уходу с российского рынка, на долю которого приходилось примерно 2% от общего объема чистых продаж компании в 2021 г. В России решения Valmet наиболее широко распространены на крупных целлюлозно-бумажных предприятиях.


Уязвимости, обнаруженные экспертами Национального киберполигона во главе с руководителем отдела исследований Ильей Карповым, затрагивают компоненты автоматизированной системы управления технологическим процессом Metso DNA: программный комплекс Valmet System 2019 и операционную систему Valmet Oy ACN CS. Уязвимости связаны с отсутствием защиты передаваемых данных (CWE-319), незашифрованным хранением критичной информации (CWE-256, CWE-312), небезопасным управлением привилегиями (CWE-250, CWE 269), недостаточной проверкой вводимых данных (CWE-20, CWE-328), небезопасным использованием криптографических алгоритмов (CWE-916) и отсутствием аутентификации для критичной функции (CWE-287, CWE-306, CWE-489). В случае их успешной эксплуатации злоумышленники могут удаленно повысить привилегии в системе, получить доступ к защищаемой информации, выполнить произвольный код, в том числе на сервере, вызвать отказ в обслуживании и реализовать атаку «человек посередине» для перехвата данных.


Сразу после выявления уязвимостей в программном комплексе Metso DNA исследователи Национального киберполигона сообщили о них вендору, а также передали информацию во ФСТЭК России. Для снижения риска возникновения потенциальных инцидентов, связанных с эксплуатацией обнаруженных уязвимостей, эксперты «РТК-Солар» рекомендуют использовать компенсирующие меры. Сведения об уязвимостях и детальные рекомендации по минимизации рисков их эксплуатации опубликованы в Банке данных угроз безопасности информации ФСТЭК России (BDU:2022-06151 — BDU:2022-06158).

В результате ухода из страны целого ряда иностранных вендоров российские пользователи импортных решений лишились возможности получать обновления безопасности от производителей. Отсутствие патч-менеджмента создает серьезную угрозу для предприятий, особенно на объектах критической информационной инфраструктуры. Атаки, связанные с эксплуатацией уязвимостей, сейчас являются одним из наиболее распространенных векторов проникновения в инфраструктуру компаний. Идущий процесс импортозамещения в перспективе позволит заменить в том числе и специфическое иностранное промышленное оборудование на отечественное. Однако на данный момент из-за дефицита компонентной базы и отсутствия российских аналогов по ряду направлений предприятиям необходимо уделять повышенное внимание управлению уязвимостями, а исследователям совместно с производителями —увеличивать компетенции и развивать сообщества исследований уязвимостей в отечественных продуктах.

 

Дмитрий Малинкин,

заместитель директора департамента

Национального киберполигона компании «РТК-Солар».

 

После публикации сведений в БДУ ФСТЭК России о выявленных уязвимостях в программном обеспечении компании Valmet эксперты «РТК-Солар» также передали информацию о них в Национальный центр кибербезопасности Финляндии (National Cyber Security Centre Finland, NCSC FI).

Уведомления об обновлении новостей – в вашей почте

05
04

«Тинькофф» запустил сервис речевой аналитики для бизнеса

«Тинькофф» запустил сервис речевой аналитики, который позволяет бизнесу расшифровывать большие объемы телефонных звонков и улучшать работу колл-центров.

23
10

Создан промышленный ПК на базе процессора «Эльбрус-8С»

«Ростех» разработал компьютер «Эльбрус 801-К» на чипе «Эльбрус-8С».

18
10

5-тый SOC-форум пройдет в Москве

19-20 ноября 2019 года в Москве пройдет SOC-Форум, посвященный практике противодействия компьютерным атакам и построения центров мониторинга ИБ.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня