Была бы сеть, а взломать – легче лёгкого?
21 нояб 2019 12:40 #88125
от ICT
ICT создал тему: Была бы сеть, а взломать – легче лёгкого?
Специалисты "Лаборатории кибербезопасности АСУ ТП" компании "Ростелеком-Солар" проанализировали более 170 новых уязвимостей, выявленных в программном обеспечении и программно-аппаратных комплексах (ПАК), которые массово используются в электроэнергетике, нефтегазовой и химической промышленности, на производственных предприятиях, а также для автоматизации инженерных систем и домашней автоматизации, –
сообщает
пресс-служба компании. В аналитическом отчете, подготовленном по окончании этой работы говорится о том, что почти три четверти (72%) всех выявленных уязвимостей относятся к высокому или критическому уровню опасности. Основная масса уязвимостей имеет сетевой вектор, то есть для их эксплуатации нужен только сетевой доступ к атакуемой системе.\[quote\] "По нашим оценкам, по всему миру около 20% уязвимостей выявляются в промышленном сетевом оборудовании", – говорит Владимир Карантаев, руководитель направления кибербезопасности АСУ ТП компании "Ростелеком-Солар".\[/quote\] В 28 процентах случаев в промышленном ПО и ПАК выявлялись уязвимости, связанные с управлением доступом. Прежде всего, это проблемы с аутентификацией и авторизацией. Выявлены уязвимости, позволяющие повысить пользовательские привилегии, а в ряде случаев и полностью обойти механизмы аутентификации и авторизации. С разглашением информации, в том числе критической, связаны 22 процента выявленных уязвимостей. В некоторых решениях данные учётных записей хранятся в открытом виде. В тех же случаях, когда они все-таки обладают необходимой защитой, аналогичные данные сторонних сервисов, например, VPN, OPC или почтовых сервисов, чаще всего также хранятся в открытом виде. Особенно актуальна эта проблема для сетевых устройств. Эксплуатация уязвимости такого типа дает злоумышленнику возможность выдавать себя за легитимного пользователя и долго оставаться неуязвимым для систем безопасности. Кроме того, уязвимость класса "разглашение информации" подразумевает, что злоумышленники могут получить дополнительную информацию об устройстве и его конфигурации, потому что в режиме просмотра она доступна без какой-либо авторизации. Многие разработчики не задумываются о том, что этот режим, помимо прочего, позволяет анализировать внутреннюю работу устройства для поиска слабых мест в защите. Достаточно большая часть уязвимостей - 17% от общего числа - связана с подверженностью исследуемого ПО различным инъекциям, от XSS-инъекций в веб-интерфейсах до инъекций исполняемого кода с повышенными привилегиями. В случае успешной атаки в зависимости от типа инъекции злоумышленник может получить немало опасных возможностей – от доступа к конфиденциальной информации до полного контроля над системой. Отдельно аналитики отмечают частоту проблемы реализации криптографии. По данным экспертов "Лаборатории кибербезопасности АСУ ТП", ненадежные криптоалгоритмы присутствуют в трех четвертях исследованных устройств и ПО, то есть практически везде, где производители применяют криптографические методы защиты данных. Доля уязвимостей, связанных с проблемами работы с памятью, составила всего семь процентов, однако все они позволяют злоумышленнику выполнять произвольный код и потому классифицированы как критические.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Через умные телевизоры Sony можно взломать домашнюю сеть | 11.13 | Вторник, 09 октября 2018 |
Быстрее, легче, эффективнее | 9.11 | Среда, 22 июня 2016 |
В Apple работают над приложением для легкого перехода с iOS на Android | 9.05 | Понедельник, 11 января 2016 |
Дотянуться до "21-й кнопки" стало легче | 9.01 | Пятница, 24 июня 2016 |
«ДоскВижн» анонсировала новую версию «Легкого клиента» Docsvision | 8.96 | Пятница, 19 февраля 2016 |
В России начались продажи «самого легкого в мире» ноутбука | 8.96 | Понедельник, 24 декабря 2018 |
Telesat купил несколько пусков ракеты легкого класса | 8.96 | Вторник, 09 апреля 2019 |
Неденежный знак: в России бум скам-писем с предложением легкого заработка | 8.86 | Пятница, 06 августа 2021 |
S7 Space приостановила проект создания ракеты-носителя легкого класса | 8.86 | Среда, 08 июня 2022 |
Выпущен ноутбук тоньше, легче и быстрее, чем Apple Macbook | 8.73 | Вторник, 31 мая 2016 |