Разработчики: | Энергомера Электротехнические заводы |
Технологии: | АСКУЭ |
Основная статья: Автоматизированная Система Коммерческого Учёта Энергии и мощности (АСКУЭ)
2023: Выявление трех уязвимостей
Эксперт Positive Technologies Антон Бояркин выявил три уязвимости в УСПД СЕ805М производства компании «Энергомера» — устройствах для сбора данных с приборов учета энергоресурсов и передачи полученной информации на верхний уровень систем АСКУЭ, а также для управления и контроля состояния объекта автоматизации. Такое оборудование применяется на подстанциях, в распределительных щитах промышленных предприятий, жилых и офисных зданий. Об этом Positive Technologies сообщили 28 декабря 2023 года.
Согласно данным мониторинга, больше всего потенциально уязвимых устройств находятся в России (51%) и Азербайджане (28%). Они также встречаются в Белоруссии (2%), Германии (2%) и Казахстане (1%).
К одному такому устройству могут быть подключены сотни счетчиков. Используя уязвимый УСПД как шлюз, атакующий мог не только получить к ним доступ и нарушить работу системы учета на этом участке, но и отключить подачу электроэнергии, — отметил Антон Бояркин, руководитель группы отдела безопасности промышленных систем управления Positive Technologies. — Устройство применяется в составе систем АСКУЭ электросетевыми компаниями и представлено у нас на полигоне Standoff 365, где оно собирает данные с умных счетчиков (как в многоквартирных жилых домах) с возможностью дистанционного управления нагрузкой. |
Первая обнаруженная уязвимость относится к критическому уровню опасности, а две другие — к высокому. Уязвимость BDU:2023-04841, получившая почти максимальную оценку по шкале CVSS 3.0 (9,8), позволяла менять параметры оборудования. Вторая уязвимость — BDU:2023-04842 — давала возможность нарушить целостность базы данных или вызвать отказ в обслуживании (оценка 8,1), а третья — BDU:2023-04843 — позволяла атакующему модифицировать параметр устройства таким образом, чтобы вставить команды ОС, которые будут выполнены при запуске автоматического обновления прикладного ПО (оценка 8,8).
Производитель рекомендует обновить встроенное ПО устройства до версии 4.13. В дополнение эксперты Positive Technologies рекомендуют по возможности ограничить или запретить доступ к сетевому порту, предназначенному для удаленной настройки УСПД.
Подрядчики-лидеры по количеству проектов
КРУГ НПФ (66)
ИндаСофт (20)
Матрикс АйТи (14)
СИГМА (Санкт-Петербург) (8)
Научно-технический центр единой энергетической системы (НТЦ ЕЭС) ранее НИИПТ (7)
Другие (141)
КРУГ НПФ (5)
ЭнергопромСервис (ЭНПРО) (2)
Группа Борлас (Borlas) (1)
ИндаСофт (1)
Мобильные ТелеСистемы (МТС) (1)
Другие (9)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
КРУГ НПФ (5, 60)
ИндаСофт (1, 20)
Матрикс АйТи (2, 14)
ЭнергоКруг (2, 9)
Системы и технологии (2, 5)
Другие (123, 47)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
ПТК КРУГ-2000 - 59 (59, 0)
I-EMS Автоматизированная система контроля и учета энергоресурсов - 20 (20, 0)
Матрикс. Автоматизированная система коммерческого учета энергоресурсов - 13 (13, 0)
AT Consulting: Smart City Cloud - платформа управления территорией - 5 (5, 0)
ПТК ЭнергоГород - 5 (5, 0)
Другие 47
ПТК КРУГ-2000 - 4 (4, 0)
Системы и технологии: Пирамида 2.0 - 2 (2, 0)
Сигма. СУП СПД Пионер - 1 (1, 0)
Другие 0