myPRO

Продукт
Разработчики: mySCADA Technologies
Технологии: SCADA

Содержание

Продукт mySCADA myPRO[1] представляет собой систему визуализации и управления промышленными процессами, которая может быть установлена на операционные системы Windows или Linux и позволяет визуализировать данные из АСУ ТП с помощью веб-интерфейса.

История

2024: Обнаружение опасной уязвимости, исправление для россиян недоступно

В системе визуализации и управления промышленными процессами mySCADA myPRO ФСТЭК в начале июля обнаружила уязвимость BDU:2024-05050[2], которая позволяет удаленному злоумышленнику выполнить произвольный код. Уязвимость связана с предустановленными учетными данными, то есть вшитыми в ПО паролями от административных учетных записей. Опасность уязвимости по методике оценки CVSS 3.1 составляет 9,8 из 10. Указано, что в версии myPRO 8.31.0 ошибка исправлена, и нужно бы до нее обновиться, однако производитель – чешская компания – настроена против российских пользователей.

myPRO позволяет с помощью веб-интерфейса управлять АСУ ТП

«
mySCADA - простой и удобный инструмент визуализации промышленных процессов, он был довольно широко распространён в России до санкций, в которых производитель продукта, чешская компания, выступает с очень жёстких позиций, – пояснил для TAdviser ситуацию Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда», – Доступ к системе осуществляется через обычный веб-браузер. Дополнительным преимуществом является возможность написания сценариев на языке JavaScript, что позволяет пользователям расширять функциональность системы. Ввиду всего вышесказанного такие системы небезопасны сами по себе, поэтому их обычно проектируют без прямой связи с технологическим контуром. Поэтому при классической архитектуре вряд ли хакеру удастся получить контроль над технологическим процессам, то есть нанести вред промышленной инфраструктуре и, тем более, здоровью и жизни людей.
»

В то же время, по мнению Владимира Дащенко, эксперта по кибербезопасности Kaspersky ICS CERT, ситуация может оказаться опасной.

«
Это достаточно критичная уязвимость, так как речь идет о потенциальном бэкдоре – это недекларированный функционал ПО, а именно «вшитые» аутентификационные данные, – заявил он в переписке с TAdviser. – Непонятно, были ли они забыты или же оставлены с намерением. Когда в компании внедрены лучшие практики безопасной разработки, то такие ситуации невозможно пропустить. Эксплуатация такой уязвимости может нести очень серьёзные последствия для технологического процесса.
»

Действительно, принятый в России ГОСТ Р 65939 определяет процессы разработки безопасного программного обеспечения, где предусмотрена проверка в том числе и на наличие встроенных учетных данных – этот процесс должен выполнять сам производитель. Причем ФСТЭК своими требованиями по использованию ПО, которое проверено на безопасность, фактически обязывает производителей программного обеспечения внедрять проверки на наличие встроенных административных привилегий в конвейер разработки. Однако у чешской компании, похоже, подобные процедуры реализованы не были. В результате пользователям ее продуктов приходиться либо обновляться до новой версии – 8.31.0, либо выполнять следующие рекомендации ФСТЭК:

  • сегментировать сети для ограничения доступа к промышленному сегменту из других подсетей;
  • ограничить доступ из внешних сетей (интернет) к промышленному сегменту;
  • использовать виртуальные частные сети для организации удаленного доступа (VPN);
  • применять средства межсетевого экранирования для ограничения возможности прямого удалённого доступа.

«
Необходимо следовать принципам эшелонированной защиты своих активов, – дополнил рекомендации ФСТЭК Владимир Дащенко. – Также использовать специализированные средства защиты для промышленных сетей и автоматизированных систем, регулярно обучать персонал и пользоваться сервисами раннего информирования об угрозах. Еще рекомендую проверять ПО силами сторонних исследователей на предмет наличия недекларированных возможностей и уязвимостей «нулевого дня».
»

Примечания



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  КРУГ НПФ (83)
  Консом групп, Konsom Group (КонсОМ СКС) (9)
  РТСофт (RTSoft) (9)
  Фиорд (Fiord) (6)
  Системы и технологии (5)
  Другие (96)

  КРУГ НПФ (7)
  Добротех (2)
  Свизитом (Svisitom) (2)
  Siemens AG (Сименс АГ) (1)
  Доза НПП (1)
  Другие (7)

  КРУГ НПФ (8)
  Schneider Electric (1)
  ГектИС НПФ (1)
  Группа компаний 1520 (1)
  Коркласс (ранее ТехноИнвестПроект УК Технологии Проектных Инвестиций) (1)
  Другие (8)

  КРУГ НПФ (11)
  РИР (Росатом Инфраструктурные решения) (1)
  Росатом (1)
  Цифровые Платформы и Решения Умного Города (1)
  Другие (1)

  КРУГ НПФ (4)
  Системы и технологии (2)
  Reksoft (Рексофт) (1)
  Техконсур (1)
  Флагман Инжиниринг (1)
  Другие (2)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  КРУГ НПФ (5, 85)
  ARC Informatique (2, 12)
  Wonderware (4, 10)
  Honeywell Process Solutions (HPS) (3, 9)
  Siemens Digital Industries Software (ранее Siemens PLM Software) (2, 7)
  Другие (150, 68)

  КРУГ НПФ (3, 7)
  Свизитом (Svisitom) (1, 2)
  Siemens AG (Сименс АГ) (2, 1)
  Schneider Electric Global (1, 1)
  Доза НПП (1, 1)
  Другие (4, 4)

  КРУГ НПФ (3, 8)
  Schneider Electric (1, 1)
  Группа компаний 1520 (1, 1)
  Коркласс (ранее ТехноИнвестПроект УК Технологии Проектных Инвестиций) (1, 1)
  Новософт (1, 1)
  Другие (5, 5)

  КРУГ НПФ (4, 11)
  РИР (Росатом Инфраструктурные решения) (3, 3)
  Другие (0, 0)

  КРУГ НПФ (3, 4)
  Системы и технологии (1, 2)
  AdAstra Research Group (АдАстра Рисерч Груп) (1, 1)
  Reksoft (Рексофт) (1, 1)
  РИР (Росатом Инфраструктурные решения) (1, 1)
  Другие (1, 1)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ПТК КРУГ-2000 - 59 (59, 0)
  SCADA КРУГ-2000 - 54 (54, 0)
  DevLink-C1000 Промышленные контроллеры - 24 (24, 0)
  PcVue - 12 (10, 2)
  АСУ ТП Experion Process Knowledge System (PKS) - 9 (9, 0)
  Другие 80

  SCADA КРУГ-2000 - 5 (5, 0)
  ПТК КРУГ-2000 - 5 (5, 0)
  DevLink-C1000 Промышленные контроллеры - 3 (3, 0)
  Свизитом: Эксплуатация и обслуживание зданий - 2 (2, 0)
  MasterSCADA - 1 (1, 0)
  Другие 6

  SCADA КРУГ-2000 - 6 (6, 0)
  ПТК КРУГ-2000 - 5 (5, 0)
  DevLink-C1000 Промышленные контроллеры - 4 (4, 0)
  1520 Технологическая платформа для цифровизации промышленности - 1 (1, 0)
  EcoStruxure ADMS - 1 (1, 0)
  Другие 5

  ПТК КРУГ-2000 - 10 (10, 0)
  SCADA КРУГ-2000 - 10 (10, 0)
  DevLink-C1000 Промышленные контроллеры - 2 (2, 0)
  Росатом Цифровое ресурсоснабжение - 2 (1, 1)
  КРУГ: Система Реального Времени Контроллеров (СРВК) - 2 (2, 0)
  Другие -1

  SCADA КРУГ-2000 - 4 (4, 0)
  ПТК КРУГ-2000 - 4 (4, 0)
  Системы и технологии: Пирамида 2.0 - 2 (2, 0)
  Reksoft SCADA - 1 (1, 0)
  Росатом Цифровое ресурсоснабжение - 1 (1, 0)
  Другие 2