myPRO

Продукт mySCADA myPRO^[1] представляет собой систему визуализации и управления промышленными процессами, которая может быть установлена на операционные системы Windows или Linux и позволяет визуализировать данные из АСУ ТП с помощью веб-интерфейса.

История

2024: Обнаружение опасной уязвимости, исправление для россиян недоступно

В системе визуализации и управления промышленными процессами mySCADA myPRO ФСТЭК в начале июля обнаружила уязвимость BDU:2024-05050^[2], которая позволяет удаленному злоумышленнику выполнить произвольный код. Уязвимость связана с предустановленными учетными данными, то есть вшитыми в ПО паролями от административных учетных записей. Опасность уязвимости по методике оценки CVSS 3.1 составляет 9,8 из 10. Указано, что в версии myPRO 8.31.0 ошибка исправлена, и нужно бы до нее обновиться, однако производитель – чешская компания – настроена против российских пользователей.

𝓲

mySCADA

mySCADA - простой и удобный инструмент визуализации промышленных процессов, он был довольно широко распространён в России до санкций, в которых производитель продукта, чешская компания, выступает с очень жёстких позиций, – пояснил для TAdviser ситуацию Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда», – Доступ к системе осуществляется через обычный веб-браузер. Дополнительным преимуществом является возможность написания сценариев на языке JavaScript, что позволяет пользователям расширять функциональность системы. Ввиду всего вышесказанного такие системы небезопасны сами по себе, поэтому их обычно проектируют без прямой связи с технологическим контуром. Поэтому при классической архитектуре вряд ли хакеру удастся получить контроль над технологическим процессам, то есть нанести вред промышленной инфраструктуре и, тем более, здоровью и жизни людей.

В то же время, по мнению Владимира Дащенко, эксперта по кибербезопасности Kaspersky ICS CERT, ситуация может оказаться опасной.

Это достаточно критичная уязвимость, так как речь идет о потенциальном бэкдоре – это недекларированный функционал ПО, а именно «вшитые» аутентификационные данные, – заявил он в переписке с TAdviser. – Непонятно, были ли они забыты или же оставлены с намерением. Когда в компании внедрены лучшие практики безопасной разработки, то такие ситуации невозможно пропустить. Эксплуатация такой уязвимости может нести очень серьёзные последствия для технологического процесса.

Действительно, принятый в России ГОСТ Р 65939 определяет процессы разработки безопасного программного обеспечения, где предусмотрена проверка в том числе и на наличие встроенных учетных данных – этот процесс должен выполнять сам производитель. Причем ФСТЭК своими требованиями по использованию ПО, которое проверено на безопасность, фактически обязывает производителей программного обеспечения внедрять проверки на наличие встроенных административных привилегий в конвейер разработки. Однако у чешской компании, похоже, подобные процедуры реализованы не были. В результате пользователям ее продуктов приходиться либо обновляться до новой версии – 8.31.0, либо выполнять следующие рекомендации ФСТЭК:

• сегментировать сети для ограничения доступа к промышленному сегменту из других подсетей;
• ограничить доступ из внешних сетей (интернет) к промышленному сегменту;
• использовать виртуальные частные сети для организации удаленного доступа (VPN);
• применять средства межсетевого экранирования для ограничения возможности прямого удалённого доступа.

Необходимо следовать принципам эшелонированной защиты своих активов, – дополнил рекомендации ФСТЭК Владимир Дащенко. – Также использовать специализированные средства защиты для промышленных сетей и автоматизированных систем, регулярно обучать персонал и пользоваться сервисами раннего информирования об угрозах. Еще рекомендую проверять ПО силами сторонних исследователей на предмет наличия недекларированных возможностей и уязвимостей «нулевого дня».

Примечания