B&R Aprol

Продукт
Разработчики: B&R Automation
Дата последнего релиза: 2023/03/07
Отрасли: Газовая промышленность,  Машиностроение и приборостроение,  Нефтяная промышленность,  Энергетика
Технологии: АСУ ТП

Aprol — система управления производственными процессами, которая предлагает широкие возможности масштабирования, позволяя охватить каждую область применения.

2023: Устранение пяти уязвимостей

В системе управления B&R APROL устранили уязвимости, выявленные Positive Technologies, которая и сообщила об этом 7 марта 2023 года.

Злоумышленник мог проникнуть в базу данных системы, контролирующей производственные процессы.

Австрийская компания B&R, входящая в группу ABB, поблагодарила старшего специалиста отдела анализа приложений Positive Technologies Наталью Тляпову за обнаружение пяти уязвимостей в базе данных системы управления производственными процессами APROL. Решение применяется в энергетической, машиностроительной, нефтегазовой, пищевой и других отраслях. Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и исправил уязвимости в новых версиях ПО.

«
Наибольшую опасность представляли три уязвимости, которые позволили бы злоумышленнику осуществить удаленное выполнение кода, — сказала Наталья Тляпова. — Это CVE-2022-43761 (оценка 9,4 по шкале CVSS v3.1), CVE-2022-43762 (оценка 7,5) и CVE-2022-43764 (оценка 9,8). Комбинация этих ошибок могла использоваться для проникновения на сервер, на котором запущена B&R APROL, а CVE-2022-43761 сама по себе давала возможность чтения и искажения информации в базе данных этой системы. Такие изменения могли привести к нештатному режиму работы системы управления и нарушению технологического процесса.
»

Еще две уязвимости, найденные Натальей Тляповой, — CVE-2022-43763 и CVE-2022-43765 (оценки 7,5) — позволяли выполнить атаку типа «отказ в обслуживании».

Пользователям необходимо установить исправленные версии системы APROL (R 4.2-07 с AutoYaST или V4.2-070.0.120102). Эти обновления обеспечивают защищенный доступ к базе данных с помощью TLS-шифрования.

2019: Выявление множественных уязвимостей в 12 компонентах Aprol

30 мая 2019 года компания Positive Technologies сообщила, что её эксперты отделов безопасности промышленных систем управления и анализа приложений выявили множественные уязвимости в 12 компонентах системы управления производственными процессами APROL австрийской компании B&R Automation. Данная система управления применяется в нефтегазовой, энергетической, машиностроительной и других отраслях.

Наибольшую опасность представляют пять уязвимостей (№ 5, 7, 8, 10, 11 из уведомления производителя), которые позволяют удаленному атакующему выполнить произвольный код в системе APROL.

«
Возможность выполнения произвольного кода в операционной системе компонентов АСУ ТП позволяет злоумышленнику негативно влиять на технологический процесс. Например, атакующий может несанкционированно отправлять команды управления оборудованием, изменять параметры конфигурации, в том числе программные алгоритмы. Такие изменения могут привести к нештатному режиму работы вплоть до возникновения аварийной ситуации на производстве,
отметил Владимир Назаров, руководитель отдела безопасности промышленных систем управления Positive Technologies
»

Среди выявленных уязвимостей были найдены ошибки доступа к памяти в компоненте TbaseServer, ошибки в компонентах AprolLoader и AprolSqlServer, SQL-инъекции в системе контроля и учета энергопотребления EnMon, возможность внедрения произвольных команд в веб-сервере.

Пользователям уязвимых версий необходимо установить последнюю версию APROL R.

По данным Positive Technologies, в 2018 году продолжился рост числа уязвимостей, выявляемых в оборудовании различных производителей систем промышленной автоматизации (на 30%), а также количества доступных в интернете компонентов АСУ ТП (на 27%).



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  КРУГ НПФ (89)
  Бест (Бест Софт ПКФ) (14)
  Модульные системы Торнадо (13)
  РТСофт (RTSoft) (7)
  ВидеоМатрикс (Videomatrix) (6)
  Другие (100)

  КРУГ НПФ (7)
  Siemens AG (Сименс АГ) (2)
  ВидеоМатрикс (Videomatrix) (2)
  AspenTech (1)
  Siemens Digital Industries Software (ранее Siemens PLM Software) (1)
  Другие (5)

  КРУГ НПФ (8)
  ВидеоМатрикс (Videomatrix) (1)
  ГектИС НПФ (1)
  Деснол Софт (1)
  Научно-технический центр единой энергетической системы (НТЦ ЕЭС) ранее НИИПТ (1)
  Другие (6)

  КРУГ НПФ (12)
  ОВЕН (OWEN) (2)
  CyberPhysics (СайберФизикс) (1)
  К2 Тех (1)
  Новософт развитие (1)
  Другие (3)

  КРУГ НПФ (4)
  Флагман Инжиниринг (1)
  Цифровые Платформы и Решения Умного Города (1)
  Reksoft (Рексофт) (1)
  Другие (0)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  КРУГ НПФ (9, 93)
  Бест (Бест Софт ПКФ) (1, 16)
  Модульные системы Торнадо (4, 13)
  РТСофт (RTSoft) (6, 7)
  ВидеоМатрикс (Videomatrix) (3, 6)
  Другие (176, 76)

  КРУГ НПФ (3, 7)
  Siemens AG (Сименс АГ) (3, 2)
  ВидеоМатрикс (Videomatrix) (2, 2)
  AspenTech (1, 1)
  МПС софт (1, 1)
  Другие (5, 5)

  КРУГ НПФ (3, 8)
  ВидеоМатрикс (Videomatrix) (1, 1)
  Консом групп, Konsom Group (КонсОМ СКС) (1, 1)
  Научно-технический центр единой энергетической системы (НТЦ ЕЭС) ранее НИИПТ (1, 1)
  РИР (Росатом Инфраструктурные решения) (1, 1)
  Другие (3, 3)

  КРУГ НПФ (4, 12)
  ОВЕН (OWEN) (1, 2)
  Ctrl2Go Solutions, Кловер Групп (ранее Clover Group) (1, 1)
  CyberPhysics (СайберФизикс) (1, 1)
  Новософт развитие (1, 1)
  Другие (1, 1)

  КРУГ НПФ (4, 4)
  Reksoft (Рексофт) (1, 1)
  РИР (Росатом Инфраструктурные решения) (1, 1)
  Другие (0, 0)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ПТК КРУГ-2000 - 59 (59, 0)
  SCADA КРУГ-2000 - 54 (54, 0)
  DevLink-C1000 Промышленные контроллеры - 24 (24, 0)
  1С:Предприятие 8. Энергетика. Управление распределительной сетевой компанией - 16 (16, 0)
  ПТК Торнадо-N (прототип Национальной платформы промышленной автоматизации, НППА) - 12 (12, 0)
  Другие 104

  ПТК КРУГ-2000 - 5 (5, 0)
  SCADA КРУГ-2000 - 5 (5, 0)
  DevLink-C1000 Промышленные контроллеры - 3 (3, 0)
  Siemens Valor Process Preparation - 1 (1, 0)
  Simcenter Testlab - 1 (1, 0)
  Другие 9

  SCADA КРУГ-2000 - 6 (6, 0)
  ПТК КРУГ-2000 - 5 (5, 0)
  DevLink-C1000 Промышленные контроллеры - 4 (4, 0)
  ПНИПУ: Технология оперативного измерения влажности продукции после сушки - 1 (1, 0)
  Росатом Цифровое ресурсоснабжение - 1 (1, 0)
  Другие 3

  SCADA КРУГ-2000 - 10 (10, 0)
  ПТК КРУГ-2000 - 10 (10, 0)
  DevLink-C1000 Промышленные контроллеры - 2 (2, 0)
  ОВЕН: КосМастер Блок для управления установками обратного осмоса - 2 (2, 0)
  CyberStudio Платформа для предиктивной аналитики промышленного оборудования и оптимизации технологических процессов - 1 (1, 0)
  Другие 3

  ПТК КРУГ-2000 - 4 (4, 0)
  SCADA КРУГ-2000 - 4 (4, 0)
  КРУГ: АСУ ТП турбоагрегата - 1 (1, 0)
  DevLink-C1000 Промышленные контроллеры - 1 (1, 0)
  Росатом Цифровое ресурсоснабжение - 1 (1, 0)
  Другие 0