Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Уязвимости в ПО B&R Automation способствуют атакам на АСУ ТП

09/04/20

BandRВ программном обеспечении B&R Automation Studio обнаружен ряд уязвимостей, облегчающих злоумышленникам осуществление атак в OT-сетях (Operational Technology).

B&R Automation Studio представляет собой среду разработки и выполнения, охватывающую все аспекты решения автоматизации, включая управление, ЧМИ, эксплуатацию и безопасность.

По данным Агентства по кибербезопасности и безопасности инфраструктуры (CISA) США, продукты компании используются во всем мире, особенно в энергетическом, химическом и критически важных производственных секторах.

В службе обновлений B&R Automation Studio 4 содержатся три уязвимости, связанные с повышением привилегий, шифрованием и проверкой неполного соединения, а также обходом пути. Последняя связана с проблемой перезаписи произвольного файла Zip Slip, обнаруженной в 2018 году.

Сочетание уязвимости обхода пути и проблемы шифрования и проверки предоставляет злоумышленнику с доступом к сети жертвы возможность проводить MitM-атаки и вмешиваться в процесс обновления программного обеспечения. Преступник может перехватить исходный DNS-запрос на сервере обновлений B&R и перенаправить утилиту для загрузки обновлений с подконтрольного сайта. В связи с отсутствием надлежащей проверки сервера обновлений или пакета обновлений, на данном этапе злоумышленник может воспользоваться обходом пути через уязвимость обновления и выполнить произвольный код на узле Automation Studio с привилегиями SYSTEM.

Атака основана на перехвате домена, которая становится намного легче при наличии доступа к закрытой сети АСУ ТП, где часто отсутствуют DNS-серверы для ответа клиенту. Как только злоумышленник закрепится в сети АСУ ТП, он может использовать различные целевые уязвимости для атаки на программируемые логические контроллеры (ПЛК) и другое критически важное оборудование в сети АСУ ТП.

Как утверждает B&R, компания не нашла никаких доказательств использования данных уязвимостей и в настоящее время работает над выпуском исправлений.

Темы:УгрозыCISAАСУ ТП
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • MISRA: повышение безопасности встраиваемых систем через SAST
    Михаил Гельвих, руководитель отдела технического сопровождения ООО “ПВС”
    Встраиваемые системы управляют автомобилями, медицинским оборудованием и промышленными объектами, где ошибки могут приводить не только к финансовым потерям, но и угрожать жизням людей. Рассмотрим, как стандарт MISRA и статические анализаторы, такие как PVS-Studio, помогают обеспечить надежность и безопасность кода в критически важных приложениях.
  • Без полумер и человека: грамотная автоматизация спасет АСУ ТП от киберугроз
    Андрей Кузнецов, менеджер продукта “Синоникс” в компании “АйТи Бастион”
    Минимизация участия человека в производственных процессах – один из главных пунктов обеспечения информационной безопасности АСУ ТП. Человеческий фактор в мире автоматизированных систем до сих пор остается ключевой уязвимостью крупных организаций. Несмотря на то, что многие предприятия до сих пор сопротивляются глобальной цифровизации, нужно смотреть правде в глаза: тренд на автоматизацию производств был, есть и, с учетом развития технологий сегодня, абсолютно точно останется. С этим можно спорить, трепетно вычитывая регуляторные требования, а можно поддаться благому течению технологий и жить. Тем более, что для этого есть необходимые и удобные инструменты даже в случае АСУ ТП. Об этих инструментах и грамотном пути к безопасному обмену данными на производствах и поговорим.
  • Переход на отечественные АСУ ТП: опыт, ошибки, рекомендации
    Переход на отечественные компоненты в АСУ ТП – задача не только технологическая, но и стратегическая: от правильного выбора решений зависят безопасность, стабильность и сопровождаемость критической инфраструктуры. Участники отрасли отмечают, что при всей интенсивности развития российского рынка, зрелость отечественных решений всё ещё неоднородна – особенно в части интеграции с системами ИБ и реализации принципов безопасной разработки. 
  • Киберустойчивость в энергетике: как избежать иллюзий?
    Евгений Генгринович, советник генерального директора компании “ИнфоТеКС”
    Когда речь заходит о цифровой трансформации в АСУ ТП, наравне с вопросами информационной безопасности все чаще поднимается тема киберустойчивости. Устойчивость важна для любой технологической системы – будь то электроэнергетика, нефтегазовая отрасль или нефтехимия. Основная задача любого технологического процесса – достижение запланированных бизнес-результатов, и службы эксплуатации традиционно отвечают за его надежность.
  • Как на практике устранять разрывы между защитой ИТ и AСУ ТП?
    Несмотря на очевидную техническую разницу между ИТ и АСУ ТП, именно организационные барьеры чаще всего мешают выстроить устойчивую систему кибербезопасности в промышленности. Недостаточно просто поделить ответственность между подразделениями: требуется новая модель совместной работы, в которой ИТ, ИБ и технологи не просто "сотрудничают", а действуют как единая команда с общими целями и пониманием процессов. 
  • Аутсорсинг SOC для АСУ ТП: выход или угроза?
    Идея аутсорсинга SOC в промышленности все чаще обсуждается как способ повысить устойчивость и снизить затраты. Однако эксперты сходятся во мнении: применять эту модель в индустриальной сфере напрямую, по шаблону ИТ-инфраструктур, рискованно. Промышленные процессы требуют не просто мониторинга инцидентов, а глубокого понимания технологической специфики и особенностей функционирования АСУ ТП. 

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...