Журнал "Information Security/ Информационная безопасность" #2, 2018

Уязвимости в различных компонентах АСУ ТП Степень риска выявленных уязвимостей Больше половины выявлен- ных в системах АСУ ТП уязви- мостей (194) получили оценку более 7 баллов по шкале CVSS версии 3.0, что соответствует высокой и критической степени риска (см. табл. 1). Все уязвимости, получившие 10 баллов, имеют схожие харак- теристики: они связаны с про- блемами аутентификации, могут использоваться удаленно и про- сты в эксплуатации. Наивысшую оценку степени риска получила также уязви- мость в протоколе Modicon Mod- bus Protocol, которая рассмат- ривается ниже. Необходимо отметить, что оценка CVSS не учитывает спе- цифику систем промышленной автоматизации и особенности технологических процессов кон- кретной организации. Поэтому при оценке критичности уязви- мости помимо количества бал- лов по шкале CVSS мы реко- мендуем учитывать возможные последствия ее эксплуатации, такие как нарушение или ограничение выполнения функ- ций АСУ ТП, влияющих на непрерывность технологическо- го процесса. Типы выявленных уязвимостей Среди наиболее распростра- ненных типов уязвимостей (рис. 2) – переполнение буфера (Stack-based Buffer Overflow, Heap-based Buffer Overflow) и неправильная аутентификация (Improper Authentication). При этом 23% всех выявлен- ных уязвимостей являются Web- уязвимостями (Injection, Path tra- versal, Cross-Site Request For- gery (CSRF), Cross-Site Scrip- ting), а 21% – связаны с про- блемами аутентификации (Improper Authentication, Authen- tication Bypass, Missing Authenti- cation for Critical Function) и с проблемами управления досту- пом (Access Control, Incorrect Default Permissions, Improper Pri- vilege Management, Credentials Management). Эксплуатация злоумышленни- ками уязвимостей в различных компонентах АСУ ТП может при- вести к выполнению произволь- ного кода, несанкционирован- ному управлению промышлен- ным оборудованием и отказу в его работе (DoS). При этом боль- шинство уязвимостей (265) могут эксплуатироваться уда- ленно без аутентификации, и их эксплуатация не требует от зло- умышленника специальных зна- ний и высокого уровня навыков. Для 17 уязвимостей опубли- кованы эксплойты, что повыша- ет риск их злонамеренного использования. Уязвимые компоненты АСУ ТП Наибольшее количество уязви- мостей было выявлено в: SCADA/HMI-компонентах (88); сетевых устройствах промышлен- ного назначения (66); ПЛК (52); инженерном ПО (52) – рис. 3. Среди уязвимых компонентов также РЗА, системы противо- аварийной защиты, системы эко- логического мониторинга и системы промышленного видео- наблюдения. Уязвимости промышленных протоколов Важным моментом в иссле- довании безопасности про- граммного обеспечения АСУ ТП 2017 г. стало обнаружение серь- езных уязвимостей в реализа- циях промышленных протоко- лов. Так, уязвимости были обна- 38 • ИССЛЕДОВАНИЕ Ландшафт угроз для систем промышленной автоматизации Второе полугодие 2017 года ентр реагирования на инциденты информационной безопасности промышленных инфра- структур “Лаборатории Касперского” (Kaspersky Lab ICS CERT) публикует результаты исследований ландшафта угроз для систем промышленной автоматизации, полученные в течение второго полугодия 2017 года. Основная цель публикаций – информационная поддержка глобальных и локальных команд реагирования на инциденты, специалистов по информационной безопасности предприятий и исследователей в области защищенно- сти промышленных объектов. Ц Рис. 1. Количество уязвимых продуктов, исполь- зуемых в различных отраслях (по классификации ICS-CERT), уязвимости, опуб- ликованные в 2017 г. Рис. 2. Наиболее распространенные типы уязви- мостей, уязвимости, опубликованные в 2017 г.