Журнал "Information Security/ Информационная безопасность" #2, 2018

Анализ по отраслям Большая часть уязвимо- стей затрагивает автомати- зированные системы, управ- ляющие энергетикой (178), производственными процес- сами различных предприя- тий (164), водоснабжением (97) и транспортом (74). Уязвимости в компонентах АСУ ТП Всего в 2017 г. эксперты Kaspersky Lab ICS CERT обнаружили 30 уязвимостей в продуктах АСУ ТП различных вендоров. В основном это крупные производители средств автоматизации, такие как Schneider Electric, Sie- mens, Rockwell Automation, Emerson и др. ружены в реализации протокола Modbus в контроллерах серии Modicon (по шкале CVSS вер- сии 3 эта уязвимость имеет оценку 10 баллов), а также в реализациях стека протоколов OPC UA и в реализации прото- кола PROFINET Discovery and Configuration Protocol. Выявлен- ные проблемы безопасности затрагивают целые линейки продуктов. Влияние уязвимостей в "традиционных" технологиях на промышленные системы Кроме специфических для АСУ ТП уязвимостей, во втором полу- годии 2017 г. стало известно о ряде серьезных уязвимостей в программных платформах и сете- вых протоколах, которые могут быть использованы для атак на промышленные системы. Неожиданно актуальными для индустриальных решений оказались уязвимости в про- токоле WPA2. Им оказалось подвержено оборудование сразу нескольких компаний, включая Cisco, Rockwell Auto- mation, Sierra Wireless, ABB и Siemens. Сферу АСУ ТП затронули также множествен- ные уязвимости в DNS-серве- ре Dnsmasq, Java Runtime Environment, Oracle Java SE, Cisco IOS и IOS XE. Кроме того, на безопасность промышленного оборудования могут влиять и уязвимости про- дуктов Intel. Так, во втором полугодии 2017 г. была опубли- кована информация о несколь- ких уязвимостях в Intel (ME, SPS и TXE). В основном они затрагивают серверное обору- дование SCADA-систем и инду- стриальные компьютеры, использующие уязвимые про- цессоры. К ним относятся, например, Automation PC 910 компании В&R, Nuvo-5000 от Neousys и линейка продуктов GE Automation RXi2-XP. Как пра- вило, компании-разработчики не считают необходимым выпускать публичные уведом- ления об уязвимостях такого типа (обусловленных использо- ванием технологий третьих сто- рон). Конечно, есть и положи- тельные исключения. Например, Siemens AG выпустила уведом- ление о том, что данные уязви- мости затрагивают ряд продук- тов компании. Ранее компания уже публиковала информацию о подобных уязвимостях в тех- нологиях Intel, затронувших ее продукты. Уязвимости IoT-устройств В 2017 г. был отмечен рост числа уязвимостей, обнару- женных в устройствах Интер- нета вещей (Internet of Things, IoT), в связи с чем участились случаи использования этих уязвимостей для создания ботнетов. Только за послед- ние два месяца 2017 г. стало известно сразу о трех новых ботнет-активностях. Среди них – ботнет Reaper и новые разновидности Mirai, в том числе ботнет Satori. Множественные уязвимости были выявлены в роутерах Dlink 850L, беспроводных IP-камерах WIFICAM, сетевых видеореги- страторах Vacron и других устройствах. Наряду с новыми брешами в IoT-устройствах до сих пор не устранены давние уязвимости, такие как уязвимость CVE-2014- 8361 в устройствах компании Realtek, а также уязвимость 2012 г., которая позволяет узнать конфигурацию конвер- теров Serial-to-Ethernet, включая Telnet-пароль, через запрос на порт 30718. Данная уязвимость Serial-to-Ethernet-конвертеров напрямую затрагивает cферу промышленного Интернета вещей (Industrial Internet of Things) – конверторы последо- вательных интерфейсов лежат в основе многих систем, позво- ляющих оператору промышлен- ного оборудования удаленно контролировать его состояние, менять настройки и управлять режимами работы. Сферу IoT-устройств также затронули проблемы безопас- ности традиционных инфор- мационных технологий. Так, уязвимости в реализациях протокола Bluetooth обусло- вили появление нового век- тора атаки BlueBorne, пред- ставляющего опасность для мобильных, настольных и IoT- операционных систем. Вредоносное ПО на системах промышленной автоматизации Во многих промышленных компаниях используются совре- менные сетевые технологии, которые повышают прозрачность и эффективность процессов управления предприятием, а также обеспечивают гибкость и отказоустойчивость выполняе- мых функций на всех уровнях промышленной автоматизации. В результате технологическая сеть все больше становится похожей на корпоративную – и по сценариям использования, и по применяемым технологиям. К сожалению, платой за это ста- новится распространение интер- нет- и прочих традиционных ИT- угроз на технологические сети современных организаций. Во втором полугодии 2017 г. защитными решениями "Лабо- ратории Касперского" на систе- мах промышленной автомати- зации было обнаружено более 17,9 тыс. различных модифика- ций вредоносного ПО, относя- щихся к около 2,4 тыс. различ- ных семейств. • 39 ИССЛЕДОВАНИЕ www.itsec.ru Рис. 3. Распределение уязвимостей по компонен- там АСУ ТП, уязвимости, опубликованные в 2017 г. Рис. 4. Доля компьютеров АСУ, атакованных вре- доносными программами для майнинга крипто- валют Оценка степени риска от 9 до 10 от 7 до 8,9 от 4–6,9 от 0 до 3,9 (критическая) (высокая) (средняя) (низкая) Количество уязвимостей 60 134 127 1 Таблица 1. Распределение опубликованных уязвимостей по степени риска