Siemens выпустила несколько «заплаток», закрывающих ряд серьезных уязвимостей в продуктах компании. Проблемы безопасности были обнаружены в компонентах АСУ ТП — в средствах разработки и HMI. Были устранены более десятка уязвимостей, среди которых небезопасное хранение паролей, переполнение буфера, а также возможность создания «закладок» в файлах проектов SCADA.
Обновления касаются продуктов Siemens SIMATIC PC7, WinCC и TIA Portal и практически полностью ориентированы на устранение проблем безопасности, обнаруженных исследователями компании Positive Technologies. Напомним, что ранее в блоге исследовательского центра Positive Technologies были опубликованы WinCC Hardening Guides, которые могут быть использованы в качестве технических стандартов безопасности для конфигурации систем или контрольных списков для аудитов безопасности.
Благодарности от компании Siemens получили сотрудники Positive Technologies Сергей Бобров, Сергей Гордейчик, Глеб Грицай, Роман Ильин, Илья Карпов, Дмитрий Нагибин, Алексей Осипов, Артем Чайкин и Тимур Юнусов. Кроме того, проделанную нашими экспертами работу высоко оценила американская Группа контроля кибербезопасности промышленных систем (ICS-CERT), которая выпустила соответствующий advisory.
Некоторые новые векторы атак, устраненные компанией Siemens, были представлены экспертами Positive Technologies на прошедшей в середине марта в Амстердаме конференции Black Hat Europe. «Устранение данных уязвимостей является результатом исследования защищенности компонентов АСУ ТП, которое проводит наш исследовательский центр. Построение критически важных объектов невозможно при использовании в промышленных системах недоверенных и небезопасных компонентов. Наша цель заключается в повышении уровня безопасности систем АСУ ТП и мы будем продолжать работу в этом направлении», — прокомментировал заместитель генерального директора Positive Technologies Сергей Гордейчик.