В системах управления электроподстанциями обнаружены уязвимости

Александр Панасенко 26 Декабря 2016 - 13:57

...

В системах управления электроподстанциями обнаружены уязвимости

Специалисты компании Positive Technologies Илья Карпов и Дмитрий Скляров выявили уязвимости в программном обеспечении Siemens SICAM PAS (Power Automation System), предназначенном для построения АСУ ТП в энергетике.

Данное ПО используется на подстанциях различных классов напряжения в России, странах Европы и на других континентах. Производитель подтвердил наличие брешей и выпустил рекомендации по их устранению.

Уязвимости связаны с ненадежным хранением паролей и разглашением чувствительной информации. Наибольшую опасность представляет ошибка безопасности CVE-2016-8567, получившая оценку 9,8 по 10-балльной шкале CVSSv3, что соответствует высокому уровню опасности. Злоумышленники могут удаленно получить привилегированный доступ к базе данных SICAM PAS, используя стандартную возможность дистанционного конфигурирования через TCP-порт 2638 и жестко закодированные пароли в заводских учетных записях.

Вторая обнаруженная Positive Technologies уязвимость CVE-2016-8566 с оценкой 7,8 позволяет узнать учетные записи пользователей и восстановить к ним пароли (после получения доступа к базе данных SICAM PAS). Причина — в слабых алгоритмах хеширования паролей.

«Критический уровень опасности этих уязвимостей обусловлен возможностью удаленно переконфигурировать SICAM PAS на энергетическом объекте, блокировать работу системы диспетчеризации или вызвать различные аварии, включая системные», — отметил руководитель отдела исследований и аудита промышленных систем управления Positive Technologies Илья Карпов.

Для устранения этих уязвимостей производитель рекомендует обновить SICAM PAS до версии 8.0. Необходимо также заблокировать доступ к портам 19235/TCP и 19234/TCP с помощью, например, брандмауэра Windows, что позволит до выпуска дополнительных патчей закрыть две другие описанные в бюллетене безопасности бреши.

Это не первая совместная работа двух компаний в 2016 году. Летом Siemens сообщил о двух уязвимостях CVE-2016-5848 и CVE-2016-5849, обнаруженных также Ильей Карповым и Дмитрием Скляровым. Данные уязвимости получили низкий уровень опасности, так как ими нельзя воспользоваться удаленно (оценка 2,5 по шкале CVSSv3). Для их устранения надо обновить SICAM PAS до версии 8.08.

В октябре 2016 года Siemens опубликовал информацию также о двух уязвимостях (CVE-2016-7959 и CVE-2016-7960) в интегрированной среде разработки программного обеспечения SIMATIC STEP 7 (TIA Portal), найденных руководителем отдела анализа приложений Positive Technologies Дмитрием Скляровым. В частности, злоумышленник, имея локальный доступ к проектам SIMATIC STEP 7 и TIA Portal, может разобрать алгоритм скрытия хешей паролей и узнать используемые пароли в проекте для ПЛК Simatic S7.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.