06 октября 2021, 16:25
CISA, агентство по кибербезопасности и защите инфраструктуры США опубликовало 5 октября 2021 года отдельные рекомендации пользователям. Experion (PKS) - это распределенная система управления (DCS), предназначенная для мониторинга производственных процессов, охватывающих множество секторов, от нефтехимических заводов до атомных электростанций, где важны высокая надежность и безопасность.
Ошибки были выявлены компанией Claroty, стартапу в сфере промышленной кибербезопасности. Найденные уязвимости затрагивают все версии контроллеров Honeywell Experion Process Knowledge System C200, C200E, C300 и ACE:
CVE-2021-38397 (оценка по CVSS: 10,0!!!) - неограниченная загрузка файла с опасным типом,
CVE-2021-38395 (оценка по CVSS: 9,1) - неправильная нейтрализация специальных элементов в выходных данных, используемых нижестоящим компонентом,
CVE-2021-38399 (оценка по CVSS: 7,5) - относительный обход пути.
Проблемы связаны с процедурой загрузки кода, которая необходима для программирования логики, работающей в контроллере, что позволяет злоумышленнику имитировать процесс и загружать произвольные двоичные файлы CLL.
Согласно еще февральскому отчету Honeywell, библиотека компонентов управления (CCL) могла изменяться злоумышленником и загружаться в контроллер. В таком случае устройство загружает исполняемые файлы без выполнения проверки, давая злоумышленнику возможность загружать исполняемые файлы и запускать несанкционированный нативный код удаленно без аутентификации.
Умелая эксплуатация уязвимостей позволяет получить доступ к неавторизованным файлам и каталогам, и, что еще хуже, удаленно выполнить произвольный код или, например, вызвать состояние отказа в обслуживании.
Чтобы предотвратить загрузку измененного CCL с вредоносным кодом в контроллер, Honeywell внедрила дополнительные исправления безопасности, подписав каждый двоичный файл CCL, проверенный перед его использованием, криптографической подписью.
Пользователям настоятельно рекомендуется провести исправления, чтобы полностью исключить указанные уязвимости.
Журнал RUБЕЖ
Пожарная безопасность
Транспортная безопасность
