Positive Technologies помогла устранить уязвимости в решении Inductive Automation Ignition
23 март 2015 16:20 #11826
от ICT
ICT создал тему: Positive Technologies помогла устранить уязвимости в решении Inductive Automation Ignition
Компания Inductive Automation выпустила ряд обновлений, закрывающих уязвимости в продукте Ignition, которые могли привести к раскрытию важных данных, подбору паролей и повышению привилегий в системе. Проблемы безопасности были обнаружены экспертами Positive Technologies во время анализа защищенности АСУ ТП. В исследовании участвовали Евгений Дружинин, Алексей Осипов и Илья Карпов, сообщили CNews в компании Positive Technologies. Кроссплатформенный инструмент Ignition используется для автоматизации систем управления производственными процессами химических заводов, электростанций и других критически важных объектов. Среди найденных исследователями уязвимостей: возможность обхода механизма защиты от подбора паролей к учетным записям — злоумышленник может обойти механизм защиты от атак с использованием подбора, сбросив идентификатор сессии в HTTP-запросе; «неубиваемые» после выхода пользователя из системы сессии («повышение привилегий») — уязвимость позволяет злоумышленникам осуществить атаку повторного воспроизведения в контексте данного пользователя; хранение аутентификационных данных сервера OPC в незашифрованном виде; а также отображение конфиденциальной информации в предупреждениях или сообщениях об ошибке (могут указывать на расположение файла, вызвавшего необрабатываемое исключение). Вдобавок была обнаружена проблема безопасности, которая позволяет изменять JNLP-файлы и заставляет пользователей загружать произвольные Java-апплеты. Уязвимостям подвержена платформа Inductive Automation Ignition 7.7.3 и более ранние версии. В Positive Technologies рекомендуют установить последнюю версию приложения. Все необходимые проверки на наличие недостатков безопасности, выявленных в программном обеспечении Inductive Automation Ignition, добавлены в базу знаний системы контроля защищенности и соответствия стандартам MaxPatrol. Часть этих проблем безопасности обнаруживается эвристическими механизмами MaxPatrol и без обновления базы знаний, указали в компании. Как отмечается, Positive Technologies регулярно проводит анализ защищенности продуктов, используемых в различных АСУ ТП. Компания сотрудничает с такими производителями систем управления, как Honeywell, Siemens, Schneider Electric и Invensys.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.