Подтверждены уязвимости в ПО для систем водоснабжения и энергетики

Как сообщила компания Positive Technologies, обнаруженные ее экспертом уязвимости в SCADA-системах General Electric и базах данных реального времени, подтверждены разработчиком. Уязвимости были найдены в ПО GE Digital, предназначенном для автоматизации производства в энергетике, водоснабжении, нефтегазовой и пищевой промышленности, автомобилестроении и в других сферах. Эксплуатация этих уязвимостей может привести к нарушению технологических процессов на множестве предприятий по всему миру.

Уязвимость CVE-2016-9360 (оценка 6,4 балла по шкале CVSS v3) позволяет локально перехватить пароли пользователей при наличии доступа к авторизованной сессии. Слабо защищены пароли пользователей в таких продуктах General Electric, как Proficy HMI/SCADA iFIX 5.8 SIM 13, Proficy HMI/SCADA CIMPLICITY 9.0, Proficy Historian 6.0 и в их предыдущих версиях.

Еще одна обнаруженная брешь (оценка 6.8 по шкале CVSS v3) дает возможность нарушителю или приложению, имеющим локальный доступ, заполучить пароли к базам с производственными данными. Это действует для системы iFIX 5.8 (Build 8255) и более ранних сборок.

Третья уязвимость найденная в Proficy Historian Administrator 5.0.195.0 (оценка 3.3) позволяет локальному атакующему блокировать работу приложения для авторизации в базе данных реального времени, что может приводить к сбоям при чтении и записи исторической информации и неработоспособности базы данных.

Также во всех трех системах был обнаружен критический недостаток механизма безопасности, связанный с использованием стандартных паролей для авторизации доступа по сети, что позволяет удаленно получить доступ к управлению производственным процессом.

Для устранения указанных уязвимостей необходимо обновить Proficy HMI/SCADA iFIX до версии 5.8 SIM 14, Proficy HMI/SCADA CIMPLICITY — до версии 9.5, а Proficy Historian — до версии 7.0.