Positive Technologies
Новости

В системе управления B&R APROL устранили уязвимости, выявленные Positive Technologies

Злоумышленник мог проникнуть в базу данных системы, контролирующей производственные процессы

Австрийская компания B&R1, входящая в группу ABB, поблагодарила старшего специалиста отдела анализа приложений Positive Technologies Наталью Тляпову за обнаружение пяти уязвимостей в базе данных системы управления производственными процессами APROL. Решение применяется в энергетической, машиностроительной, нефтегазовой, пищевой и других отраслях. Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и исправил уязвимости в новых версиях ПО.

«Наибольшую опасность представляли три уязвимости, которые позволили бы злоумышленнику осуществить удаленное выполнение кода, — рассказывает Наталья Тляпова.— Это CVE-2022-43761 (оценка 9,4 по шкале CVSS v3.1), CVE-2022-43762 (оценка 7,5) и CVE-2022-43764 (оценка 9,8). Комбинация этих ошибок могла использоваться для проникновения на сервер, на котором запущена B&R APROL, а CVE-2022-43761 сама по себе давала возможность чтения и искажения информации в базе данных этой системы. Такие изменения могли привести к нештатному режиму работы системы управления и нарушению технологического процесса».

Еще две уязвимости, найденные Натальей Тляповой, — CVE-2022-43763 и CVE-2022-43765 (оценки 7,5) — позволяли выполнить атаку типа «отказ в обслуживании»2.

Пользователям необходимо установить исправленные версии системы APROL (R 4.2-07 с AutoYaST или V4.2-070.0.120102). Эти обновления обеспечивают защищенный доступ к базе данных с помощью TLS-шифрования3.

Для поиска следов нарушений информационной безопасности в сетях АСУ ТП и выявления кибератак на ранней стадии компания Positive Technologies предлагает программно-аппаратный комплекс глубокого анализа технологического трафика — PT Industrial Security Incident Manager (PT ISIM), который выявляет эксплуатацию уязвимостей APROL, описанных в этом материале. PT ISIM — часть платформы для выявления киберугроз и реагирования на инциденты в промышленных системах PT Industrial Cybersecurity Suite.

Исследования Positive Technologies не в первый раз позволяют компании B&R повысить защищенность своих продуктов. В 2019 году Positive Technologies помогла исправить множественные уязвимости в 12 компонентах системы B&R APROL.

  1. B&R Industrial Automation — европейский производитель компонентов промышленной автоматизации. В 2017 году компания B&R была приобретена корпорацией ABB.
  2. Хакерская атака на вычислительную систему с целью довести ее до отказа (англ. denial denial of service service — «отказ в обслуживании»).
  3. Протоколы TLS и SSL используют асимметричное шифрование для аутентификации.