___

Как мы неоднократно говорили, мы неравнодушны к атакам на промышленные системы управления (ICS), потому что представляем себе к каким катастрофическим последствиям они могут привести. Кейс , про который мы хотим рассказать, наглядно демонстрирует проблемы с инфосек в этой области. Исследователь Шэрон Бризинов из инфосек компании Claroty , обнаружила уязвимость в реализации стека ENIP от компании Real Time Automation ( RTA ), который является одним из наиболее распространенных ОТ-протоколов в ICS . Эксплуатация ошибки позволила бы хакеру осуществить как минимум атаку на отказ в обслуживании, как максимум - удаленно выполнить вредоносный код, то есть фактически взять атакованное устройство под свой контроль (напомним, что это не просто хост в сети, а какой-то компонент промышленной системы управления). В связи с этим уязвимость была оценена в 9,8 из 10 по шкале критичности. Уязвимость затрагивала версии ENIP до 2.28, и RTA , после того, как ее уведомили об ошибке, выяснили, что она действительно была устранена в обновлении от 2012 года. Если бы речь шла о стандартных IT-системах, то на этом кейс можно было бы, пожалуй, закрывать. Но только не в этом случае, когда дело касается ICS . Как оказалось, реализация ENIP от RTA была приобретена и интегрирована в собственные прошивки многими поставщиками компонентов ICS , некоторые из них купили уязвимые версии. Особенность же промышленных систем управления в том, что входящее в них ПО может не обновляться годами и десятилетиями. Такова специфика процесса. В результате исследователи Claroty обнаружили 11 компонентов ICS от 6 производителей, которые оказались уязвимы, и некоторые из них торчат в сеть. С производителями срочно связались RTA , но смогут ли владельцы производства, на котором стоят эти уязвимые устройства, быстро их обновить - не ясно. Таковы сегодняшние реалии в промышленном инфосеке. Необновленные устройства работают годами, из-за относительно небольшого распространения уязвимости могут сидеть в них еще дольше и никто об этом не узнает.