Специалисты российской компании Positive Technologies нашли опасные уязвимости в инженерных утилитах Mitsubishi Electric

Специалисты российской компании Positive Technologies нашли опасные уязвимости в инженерных утилитах Mitsubishi Electric. Фото: СС0

Как сообщают в компании, инженерное программное обеспечение GX Works3 и утилита MX OPC UA Module Configurator-R используются для программирования ПЛК Mitsubishi Electric, настройки их параметров, загрузки проектов, мониторинга, диагностики и отладки. GX Works3 является основным инструментом, с помощью которого создается проект ПЛК для техпроцесса и вносятся все дальнейшие изменения в процессе эксплуатации.

Из сообщения Антона Дофмана

«Контроллеры Mitsubishi Electric используются в водном хозяйстве, для автоматизации инженерных систем зданий, в судоходстве, в производстве продуктов питания и других сферах, — прокомментировал Антон Дорфман, ведущий специалист отдела анализа приложений, Positive Technologies. — Основная часть найденных уязвимостей связана с механизмами предотвращения нелегального доступа к программам в проектах в среде GX Works3 и исполнения программ в ПЛК. Если атакующий получит файл проекта ПЛК, то он сможет извлечь из него пароль, авторизоваться на ПЛК и, например, воспользоваться командой остановки контроллера. Как и эксплуатация уязвимостей, которые мы выявили ранее и сообщили о них в апреле и августе, подобные атаки могут нарушить технологический процесс, хотя и имеют совершенно другой вектор».

Самая опасная уязвимость CVE-2022-29830 получила оценку 9,1 из 10 по шкале CVSS 3.1. Ее эксплуатация может привести к раскрытию всей информации о проекте. Это может привести к потере конфиденциальности (просмотру), краже или подмене файлов проекта. Подмена файлов проекта может повлечь за собой несанкционированное изменение либо нарушение технологического процесса.

Уязвимость CVE-2022-25164 получила оценку 8,6 из 10 по шкале CVSS 3.1. В случае получения злоумышленником файла с проектом он сможет извлечь из него пароль для подключения к ПЛК.

Эксплуатация пяти уязвимостей CVE-2022-29825 (оценка 5,6), CVE-2022-29826 (6,8), CVE-2022-29827 (6,8), CVE-2022-29828 (6,8), CVE-2022-29829 (6,8) может привести к раскрытию чувствительной информации. На ее основе неавторизованный пользователь может получить нелегальный доступ к проектам в GX Works3 и осуществить несанкционированное исполнение программ в ПЛК.

Для минимизации рисков, связанных с этими уязвимостями, пользователям необходимо следовать рекомендациям Mitsubishi Electric, опубликованным в уведомлении о безопасности, в том числе установить последнюю версию инженерного программного обеспечения GX Works3 с исправлениями.

Продукты Mitsubishi для промышленной автоматизации используются российскими предприятиями более 20 лет. Mitsubishi входит в топ-3 мировых лидеров на рынке промышленных контроллеров: компания выпустила свыше 17 миллионов компактных программируемых логических контроллеров.

Это финальная часть большого исследования безопасности ПЛК Mitsubishi, выполненного экспертами под руководством Антона Дорфмана. Отчет об уязвимостях был отправлен вендору год назад — в декабре 2021 года. На его основе Mitsubishi Electric планомерно закрывает уязвимости (апрель, август), повышая уровень защищенности своих продуктов, сообщают в компании

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• GitHub потребует от всех пользователей включить 2FA к концу 2023 года.
• Администрация ресторанной CRM-платформы SevenRooms подтверждает утечку данных.
• Разработчики ExpressVPN доказали безопасность своего программного обеспечения с помощью новых аудитов.
• Хакеры вскрыли портал обмена информацией о киберугрозах ФБР и украли данные пользователей.