PT ISIM определяет атаки и опасные операции с контроллерами Mitsubishi Electric

Компания Positive Technologies дополнила программно-аппаратный комплекс глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM) новым пакетом экспертизы. Обновление обеспечивает расширенную поддержку семейства протоколов Mitsubishi Electric.

«Mitsubishi Electric входит в топ-3 на рынке мировых решений для промышленной автоматизации. Широко представлено оборудование этой компании и на российских предприятиях, — отмечает Илья Косынкин, руководитель разработки продукта PT ISIM. — Для обеспечения взаимодействия между компонентами внутри экосистемы Mitsubishi Electric используется проприетарный стек протоколов, работающий на различных транспортах. В новый пакет экспертизы нами добавлена поддержка протокола MELSOFT и расширена поддержка SLMP».

Протокол SLMP (аббревиатура от SeamLess Message Protocol) — прикладной протокол для обеспечения взаимодействия между контроллерами, SCADA-системами, периферийными устройства и другим технологическим оборудованием. Так как служебные функции SLMP могут существенно затрагивать безопасность и корректность выполнения технологического процесса, на наиболее важные из них в случае совершения инцидента сработает PT ISIM. Используя новый пакет экспертизы, программно-аппаратный комплекс поможет определить, например, остановку ПЛК и переход в режим инициализации, включение и отключение пароля или изменение файловой системы.

В свою очередь, протокол MELSOFT служит для взаимодействия между инженерным ПО (GX Works) и совместимыми контроллерами Mitsubishi Electric. В рамках исследования протокола специалистами Positive Technologies ранее были обнаружены уязвимости ПЛК серии MELSEC, связанные с некорректной обработкой входных данных. В частности, CVE-2022-25161 приводит к отказу в обслуживании при записи данных в память со специально подобранным смещением. Новый пакет экспертизы позволяет PT ISIM разбирать протокол MELSOFT, рассчитывать потенциально опасные смещения и сообщать об угрозе оператору. Другая уязвимость, CVE-2022-25162, также связана с отказом в обслуживании и невозможностью доступа к ПЛК по сервисным портам. Новый пакет экспертизы позволяет проверять данные, записываемые по протоколу MELSOFT. В случае попытки эксплуатации уязвимости PT ISIM зафиксирует инцидент, оповестит оператора и передаст событие, например, в MaxPatrol SIEM или IRP-системы.

Новый пакет экспертизы доступен для PT ISIM 4.1 и более новых версий. Пользователи продукта, подключенные к серверу обновлений, смогут автоматически загрузить и установить его, а для изолированных инсталляций предусмотрено ручное обновление. Для этого необходимо самостоятельно загрузить и установить пакет в PT ISIM.

www.ptsecurity.com