Positive Technologies выпустила пакет экспертизы для выявления кибератак на системы Yokogawa и помогла закрыть опасную уязвимость

Компания Positive Technologies разработала для комплексной платформы PT ICS пакет экспертизы, поддерживающий системы Yokogawa Electric Corporation. Пользователи платформы смогут выявлять атаки на распределенную систему управления (РСУ) CENTUM VP (которую применяют 10 тысяч предприятий химической, энергетической, нефтегазовой, пищевой, водоочистной и фармацевтической промышленности и других отраслей), а также на систему противоаварийной защиты ProSafe-RS, используемую более чем в 2400 проектах.

В 2022 году почти каждая десятая атака на организации приходилась на промышленные предприятия. Вместе с государственными учреждениями они стали главной целью вирусов-шифровальщиков. Компоненты АСУ ТП Yokogawa широко распространены на российских предприятиях, поэтому важно регулярно проводить обновления своих систем, участвующих в обеспечении технологического процесса и его защиты.

Новый пакет экспертизы позволяет определять наиболее популярные векторы атак на РСУ: неисправности и аномалии сети (подмена адреса узла на уже существующий или сложности с резервированием), попытки несанкционированного доступа (манипуляции с паролями и аномалии системы аутентификации), использование стандартных паролей.

Работая над добавлением пакета экспертизы, Денис Алимов, эксперт Positive Technologies, нашел уязвимость CVE-2023-26593 (BDU:2022-05068), которая получила оценку 6,5 по шкале CVSS v3. Она затрагивала РСУ разных поколений, например CENTUM CS 1000, выпускавшуюся с 90-х годов. В списке уязвимых также указаны CENTUM CS 3000 и CENTUM VP R4—R6. Уязвимости были подвержены и OPC-серверы Exaopc, предназначенные для связи АСУ ТП производства Yokogawa Electric Corporation с ПО сторонних вендоров. Производитель был уведомлен об уязвимости в новых версиях ПО и принял меры по снижению риска, предложив пользователям альтернативный метод аутентификации.

«С помощью уязвимости злоумышленник мог получить права доступа к АСУ ТП с высоким уровнем привилегий. Это позволило бы, например, управлять технологическим процессом, включать или отключать его блокировки, а также загружать и запускать конфигурации техпроцесса. Также можно было бы создать аварийную остановку работы ПЛК и изменять пороговые значения параметров оборудования и настройки среды разработки (индикаторы тревог, звука и др.). Кроме этого, хакер мог бы заблокировать доступ пользователям к среде разработки и, соответственно, к управлению технологическим процессом. Подобная атака относится к типу denial of control по классификации MITRE и может привести к серьезным последствиям», — рассказал Денис Алимов, старший специалист группы информационной безопасности промышленных систем управления Positive Technologies.

Следует учитывать, что некоторые РСУ (например, CENTUM CS 1000, CENTUM CS 3000, CENTUM VP R4—R5) уже не поддерживаются производителем, для них не выпускаются обновления, а любые открытые уязвимости, подобные CVE-2023-26593 (BDU:2022-05068), могут снизить защищенность промышленного объекта.

PT ICS с новым пакетом для устранения риска эксплуатации таких уязвимостей контролирует внесение изменений в проект, определяя загрузку в него, нештатные варианты запуска, блокировку компонентов и работу со специализированным ПО в опасных режимах. Благодаря новому пакету PT ICS автоматически проверяет целостность критически важных файлов (например, прошивки) и выносит вердикт о наличии или отсутствии воздействия на них со стороны злоумышленников. В платформе регистрируются и элементы нарушений физической безопасности, например попытки взлома специальных промышленных клавиатур, у которых уровень доступа регулируется механическим ключом. Все это позволяет реализовать комплексную защиту инфраструктуры, построенной на базе систем производства Yokogawa Electric Corporation.