Уязвимости в мобильных клиентах АСУ ТП
dl // 28.07.15 15:52
Digital Security опубликовала анализ 20 Android-приложений, так или иначе взаимодействующих с инфраструктурой крупных предприятий, включая решения для управления PLC, OPC и MES-клиенты, клиенты для удаленного управления SCADA.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2015/07/03.html]
Рассматривались приложения достаточно известных производителей, таких как Siemens, GE, Schnieder Electric, Movicon, Autobase.
Всего было обнаружено 50 уязвимостей, большинство из которых относится к разряду логических и архитектурых, достаточно простых для использования. В ассортименте: незащищенные или недостаточно защищенные методы передачи и хранения данных (в частности, некорректное использование SSL или самопальные криптоалгоритмы), удаленная атака на отказ в доступе на клиент и сервер, SQL-инъекции, использование недоверенных входных данных в качестве параметров настройки техпроцесса и др. Любопытно, что в приложениях удаленного доступа было найдено больше уязвимостей и слабостей, чем в клиентах для работы внутри безопасного периметра.
Атаки, использующие эти уязвимости, вполне способны создать ложное представление о текущем состоянии технологического процесса, что может привести к принятию неверных решений с тяжелыми последствиями для предприятия.
По итогам анализа делается вывод о крайне тяжелой ситуации в области защищенности мобильных клиентов для АСУ ТП. Качество кода в рассмотренных решениях очень низкое, встречаются поистине курьезные ошибки и уязвимости. Возможно, это связано с тем, что область АСУ ТП очень специфична, и разработчики мобильных решений просто не отдают себе отчета в происходящем.
