Новости Software

Schneider Electric поблагодарила победительницу хакерского конкурса PHDays Алису Шевченко

Французская компания Schneider Electric поблагодарила победительницу конкурса Critical Infrastructure Attack, который проходил на международной конференции по безопасности Positive Hack Days IV, Алису Шевченко (Esage Lab) за найденные уязвимости. Участники конкурса нашли немало ошибок в программном обеспечении Schneider Electric, используемом для построения систем SCADA и HMI на атомных электростанциях, химических заводах и других критически важных объектах.

Уязвимости в InTouch Machine Edition 2014 версии 7.1.3.2 и InduSoft Web Studio 7.1.3.2, а также предыдущих версиях этих продуктов обнаружили исследователи Positive Technologies Илья Карпов и Кирилл Нестеров в ходе работ по оценке уровня защищенности промышленных систем. В свою очередь, участники конкурса Critical Infrastructure Attack заметно дополнили перечень багов. Некоторые из них компания не упомянула в бюллетене и не создала для них CVE-записей. К сожалению, такая практика становится все более распространенной: производители исправляют ошибки безопасности, но не всегда признают их наличие.

В итоге, в начале апреля Schneider Electric выпустила несколько обновлений и патчей, закрывающих уязвимости в программном обеспечении. Среди исправленных ошибок: возможность исполнения произвольного кода, хранение и передача конфиденциальных данных в незашифрованном виде.

Конкурс по анализу защищенности промышленных систем управления (АСУ ТП) впервые прошёл на Positive Hack Days в 2013 году под названием Choo Choo Pwn. Тогда в лаборатории компании Positive Technologies была создана игровая модель железной дороги, все элементы которой контролируются с помощью АСУ ТП.

В 2014 году конкурсную инфраструктуру кардинально изменили, что открыло больше возможностей для обнаружения уязвимостей нулевого дня. Помимо транспортной инфраструктуры, участники конкурса могли взять под контроль систему городского освещения, ТЭЦ и различных роботов.

Следуя принципам ответственного разглашения, участники конкурса Critical Infrastructure Attack должны сначала сообщить о найденных уязвимостях производителям, и только после устранения проблем допускается публикация информации о багах.

Очередной конкурс по анализу защищенности АСУ ТП состоится на пятом форуме Positive Hack Days, который пройдёт 26 и 27 мая в Москве. Подробности на сайте форума.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Израиль ужесточает правила экспорта технологий, предназначенных для кибершпионажа 7 мин.
Цены на Microsoft Office вырастут на 20 % для некоторых бизнес-клиентов в случае отказа перейти на годовую подписку 27 мин.
Финальное контентное обновление для загробного приключения Spiritfarer выйдет на следующей неделе 49 мин.
Ведущий The Game Awards 2021 пообещал на шоу «четыре или пять» анонсов калибра Elden Ring 2 ч.
Курс биткоина снова преодолел отметку в $50 тысяч 2 ч.
Сервис Life360 заподозрили в торговле геолокационными данными пользователей 3 ч.
Большинство опрошенных жителей ЕС высказались за законодательное закрепление базовых цифровых прав граждан 3 ч.
В России запущен аналог GitHub и GitLab для хранения кода и работы с ним 4 ч.
Halo Infinite осталась без опции перепрохождения сюжетных миссий — впервые в истории серии 4 ч.
В ремастере Marvel’s Spider-Man появятся два костюма из фильма «Человек-паук: Нет пути домой» 4 ч.