Новости Software

Schneider Electric поблагодарила победительницу хакерского конкурса PHDays Алису Шевченко

Французская компания Schneider Electric поблагодарила победительницу конкурса Critical Infrastructure Attack, который проходил на международной конференции по безопасности Positive Hack Days IV, Алису Шевченко (Esage Lab) за найденные уязвимости. Участники конкурса нашли немало ошибок в программном обеспечении Schneider Electric, используемом для построения систем SCADA и HMI на атомных электростанциях, химических заводах и других критически важных объектах.

Уязвимости в InTouch Machine Edition 2014 версии 7.1.3.2 и InduSoft Web Studio 7.1.3.2, а также предыдущих версиях этих продуктов обнаружили исследователи Positive Technologies Илья Карпов и Кирилл Нестеров в ходе работ по оценке уровня защищенности промышленных систем. В свою очередь, участники конкурса Critical Infrastructure Attack заметно дополнили перечень багов. Некоторые из них компания не упомянула в бюллетене и не создала для них CVE-записей. К сожалению, такая практика становится все более распространенной: производители исправляют ошибки безопасности, но не всегда признают их наличие.

В итоге, в начале апреля Schneider Electric выпустила несколько обновлений и патчей, закрывающих уязвимости в программном обеспечении. Среди исправленных ошибок: возможность исполнения произвольного кода, хранение и передача конфиденциальных данных в незашифрованном виде.

Конкурс по анализу защищенности промышленных систем управления (АСУ ТП) впервые прошёл на Positive Hack Days в 2013 году под названием Choo Choo Pwn. Тогда в лаборатории компании Positive Technologies была создана игровая модель железной дороги, все элементы которой контролируются с помощью АСУ ТП.

В 2014 году конкурсную инфраструктуру кардинально изменили, что открыло больше возможностей для обнаружения уязвимостей нулевого дня. Помимо транспортной инфраструктуры, участники конкурса могли взять под контроль систему городского освещения, ТЭЦ и различных роботов.

Следуя принципам ответственного разглашения, участники конкурса Critical Infrastructure Attack должны сначала сообщить о найденных уязвимостях производителям, и только после устранения проблем допускается публикация информации о багах.

Очередной конкурс по анализу защищенности АСУ ТП состоится на пятом форуме Positive Hack Days, который пройдёт 26 и 27 мая в Москве. Подробности на сайте форума.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥