Системы автоматического контроля и сбора информации (SCADA) активно используются для диспетчерского контроля в промышленности и энергетике, поэтому атаки на SCADA-системы могут представлять существенную угрозу для различных объектов критической инфраструктуры. Человеко-машинный интерфейс (Human Machine Interface, HMI) является одним из важных компонентов SCADA и его компрометация позволит злоумышленникам получить доступ к критической инфорастурктуре. Эксперты компании Trend Micro проанализировали предупреждения ICS-CERT за период с 2015 по 2016 годы, связанные с HMI уязвимостями, и пришли к неутешительным выводам.
Как выяснилось, 20% исследованных уязвимостей возникали по причине повреждения памяти (переполнение буфера, уязвимости чтениязаписи за пределами поля (out-of-bounds read/write) и т.д.); 19% проблем были связаны с учетными данными (вшитые пароли, скрытые учетные записи с полными правами, хранение паролей в открытом виде); 23% уязвимостей возникали в связи с отсутствием механизмов авторизации; 9% проблем позволяли внедрение кода.
Примечательно, что за последние четыре года оперативность устранения уязвимостей осталась практически на прежнем уровне — порядка 140 дней. Как отмечается, производители SCADA-систем основное внимание уделяют промышленному оборудованию, а не программному обеспечению, поскольку именно аппаратные средства приносят им большую прибыль.
Доклад также указывает на ошибки, которые совершают компании. К примеру, многие из них устраняют только определенные уязвимости (заменяют уязвимые API, отключают проблемные функции и т.д.), но не более того.
«Производителям HMI и SCADA-решений следует принять во внимание практики безопасности жизненного цикла, реализованные разработчиками ОС и приложений за последние десять лет. К тому же им стоит ожидать, что их продукты будут использоваться не по назначению, например, будут подключены к публичной сети. С учетом наихудших сценариев, разработчики могут реализовать комплексные меры по обеспечению безопасности»,- отмечается в отчете исследователей.
SCADA (Supervisory Control And Data Acquisition, диспетчерское управление и сбор данных) — программный пакет, предназначенный для разработки или обеспечения работы в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления. SCADA-системы используются во всех отраслях хозяйства, где требуется обеспечивать автоматическое управление технологическими процессами в режиме реального времени.

Источник: securitylab.ru