Обнаружены недостатки Honeywell Experion PKS
Honeywell недавно исправила критические уязвимости. Эти недостатки затронули их промышленную систему управления Experion PKS. CISA, американское агентство по кибербезопасности, раскрыла проблемы на прошлой неделе. Их уведомление выделяло шесть уязвимостей. Некоторые были критическими, другие — высокой серьёзности.
Влияние на Control Data Access
Большинство критических и высокосерьёзных уязвимостей затрагивают компонент Control Data Access (CDA) . Следовательно, они могут привести к удалённому выполнению кода. Две уязвимости высокой серьёзности позволяют проводить атаки типа отказ в обслуживании . Уязвимость средней серьёзности позволяет манипулировать каналом связи. Это может вызвать неправильное поведение системы.
Глобальная критическая инфраструктура под угрозой
CISA отметила, что эти продукты используются по всему миру. Они защищают критически важные инфраструктурные сектора. Включая производство, химическую промышленность, энергетику, водоснабжение и здравоохранение. Honeywell заявляет, что приоритетом является безопасность. Они оперативно оценивают и устраняют проблемы. Обновления уже доступны для продуктов Experion PKS. Пользователям следует немедленно обновить свои системы.
Обнаружение Positive Technologies
Российская компания Positive Technologies сообщила об этих уязвимостях. Дмитрий Скляр возглавляет их подразделение ICS. Он объяснил, что недостатки были в устройствах Experion PKS. К ним относятся сетевые конвертеры и модули ввода-вывода. Устройства обычно работают в изолированных сетевых сегментах. Поэтому удалённая эксплуатация через интернет маловероятна.
Эксплуатация и смягчение последствий
Уязвимости находятся в обработчиках сетевых протоколов. Им не хватает идентификации и аутентификации. Для эксплуатации требуется только доступ к изолированному сегменту. Злоумышленники могут выполнять произвольный код. Это может повлиять на промышленные процессы. Они могут останавливать, перезагружать или изменять устройства. Скляр рекомендует внедрять системы управления уязвимостями. Это помогает защититься от таких недостатков.