Группа исследователей из Уральского Центра Систем Безопасности обнаружила критическую уязвимость в алгоритме шифрования паролей управления технологическими процессами в популярной SCADA-системе RSView32, произведенной американской компанией Rockwell Automation, мировым лидером в области производства комплексных средств для автоматизации.

Система RSView32 - это интегрированное программное обеспечение человеко-машинного интерфейса (HMI) для сбора данных, оперативного контроля и управления автоматизированными устройствами и технологическими процессами. RSView32 широко распространена в различных сферах промышленной деятельности: от управления конвейерным оборудованием до автоматизации критически важных объектов, в частности, в газовой и нефтяной промышленности.

Обнаруженная экспертами УЦСБ уязвимость применяемых в SCADA-системе алгоритмов шифрования информации, позволяла злоумышленнику обойти парольную защиту RSView32 версии 7.60.00 (CPR9 SR4) и старше. Используя уязвимость, злоумышленник мог получить неограниченный доступ к SCADA-системе и внести любые несанкционированные изменения в управляемый технологический процесс, что могло привести к его остановке или созданию аварийной ситуации.

Выявив уязвимость, эксперты УЦСБ передали производителю ее детальное описание вместе с примером программы, демонстрирующей эксплуатацию уязвимости. В настоящее время компания Rockwell Automation выпустила обновление SCADA-системы RSView32, устраняющее выявленную уязвимость. Соответствующее уведомление KB700915 опубликовано на информационном портале компании.

Ссылки

Официальный сайт УЦСБ: http://www.ussc.ru/
Официальный сайт Rockwell Automation: http://www.rockwellautomation.com/ru_RU/overview.page

О компании

Компания УЦСБ специализируется на создании, модернизации и обслуживании базовых инфраструктурных элементов предприятий и организаций, включая: информационные и инженерно-технические системы, решения по обеспечению информационной и технической безопасности. Обладая знаниями и опытом в каждом из направлений, компания делает акцент на обеспечении эффективной и надежной работы систем, используя лучшие - «сильные» решения, позволяющие добиться максимального эффекта в решении задач, поставленных заказчиками.