- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 2ч 18м
- Сделки
- 251
- Нарушения
- 0 / 0
Инженерное программное обеспечение GX Works3 и утилита MX OPC UA Module Configurator-R используются для программирования ПЛК Mitsubishi Electric, настройки их параметров, загрузки проектов, мониторинга, диагностики и отладки. GX Works3 является основным инструментом, с помощью которого создается проект ПЛК для техпроцесса и вносятся все дальнейшие изменения в процессе эксплуатации.
«Контроллеры Mitsubishi Electric используются в водном хозяйстве, для автоматизации инженерных систем зданий, в судоходстве, в производстве продуктов питания и других сферах, — прокомментировал Антон Дорфман, ведущий специалист отдела анализа приложений, Positive Technologies. — Основная часть найденных уязвимостей связана с механизмами предотвращения нелегального доступа к программам в проектах в среде GX Works3 и исполнения программ в ПЛК. Если атакующий получит файл проекта ПЛК, то он сможет извлечь из него пароль, авторизоваться на ПЛК и, например, воспользоваться командой остановки контроллера. Как и эксплуатация уязвимостей, которые мы выявили ранее и сообщили о них в апреле и августе, подобные атаки могут нарушить технологический процесс, хотя и имеют совершенно другой вектор».
Самая опасная уязвимость CVE-2022-29830 получила оценку 9,1 из 10 по шкале CVSS 3.1. Ее эксплуатация может привести к раскрытию всей информации о проекте. Это может привести к потере конфиденциальности (просмотру), краже или подмене файлов проекта. Подмена файлов проекта может повлечь за собой несанкционированное изменение либо нарушение технологического процесса.
Уязвимость CVE-2022-25164 получила оценку 8,6 из 10 по шкале CVSS 3.1. В случае получения злоумышленником файла с проектом он сможет извлечь из него пароль для подключения к ПЛК.
Эксплуатация пяти уязвимостей CVE-2022-29825 (оценка 5,6), CVE-2022-29826 (6,8), CVE-2022-29827 (6,8), CVE-2022-29828 (6,8), CVE-2022-29829 (6,8) может привести к раскрытию чувствительной информации. На ее основе неавторизованный пользователь может получить нелегальный доступ к проектам в GX Works3 и осуществить несанкционированное исполнение программ в ПЛК.
Для минимизации рисков, связанных с этими уязвимостями, пользователям необходимо следовать рекомендациям Mitsubishi Electric, опубликованным в уведомлении о безопасности, в том числе установить последнюю версию инженерного программного обеспечения GX Works3 с исправлениями.
Продукты Mitsubishi для промышленной автоматизации используются российскими предприятиями более 20 лет. Mitsubishi входит в топ-3 мировых лидеров на рынке промышленных контроллеров: компания выпустила свыше 17 миллионов компактных ПЛК.
Это финальная часть большого исследования безопасности ПЛК Mitsubishi, выполненного нашими экспертами под руководством Антона Дорфмана. Отчет об уязвимостях был отправлен вендору год назад — в декабре 2021 года. На его основе Mitsubishi Electric планомерно закрывает уязвимости (апрель , август), повышая уровень защищенности своих продуктов. После опубликования вендором информации об уязвимостях Антон Дорфман выступил на конференции HighLoad++ 2022 с докладом об исследовании.