Новые уязвимости терминалов Siemens: пора обновлять базовое ПО модулей EN100
Уязвимости могут быть проэксплуатированы в следующих устройствах:
- SIPROTEC 4 и SIPROTEC Compact с коммуникационным модулем EN100 с программным обеспечением версии 4.26 и ниже.
- SIPROTEC Compact, модели 7SJ80, 7SK80, 7SD80, 7RW80, 7SJ81, 7SK91 с сервисным интерфейсом Ethernet (порт А) – с любой версией базового программного обеспечения.
В устройствах обнаружены следующие уязвимости, которые могут быть использованы через встроенный веб-сервер устройств (порт 80/tcp):
- Атакующий может получить доступ к конфиденциальным данным устройства (порт 80/tcp).
- Атакующий может получить доступ к ограниченному объёму памяти устройств (применимо только к устройствам SIPROTEC 4 и SIPROTEC Compact).
Для эксплуатации уязвимостей атакующий должен иметь доступ к сети объекта.
Для эксплуатации обозначенных уязвимостей атакующий должен иметь доступ в сеть объекта.
Для устранения уязвимостей Siemens выпустила версию 4.27 базового программного обеспечения коммуникационного модуля EN100. Для получения обновления требуется перейти по ссылке, выбрать тип устройства и перейти по следующему пути: Firmware and device drivers -> Communication Protocols – IEC 61850 -> Update EN100 V4.27 over the EN100 interface (или Update EN100 V4.27 over the front interface).
Приятно то, что обозначенные уязвимости были обнаружены российскими исследователями: Александром Берсенёвым из команды «Хакердом» и Павлом Топорковым из АО «Лаборатория Касперского».
Для того, чтобы подобного не повторялось, необходимо аттестовывать устройства РЗА на вопрос информационной безопасности. И только потом разрешать их применение на рынке.
Так ведь есть же сейчас такая опция уже. 13 миллионов рублей стоит такая аттестация в ФСТЭК. И потом ещё переаттестация при каждом релизе.
Аттестация может и есть, а вот требования вменяемые по информационной безопасности никто озвучить не может.
Требования изложены в документе на 60-ти страницах очень подробно. Передается компании заявителю при получении сертификата в системе сертификации ФСТЭК России. Валерий Николаевич, с этим вопросом Вы скоро столкнётесь.
А что там насчет релизов? есть разграничение на минорные/масштабные релизы? не при каждом же обдейте проходить через эту процедуру.
Ключевые моменты можно вынести в dll, а их версии меняются после всех успешных испытаний – крайне редко. Полагаю разработчик сам может обойти такие нюансы грамотной организацией архитектуры ПО.
Цифра озвученная Вами соответствует аттестации всего комплекса включая SCADA систему. Для устройств РЗА цифра адекватная.
А кто нибудь из производителей РЗА уже начал процедуру сертификации ФСТЭК? есть информация кто первопроходец?