Valmet Oy ACN CS

Продукт
Разработчики: Valmet
Дата последнего релиза: 2022/11/24
Технологии: ОС

Основная статья: Операционные системы

2022: Выявление ряда уязвимостей в Valmet Oy ACN CS

Эксперты Национального киберполигона компании «РТК-Солар» выявили ряд уязвимостей в программном обеспечении для промышленной автоматизации финской компании Valmet. Большинство из них критические с уровнем опасности от 9,6 до максимально возможных 10 баллов по шкале CVSS 3.0. Об этом сообщила компания «РТК-Солар» 24 ноября 2022 года.

Иллюстрация:cryptorussian.net

Уязвимости, обнаруженные экспертами Национального киберполигона во главе с руководителем отдела исследований Ильей Карповым, затрагивают компоненты автоматизированной системы управления технологическим процессом Metso DNA: программный комплекс Valmet System 2019 и операционную систему Valmet Oy ACN CS. Уязвимости связаны с отсутствием защиты передаваемых данных (CWE-319), незашифрованным хранением критичной информации (CWE-256, CWE-312), небезопасным управлением привилегиями (CWE-250, CWE-269), недостаточной проверкой вводимых данных (CWE-20, CWE-328), небезопасным использованием криптографических алгоритмов (CWE-916) и отсутствием аутентификации для критичной функции (CWE-287, CWE-306, CWE-489). В случае их эксплуатации злоумышленники могут удаленно повысить привилегии в системе, получить доступ к защищаемой информации, выполнить произвольный код, в том числе на сервере, вызвать отказ в обслуживании и реализовать атаку «человек посередине» для перехвата данных.

Сразу после выявления уязвимостей в программном комплексе Metso DNA исследователи Национального киберполигона сообщили о них вендору, а также передали информацию во ФСТЭК России. Для снижения риска возникновения потенциальных инцидентов, связанных с эксплуатацией обнаруженных уязвимостей, эксперты «РТК-Солар» рекомендуют использовать компенсирующие меры. Сведения об уязвимостях и детальные рекомендации по минимизации рисков их эксплуатации опубликованы в Банке данных угроз безопасности информации ФСТЭК России (BDU:2022-06151 — BDU:2022-06158).

«
В результате ухода из страны целого ряда иностранных вендоров российские пользователи импортных решений лишились возможности получать обновления безопасности от производителей. Отсутствие патч-менеджмента создает серьезную угрозу для предприятий, особенно на объектах критической информационной инфраструктуры. Атаки, связанные с эксплуатацией уязвимостей, являются одним из наиболее распространенных векторов проникновения в инфраструктуру компаний. Идущий процесс импортозамещения в перспективе позволит заменить в том числе и специфическое иностранное промышленное оборудование на отечественное. Однако из-за дефицита компонентной базы и отсутствия российских аналогов по ряду направлений предприятиям необходимо уделять повышенное внимание управлению уязвимостями, а исследователям совместно с производителями —увеличивать компетенции и развивать сообщества исследований уязвимостей в отечественных продуктах,
отметил заместитель директора департамента Национального киберполигона компании «РТК-Солар», Дмитрий Малинкин.
»

После публикации сведений в БДУ ФСТЭК России о выявленных уязвимостях в программном обеспечении компании Valmet эксперты «РТК-Солар» также передали информацию о них в Национальный центр кибербезопасности Финляндии (National Cyber Security Centre Finland, NCSC-FI).



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Ред Софт (Red Soft) (45)
  НППКТ (40)
  Softline (Софтлайн) (29)
  Кортис (16)
  Крок (15)
  Другие (355)

  НППКТ (17)
  Almi Partner, Алми партнер (ГК Алми) (7)
  Ред Софт (Red Soft) (4)
  РусБИТех-Астра (ГК \"Астра\")
  Кортис (4)
  Другие (46)

  НППКТ (23)
  Кортис (7)
  Ред Софт (Red Soft) (5)
  ОТР-БИТ (ОТР - безопасность информационных технологий) (2)
  InfoWatch (ИнфоВотч) (1)
  Другие (8)

  Ред Софт (Red Soft) (5)
  Аквариус (Aquarius) (1)
  Атлант (ГК Applite) (1)
  Галэкс ГК (Галэкс НТЦ) Galex (1)
  Галэкс Сервис (1)
  Другие (6)

  Ред Софт (Red Soft) (9)
  РТ МИС (РТ Медицинские информационные системы) (4)
  IServ (Интернет-Сервис) ИСерв (1)
  RDV (РДВ Автоматизация) (1)
  RNT Group (ранее EPAM в России) (1)
  Другие (8)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Microsoft (80, 144)
  Ред Софт (Red Soft) (3, 71)
  РусБИТех-Астра (ГК Астра) (3, 45)
  НППКТ (2, 41)
  ИВК (3, 27)
  Другие (307, 133)

  НППКТ (1, 17)
  РусБИТех-Астра (ГК Астра) (2, 9)
  Ред Софт (Red Soft) (1, 8)
  Almi Partner, Алми партнер (ГК Алми) (1, 7)
  Microsoft (2, 6)
  Другие (11, 19)

  НППКТ (1, 23)
  Ред Софт (Red Soft) (1, 13)
  ИВК (2, 4)
  Базальт СПО (BaseALT) ранее ALT Linux (3, 3)
  РусБИТех-Астра (ГК Астра) (2, 3)
  Другие (0, 0)

  Ред Софт (Red Soft) (1, 6)
  ИВК (1, 2)
  Базальт СПО (BaseALT) ранее ALT Linux (1, 2)
  Атлант (ГК Applite) (1, 1)
  Microsoft (1, 1)
  Другие (0, 0)

  Ред Софт (Red Soft) (1, 12)
  Synology (SLMP PTE) (1, 1)
  Jolla (Sailfish Holding) (1, 1)
  Открытая мобильная платформа (ОМП) (1, 1)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Ред ОС (Red OS) - 66
  Microsoft Windows - 60
  НППКТ: ОСнова (Операционная система общего назначения, ОС ОН) - 41
  Astra Linux Common Edition - 27
  Astra Linux Special Edition - 21
  Другие 197

  НППКТ: ОСнова (Операционная система общего назначения, ОС ОН) - 17
  Ред ОС (Red OS) - 8
  AlterOS - 7
  Astra Linux Common Edition - 7
  Microsoft Windows - 5
  Другие 18

  НППКТ: ОСнова (Операционная система общего назначения, ОС ОН) - 23
  Ред ОС (Red OS) - 13
  Astra Linux Common Edition - 2
  Альт Рабочая станция - 2
  ОС Альт (ранее Альт Линукс (ALT Linux) - 2
  Другие 2

  Ред ОС (Red OS) - 6
  ОС Альт (ранее Альт Линукс (ALT Linux) - 2
  Windows Server 2019 - 1
  Атлант ОС - 1
  Другие 0

  Ред ОС (Red OS) - 12
  Synology NAS - DiskStation Manager - 1
  Аврора ОС - 1
  Другие 0