Разработчики: | Omron Electronics |
Дата последнего релиза: | 2023/02/06 |
Технологии: | АСУ ТП |
Основная статья: АСУ ТП - типовая структура
2023: Устранение уязвимости, позволяющей считывать и менять произвольную область памяти контроллера
Компания Positive Technologies 6 февраля 2023 года сообщила о том, что помогла устранить уязвимость в контроллерах OMRON.
ПЛК могут управлять большим спектром оборудования — от станков до трубопроводных систем
Закрытая уязвимость CVE-2023-22357 получила оценку 9,1 по шкале CVSS v3, что означает критический уровень опасности. Ее эксплуатация позволяла без аутентификации считывать и менять произвольную область памяти контроллера. Такие манипуляции могли привести к перезаписи прошивки, отказу в обслуживании или выполнению произвольного кода. Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и устранил уязвимость в последних прошивках.Российский рынок CRM-систем: оценки, перспективы, крупнейшие поставщики. Обзор TAdviser
Контроллеры OMRON серии CP1L используются для управления компактными машинами, а также быстрого построения систем автоматизации. ПЛК применяются, например, для управления конвейерами и станками, телемеханикой трубопроводных узлов на ГРЭС, микроклиматом на фермах, системами контроля качества продукции, автоматическими машинами упаковки и в других сферах.
Уязвимость в контроллере OMRON CP1L-EL20DR-D обнаружил эксперт Positive Technologies Георгий Кигурадзе. Ошибка связана с наличием недокументированных команд в коммуникационном протоколе FINS[3]. Такие команды используются для отладки программного обеспечения ПЛК[4].
![]() | В случае целенаправленной кибератаки эксплуатация этой уязвимости привела бы к остановке технологического процесса или к выходу оборудования из строя. Используя фирменное или собственное ПО и недостатки в протоколе FINS, злоумышленники могли негативно повлиять на работу оборудования: внести изменения в выполняемые алгоритмы, загрузить вредоносную прошивку, изменить значения переменных, принудительно выставить недопустимые значения на выходах модулей в обход алгоритмов блокировки, — рассказал Владимир Назаров, руководитель отдела безопасности промышленных систем управления Positive Technologies. — Для анализа защищенности производственных систем и проверки реализуемости недопустимых событий необходимо использовать киберучения. Такие мероприятия позволяют узнать, к чему может привести атака в аналогичной инфраструктуре, чтобы разработать меры защиты и сценарии реагирования. | ![]() |
Для устранения уязвимости производитель контроллеров рекомендует обновить прошивку устройства и включить расширенную защиту паролем (функция Extend protection password).
Подрядчики-лидеры по количеству проектов
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
Распределение систем по количеству проектов, не включая партнерские решения
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)