Компания Schneider Electric выпустила несколько обновлений и патчей, закрывающих опасные уязвимости в программном обеспечении промышленного оборудования, широко используемого для управления энергосистемами.
Под угрозой оказалось встроенное ПО контроллера для автоматизации трансформаторных подстанций Easergy T300 (HU250) с поставляемым отдельно софтом Easergy Builder, который используется для настройки конфигурации такого оборудования.
Среди исправленных ошибок: возможность исполнения злоумышленниками произвольных команд на веб-сервере Easergy T300 и изменения конфигурации контроллера, возможность перехвата трафика устройства, получения доступа к ключам шифрования и к учётным записям пользователей, что фактически означает получение полного контроля над энергетическим оборудованием. Производитель рекомендует предприятиям как можно скорее установить выпущенные патчи.
Уязвимости обнаружили эксперты «Лаборатории кибербезопасности АСУ ТП» компании «Ростелеком-Солар», входящей в состав ПАО «Ростелеком».
«Контроллеры Schneider Electric Easergy T300, которые управляются с помощью ПО Easergy Builder, широко используются электросетевыми и инфраструктурными организациями по всему миру, в том числе в системах Smart Grid. От их работы зависит электроснабжение населения, больниц, школ, транспортной инфраструктуры и других социально значимых объектов. Далеко не всегда подключение таких устройств к сетям передачи данных осуществляется с соблюдением лучших практик, в результате чего оборудование может оказаться доступным для атак из интернета. По этой причине подобным устройствам особенно важно иметь надёжные встроенные средства защиты информации.
Мы благодарим компанию Schneider Electric за профессиональный подход в работе по обнаруженным уязвимостям и надеемся на дальнейшее продуктивное сотрудничество по улучшению защищённости средств промышленной автоматизации», — говорится в сообщении компании «Ростелеком-Солар».