Авторизация:


Сообщество людей и технологий
Сегодня у нас: год

Уже есть аккаунт? Войти
Присоединяйся к нашему гик сообществу!

Создай свой блог, делись интересной информацией из мира высоких технологий.

Исследователи выявили ряд проблем в протоколе OPC UA
Статьи, 10-02-2018, 03:40

Исследователи выявили ряд проблем в протоколе OPC UA

Эксперты Центра «Лаборатории Касперского» по реагированию на киберинциденты – Kaspersky Lab ICS CERT – проанализировали протокол OPC UA (Object Linking and Embedding for Process Control Unified Automation), разработанный специально для промышленных объектов.

В ходе исследования было выявлено 17 0-day уязвимостей в продуктах OPC Foundation, а также несколько уязвимостей в коммерческих приложениях, которые их используют. Эксплуатируя эти баги, злоумышленники могли запускать сторонний код и выполнять атаки типа «отказ в обслуживании» (DoS). Сообщается, что все бреши были обнаружены и ликвидированы в марте 2018 года.

Стандарт IEC 62541 OPC Unified Architecture (OPC UA) был разработан в 2006 году консорциумом OPC Foundation для надежной и безопасной передачи данных в технологической сети. По сути, это усовершенствованная версия протокола OPC, который повсеместно применяется в различных индустриальных областях. Новые свойства и продуманная архитектура OPC UA делают его более популярным среди производителей систем автоматизации, и со временем стандарт должен стать основой коммуникации в системах промышленного интернета вещей и умных городов по всему миру.

Первоначально команда Kaspersky Lab ICS CERT проводила аудит безопасности и пентест на нескольких промышленных объектах. Все проверяемые организации использовали один и тот же программный продукт для управления технологическим процессом (ICS), и эксперты занялись поиском уязвимостей в нем. Выяснилось, что часть сетевых сервисов взаимодействовала именно по протоколу OPC UA. Это подтолкнуло специалистов к изучению протокола.

В ходе исследования обо всех обнаруженных уязвимостях незамедлительно сообщали создателям ПО. Представители OPC Foundation и других команд разработки коммерческих продуктов оперативно реагировали на уведомления и своевременно устраняли найденные неполадки.

Большинство ошибок в продуктах сторонних производителей ПО, использующих OPC UA Stack, оказалось связано с тем, что разработчики неправильно использовали функции из предоставляемого OPC Foundation API, реализованного в библиотеке uastack.dll — например, неверно интерпретировали значения полей передаваемых структур данных.

«Очень часто разработчики ПО чрезмерно доверяют промышленным протоколам и внедряют эти технологии, не проводя тщательной проверки их безопасности. При этом уязвимости могут повлиять на успешность всей линии продукции. Следует уделять пристальное внимание инновациям, которые широко используются в различных индустриальных отраслях. Многие думают, что создавать собственные протоколы более эффективно и безопасно, однако даже совершенно новое ПО может содержать многочисленные уязвимости», – говорит Сергей Темников, старший исследователь Kaspersky Lab ICS CERT.


Добавьте комментарий, Ваше мнение очень важно:

Имя:*
E-Mail:
Комментарий:
Вопрос:
rgjrg
Ответ:*
Введите код: *


Самое интересное:
    Гику на заметку:
    Не iPhone самый продаваемый телефон в истории
    Новый планшет BlackBerry PlayBook
    Особенности ремонта айфонов своими руками
    Переделка дачи
    Как выбрать недорогой смартфон
    Зависимость от... мобильного телефона и телевизора
    Востребованные чехлы для ipone 4
    Apple. Истинный лидер или дань моде?
    Чехлы для смартфонов и айфонов
    Вопрос:

    Какой операционкой Вы пользуетесь?

    Windows 8
    Windows 7
    Windows Vista или XP
    Linux
    Mac OS
    Другой

     


    2019 © Cig-bc.ru - Сообщество людей и технологий.

    Все права защищены.

    При цитировании любых материалов, публикуемых в журнале, обязательна ссылка, помещенная не ниже первого абзаца текста. При копировании новостных материалов для интернет-изданий обязательна прямая открытая для поисковых систем гиперссылка, размещаемая вне зависимости от объема используемых материалов (полного или частичного). Рекламная статья со ссылкой на ваш ресурс/продукт — 500 рублей/1000 символов (статья будет висеть вечно, в качестве обзорной). Для заказа пишите на sales@elenazavyalova.ru!

    Категории:

    Новости IT
    Гаджеты
    Железо
    Софт
    Игры
    Информация:

    О проекте
    Регистрация
    Статистика
    Карта сайта
    RSS
    Контакт:

    Обратная связь
    Email: admin@cig-bc.ru
    Email: sotnik200854@gmail.com