Group IB

Эксперты Национального киберполигона обнаружили критические уязвимости в SCADA-системе Valmet

24.11.2022
Эксперты Национального киберполигона обнаружили критические уязвимости в SCADA-системе Valmet

Эксперты Национального киберполигона компании «РТК-Солар» выявили ряд уязвимостей в программном обеспечении для промышленной автоматизации финской компании Valmet. Большинство из них критические с уровнем опасности от 9,6 до максимально возможных 10 баллов по шкале CVSS 3.0.

Компания Valmet разрабатывает и производит средства автоматизации для целлюлозно-бумажной промышленности и энергетики. В минувшем июне вендор сообщил о планах по уходу с российского рынка, на долю которого приходилось примерно 2% от общего объема чистых продаж компании в 2021 году. В России решения Valmet наиболее широко распространены на крупных целлюлозно-бумажных предприятиях.

Уязвимости, обнаруженные экспертами Национального киберполигона во главе с руководителем отдела исследований Ильей Карповым, затрагивают компоненты автоматизированной системы управления технологическим процессом Metso DNA: программный комплекс Valmet System 2019 и операционную систему Valmet Oy ACN CS. Уязвимости связаны с отсутствием защиты передаваемых данных (CWE-319), незашифрованным хранением критичной информации (CWE-256, CWE-312), небезопасным управлением привилегиями (CWE-250, CWE‑269), недостаточной проверкой вводимых данных (CWE-20, CWE-328), небезопасным использованием криптографических алгоритмов (CWE-916) и отсутствием аутентификации для критичной функции (CWE-287, CWE-306, CWE-489). В случае их успешной эксплуатации злоумышленники могут удаленно повысить привилегии в системе, получить доступ к защищаемой информации, выполнить произвольный код, в том числе на сервере, вызвать отказ в обслуживании и реализовать атаку «человек посередине» для перехвата данных.

Сразу после выявления уязвимостей в программном комплексе Metso DNA исследователи Национального киберполигона сообщили о них вендору, а также передали информацию во ФСТЭК России. Для снижения риска возникновения потенциальных инцидентов, связанных с эксплуатацией обнаруженных уязвимостей, эксперты «РТК-Солар» рекомендуют использовать компенсирующие меры. Сведения об уязвимостях и детальные рекомендации по минимизации рисков их эксплуатации опубликованы в Банке данных угроз безопасности информации ФСТЭК России (BDU:2022-06151 — BDU:2022-06158).

«В результате ухода из страны целого ряда иностранных вендоров российские пользователи импортных решений лишились возможности получать обновления безопасности от производителей. Отсутствие патч-менеджмента создает серьезную угрозу для предприятий, особенно на объектах критической информационной инфраструктуры. Атаки, связанные с эксплуатацией уязвимостей, сейчас являются одним из наиболее распространенных векторов проникновения в инфраструктуру компаний. Идущий процесс импортозамещения в перспективе позволит заменить в том числе и специфическое иностранное промышленное оборудование на отечественное. Однако на данный момент из-за дефицита компонентной базы и отсутствия российских аналогов по ряду направлений предприятиям необходимо уделять повышенное внимание управлению уязвимостями, а исследователям совместно с производителями —увеличивать компетенции и развивать сообщества исследований уязвимостей в отечественных продуктах», — отметил заместитель директора департамента Национального киберполигона компании «РТК-Солар» Дмитрий Малинкин.

После публикации сведений в БДУ ФСТЭК России о выявленных уязвимостях в программном обеспечении компании Valmet эксперты «РТК-Солар» также передали информацию о них в Национальный центр кибербезопасности Финляндии (National Cyber Security Centre Finland, NCSC‑FI).

«РТК-Солар» обеспечивает и гарантирует кибербезопасность в организациях от малого бизнеса до федеральных органов власти. Ключевые направления деятельности — аутсорсинг ИБ, разработка собственных продуктов, комплексные проекты по кибербезопасности. Компания предлагает сервисы первого и лидирующего в РФ коммерческого SOC — Solar JSOC, а также экосистему управляемых сервисов ИБ — Solar MSS. Линейка собственных продуктов включает DLP-решение Solar Dozor, шлюз веб-безопасности Solar webProxy, IdM-систему Solar inRights, анализатор кода Solar appScreener, систему повышения эффективности труда Solar addVisor. Центр «Solar Интеграция» реализует масштабные проекты по созданию систем кибербезопасности, фокусируясь на защите территориально-распределенных объектов, центров обработки данных, а также объектов КИИ и АСУ ТП. Для повышения киберустойчивости всей России «РТК-Солар» развивает Национальный киберполигон, ключевым компонентом которого является платформа для практической отработки навыков защиты от киберугроз «Кибермир». Штат компании — 1600+ специалистов. Имеются представительства в Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Ростове-на-Дону, Томске, Хабаровске и Ижевске. Деятельность компании лицензирована ФСБ России, ФСТЭК России и Министерством обороны России.