IT / Новости
информбезопасность
21.4.2022

В контроллерах Mitsubishi выявлены множественные уязвимости

Эксперты Positive Technologies обнаружили множественные уязвимости в контроллерах Mitsubishi. Проблемы найдены в моноблочных компактных контроллерах FX5U серии MELSEC iQ-F из линейки MELSEX FX. Две из них имеют высокий уровень риска.

Некоторые уязвимости связаны с риском получения доступа к конфиденциальной информации в ПЛК. Например, атакующий может выяснить значение хеша пароля путем перехвата трафика или используя локальный доступ к определенным файлам, объяснили в пресс-службе Positive Technologies.

Имея хеш пароля и эксплуатируя обнаруженные уязвимости, злоумышленник может обойти встроенные защитные механизмы, авторизоваться на ПЛК и, например, воспользоваться командой остановки контроллера или получить доступ к защищенным файлам. Любой такой сценарий может негативно повлиять на производство, рассказал руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.

По словам эксперта, зачастую на промышленных предприятиях используются одинаковые пароли для доступа к разным ресурсам, пароли также нередко переиспользуются (на практике встречались цеха, в которых все пароли повторялись), поэтому, восстановив значение пароля из перехваченного хеша, злоумышленник потенциально может получить доступ и к другим узлам технологического процесса. «А это уже риск компрометации сети АСУ ТП и угроза плановой работе предприятия», — подчеркнул В.Назаров.

Для эксплуатации выявленных уязвимостей злоумышленнику достаточно иметь сетевой доступ к контроллеру либо, в случае сегментирования сети, находиться в локальной сети с ПЛК.

Угрозам подвержены все модели и версии модуля процессора FX5U(C) и модуля процессора FX5UJ CPU.

Изображение: Pixabay

Еще по теме

Индустриальный сектор повышает эффективность за счет решений интернета вещей

Правительство поможет компаниям в закупке оборудования для хранения и обработки данных

Как меняется спрос и предложение на рынке digital-специалистов

Что будет с информбезопасностью после президентского указа о создании антихакерских подразделений на предприятиях

Три причины роста цен на IT-услуги

Есть ли перспективы у тестировщиков ПО в России

Где и как виртуальные помощники могут обучать сотрудников компаний

Готовы ли компании перейти на внедрение программных продуктов отечественного производства

Что думают производители инженерного софта о будущей платформе

Как обстоит дело с эмиграцией IT-сотрудников и адаптацией на новых местах

Как меняется рынок источников бесперебойного питания

Эксперты об импортозамещении ПО в сфере высшего образования

Крупнейшие ритейлеры России выходят на рынок б/у электроники

Как изменились бизнес-процессы отечественных производителей ПО с конца февраля

Как сократить потери до минимума при защите IT-инфраструктуры