Изследовател твърди, че е открил над 1000 уязвимости в продукти, произведени от доставчика на решения за електрификация и автоматизация ABB, включително недостатъци, които могат да изложат съоръженията на дистанционно хакерство. Доставчикът е пуснал кръпки.
Уязвимостите са открити от Джоко Кръстич, който е известен с изследвания в областта на сигурността, насочени към системите за управление на сгради и контрол на достъпа, в решенията за управление и контрол на енергията в сгради ABB Cylon FLXeon и ABB Cylon Aspect.
Кристикът заяви, че е открил малко над 1000 уязвимости в продукта Aspect (включително много от тях с „критична“ и „висока“ оценка на сериозността) и 35 дупки в сигурността в продукта FLXeon.
Открити са широк спектър от пропуски, включително неразрешен достъп до файлове и манипулиране с тях, XSS, CSRF, SSRF, IDOR, заобикаляне на сигурността, DoS, SQL инжекция и проблеми, свързани с пароли, които могат да бъдат използвани за отдалечено изпълнение на код, за получаване на чувствителна информация или за предизвикване на смущения.
Изследователят заяви, че някои от уязвимостите могат да бъдат използвани от отдалечен, неавтентифициран нападател, за да поеме пълен контрол над целевата система.
АВВ съветва клиентите си да не излагат тези системи в интернет. Въпреки това засегнатите продукти се използват в цял свят и изследователят смята, че около 1000 обекта излагат тези системи на интернет и могат да бъдат уязвими за атаки. Според изследователя уязвимостите могат да изложат на атаки болници, стадиони и летища.
В сценарий за атака в реалния свят – в зависимост от това за какво се използва целевата система за управление на сгради – уязвимостите могат да позволят на нападателя да манипулира осветлението, системите за ОВК, налягането на водата, вратите, сензорите и системите за промишлен контрол (ICS), каза Кръстич.
Проблемите са докладвани на АВВ през пролетта на 2024 г., а доставчикът наскоро пусна пачове и публикува съвети. Консултация за уязвимостите на Aspect е публикувана и от американската агенция за киберсигурност CISA.
Въпреки това Кристич заяви, че е недоволен от начина, по който ABB се е справила с процеса на разкриване, и в един момент е решил повече да не докладва своите констатации директно на доставчика, а вместо това да ги разкрие чрез CISA и средата за информация и координация на уязвимостите на CERT/CC (VINCE) поради разочарование от мълчаливото поправяне и липсата на подходящо публично признание от ABB.
Изследователят е недоволен и от факта, че ABB е присвоила само около две дузини CVE идентификатори на уязвимостите. Той заяви, че според него е трябвало да бъдат присвоени повече от 100 CVE, като CVE трябва да се присвоява за всеки засегнат файл и вектор на атака, а не по един CVE за всеки тип уязвимост.
Анализът на Kръстич е насочен към стотици файлове на PHP и Java и в някои от тези файлове са открити множество уязвимости, като общият брой на проблемите е над 1000.
До момента изследователят е публикувал повече от 70 отделни препоръки, но се очаква общият брой на препоръките за тези уязвимости да достигне 150.
АВВ добави продуктите Aspect и FLXeon към своето портфолио след придобиването на Cylon Controls през 2020 г. Въз основа на анализа и наблюденията на Кръстич, кодовата база на засегнатите продукти за системи за управление на сгради е на 19 години, а АВВ е започнала да подобрява сигурността им едва четири години след придобиването на Cylon.
От АВВ правят следното изявление:
„В АВВ се ангажираме да предоставяме продукти, системи и услуги със стабилни мерки за киберсигурност. Правилното и навременно справяне с инциденти и уязвимости в областта на киберсигурността е от решаващо значение за минимизиране на рисковете за нашите клиенти. В подкрепа на това АВВ е създала официална политика за обработка на уязвимости, която е публично достъпна.
Всеки, който открие уязвимост, засягаща решение на АВВ, се насърчава да се свърже директно с АВВ на „cybersecurity@ch.abb.com“ или да докладва за нея чрез национален CERT или друга координираща организация. Съобщаващите лица, които не желаят да останат анонимни, ще бъдат отбелязани в съобщенията на АВВ, издадени за докладваната уязвимост. Съветите на АВВ за киберсигурност са публично достъпни.
АВВ високо цени приноса на изследователите в областта на сигурността и други сътрудници за укрепване на киберсигурността на нашите решения.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
