Охранная фирма демонстрирует уязвимость в программном обеспечении SCADA, не будет сообщать о них продавцы

Мальта безопасности на основе запуске фирмы ReVuln утверждает, что сидит на запас уязвимостей в промышленных программное обеспечение для управления, но предпочитает продавать информацию для правительств и других платежеспособных клиентов, а раскрытие его к пострадавшим поставщиков программного обеспечения.
В видео, опубликованном в понедельник , ReVuln представлены девять «нулевого дня» (ранее неизвестные) уязвимости, которые, по данным компании, влияют SCADA (диспетчерское управление и сбор данных), программное обеспечение от General Electric, Schneider Electric, Каскад, Rockwell Automation, Eaton, и Siemens. ReVuln отказался назвать имя соответствующего программного продукта.SCADA программное обеспечение работает на обычные компьютеры, но используется владельцами критической инфраструктуры и других различных типов промышленных объектов, контроля и управления промышленными процессами.
По ReVuln, она продемонстрировала уязвимость понедельник может позволить злоумышленникам удаленно выполнить произвольный код, скачать произвольные файлы, выполнить произвольные команды, открытых удаленных оболочек, или захватить сессий на системах под управлением уязвимого программного обеспечения SCADA.
Нападающие «может взять управление машиной с максимальной привилегий (система на Windows), предоставленных пострадавшим услуг», ReVuln соучредитель и безопасности исследователь Луиджи Auriemma заявил в понедельник по электронной почте. «Они могут установить руткитов и других типов вредоносных программ или получить конфиденциальные данные (например, пароли, используемые на другие компьютеры в той же сети), и, очевидно, они могут контролировать всю инфраструктуру».
Нападения могут быть выполнены из другого компьютера по локальной сети или, во многих случаях, из Интернета. Большинство продуктов были разработаны, чтобы позволить удаленное администрирование через интернет, в соответствии с их документацией, Auriemma сказал.
Это также часто, чтобы найти такие системы доступны из Интернета из-за небезопасные конфигурации, исследователь сказал. «Shodan [поисковая система, которая может использоваться для обнаружения интернет-доступной промышленных систем управления] дает нам тонны интересные результаты о машинах большой известные компании, которые мы можем использовать удаленно раз в этот момент».
General Electric, Schneider Electric, Rockwell Automation, США и Департамента Национальной Безопаности, который работает Промышленные системы управления Cyber ​​Emergency Response Team (ICS-CERT), не ответили на просьбы о комментариях отправлены в понедельник.
«ICS-CERT только что связались с нами несколько минут назад запрашивающей подробности, но мы не освобождает информации», Auriemma сказал. Уязвимости «являются частью нашего портфеля для наших клиентов, поэтому никаких публичных детали будут освобождены, они останутся частными,» сказал он.
Наряду с французским уязвимости исследовательской фирмы VUPEN, ReVuln является одним из немногих компаний, которые открыто продают сведения об уязвимостях правительственных учреждений и других частных клиентов и отказываются сообщать уязвимости своих исследователей найти пострадавшим поставщиков, чтобы они могли быть исправлены.
"Уязвимостей, включенных в наш нулевого дня подачи [на основе подписки, услуги] остаются нераскрытыми по ReVuln если ни одна уязвимость обнаружил и сообщил третьему лицу или поставщика в государственной или частной исправляет проблемы», компания заявляет на своем сайте .Это несколько спорный бизнес-модель, которая подверглась критике со стороны цифровых защитниками прав и различных людей из ИТ-безопасности отрасли, которые утверждают, что он делает Интернет менее безопасным, потому что уязвимости остаются устаревших и известны третьим лицам, которые могут быть заинтересованы в использовании их для наступления целей.
Однако практика не является новой. Это было известно в течение многих лет в сообществе исследований в области безопасности, что некоторые компании и независимых исследователей продают информацию о незакрытых уязвимостей для правительств и других частных покупателей, но такие операции делалось скрытно.
В отсутствие дополнительной информации и подтверждения поставщика, трудно самостоятельно подтвердить существование этих уязвимостей. Тем не менее, репутация Auriemma как плодовитый исследователь уязвимостей и его прошлые работы в области безопасности SCADA укрепляют доверие к требованиям своей компании.
За последние несколько лет, прежде чем создавать ReVuln вместе с бывшим RIM исследователь безопасности Донато Ферранте, Auriemma сообщил десятков уязвимостей в программном обеспечении SCADA .
«Луиджи [Auriemma] нашел много уязвимостей в SCADA и ICS [промышленными системами управления] в прошлом, и я уверен, что он будет продолжать в будущем,» сказал Дэйл Петерсон, генеральный директор Цифровой Бонда, Sunrise, Флорида- компания, которая специализируется на МКС безопасности, исследования и оценки, вторник по электронной почте. «Он талантливый».
Тем не менее, поиск уязвимостей в программном обеспечении SCADA это не так сложно сделать, сказал Петерсон. «Вопрос с этими приложениями, они были разработаны без обеспечения интегрирован в процесс развития».
"Это похоже на то, что Microsoft делал в 90-х годах», сказал он. «Без жизненного цикла разработки безопасности, вы увидите типичных ошибок программирования, которые приводят к уязвимости и эксплойты снова и снова.»
Что касается бизнес-модели ReVuln озабочена, «позиция цифровой облигаций является то, что человек, который находит уязвимости может решить, что с ним делать», сказал Петерсон. «Доклад поставщика, CERT, продать, опубликовать его или сохранить его для дальнейшего использования. Мы сделали все выше и сделать наши решения в каждом конкретном случае на индивидуальной основе».
"Это действительно не имеет значения, является ли это правильно или неправильно для ICS или любого рынка», сказал Петерсон. «Это так оно и есть, так что нет никакой пользы в обсуждении ответственного раскрытия».
Дэвид Харли, старший научный сотрудник безопасности поставщика ESET, сообщил во вторник по электронной почте, что, хотя он принадлежит к поколению исследователей, которые предпочитают ответственность за неограниченное раскрытие информации, он может понять, что уязвимость исследователи ожидают получить что-то взамен за их усилия.
Однако, если исследователи в области безопасности, которые находят уязвимости в промышленных системах управления не саморегулирование или получить поддержку для их работы через государственные программы, они рискуют удовлетворения правовых и других форм давления, потому что вопросы, которые могут повлиять на национальную безопасность привлечь частности внимание, Harley сказал.
"Vupen претендует на определенное количество саморегуляции (в том смысле, разборчивы о своих клиентах): Я не знаю, о Revuln, но по крайней мере то, что они делают, является не полной, беспорядочный раскрытия информации,» Harley сказал .
"Я не могу сказать, что я чувствую себя комфортно с этим, но это может быть то, что узаконено и монетизировать исследования будут работать лучше для онлайн-мир, чем множество отдельных лиц и групп, работающих неофициально полу-скрытно,» ESET исследователь сказал. «Если это так, будем надеяться, слишком много повреждений не сделано в то время, что рынок стабилизируется».
Как клиенту выбор далеко ReVuln в процесс идет, Auriemma заявил, что компания «принимает доверенных клиентов из авторитетных стран только».

Александр Руденко +380963667548