myPRO

Продукт
Разработчики: mySCADA Technologies
Технологии: SCADA

Содержание

Продукт mySCADA myPRO[1] представляет собой систему визуализации и управления промышленными процессами, которая может быть установлена на операционные системы Windows или Linux и позволяет визуализировать данные из АСУ ТП с помощью веб-интерфейса.

История

2024: Обнаружение опасной уязвимости, исправление для россиян недоступно

В системе визуализации и управления промышленными процессами mySCADA myPRO ФСТЭК в начале июля обнаружила уязвимость BDU:2024-05050[2], которая позволяет удаленному злоумышленнику выполнить произвольный код. Уязвимость связана с предустановленными учетными данными, то есть вшитыми в ПО паролями от административных учетных записей. Опасность уязвимости по методике оценки CVSS 3.1 составляет 9,8 из 10. Указано, что в версии myPRO 8.31.0 ошибка исправлена, и нужно бы до нее обновиться, однако производитель – чешская компания – настроена против российских пользователей.

myPRO позволяет с помощью веб-интерфейса управлять АСУ ТП

«
mySCADA - простой и удобный инструмент визуализации промышленных процессов, он был довольно широко распространён в России до санкций, в которых производитель продукта, чешская компания, выступает с очень жёстких позиций, – пояснил для TAdviser ситуацию Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда», – Доступ к системе осуществляется через обычный веб-браузер. Дополнительным преимуществом является возможность написания сценариев на языке JavaScript, что позволяет пользователям расширять функциональность системы. Ввиду всего вышесказанного такие системы небезопасны сами по себе, поэтому их обычно проектируют без прямой связи с технологическим контуром. Поэтому при классической архитектуре вряд ли хакеру удастся получить контроль над технологическим процессам, то есть нанести вред промышленной инфраструктуре и, тем более, здоровью и жизни людей.
»

В то же время, по мнению Владимира Дащенко, эксперта по кибербезопасности Kaspersky ICS CERT, ситуация может оказаться опасной.

«
Это достаточно критичная уязвимость, так как речь идет о потенциальном бэкдоре – это недекларированный функционал ПО, а именно «вшитые» аутентификационные данные, – заявил он в переписке с TAdviser. – Непонятно, были ли они забыты или же оставлены с намерением. Когда в компании внедрены лучшие практики безопасной разработки, то такие ситуации невозможно пропустить. Эксплуатация такой уязвимости может нести очень серьёзные последствия для технологического процесса.
»

Действительно, принятый в России ГОСТ Р 65939 определяет процессы разработки безопасного программного обеспечения, где предусмотрена проверка в том числе и на наличие встроенных учетных данных – этот процесс должен выполнять сам производитель. Причем ФСТЭК своими требованиями по использованию ПО, которое проверено на безопасность, фактически обязывает производителей программного обеспечения внедрять проверки на наличие встроенных административных привилегий в конвейер разработки. Однако у чешской компании, похоже, подобные процедуры реализованы не были. В результате пользователям ее продуктов приходиться либо обновляться до новой версии – 8.31.0, либо выполнять следующие рекомендации ФСТЭК:

  • сегментировать сети для ограничения доступа к промышленному сегменту из других подсетей;
  • ограничить доступ из внешних сетей (интернет) к промышленному сегменту;
  • использовать виртуальные частные сети для организации удаленного доступа (VPN);
  • применять средства межсетевого экранирования для ограничения возможности прямого удалённого доступа.

«
Необходимо следовать принципам эшелонированной защиты своих активов, – дополнил рекомендации ФСТЭК Владимир Дащенко. – Также использовать специализированные средства защиты для промышленных сетей и автоматизированных систем, регулярно обучать персонал и пользоваться сервисами раннего информирования об угрозах. Еще рекомендую проверять ПО силами сторонних исследователей на предмет наличия недекларированных возможностей и уязвимостей «нулевого дня».
»

Примечания



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  КРУГ НПФ (83)
  РТСофт (RTSoft) (9)
  Консом групп, Konsom Group (КонсОМ СКС) (9)
  Фиорд (Fiord) (6)
  Системы и технологии (5)
  Другие (96)

  КРУГ НПФ (7)
  Свизитом (Svisitom) (2)
  Добротех (2)
  ММК-Информсервис (1)
  НИПИГАЗ (НИПИгазпереработка) (1)
  Другие (7)

  КРУГ НПФ (8)
  Новософт (1)
  РИР (Росатом Инфраструктурные решения) (1)
  РТСофт (RTSoft) (1)
  Ростелеком (1)
  Другие (8)

  КРУГ НПФ (11)
  РИР (Росатом Инфраструктурные решения) (1)
  Росатом (1)
  Цифровые Платформы и Решения Умного Города (1)
  Другие (1)

  КРУГ НПФ (4)
  Системы и технологии (2)
  Цифровые Платформы и Решения Умного Города (1)
  AirBit (АирБит) (1)
  Reksoft (Рексофт) (1)
  Другие (2)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  КРУГ НПФ (5, 85)
  ARC Informatique (2, 12)
  Wonderware (4, 10)
  Honeywell Process Solutions (HPS) (3, 9)
  Siemens Digital Industries Software (ранее Siemens PLM Software) (2, 7)
  Другие (146, 68)

  КРУГ НПФ (3, 7)
  Свизитом (Svisitom) (1, 2)
  Siemens AG (Сименс АГ) (2, 1)
  НИПИГАЗ (НИПИгазпереработка) (1, 1)
  РТСофт (RTSoft) (1, 1)
  Другие (4, 4)

  КРУГ НПФ (3, 8)
  Атомик Софт (Automiq Software) (1, 1)
  Консом групп, Konsom Group (КонсОМ СКС) (1, 1)
  РИР (Росатом Инфраструктурные решения) (1, 1)
  Юникорн (1, 1)
  Другие (5, 5)

  КРУГ НПФ (4, 11)
  РИР (Росатом Инфраструктурные решения) (3, 3)
  Другие (0, 0)

  КРУГ НПФ (3, 4)
  Системы и технологии (1, 2)
  AirBit (АирБит) (1, 1)
  AdAstra Research Group (АдАстра Рисерч Груп) (1, 1)
  Reksoft (Рексофт) (1, 1)
  Другие (1, 1)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ПТК КРУГ-2000 - 59
  SCADA КРУГ-2000 - 54
  DevLink-C1000 Промышленные контроллеры - 24
  PcVue - 10
  АСУ ТП Experion Process Knowledge System (PKS) - 9
  Другие 88

  SCADA КРУГ-2000 - 5
  ПТК КРУГ-2000 - 5
  DevLink-C1000 Промышленные контроллеры - 3
  Свизитом: Эксплуатация и обслуживание зданий - 2
  Парадокс: Парадигма Интеграционный комплекс (ИК Парадигма) - 1
  Другие 7

  SCADA КРУГ-2000 - 6
  ПТК КРУГ-2000 - 5
  DevLink-C1000 Промышленные контроллеры - 4
  Росатом Цифровое ресурсоснабжение - 1
  Ujin Виртуальная диспетчерская - 1
  Другие 6

  ПТК КРУГ-2000 - 10
  SCADA КРУГ-2000 - 10
  DevLink-C1000 Промышленные контроллеры - 2
  КРУГ: Система Реального Времени Контроллеров (СРВК) - 2
  Росатом Цифровой водоканал - 1
  Другие 2

  ПТК КРУГ-2000 - 4
  SCADA КРУГ-2000 - 4
  Системы и технологии: Пирамида 2.0 - 2
  AirBit IoT Workspace - 1
  Reksoft SCADA - 1
  Другие 3