В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость в программируемом логическом контроллере (ПЛК) отечественного производства. Речь идёт об устройстве NLcon-CE-485-C от компании «НИЛ АП». Ключевая проблема заключается в использовании необслуживаемой операционной системы Microsoft Windows CE 5.0, что создаёт фундаментальную архитектурную уязвимость.
Детали уязвимости
Согласно присвоенным оценкам CVSS, уязвимость представляет высокую опасность. Базовая оценка по методологии CVSS 3.1 достигает 8.4 баллов из 10. Это указывает на критичность потенциального воздействия. Вектор атаки оценивается как локальный (AV:L), однако для эксплуатации не требуются ни специальные условия (AC:L), ни права доступа (PR:N), ни действия пользователя (UI:N). Успешная атака может привести к полной компрометации системы, обеспечивая злоумышленнику максимальные привилегии на чтение, изменение данных и нарушение работоспособности устройства.
Суть уязвимости классифицируется как CWE-1104 - использование необслуживаемых сторонних компонентов. Операционная система Windows CE 5.0 давно не получает обновлений безопасности от Microsoft. Следовательно, все известные и, что важнее, неизвестные уязвимости этой платформы остаются неисправленными на устройствах ПЛК. Это превращает каждый такой контроллер в потенциальную точку входа для киберпреступников, особенно для групп, нацеленных на промышленные объекты (APT, Advanced Persistent Threat).
Производитель, ООО «НИЛ АП», подтвердил наличие проблемы. При этом техническое обновление или патч для самой уязвимой платформы, судя по всему, не предоставляется. В качестве способа устранения указаны исключительно организационные меры. Прежде всего, специалистам рекомендуется физически и логически изолировать проблемные ПЛК от внешних сетей, включая интернет. Кроме того, необходимо настроить межсетевые экраны для блокировки доступа к порту 1200/TCP, используемому устройством. Самым радикальным, но и самым надёжным решением производитель называет переход на более современные линейки контроллеров: NLScon-RSB или NLScon-A40.
Данный инцидент высвечивает системную проблему в сфере промышленной кибербезопасности. Многие устройства АСУ ТП (автоматизированных систем управления технологическими процессами) имеют длительный жизненный цикл, часто исчисляемый десятилетиями. Однако встроенное программное обеспечение и операционные системы устаревают гораздо быстрее. В результате критическая инфраструктура - энергетика, водоснабжение, производство - продолжает работать на компонентах, которые невозможно обновить. Это создаёт предсказуемые и чрезвычайно опасные риски.
Эксперты в области промышленной безопасности (ICS security) постоянно отмечают подобные проблемы. Устаревшее ПО становится лёгкой мишенью для злоумышленников, которые могут использовать доступ к ПЛК для внедрения вредоносного кода (payload), организации слежки или саботажа. В худшем случае компрометация такого контроллера может стать первым шагом для горизонтального перемещения по сети предприятия и запуска разрушительных атак, например, с использованием шифровальщика (ransomware).
На момент публикации информация о наличии активных эксплойтов, использующих данную уязвимость, уточняется. Тем не менее, высокий балл CVSS и простота условий для атаки делают её привлекательной целью. Следовательно, операторам критической инфраструктуры и промышленных предприятий, использующих ПЛК NLcon-CE-485-C, рекомендуется безотлагательно принять рекомендуемые меры. Необходимо провести инвентаризацию активов, выявить все уязвимые устройства и либо изолировать их, либо запланировать замену на поддерживаемые модели.
Эта ситуация служит очередным напоминанием. Безопасность АСУ ТП должна выстраиваться на принципах регулярного аудита, сегментации сетей и своевременного обновления аппаратно-программного парка. Игнорирование уязвимостей, проистекающих из устаревших компонентов, может привести к значительным финансовым и репутационным потерям, а в некоторых случаях - к реальным физическим последствиям.
