сентябрь    2025

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

03.09.2025

Российский NGFW уровня Enterprise: UserGate запускает Data Center Firewall для корпоративных клиентов

Читать далее 

02.09.2025

Рексофт выводит на рынок собственную автоматизированную систему управления открытыми горными работами

Читать далее 

02.09.2025

Угроза на уровне ядра: две ошибки в чипах Qualcomm могут скомпрометировать ваши данные

Читать далее 

02.09.2025

Исследование Tech2B Conf: ритейл и финсектор наращивают ИТ-бюджеты, промышленность экономит

Читать далее 

28.08.2025

SpaceWeb усилил инфраструктуру связи и отказоустойчивость хостинг-систем

Читать далее 

показать все 

05.09.2025

DevOps как методология в 2025 году — что уже устарело, что становится must-have, какие инструменты и подходы реально работают в продакшене

Читать далее 

20.08.2025

Как опрос про ИИ-ботов спровоцировал цифровой раскол?

Читать далее 

12.08.2025

Светлана Ткаченко, УЦ РДТЕХ: «Выбор зарубежных СУБД объясним инертностью мышления»

Читать далее 

04.08.2025

Каждому покупателю – по ИИ-агенту

Читать далее 

29.07.2025

Точность до метра и сантиметра: как применяют технологии позиционирования

Читать далее 

27.07.2025

Что сегодня в тренде?

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

показать все 

Главная / Новости партнеров / Компания Schneider Electric поблагодарила победительницу хакерского конкурса PHDays

Компания Schneider Electric в начале апреля выпустила несколько обновлений и патчей, закрывающих уязвимости в программном обеспечении, которое используется для построения систем SCADA и HMI на атомных электростанциях, химических заводах и других критически важных объектах.

Под угрозой оказались InTouch Machine Edition 2014 версии 7.1.3.2 и InduSoft Web Studio 7.1.3.2, а также предыдущие версии этих продуктов.  Среди исправленных ошибок: возможность исполнения произвольного кода, хранение и передача конфиденциальных данных в незашифрованном виде. Воспользоваться этими уязвимостями для совершения атаки может даже начинающий хакер. Производитель рекомендует пользователям как можно скорее установить выпущенные патчи.

 Уязвимости обнаружили исследователи Positive Technologies Илья Карпов и Кирилл Нестеров в ходе работ по оценке уровня защищенности промышленных систем. Кроме того, большое количество ошибок в этих же программных продуктах нашли участники конкурса Critical Infrastructure Attack, который проходил на международной конференции по безопасности Positive Hack Days IV. За найденные уязвимости компания Schneider Electric поблагодарила победительницу конкурса Алису Шевченко (Esage Lab). Правда, некоторые уязвимости компания не упомянула в бюллетене и не создала для них CVE-записей. К сожалению, такая практика становится все более распространенной: производители исправляют ошибки безопасности, но не всегда признают их наличие.

 Напомним, что первый раз конкурс по анализу защищенности промышленных систем управления (АСУ ТП) прошел на Positive Hack Days в 2013 году под названием Choo Choo Pwn. Тогда в лаборатории компании Positive Technologies была создана игровая модель железной дороги, все элементы которой — поезда, шлагбаумы, краны — контролируются с помощью АСУ ТП, собранной на основе трех SCADA-систем и трех промышленных контроллеров.

 В 2014 году конкурсная инфраструктура была кардинально изменена, что открыло возможности для обнаружения уязвимостей нулевого дня в более широком спектре промышленных протоколов и систем управления. Помимо транспортной инфраструктуры, участники конкурса могли взять под контроль систему городского освещения, ТЭЦ и различных роботов.

 При этом все конкурсные SCADA-системы и контроллеры используются на критически важных объектах в самых разных отраслях, и реальная эксплуатация уязвимостей может привести к губительным последствиям для жителей современного города. Следуя принципам ответственного разглашения, участники конкурса Critical Infrastructure Attack должны сначала сообщить о найденных уязвимостях производителям, и только после устранения проблем будет опубликована подробная информация о них.

 Очередной конкурс по анализу защищенности АСУ ТП состоится на пятом форуме Positive Hack Days, который пройдет 26 и 27 мая в Москве. Подробности на сайте phdays.ru.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи