Endress+Hauser исправила уязвимость в своих АСУП

Компания Endress+Hauser исправила уязвимость, затрагивавшую целый ряд ее продуктов. Брешь CVE-2014-9191 в библиотеке CodeWrights HART Device Type Manager (DTM), используемой несколькими поставщиками автоматизированных систем управления предприятием (АСУП), возникает из-за некорректной валидации входных данных. Злоумышленник мог проэксплуатировать уязвимость для осуществления DoS-атак и выведения из строя устройств, использующих данную библиотеку. Тем не менее, согласно уведомлению ICS-CERT, это очень сложно сделать.

Для эксплуатации бреши атакующий должен иметь возможность изменить пакет на пути от устройства к компоненту DTM. То, как это можно сделать, зависит от инфраструктуры системы управления предприятием (например, с помощью атаки «человек посередине» или во время прохождения пакета через шлюз).   

Брешь затрагивает следующие продукты от Endress+Hauser: Cerabar, Deltabar, Deltapilot, Gammapilot, iTemp, Levelflex, Liquicap, Liquiline, Micropilot, Multicap, Omnigrad, Nivotester, Promag, Promass, Prosonic, Prothermo, Prowirl и т.д. CodeWrights исправила уязвимость, выпустив новую версию библиотеки практически сразу же после того, как стало известно о проблеме.

Уязвимость была обнаружена исследователями Александром Большевым и Светланой Черкасовой из Digital Security.