Об уязвимости в ABB Plant Historian стало известно спустя 5 лет после обнаружения

Швейцарскому поставщику промышленных решений ABB потребовалось пять лет, чтобы проинформировать клиентов об опасной уязвимости, затрагивающей один из его продуктов.

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США сообщило о существовании уязвимости обхода аутентификации в инструменте для сбора, архивирования и анализа данных предприятий Power Generation Information Manager (PGIM), а также в его предшественнике Plant Connect. По данным CISA, затронутые продукты используются во всем мире в разных секторах, включая строительство плотин, критическую инфраструктуру, энергетику, производство продуктов питания и сельское хозяйство, а также химическую промышленность.

Эксплуатация обнаруженной уязвимости позволяет удаленному злоумышленнику путем перехвата трафика или путем отправки специально сформированных сообщений на сервер похитить учетные данные PGIM и Windows, стереть информацию и получить привилегии, необходимые для записи данных на платформе управления. Уязвимость (CVE-2019-18250) получила оценку в 9,8 балла по шкале CVSS.

Исследователь безопасности Рикардо Бодфорсс (Rikard Bodforss) из компании Bodforss Consulting сообщил об обнаруженной уязвимости ABB еще в 2014 году, однако поставщик не обратил на проблему должного внимания. Исследователь рассказал о проблеме на конференции CS3STHLM ICS/SCADA, а также выпустил PoC-код для нее.

По словам компании ABB, уязвимость была устранена в новом программном обеспечении Symphony Plus Historian в 2016 году (которое пришло на замену PGIM) и еще тогда проинформировала клиентов об улучшении уровня безопасности в новом продукте. ABB сообщает, что PGIM перейдет на ограниченную фазу поддержки в январе 2020 года, а Plant Connect уже устарел. Поставщик рекомендует клиентам перейти на решение Symphony Plus Historian, не подверженное данной уязвимости.