👏 Yokogawa Electric Corporation поблагодарила наших экспертов за обнаружение шести уязвимостей в РСУ CENTUM VP Недостатки безопасности нашли Дмитрий Скляр и Демид Узеньков, руководитель и специалист направления анализа защищенности промышленных систем и приложений Positive Technologies. Распределенные системы управления (РСУ) — это АСУ ТП с объединенными в общую сеть децентрализованными контроллерами. Такая архитектура считается более надежной и гибкой, поскольку предотвращает остановку всей системы при выходе из строя одного узла. Системы серии VP — новейшие модели семейства CENTUM. За 50 лет РСУ этой марки были установлены более чем на 30 000 предприятий энергетической, нефтегазовой, пищевой и других отраслей промышленности не менее чем в 100 странах мира. Наши эксперты смогли обнаружить ошибки PT-2026-7964–PT-2026-7969 (CVE-2025-1924, CVE-2025-48019–CVE-2025-48023; BDU:2025-02823, BDU:2025-08836–BDU:2025-08840), получившие 6 баллов по шкале CVSS 4.0. Их эксплуатация могла бы позволить злоумышленникам нарушить технологический процесс или даже остановить работу производственных линий. Система временно перестала бы контролировать процессы, провоцируя поломки оборудования и производственный брак. Для предполагаемой атаки киберпреступникам пришлось бы проникнуть в технологическую сеть. Обычно этот сегмент изолирован, однако иногда на практике можно получить доступ к оборудованию и рабочим станциям из офисной сети. В теории злоумышленник, захвативший контроль над CENTUM VP, мог месяцами оставаться незаметным, влияя на процесс производства и качество продукции. ❗️ Но мы вовремя предупредили вендора, и угроза уже устранена. Для того чтобы быть в безопасности, компаниям, использующим программный пакет Vnet/IP в составе РСУ, необходимо в кратчайшие сроки обновить его до версии R1.08.00. 🔔 А уже 2 апреля в 14:00 (мск) мы проведем вебинар, где на примере кейса Yokogawa расскажем больше о реверс-инжиниринге в промышленности. Вы узнаете больше о специфике исследования и поиска уязвимостей в закрытых промышленных системах, разберетесь в их особенностях на примере взаимодействия SCADA-систем и ПЛК. А также познакомитесь с нужными для реверса в этой сфере инструментами и интересными для него компонентами систем. 👉 Регистрируйтесь сейчас, чтобы ничего не пропустить: https://vk.cc/cW3M9t #PositiveЭксперты #PositiveTechnologies