رفع نواقص نرم‌‌افزار SCADA توسط شرکت Trihedral

شرکت کانادایی Trihedral Engineering که در زمینه طراحی نرم‎افزار برای سامانه‎های SCADA تخصص دارد، اقدام به رفع برخی نقاط آسیب‎پذیری قابل کنترل از راه دور در محصول VTScada کرده است.
سامانه‎ی VTScada که به کاربران امکان طراحی نرم‎افزارهای نظارت و کنترل صنعتی را می‎دهد، در کشورهای اروپایی و شمال قاره آمریکا در صنایع آب، پساب، نفت و گاز، تولید برق، صنایع زیردریایی، پخش اخبار، صنایع غذایی و نوشیدنی، ساخت‎و‎ساز و بخش‎های هوایی استفاده می‎شود.

بنابه اطلاعیه منتشر شده توسط گروه پاسخ‎گویی حوادث رایانه‎ای، یک مؤلفه WAP در VTScada توسط سه نقطه آسیب‎پذیری خطرناک و شدید دچار اختلال شده است. این نقاط آسیب‎پذیری ممکن است حتی توسط نفوذگران تازه کار نیز از راه دور مورد استفاده قرار گیرد.
نواقص موجود به راحتی قابل مشاهده نیستند و می‎توانند برای ایجاد اختلال کامل در نرم‎افزار (CVE-۲۰۱۶-۴۵۲۳) و یا ایجاد یک شاهراه ساده برای نفوذگر به منظور دسترسی به تمامی اطلاعات (CVE-۲۰۱۶-۴۵۳۲) و یا نفوذ اطلاعاتی بدون نیاز به اطلاعات کاربری به منظور خواندن اطلاعات قراردادی (CVE-۲۰۱۶-۴۵۱۰) مورد سوءاستفاده واقع شوند.
این شرکت مهندسی در نسخه ۱۱.۲.۰۲ این نرم‎افزار، با حذف مؤلفه ‎ WAPاین نقص را رفع کرد.

بخش فروش لوازم جانبی این شرکت در یک بیانیه در وب‎گاهش اعلام کرد که کارگزار WAP آلوده شده یک مؤلفه‎ی اختیاری است که برای نظارت و کنترل اساسی استفاده می‎شود و آن را می‎توان از تلفن‌های همراه قدیمی استخراج کرد. در سال‎های گذشته، شرکت Trihedral یک ابزار اتصال از راه دور به جای این مؤلفه معرفی کرد که از طریق یک وب‎گاه واسطه کار می‎کند.

این شرکت اعلام کرد که هشت کاربر از این ابزار استفاده کرده‎اند و هیچ‎گونه شواهدی مبنی بر حمله ناشی از این نقاط آسیب‎پذیری به این کاربران گزارش نشده‌ است. در حالی‎که اعلامیه امنیتی گروه پاسخ‎گویی حوادث رایانه‎ای گفته است که این نقاط آسیب‎پذیری ممکن است حتی توسط یک نفوذگر تازه‎کار مورد سوءاستفاده واقع شوند، نمایندگان شرکت Trihedral معتقدند که استفاده از این نقاط آسیب‎پذیری «آسان و محتمل» نیست.

گلن وادن، رییس شرکت Trihedral و مسئول ارشد نرم‎افزار برای طراحی VTScada اعلام کرد: «هیچ نرم‎افزاری نمی‎تواند به طور کامل برای آینده تضمینی ارائه دهد و همواره وقوع حملات جدید، حتی برای سامانه‎های بدون اینترنت ممکن است. تیم طراحی شرکت ما در کدهای این نرم‎افزارها همیشه بازبینی لازم را انجام می‎دهد و از جدیدترین راهکارهای ضدنفود استفاده می‎کند. ما در شرکت خود لازم می‎دانیم از گروه پاسخ‎گویی به حوادث رایانه‎ای برای کار سخت‎کوشانه در راه حفظ امنیت ساختارهای اینترنتی و رایانه‎ای تشکر کنیم.»

نقاط آسیب‎پذیری موجود در KMC مسیریاب‎ها را کنترل می‎کند.
گروه پاسخ‎گویی به حوادث رایانه‎ای در یک اعلامیه امنیتی دیگر دو مسئله امنیتی دیگر را مطرح کرد که مسیریاب‎های KMC Controls’ Conquest BACnet را تحت تاثیر قرار می‎دهند. محصولات شرکت KMC در آمریکا، خاورمیانه و جنوب آسیا در زمینه ساخت سامانه‎های خودکارسازی استفاده می‎شوند.
نقاط آسیب‎پذیری کشف شده شامل جعل درخواست میان وب‎گاهی (CSRF- Cross-Site Request Forgery) و همچنین نبود یک عنصر خودکارسازی است و بخش فروش لوازم جانبی شرکت برای آن‎ها ثابت‌افزارهایی را طراحی کرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.