رفع نواقص نرم‌‌افزار SCADA توسط شرکت Trihedral

شرکت کانادایی Trihedral Engineering که در زمینه طراحی نرم‎افزار برای سامانه‎های SCADA تخصص دارد، اقدام به رفع برخی نقاط آسیب‎پذیری قابل کنترل از راه دور در محصول VTScada کرده است.
سامانه‎ی VTScada که به کاربران امکان طراحی نرم‎افزارهای نظارت و کنترل صنعتی را می‎دهد، در کشورهای اروپایی و شمال قاره آمریکا در صنایع آب، پساب، نفت و گاز، تولید برق، صنایع زیردریایی، پخش اخبار، صنایع غذایی و نوشیدنی، ساخت‎و‎ساز و بخش‎های هوایی استفاده می‎شود.

بنابه اطلاعیه منتشر شده توسط گروه پاسخ‎گویی حوادث رایانه‎ای، یک مؤلفه WAP در VTScada توسط سه نقطه آسیب‎پذیری خطرناک و شدید دچار اختلال شده است. این نقاط آسیب‎پذیری ممکن است حتی توسط نفوذگران تازه کار نیز از راه دور مورد استفاده قرار گیرد.
نواقص موجود به راحتی قابل مشاهده نیستند و می‎توانند برای ایجاد اختلال کامل در نرم‎افزار (CVE-۲۰۱۶-۴۵۲۳) و یا ایجاد یک شاهراه ساده برای نفوذگر به منظور دسترسی به تمامی اطلاعات (CVE-۲۰۱۶-۴۵۳۲) و یا نفوذ اطلاعاتی بدون نیاز به اطلاعات کاربری به منظور خواندن اطلاعات قراردادی (CVE-۲۰۱۶-۴۵۱۰) مورد سوءاستفاده واقع شوند.
این شرکت مهندسی در نسخه ۱۱.۲.۰۲ این نرم‎افزار، با حذف مؤلفه ‎ WAPاین نقص را رفع کرد.

بخش فروش لوازم جانبی این شرکت در یک بیانیه در وب‎گاهش اعلام کرد که کارگزار WAP آلوده شده یک مؤلفه‎ی اختیاری است که برای نظارت و کنترل اساسی استفاده می‎شود و آن را می‎توان از تلفن‌های همراه قدیمی استخراج کرد. در سال‎های گذشته، شرکت Trihedral یک ابزار اتصال از راه دور به جای این مؤلفه معرفی کرد که از طریق یک وب‎گاه واسطه کار می‎کند.

این شرکت اعلام کرد که هشت کاربر از این ابزار استفاده کرده‎اند و هیچ‎گونه شواهدی مبنی بر حمله ناشی از این نقاط آسیب‎پذیری به این کاربران گزارش نشده‌ است. در حالی‎که اعلامیه امنیتی گروه پاسخ‎گویی حوادث رایانه‎ای گفته است که این نقاط آسیب‎پذیری ممکن است حتی توسط یک نفوذگر تازه‎کار مورد سوءاستفاده واقع شوند، نمایندگان شرکت Trihedral معتقدند که استفاده از این نقاط آسیب‎پذیری «آسان و محتمل» نیست.

گلن وادن، رییس شرکت Trihedral و مسئول ارشد نرم‎افزار برای طراحی VTScada اعلام کرد: «هیچ نرم‎افزاری نمی‎تواند به طور کامل برای آینده تضمینی ارائه دهد و همواره وقوع حملات جدید، حتی برای سامانه‎های بدون اینترنت ممکن است. تیم طراحی شرکت ما در کدهای این نرم‎افزارها همیشه بازبینی لازم را انجام می‎دهد و از جدیدترین راهکارهای ضدنفود استفاده می‎کند. ما در شرکت خود لازم می‎دانیم از گروه پاسخ‎گویی به حوادث رایانه‎ای برای کار سخت‎کوشانه در راه حفظ امنیت ساختارهای اینترنتی و رایانه‎ای تشکر کنیم.»

نقاط آسیب‎پذیری موجود در KMC مسیریاب‎ها را کنترل می‎کند.
گروه پاسخ‎گویی به حوادث رایانه‎ای در یک اعلامیه امنیتی دیگر دو مسئله امنیتی دیگر را مطرح کرد که مسیریاب‎های KMC Controls’ Conquest BACnet را تحت تاثیر قرار می‎دهند. محصولات شرکت KMC در آمریکا، خاورمیانه و جنوب آسیا در زمینه ساخت سامانه‎های خودکارسازی استفاده می‎شوند.
نقاط آسیب‎پذیری کشف شده شامل جعل درخواست میان وب‎گاهی (CSRF- Cross-Site Request Forgery) و همچنین نبود یک عنصر خودکارسازی است و بخش فروش لوازم جانبی شرکت برای آن‎ها ثابت‌افزارهایی را طراحی کرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap