загрузка...
К началу

Публикация в сообществе "Новости российских СМИ"

Hightech.edu.eu
Hightech.edu.eu · 04/09/2024 13:56

ФСТЭК рекомендует избавиться от критических уязвимостей в российской MasterSCADA 4D

MasterSCADA используется российскими разработчиками для автоматизации в самых разных отраслях промышленности и ЖКХ. Количество реализованных проектов на базе этого продукта превосходит 10000. Она конкурирует с зарубежными разработками.

ФСТЭК в начале сентября 2024 года разослала предупреждение об исправлении нескольких опасных уязвимостей в российской АСУ ТП MasterSCADA 4D, которую разрабатывает и поддерживает компания «МПС Софт». Разработчик MasterSCADA 4D выпустил новую версию своего продукта, где исправил целый ряд уязвимостей, обнаруженных исследователями Positive Technologies и группой «ScadaX Security» еще в 2023 году.

В частности, в БДУ ФСТЭК содержаться сведения о следующих исправленных уязвимостях в продукте: BDU:2024-06547[1] (CVSS 7. 5), BDU:2024-05661[2] (CVSS 10), BDU:2024-05662[3] (CVSS 9. 😎, BDU:2024-05645[4] (CVSS 8. 😎, BDU:2024-05663[5] (CVSS 8. 😎, BDU:2024-05646 (CVSS 8. 6) и BDU:2024-05660 (CVSS 5. 3). Наличие эксплойтов для них не зафиксировано, что позволяет надеяться на отсутствие эксплуатации этих уязвимостей в «живой природе». Для устранения уязвимостей пользователям системы рекомендуется обновиться до последней версии MasterSCADA 4D 1. 3. 5.

Наиболее критическая уязвимость (BDU:2024-05661) связана с неверным ограничением пути к каталогу с ограниченным доступом, что позволяет нарушителю читать и записывать произвольные файлы и выполнять произвольные команды. Не менее опасной является и уязвимость BDU:2024-05662, которая возникла из-за недостатков процедуры авторизации и позволяет нарушителю выполнить чтение и запись произвольных файлов. Также среди уязвимостей есть: недостатки защиты служебных данных (BDU:2024-06547), неудачные ограничения попыток аутентификации (BDU:2024-05645), передача чувствительной информации в открытом виде (BDU:2024-05663), неверные ограничения пути к каталогу с чувствительными данными (BDU:2024-05646) и ошибки при обработке входных данных (BDU:2024-05660).

Видно, что для эксплуатации перечисленных уязвимостей у злоумышленника должна быть возможность вмешиваться или подсматривать передаваемый в сторону MasterSCADA по сети трафик, чтобы можно было обмануть процедуру авторизации, переписать пароль или получить доступ к чувствительной для аутентификации в системе информации. Однако даже самая «неопасная» уязвимость BDU:2024-05660, у которой индекс по CVSS всего 5. 3 из 10, на самом деле позволяет вывести АСУ ТП из строя, что чревато существенными потерями для промышленного предприятия.

Тем не менее, промышленные системы нельзя просто так взять и обновить. Часто для этого необходимо ждать технологических окон в производственном процессе, когда оборудование останавливается на техобслуживание и ИТ-службам предоставляется время для обновления входящего в состав оборудования программных компонент. Понимая это, специалисты ФСТЭК рекомендуют до установки обновлений реализовать компенсирующие меры:

6 марта 2023 года компания «МПС софт» сообщила о выходе обновленного релиза платформы для автоматизации и диспетчеризации MasterSCADA 4D 1. 3.

По информации компании, в MasterSCADA 4D 1. 3 реализовано много различных функций и внесены существенные изменения в текущий функционал. Большинство обновлений и доработок реализованы в ходе обратной связи от пользователей продукта, так как именно пользовательский опыт определяет вектора развития продукта.

Основные доработки:

Среда разработки:

Исполнительная система:

Драйвера протоколов:

Визуализация:

ГК «Астра» и отечественный разработчик ПО «МПС софт» объявили о завершении комплекса испытаний совместимости ОС Astra Linux и полнофункциональной SCADA-платформы MasterSCADA 4D, предназначенной для разработки систем автоматизации и диспетчеризации технологических процессов. Об этом сообщила ГК «Астра» 21 декабря 2022 года. Результаты проведенных тестов продемонстрировали: и сама платформа, и клиент визуализации MasterSCADA 4D Client корректно работают под управлением ОС Astra Linux, что подтверждает сертификат № 8655/2022, выданный в рамках программы технологической кооперации ИТ-производителей Ready for Astra Linux.

Программные комплексы SCADA востребованы во всех отраслях, где нужен операторский контроль за процессами в режиме реального времени. Их применяют для выстраивания или обеспечения работы систем сбора, обработки, отображения и архивирования данных об объектах мониторинга или управления. SCADA задействуются в составе АСУ ТП в различных отраслях промышленности.

MasterSCADA 4D — это включенное в реестр Минцифры вертикально-интегрированное SCADA-решение с многоуровневой клиент-серверной архитектурой для АСУ ТП и систем управления производственными процессами, учета и диспетчеризации объектов. Продукт позиционируется как удобный инструментарий для быстрой разработки систем автоматизации любого масштаба и сложности: от локальных проектов до крупных территориально распределенных комплексов.

30 мая 2022 года компании «МПС софт» и «АМТ-ГРУП» сообщили о подписании официального заявления о совместимости комплекса однонаправленной передачи данных InfoDiode и программного обеспечения MasterSCADA. Подробнее здесь.

16 августа 2021 года компания «ИнСАТ» передала компании «МПС софт» исключительные права на следующие продукты:

Информацией об этом с TAdviser поделились представители «МПС софт».

В рамках технологического партнерства компании «РЕД СОФТ» и «ИнСАТ» провели тестирование на совместимость своих продуктов. Разработчики подтвердили корректность работы программного обеспечения MasterSCADA 4D (производства «ИнСАТ») на операционной системе РЕД ОС (производства "РЕД СОФТ"). Результаты испытаний отражены в двустороннем сертификате совместимости, сообщили 18 августа 2020 года в "РЕД СОФТ".

РЕД ОС – российская операционная система семейства Linux для серверов и рабочих станций, предоставляющая универсальную среду для использования прикладного программного обеспечения. Продукт сертифицирован ФСТЭК России (№4060 от 12. 01. 2019), что подтверждает его соответствие требованиям информационной безопасности и допускает его применение в государственных информационных системах. АО «Росгазификация» на 30% повысила производительность труда, создав ИТ-экосистему для управления хозяйственной деятельностью 2. 2 т

MasterSCADA 4D – программный комплекс «Вертикально-интегрированная объектно-ориентированная SCADA/MES/SoftLogic-система для разработки АСУ ТП, АСКУЭ/АСТУЭ, АСДУ, АСУЗ». MasterSCADA 4D зарегистрирована в Едином реестре российских программ для ЭВМ и баз данных Минкомсвязи Росии (№2201).

Российская SCADA система MasterSCADA компании ИнСАТ включена в Единый Реестр российских программ для электронных вычислительных машин и баз данных. В соответствии с приказом Минкомсвязи России от 08. 11. 2016 №538, Приложение 2, №пп. 17, ей присвоен реестровый № 2201.

После внесения MasterSCADA в Единый Реестр у государственных организаций снимаются все барьеры ее использования в системах управления любыми объектами, включая самые технологически сложные и важные для нашего государства. Но и для частных предприятий это так же имеет значение. Поскольку бренд "Сделано в России" становится на сегодняшний день одним из важных показателей при принятии стратегических решений. А выбор инструмента для работы — это стратегическое техническое решение. Более того, выбирая себе отечественное программное обеспечение эти компании могут претендовать на участие в госзаказах.

Внесение MasterSCADA в Единый Реестр российских программ дает компании ИнСАТ еще одно преимущество. Поддержка государства позволяет легче осваивать внешние рынки. А со своей новой версией MasterSCADA 4D компания планирует широко выходить зарубеж.

7 декабря 2015 года компания ИнСАТ представила версию MasterSCADA 3. 7[6].

В этой версии SCADA стал возможен опрос и передача данных по стандарту OPC UA. Стандарт отличается от "классического" ОРС отсутствием привязки к устаревшей и небезопасной технологии Microsoft DCOM. OPC UA поддерживает шифрование и аутентификацию, позволяет вести передачу данных по сетям со сложными архитектурами (в том числе через Интернет), имеет встроенную поддержку резервирования.

Возможности версии расширены с помощью модуля интеграции с 1С — MS InduLink. Модуль позволяет интегрировать систему АСУТП с MasterSCADA в ERP-систему 1C.

Обнаружение отказа, в этом релизе, производится на основе UDP-протокола, что позволяет добиться практически незаметного переключения при отказах, без потери архивных данных.

Переработана система сообщений. Теперь для каждого состояния сообщений любой категории можно задать собственные настройки — цвет, фон, мигание, иконку. Канал "звук" теперь имеет большую гибкость настроек и функциональность.

В релизе версии сделано более 50 различных доработок в модулях MasterSCADA.

Пользователи версий 3. х могут бесплатно обновить свои системы в рамках программы технического сопровождения.

Master SCADA является интегрированной системой, позволяющей в рамках одного проекта программировать как операторские станции, так и контроллеры нижнего уровня. Поэтому в версии 3. 3 уделено много внимания развитию средств технологического программирования. Появившийся в предыдущем релизе Master SCADA язык ST (стандарт МЭК 61131-3) теперь обеспечен развитым сервисом процесса программирования. Новый редактор программ обеспечивает синтаксическую раскраску текста, удобный механизм навигации и отображения ошибок компиляции. В систему включен мощный отладчик, который позволяет вести пошаговую отладку, ставить точки останова, отображать состояние и изменять значения переменных.

Данная версия Master SCADA позволяет теперь в реальном времени управлять выполнением отдельных частей проекта автоматизации в зависимости от текущих условий функционирования системы. Это дает разработчикам мощный инструмент повышения гибкости разрабатываемых систем. Более того, добавлено еще одно удобство, обеспечивающее простоту модификации готовых проектов – это возможность замены OPC-серверов без перепривязки их переменных в проекте.

Разработчики уделили также много внимания развитию средств архивирования технологической информации. Так, архивный сервер Master SCADA может теперь использовать для хранения внутренних архивов не только MS SQL или Oracle, но и FireBird. Как и ранее, для любой части проекта можно выбрать свою СУБД, способ и место хранения архивов.

Версия 3. 3 MasterSCADA насыщена большим числом доработок и улучшений во всех подсистемах продукта: в графике – это дополнительные инструменты удобной навигации по проекту, в трендах – возможность выполнять любые действия и команды из контекстного меню перьев, новая формула обработки пера, автоматизация настроек тренда, в генераторе отчетов – возможность тестирования готовых отчетов в процессе разработки, новые функции обработки данных, новые графические примитивы, поддержка новых форматов сохранения отчетов, но главное – это возможность задания таблиц в отчетах целиком, а не путем их составления из отдельных компонентов.

Шире стала методическая поддержка пользователей: в библиотеке появился раздел «Примеры скриптов», в котором приведена богатая палитра шаблонов сценариев, в основном для автоматизации процесса разрабокти и групповой обработки элементов проекта, облегчен процесс освоения мощнейших возможностей генератора отчетов – пользователям предоставлен для изучения учебный проект, в котором приводятся конкретные примеры реализации наиболее часто встречающихся задач.

https://www.tadviser.ru/a/72568
0   
67   10

ScadaX Security АМТ-ГРУП Астра живой природе звук ИнСАТ классического МПС Софт неопасная Примеры скриптов РЕД СОФТ Росгазификация Россия РФ Сделано в России