Джекпот для злоумышленников

В веб-серверах Siemens OZW662 и OZW772 обнаружены критические уязвимости с рейтингом CVSS 10.0. Злоумышленники могут удалённо выполнять код (RCE) и получать права администратора без аутентификации. OZW662 и OZW772 используются во многих промышленных контроллерах и системах автоматизации, включая управление отоплением и кондиционированием, что делает эти уязвимости особенно опасными.

«RCE, или удалённое выполнение команд, — буквально джекпот среди уязвимостей, потому что, как правило, это означает возможность получения полного доступа к атакуемой системе. Неудивительно, что таким уязвимостям выдают самые высокие рейтинги, а вендоры стремятся закрыть их как можно скорее или по крайней мере придумать компенсирующие меры», — отметил руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

Киберэксперт отметил, что уязвимость в веб-серверах от Siemens — это проблема в квадрате, потому что OZW662 и OZW772 встраивают во всевозможные промышленные контроллеры и системы автоматизации для отопления и кондиционирования.

«Вы можете себе представить, какие проблемы может доставить эксплуатация этих уязвимостей. И нельзя сказать, что в Siemens как-то плохо поставлена процедура безопасной разработки, но тем не менее имеем, что имеем. При этом на бумаге все лучшие практики уже придуманы и описаны, но проблемы, как правило, возникают с их применением на практике. И даже если выстроить полноценную процедуру DevSecOps не получается, то внедрение решений вроде Efros DefOps повышает качество конечного продукта. Я уже не говорю про выстраивание CI/CD и привлечение профильных специалистов и экспертов, что многим не по карману», — подытожил Полунин.