B&R Aprol

Продукт
Разработчики: B&R Automation
Дата последнего релиза: 2023/03/07
Отрасли: Газовая промышленность,  Машиностроение и приборостроение,  Нефтяная промышленность,  Энергетика
Технологии: АСУ ТП

Aprol — система управления производственными процессами, которая предлагает широкие возможности масштабирования, позволяя охватить каждую область применения.

2023: Устранение пяти уязвимостей

В системе управления B&R APROL устранили уязвимости, выявленные Positive Technologies, которая и сообщила об этом 7 марта 2023 года.

Злоумышленник мог проникнуть в базу данных системы, контролирующей производственные процессы.

Австрийская компания B&R, входящая в группу ABB, поблагодарила старшего специалиста отдела анализа приложений Positive Technologies Наталью Тляпову за обнаружение пяти уязвимостей в базе данных системы управления производственными процессами APROL. Решение применяется в энергетической, машиностроительной, нефтегазовой, пищевой и других отраслях. Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и исправил уязвимости в новых версиях ПО.

«
Наибольшую опасность представляли три уязвимости, которые позволили бы злоумышленнику осуществить удаленное выполнение кода, — сказала Наталья Тляпова. — Это CVE-2022-43761 (оценка 9,4 по шкале CVSS v3.1), CVE-2022-43762 (оценка 7,5) и CVE-2022-43764 (оценка 9,8). Комбинация этих ошибок могла использоваться для проникновения на сервер, на котором запущена B&R APROL, а CVE-2022-43761 сама по себе давала возможность чтения и искажения информации в базе данных этой системы. Такие изменения могли привести к нештатному режиму работы системы управления и нарушению технологического процесса.
»

Еще две уязвимости, найденные Натальей Тляповой, — CVE-2022-43763 и CVE-2022-43765 (оценки 7,5) — позволяли выполнить атаку типа «отказ в обслуживании».Как зародилась масштабная коррупционная схема при внедрении ИТ в ПФР при участии «Техносерва» и «Редсис». Подробности 38.7 т

Пользователям необходимо установить исправленные версии системы APROL (R 4.2-07 с AutoYaST или V4.2-070.0.120102). Эти обновления обеспечивают защищенный доступ к базе данных с помощью TLS-шифрования.

2019: Выявление множественных уязвимостей в 12 компонентах Aprol

30 мая 2019 года компания Positive Technologies сообщила, что её эксперты отделов безопасности промышленных систем управления и анализа приложений выявили множественные уязвимости в 12 компонентах системы управления производственными процессами APROL австрийской компании B&R Automation. Данная система управления применяется в нефтегазовой, энергетической, машиностроительной и других отраслях.

Наибольшую опасность представляют пять уязвимостей (№ 5, 7, 8, 10, 11 из уведомления производителя), которые позволяют удаленному атакующему выполнить произвольный код в системе APROL.

«
Возможность выполнения произвольного кода в операционной системе компонентов АСУ ТП позволяет злоумышленнику негативно влиять на технологический процесс. Например, атакующий может несанкционированно отправлять команды управления оборудованием, изменять параметры конфигурации, в том числе программные алгоритмы. Такие изменения могут привести к нештатному режиму работы вплоть до возникновения аварийной ситуации на производстве,
отметил Владимир Назаров, руководитель отдела безопасности промышленных систем управления Positive Technologies
»

Среди выявленных уязвимостей были найдены ошибки доступа к памяти в компоненте TbaseServer, ошибки в компонентах AprolLoader и AprolSqlServer, SQL-инъекции в системе контроля и учета энергопотребления EnMon, возможность внедрения произвольных команд в веб-сервере.

Пользователям уязвимых версий необходимо установить последнюю версию APROL R.

По данным Positive Technologies, в 2018 году продолжился рост числа уязвимостей, выявляемых в оборудовании различных производителей систем промышленной автоматизации (на 30%), а также количества доступных в интернете компонентов АСУ ТП (на 27%).



Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год