28.11.2022  Новости, Безопасность, ОС и разработка приложений, Тестирование продукции

Эксперты Национального киберполигона компании «РТК-Солар» выявили ряд уязвимостей в программном обеспечении для промышленной автоматизации финской компании Valmet. Большинство из них критические с уровнем опасности от 9,6 до максимально возможных 10 баллов по шкале CVSS 3.0. Компания Valmet разрабатывает и производит средства автоматизации для целлюлозно-бумажной промышленности и энергетики. В минувшем июне вендор сообщил о планах по уходу с российского рынка, на долю которого приходилось примерно 2% от общего объема чистых продаж компании в 2021 году. В России решения Valmet наиболее широко распространены на крупных целлюлозно-бумажных предприятиях. Уязвимости, обнаруженные экспертами Национального киберполигона во главе с руководителем отдела исследований Ильей Карповым, затрагивают компоненты автоматизированной системы управления технологическим процессом Metso DNA: программный комплекс Valmet System 2019 и операционную систему Valmet Oy ACN CS. Уязвимости связаны с отсутствием защиты передаваемых данных (CWE-319), незашифрованным хранением критичной информации (CWE-256, CWE-312), небезопасным управлением привилегиями (CWE-250, CWE 269), недостаточной проверкой вводимых данных (CWE-20, CWE-328), небезопасным использованием криптографических алгоритмов (CWE-916) и отсутствием аутентификации для критичной функции (CWE-287, CWE-306, CWE-489). В случае их успешной эксплуатации злоумышленники могут удаленно повысить привилегии в системе, получить доступ к защищаемой ... читать далее.