Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
AI
Личный опыт
Деньги
Инвестиции
Разработка
Маркетплейсы
Крипто
Путешествия
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Виктор Геронимус

Хактивисты добрались до Open Source, о котором вы забыли 4 года назад

Хактивисты добрались до Open Source, о котором вы забыли 4 года назад

Новость выходных: CISA внесла в каталог KEV (Known Exploited Vulnerabilities) уязвимость в OpenPLC ScadaBR. Да, ту самую CVE-2021-26829, которой уже четыре года.

Казалось бы, где 2021-й, а где мы сейчас? Но реальность, как всегда, ударила гаечным ключом по голове. Пока "эффективные менеджеры" рисовали красивые слайды про Индустрию 5.0 и нейросети в каждом утюге, хакеры просто взяли и начали ломать заводы через "дырявый" опенсорс, который инженеры поставили "временно", чтобы сэкономить бюджет, да так и забыли в стойке.

Почему это больно?

Суть проблемы до смешного банальна. ScadaBR — популярная штука. Бесплатная, открытая, ставится хоть на Windows, хоть на Linux. Идеально для того, чтобы быстро закрыть задачу мониторинга на удаленном узле и не платить за лицензии Siemens или Rockwell.

Но есть нюанс. Уязвимость позволяет внедрять скрипты прямо в браузер оператора (XSS). Хакер получает сессию, права админа и доступ к управлению процессом. И самое смешное: патч был доступен годами. Но кто же обновляет "работающую систему"?

Мы в цехах видим это постоянно. Стоит пыльный системник, на нём крутится какой-то FreeSCADA-форк, пароль admin/12345, а последний раз к нему подходили, когда Ельцин еще был бодрым (шучу, но вы поняли). И теперь CISA дает федеральным агентствам срок до 20 декабря, чтобы вычистить этот зоопарк. https://cybersecuritynews.com/cisa-openplc-scadabr-vulnerability/ А частному сектору никто дедлайнов не ставит — вас просто взломают.

Открытый код — это не бесплатно. Это ответственность

Я люблю Linux. Мы в «Финкомтех» строим свои железки на нем не потому, что это модно, а потому что Windows в промзоне — это бомба замедленного действия с её обновлениями и телеметрией. Но история с OpenPLC — отличный урок для любителей "скачать и забыть".

Если вы берете Open Source в продакшн:

· Вы становитесь вендором. Теперь вы отвечаете за патчи, а не сообщество на GitHub.

· Вы должны мониторить CVE. Сами. Руками. Каждый день.

· Изоляция — наше всё. Если ваша SCADA торчит в интернет "попой" наружу — вас не спасет ни проприетарный софт, ни святая вода.

Как не стать героем новостей?

Мы, когда проектировали архитектуру своей SCADA и Edge-шлюзов, исходили из паранойи. Никаких "дефолтных" дыр. Если веб-интерфейс — то на нормальном стеке, а не на коде десятилетней давности. Если база данных — то NoSQL, которая переварит миллионы тегов и не поперхнется, но при этом закрыта от внешнего мира так, что без VPN и ключей не подлезешь.

И главное — централизованное обновление. Когда у вас 50 контроллеров раскиданы по области, бегать с флешкой, накатывая патчи безопасности — это утопия. Нужен инструмент, который позволяет залить фикс на все устройства одной кнопкой. Иначе вы просто ждете, пока вас найдут через Shodan.

Если у вас до сих пор где-то крутится "временное" решение на базе заброшенного опенсорса — снесите его сейчас. Или хотя бы отрежьте ему интернет. Серьезно.

Есть вопросы по архитектуре безопасности АСУ ТП? Заглядывайте, обсудим без маркетинговой шелухи: https://fincom.tech Или смотрите наши разборы на Rutube: https://rutube.ru/channel/32683271/

6
Начать дискуссию