Специалисты «Лаборатории Касперского» обнаружили критическую ошибку в системах релейной защиты производства ABB. Как оказалось, интеллектуальные электронные устройства (ИЭУ) серии Relion 670 подвержены уязвимости, которая позволяет читать и удалять любые файлы на устройстве. Атака может быть проведена удаленно и не требует специальных навыков.

Как выяснил эксперт «Лаборатории Касперского» Кирилл Нестеров, неавторизованный злоумышленник может передать на устройство вредоносный запрос, содержащий путь к папке, и получить возможность манипулировать хранящимися там файлами. Специальный формат входящего пакета позволяет нападающему обойти ограничения на доступ и взаимодействовать с объектами за пределами разрешенного каталога.

В каких устройствах ABB обнаружена уязвимость

Баг присутствует в MMS-сервере систем релейной защиты ABB Relion 670, предназначенных для работы в сетях высокого и сверхвысокого напряжения. Уязвимость затронула семейство устройств, использующих следующие версии прошивки:

  • 1p1r26 и ранее;
  • 1.2.3.17 и ранее;
  • 2.0.0.10 и ранее;
  • 2.1.0.1 и ранее.

Недостаток зарегистрирован как CVE-2019-18253 и оценивается экспертами в 10 баллов по шкале CVSS. Эксплуатация уязвимости не требует взаимодействия с оператором прибора — киберпреступнику достаточно лишь иметь доступ к TCP-порту 102, чтобы отправить на него данные.

Производитель выпустил обновление с патчами для всех версий системного ПО, содержащего ошибку. Владельцы приборов могут получить апдейты, написав в техподдержку ABB. Вендор рекомендует как можно быстрее установить исправленные варианты прошивок или отключить на устройстве протокол IEC 61850, использующий порт 102.

Серия стандартов IEC 61850 (МЭК-61850) предназначена для обмена данными между приборами в рамках цифровых электронных подстанций. Протокол широко используется в системах релейной защиты различных производителей. Так, в феврале этого года компания Siemens залатала три уязвимости в реле SIPROTEC 5, которые также эксплуатировались через порт 102. Баги давали возможность удаленно и без аутентификации вызвать сбой в работе атакуемого устройства.

Категории: Уязвимости