DLL Hijacking в ICONICS позволяет обходить защиту стратегических объектов

Программное обеспечение ICONICS, используемое в промышленных SCADA-системах по всему миру, оказалось уязвимым перед атаками, позволяющими повысить привилегии, осуществлять DLL Hijаcking и изменять критически важные файлы. Всего было выявлено пять уязвимостей, потенциально ведущих к полному компрометации системы.

Эксперты Palo Alto Networks обнаружили проблемы в версиях 10.97.2 и 10.97.3, а также, вероятно, в более ранних выпусках. Хотя производитель уже выпустил исправления, интернет-сканирование выявило несколько десятков серверов ICONICS, остающихся уязвимыми и подключёнными к сети.

По оценке исследователей, без обновлений и мер по защите эти уязвимости могут привести к эскалации привилегий, отказу в обслуживании и, в некоторых случаях, полной компрометации системы. Все обнаруженные проблемы получили оценки от 7 до 7.8 по шкале CVSS, что свидетельствует о высокой степени опасности.

SCADA-системы ICONICS широко применяются в стратегически важных отраслях: государственном секторе, обороне, промышленности, водоснабжении и энергетике. Среди пользователей продукта значатся предприятия по производству электроэнергии, аэропорты, газовые заводы и крупные корпорации, включая Amazon, IBM и Hewlett-Packard.

Некоторые из обнаруженных уязвимостей связаны с использованием устаревших компонентов. Например, CVE-2024-7587 связана с настройками по умолчанию в компоненте GenBroker, обеспечивающем взаимодействие с промышленными системами. Устаревшие 32-битные версии GenBroker уязвимы для атак с повышением привилегий, но компания продолжает рекомендовать их к использованию даже при наличии более безопасного 64-битного аналога.

Другая уязвимость ( CVE-2024-1182 ) связана с устаревшим SDK для SMS-оповещений Derdack’s Message Master, который не поддерживается уже более 15 лет, но продолжает использоваться в модуле ICONICS AlarmWorX MMX. Это делает системы, полагающиеся на SMS-уведомления, особенно уязвимыми перед атаками.

Остальные три уязвимости затрагивают последние версии Genesis64 и GenBroker64, позволяя осуществлять DLL Hijacking, продвигаться в сети через доверенные связи и обходить средства защиты.

ICONICS пока не дала официальных комментариев по поводу выявленных проблем, их влияния на более ранние версии ПО и стратегии устранения последствий. Эксперты рекомендуют немедленно установить обновления и провести аудит уязвимых систем, чтобы минимизировать возможные риски.