Positive Technologies рассказала о найденных уязвимостях в устройствах учёта энергоресурсов. Через эти бреши потенциальные злоумышленники могли отключить электричество в многоквартирном доме, офисе или на предприятии. Эксперты ИБ‑компании выявили три уязвимости в УСПД СЕ805М производства компании «Энергомера».
Первая обнаруженная уязвимость BDU:2023–04841 получила почти максимальную оценку 9,8 из 10 по шкале оценки уязвимостей CVSS 3.0. С помощью этой уязвимости можно было менять параметры оборудования. Вторая уязвимость BDU:2023–04842 получила оценку 8,1 из 10 по шкале CVSS 3.0 и давала возможность нарушить целостность базы данных или вызвать отказ в обслуживании. И последняя BDU:2023–04843 тоже получила высокую оценку — 8,8 из 10 по шкале CVSS 3.0. Эта уязвимость позволяла атакующему модифицировать параметр устройства и выполнять команды ОС, запущенные при автоматическом обновлении прикладного ПО.
По данным мониторинга, 51% потенциально уязвимых устройств находятся в России, 28% — в Азербайджане, 2% — в Германии и 1%‑ в Казахстане. УСПД СЕ805М предназначены для сбора данных с приборов учёта энергоресурсов, для передачи полученной информации на верхний уровень систем АСКУЭ (автоматизированная система коммерческого учёта электроэнергии), для управления и контроля состояния объекта автоматизации.
Это оборудование применяется на подстанциях, в распределительных щитах промышленных предприятий, жилых и офисных зданий. «Энергомера» получил уведомление об угрозе в рамках политики ответственного разглашения, и уже выпустил обновление ПО для устранения уязвимостей. Ежегодно компания выпускает более 3 млн устройств. Производитель рекомендует обновить встроенное ПО устройства до версии 4.13. Также ИБ‑эксперты рекомендуют по возможности ограничить или запретить доступ к сетевому порту, предназначенному для удалённой настройки УСПД.
