Главная / Новости / Консорциум OPC Foundation комментирует отчет «Лаборатории Касперского» об исследовании безопасности OPC UA

Консорциум OPC Foundation комментирует отчет «Лаборатории Касперского» об исследовании безопасности OPC UA

Отчет «Лаборатории Касперского», выпущенный 10 мая 2018 года, привлек большое внимание со стороны средств массовой информации в связи с заявлением о выявлении 17 проблем безопасности в продуктах OPC Foundation и в коммерческих приложениях, которые их используют. Информация обо всех найденных в процессе исследования уязвимостях незамедлительно передавалась разработчикам уязвимого ПО.

Консорциум OPC Foundation провел детальный анализ отчета и опубликовал официальные комментарии и разъяснения по проблеме. Согласно им, из 17 уязвимостей, рассмотренных в отчете:

  1. Восемь уязвимостей связаны с сервером, использующим UA ANSI C Stack, пример которого содержался в открытым коде, размещенном в репозитории OPC Foundation на GitHub. Эти проблемы не влияют на сам ANSI C Stack или на продукты, основанные на коммерческих SDK. Тем не менее, все уязвимости исправлены.
  2. Шесть уязвимостей связаны с компонентом OPC server enumerator (службы Local Discovery Services). Они были выявлены и исправлены в 2017 году, а также опубликованы соответствующие сведения (CVE-2017-12069). Кроме того, отмечается, что эти уязвимости не могут эксплуатироваться удаленно.
  3. Три уязвимости затрагивают отдельные коммерческие продукты разных производителей:
  • Информация об одной из них была раскрыта в 2016 году.
  • Над исправлением второй уязвимости в настоящее время работает производитель.
  • А третья уязвимость связана с устаревшим .NET-стеком. Она была оперативно исправлена OPC Foundation в 2017 году, и пользователи OPC своевременно уведомлены об этой проблеме.

В заявлении консорциума OPC Foundation также подчеркивается, что программное обеспечение OPC UA основывается на решениях от нескольких коммерческих OPC UA SDK/Toolkits поставщиков, и на большинство этих продуктов не влияют уязвимости в примере кода серверного приложения ANSI C, опубликованного на GitHub. Кроме того, OPC Foundation ведет работу по привлечению внешних организаций для проведения тестирования безопасности базы с открытым исходным кодом и публикации результатов в GitHub.

Источник: OPC Foundation