22 мая 2018
Консорциум OPC Foundation комментирует отчет «Лаборатории Касперского» об исследовании безопасности OPC UA
Отчет «Лаборатории Касперского», выпущенный 10 мая 2018 года, привлек большое внимание со стороны средств массовой информации в связи с заявлением о выявлении 17 проблем безопасности в продуктах OPC Foundation и в коммерческих приложениях, которые их используют. Информация обо всех найденных в процессе исследования уязвимостях незамедлительно передавалась разработчикам уязвимого ПО.
Консорциум OPC Foundation провел детальный анализ отчета и опубликовал официальные комментарии и разъяснения по проблеме. Согласно им, из 17 уязвимостей, рассмотренных в отчете:
- Восемь уязвимостей связаны с сервером, использующим UA ANSI C Stack, пример которого содержался в открытым коде, размещенном в репозитории OPC Foundation на GitHub. Эти проблемы не влияют на сам ANSI C Stack или на продукты, основанные на коммерческих SDK. Тем не менее, все уязвимости исправлены.
- Шесть уязвимостей связаны с компонентом OPC server enumerator (службы Local Discovery Services). Они были выявлены и исправлены в 2017 году, а также опубликованы соответствующие сведения (CVE-2017-12069). Кроме того, отмечается, что эти уязвимости не могут эксплуатироваться удаленно.
- Три уязвимости затрагивают отдельные коммерческие продукты разных производителей:
- Информация об одной из них была раскрыта в 2016 году.
- Над исправлением второй уязвимости в настоящее время работает производитель.
- А третья уязвимость связана с устаревшим .NET-стеком. Она была оперативно исправлена OPC Foundation в 2017 году, и пользователи OPC своевременно уведомлены об этой проблеме.
В заявлении консорциума OPC Foundation также подчеркивается, что программное обеспечение OPC UA основывается на решениях от нескольких коммерческих OPC UA SDK/Toolkits поставщиков, и на большинство этих продуктов не влияют уязвимости в примере кода серверного приложения ANSI C, опубликованного на GitHub. Кроме того, OPC Foundation ведет работу по привлечению внешних организаций для проведения тестирования безопасности базы с открытым исходным кодом и публикации результатов в GitHub.
Источник: OPC Foundation