Исследователь нашел три уязвимости в устройствах учета энергоресурсов компании «Энергомера» Эксперт
Positive Technologies Антон Бояркин выявил три уязвимости в
УСПД СЕ805М производства компании
«Энергомера» — устройствах для сбора данных с приборов учета энергоресурсов и передачи полученной информации на верхний уровень систем АСКУЭ, а также для управления и контроля состояния объекта автоматизации. С помощью этих багов потенциальные злоумышленники могли отключить электричество в многоквартирном доме, офисе или на предприятии.
Такое оборудование применяется на подстанциях, в распределительных щитах промышленных предприятий, жилых и офисных зданий. А с конвейеров производителя ежегодно сходит более
3 млн устройств. Первая обнаруженная уязвимость относится к критическому уровню опасности, а две другие — к высокому. Уязвимость
BDU:2023-04841, получившая почти максимальную оценку по шкале
CVSS 3.0 (9,8 балла), позволяла менять параметры оборудования.
Вторая уязвимость —
BDU:2023-04842 — давала возможность нарушить целостность базы данных или вызвать отказ в обслуживании (оценка 8,1 балла), а третья — BDU:2023-04843 — позволяла атакующему модифицировать параметр устройства таким образом, чтобы вставить команды ОС, которые будут выполнены при запуске
автоматического обновления прикладного ПО (оценка 8,8 балла).
