В программном обеспечении myPRO, разработанном чешской компанией mySCADA для автоматизации промышленных процессов, обнаружены критические уязвимости. Эти уязвимости позволяют удалённым злоумышленникам без авторизации получить полный контроль над системой.
myPRO представляет собой интерфейс человек-машина (HMI) и систему диспетчерского управления и сбора данных (SCADA), предназначенную для визуализации и управления производственными процессами. Продукт поддерживает работу на Windows, macOS и Linux, включая серверы, ПК и встроенные устройства.
Обнаруженные уязвимости затрагивают компоненты Manager и Runtime и включают выполнение произвольных команд операционной системы с повышенными привилегиями, недостаточную аутентификацию и обход путей. Четыре из пяти уязвимостей получили статус критических, одна классифицирована как высокая по степени опасности.
Успешная эксплуатация уязвимостей позволяет удалённому злоумышленнику без авторизации получить административный доступ и полностью скомпрометировать как затронутое программное обеспечение, так и операционную систему, на которой оно работает. По умолчанию уязвимая служба остаётся доступной через все сетевые интерфейсы сразу после установки, что увеличивает риск эксплуатации.
Обнаруженные уязвимости были выявлены в июле и августе 2024 года. Компания mySCADA выпустила обновления, устраняющие их: myPRO Manager версии 1.3 и myPRO Runtime версии 9.2.1.
По данным поисковой системы Censys, в сети обнаружены несколько десятков экземпляров mySCADA, доступных через интернет. Однако пока неясно, какие из них подвержены атакам с использованием недавно исправленных уязвимостей. При этом риск атак зависит от конфигурации системы.
В своём уведомлении агентство CISA уточнило, что случаев эксплуатации данных уязвимостей на момент публикации не зафиксировано.