«RCE, или удалённое выполнение команд, — буквально джекпот среди уязвимостей, потому что, как правило, это означает возможность получения полного доступа к атакуемой системе. Неудивительно, что таким уязвимостям выдают самые высокие рейтинги, а вендоры стремятся закрыть их как можно скорее или по крайней мере придумать компенсирующие меры», — отметил руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.
Киберэксперт отметил, что уязвимость в веб-серверах от Siemens — это проблема в квадрате, потому что OZW662 и OZW772 встраивают во всевозможные промышленные контроллеры и системы автоматизации для отопления и кондиционирования.
«Вы можете себе представить, какие проблемы может доставить эксплуатация этих уязвимостей. И нельзя сказать, что в Siemens как-то плохо поставлена процедура безопасной разработки, но тем не менее имеем, что имеем. При этом на бумаге все лучшие практики уже придуманы и описаны, но проблемы, как правило, возникают с их применением на практике. И даже если выстроить полноценную процедуру DevSecOps не получается, то внедрение решений вроде Efros DefOps повышает качество конечного продукта. Я уже не говорю про выстраивание CI/CD и привлечение профильных специалистов и экспертов, что многим не по карману», — подытожил Полунин.
