Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek LVIII

Sérülékenységek Schneider Electric és FENIKS PRO okosmérőkben valamint Rockwell Automation, Trane Tracer, ABB és Yokogawa rendszerekben

2016. szeptember 19. - icscybersec

A szeptember 12. és 15. közötti néhány nap megint igen gazdag termést hozott a különböző ICS rendszerek sérülékenységeiből.

Cross-site request forgery a Schneider Electric ION okosmérőiben

Karn Ganeshen független biztonsági kutató neve valószínűleg nem ismeretlen azoknak, akik követik a (jellemzően) ICS-CERT által publikált ICS sérülékenységek híreit, számos hibát talált már a múltban is különböző ipari rendszerekben. Ezúttal a Schneider Electric ION okosmérőiben fedezett fel CSRF hibát, amit kihasználva egy támadó jogosultság nélküli konfiguráció-módosításra lehet képes. A hibával kapcsolat Karn a proof-of-concept exploit-ot is eljuttatta a gyártóhoz és az ICS-CERT-hez.

A hiba az ION 73xx, ION 75xx, ION 76xx, ION 8650, ION 8800 és PM5xxx sorozatú eszközöket érinti. A Schneider Electric már összeállította a sérülékenység hatásait csökkentő intézkedések listáját és eljuttatja az érintett eszközöket használó ügyfeleinek. A gyártó a következő intézkedéseket javasolja elvégezni:

- Az okosmérők "Webserver Config Access" paraméterét javasolt "Disabled"-re állítani (alapértelmezetten ez a paraméter engedélyezett állásban van) és a mérők konfigurációját lementeni.
- Az okosmérők konfigurációjában van egy "Enable Webserver" paraméter is, ami a mérők webszerver funkciójának teljes engedélyezéséért vagy tiltásáért felelős. A paraméternek "YES" és "NO" értéke lehet, alapértelmezetten engedélyezve van a működése.

További információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/alerts/ICS-ALERT-16-256-02

FENIKS PRO Elnet mérőórák sérülékenységeiből

Szintén Karn Ganeshen fedezett fel távoli kódvégrehajtást lehetővé tevő hibát a FENIKS PRO Elnet mérőóráiban és ehhez a sérülékenységhez is mellékelt PoC kódot. Ebben az esetben az ICS-CERT-nek nem sikerült egyeztetnie a gyártóval a sérülékenység javításáról vagy a sérülékenység okozta kockázatok csökkentéséről, így csak annyi tanáccsal tud szolgálni, hogy az érintett eszközök felhasználói a telepítés után mielőbb módosítsák az eszközök alapértelmezett jelszavait.

Az ICS-CERT sérülékenységgel kapcsolatos bejelentése itt található: https://ics-cert.us-cert.gov/alerts/ICS-ALERT-16-256-01

Rockwell Automation RSLogix sérülékenység

Ariele Caltabiano, a TrendMicro ZDI munkatársa egy puffer túlcsordulásból eredő sérülékenységet talált a Rockwell Automation RSLogix termékcsaládjának alábbi tagjaiban:

- RSLogix Micro Starter Lite, minden verzió,
- RSLogix Micro Developer, minden verzió,
- RSLogix 500 Starter Edition, minden verzió,
- RSLogix 500 Standard Edition, minden verzió és
- RSLogix 500 Professional Edition, minden verzió.

A hibát sikeresen kihasználó támadó egy már bejelentkezett felhasználó jogosultsági szintjével lehet képes kódvégrehajtást elérni.

A gyártó a sérülékeny eszközöket használó ügyfeleinek a legújabb, 8.40.00-ás firmware telepítését javasolja, amiben már javították a hibát, valamint további biztonsági intézkedések végrehajtását is javasolja:

- Az érintett RSLogix 500 és RSLogix Micro eszközökön ne nyissanak meg nem megbízható forrásból származó RSS fájlokat!
- Minden szoftvert a minimálisan szükséges jogosultsági szintű felhasználóval futtassák, ne pedig adminisztrátori jogosultsággal!
- Csak megbízható szoftvereket, szoftverjavításokat és antivirus/antimalware megoldásokat használjanak, valamint csak megbízható weboldalakat és csatolmányokat nyissanak meg!
- A felhasználók biztonságtudatosságát folyamatosan javítsák megfelelő képzésekkel!
- Alkalmazzanak alkalmazás fehérlistákat megvalósító programokat (pl. Microsoft AppLocker, amivel kapcsolatban a Rockwell Automation további részleteket is közöl az ügyfeleivel ezen a linken: https://rockwellautomation.custhelp.com/app/answers/detail/a_id/546989)

További információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-224-02

Trane Tracer SC sérülékenység

A Trane, amerikai folyamatirányító rendszereket gyártó cég Tracer SC rendszerében Maxim Rupp talált sérülékenységet, amit kihasználva egy támadó bizalmas információkhoz férhet hozzá. A hiba a Tracer SC Versions 4.2.1134 és korábbi verzióit érinti.

A gyártó már elérhetővé tette a hibát javító frissítést és ügyfelei számára on-line támogatást is biztosít: http://www.trane.com/commercial/north-america/us/en.html

A hibával kapcsolatban további információk az ICS-CERT bejelentésében találhatóak: https://ics-cert.us-cert.gov/advisories/ICSA-16-259-03

ABB DataManagerPro sérülékenység

Az ABB DataManagerPro termékében a ZDI munkatársai találtak sérülékenységet. A hiba a DataManagerPro 1.0.0-tól 1.7.0-ig minden verzióját érinti. A hiba kihasználásával egy támadónak lehetősége van egy DLL fájlokat kicserélni olyan állományokra, amik segítségével adminisztrátori jogosultságokat szerezhet.

A gyártó az 1.7.1-es verzióban javította a hibát és azt javasolja az ügyfeleinek, hogy minél előbb frissítsék a hiba által érintett rendszereiket.

További információkat a hibáról az ABB és az ICS-CERT tájékoztatóiban lehet találni.

Yokogawa STARDOM sérülékenység

A gyártó és a japán CERT (JPCERT) közösen tájékoztatták az ICS-CERT-et egy, a Yokogawa STARDOM FCN/FCJ controller R1.01-től R4.01-ig terjedő verzióiban felfedezett sérülékenységről. A hiba kihasználásával a Logic Designer alkalmazás authentikáció nélkül tud csatlakozni a STARDOM rendszerhez. Ezzel egy támadó képes lehet parancsvégrehajtásra, alkalmazás leállítására és módosítására a rendszerben.

A gyártó az R.4.02-es verzióban javította a hibát és további információkat tett elérhetővé a weboldalán a hibával kapcsolatban: http://www.yokogawa.com/technical-library/resources/white-papers/yokogawa-security-advisory-report-list/

A Yokogawa a sérülékenység kapcsán, de attól függetlenül is azt javasolja minden ügyfelének, hogy hajtsák végre a szükséges biztonsági hardeninget a rendszereiken.

Az ICS-CERT bejelentése a sérülékenységről itt található: https://ics-cert.us-cert.gov/advisories/ICSA-16-259-01

Az ICS-CERT a fenti sérülékenységekkel kapcoslatban is a szokásos kockázatcsökkentő intézkedéseket javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr3811728563

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása