Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek LXIII

INDAS Web SCADA és Beckhoff ICS rendszerek sérülékenységei

2016. október 05. - icscybersec

INDAS Web SCADA sérülékenység

Az ICS-CERT bejelentése szerint Ehab Hussein, az IOActive munkatársa a szerb INDAS ICS-fejlesztő cég Web SCADA nevű termékében talált sérülékenységet. A hiba a Web SCADA Version 3-nál korábbi verzióját érinti. Egy támadó a hiba kihasználásával tetszőleges fájlokhoz férhet hozzá a sérülékeny rendszereken.

A gyártó a sérülékeny szoftver helyett egy új szoftvert, az InView SCADA nevű termékét ajánlja a felhasználóknak.

A sérülékenységgel kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-278-01

Beckhoff Embedded PC Images és TwinCAT sérülékenységek

A Beckhoff Embedded PC Images és TwinCAT nevű ICS rendszereiben Marko Schuba, az aacheni Tudományegyetem professzora fedezett fel sérülékenységeket. A hibák az alábbi Beckhoff termékeket és verziókat érintik:

- Minden Beckhoff Embedded PC Images verzió, ami2014. október 22-e előtt készült, valamint
- Minden TwinCAT komponens, ami Automation Device Specification (ADS) kommunikációs protokollt használ.

A fenti rendszerekben két hibát azonosítottak, az első brute force támadást tesz lehetővé az ADS protokoll hibáját kihasználva, a második a 2014. október 22-e előtt készült, beágyazott Windows CE rendszerben használt Remote Configuration Tool, CE Remote Display és telnet szolgáltatások használatából adódik.

A gyártó a sérülékeny verziókat használó felhasználóknak a 2014. október 22-e után készült image-ek használatát javasolja. Amennyiben ez nem járható út, az alábbi beállítások elvégzése javasolt:

- Tiltani kell a Windows CE Remote Configuration Tool működését a “HKEY_LOCAL_MACHINE\COMM\HTTPD\VROOTS\.” útvonal alatt található /remoteadmin ág alatt lévő Windows registry bejegyzések törlésével;
- Tiltani kell a CE Remote Display szolgáltatás automatikus indítását a "HKEY_LOCAL_MACHINE\init\Launch90" alatt található, “CeRDisp.exe” registry kulcs törlésével;
- Tiltani kell a telnet szolgáltatás elindulását a "HKEY_LOCAL_MACHINE\Services\TELNETD\Flags" alatt egy duplaszó (dword) 4 érték beállításával;
- Az ADS kommunikációt csak megbízható hálózatokból szabad engedélyezni.

A fenti hibákkal kapcsolatban az ICS-CERT a szokásos kockázatcsökkentő intézkedések végrehajtását is javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A sérülékenységekről további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-16-278-02

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr7811772775

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása