Amikor ezt a posztot elkezdem írni, az ICS sérülékenységek sorozat CXXIX része még alig több, mint 36 órája élesedett, mégis már most 7 újabb ICS-CERT bejelentés van azon a listámon, amin a rövid összefoglalra váró hivatkozásokat gyűjtöm.
Az alább felsorolt sérülékenységekkel az idén eddig eltelt alig 7,5 hónap alatt több sérülékenységről számoltam be (pontosan 263-ról), mint tavaly egész évben (261). Nyilván az én gyűjtésem nem teljes (nem is lehet az), de minimum aggasztónak tartom az ICS rendszerekkel kapcsolatosan publikussá váló szoftveres (és jóval ritkábban hardveres) hibák számának ilyen ütemű növekedését.
Moxa SoftNVR-IA Live Viewer sérülékenység
Karn Ganeshen egy DLL Hijacking-re lehetőséget adó hibát talált a Moxa SoftNVR-IA Live Viewer 3.30.3122-es és korábbi verzióiban. A gyártó a hibát a 3.4-es verzióban javította.
A sérülékenységgel kapcsolatos további részleteket az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-220-02
Sérülékenység az OSISoft PI Integrator termékeiben
Az ICS-CERT bejelentése szerint az OSISoft 2 sérülékenységet talált és jelentett az ICS-CERT-nek, amik az alábbi termékeiket érintik:
- PI Integrator a SAP HANA 2016-hoz;
- PI Integrator a Business Analytics 2016 - Data Warehouse-hoz (minden verzió érintett);
- PI Integrator a Business Analytics 2016 - Business Intelligence-hez (minden kiadás érintett);
- PI Integrator a Business Analytics és SAP HANA SQL Utility 2016-hoz;
- PI Integrator a Microsoft Azure 2016-hoz.
A hibák között nem megfelelő jogosultságkezelés és Cross-site scripting található. A sérülékenységekkel kapcsolatos bővebb információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-220-01
ABB rendszerek sérülékenységei
Bertin Jose és Fernandez Ezequiel egy könyvtárbejárást lehetővé tevő sérülékenységet találtak az ABB alábbi termékeiben:
- SREA-01 A, B és C kiadásainak 3.31.5-nél korábbi verziói;
- SREA-50 A kiadásának 3.32.8-nál korábbi verziói.
A sérülékenységhez az HMS Industrial Networks Ab készített patch-et, amit az ABB az SREA-01 legutolsó verzióján tesztelt, de az ICS-CERT információi szerint az SREA-50 legutolsó verziójánál is alkalmazható.
A sérülékenységgel kapcsolatban részleteket az ICS-CERT publikációjában lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-222-05
Sérülékenységek a Fuji Electric Monitouch V-SFT rendszerében
A Fuji Electric Monitouch V-SFT 5.4.43.0-nál korábbi verzióiban két független kutató, Fritz Sands és kimiya találtak 3 hibát, amit az ZDI-nek jelentettek. A hibák között két puffer-túlcsordulás és egy nem megfelelő jogosultságkezelés található. A sérülékenységeket a gyártó a Monitouch V-SFT 5.4.43.0 verzióban javította.
A hibákról további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-222-04
Solar Controls rendszerek sérülékenységei
A Solar Controls rendszereivel kapcsolatban az ICS-CERT két hibát is publikált. Mindkettőt Karn Ganeshen fedezte fel. Az első egy DLL Hijacking-et lehetővé tevő hiba, ami a WATTConfig M Software 2.5.10.1-nél régebbi verzióit érinti.
A második hiba szintén DLL Hijacking-re ad lehetőséget a támadóknak, ez a HCDownloader 1.0.1.15-nél korábbi verzióiban található meg.
A gyártó egyik hiba esetén sem reagált az ICS-CERT megkeresésére, így a sérülékenységekkel kapcsolatban javítások sem érhetőek el.
További részleteket a WATTConfig M Software sérülékenységével kapcsolatban itt található: https://ics-cert.us-cert.gov/advisories/ICSA-17-222-03
A HCDownloader sérülékenységgel kapcsolatos bejelentés itt érhető el: https://ics-cert.us-cert.gov/advisories/ICSA-17-222-02
SIMPlight SCADA Software sérülékenység
A SIMPlight SCADA Software 4.3.0.27-nél régebbi verzióiban ismét Karn Ganeshen talált DLL Hijacking-et lehetővé tevő hibát. A Solar Controls-hoz hasonlóan a SIMPlight sem reagált az ICS-CERT megkeresésére, vagyis jelen pillanatban erre a sérülékenységre sincs elérhető javítás.
A hibával kapcsolatos ICS-CERT publikáció itt érhető el: https://ics-cert.us-cert.gov/advisories/ICSA-17-222-01
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.
