Sérülékenység PHOENIX CONTACT rendszerekben
Maxim Rupp egy Command Injection sérülékenységet jelentett a PHOENIX CONTACT-nak, ami a gyártó alábbi rendszereit érinti:
- RAD-80211-XD (2885728);
- RAD-80211-XD/HP-BUS (2900047).
A gyártó a sérülékenységgel kapcsolatban az érintett termékek támogatásának korábbi megszünése miatt kockázatcsökkentő intézkedéseket javasol. A sérülékenység részleteiről az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-19-085-02
ENTTEC rendszerek sérülékenysége
Ankit Anubhav, a NewSky Security munkatársa egy kritikus funkciókhoz tartozó authentikáció hiányát fedezte fel az ENTTEC alábbi rendszereiben:
- a Datagate MK2 minden, 70044_update_05032019-482-nél korábbi firmware-verziója;
- a Storm 24 minden, 70050_update_05032019-482-nél korábbi firmware-verziója;
- a Pixelator minden, 70060_update_05032019-482-nél korábbi firmware-verziója.
A gyártó a hibát a legújabb firmware-verziókban javította. A sérülékenységről további információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-19-085-03-0
Sérülékenységek Advantech WebAccess/SCADA rendszerekben
Mat Powell és Natnael Samson a ZDI-vel együttműködve három sérülékenységet találtak az Advantech WebAccess/SCADA rendszerének 8.3.5-ös és korábbi verzióiban.
A gyártó a sérülékenységeket a 8.4.0 verzióban javította. A sérülékenységekkel kapcsolatban részleteket az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-19-092-01
Sérülékenységek különböző Rockwell Automation rendszerekben
Az elmúlt 2 hétben 4 bejelentésben is különböző Rockwell Automation rendszerek sérülékenységi információi jelentek meg. Az elsőt Nicolas Merle, az Applied Risk munkatársa találta a Rockwell Automation beágyazott EtherNet/IP és Safety protokollal ellátott PowerFlex 525 AC drive berendezéseinek 5.001 és korábbi verzióiban.
A gyártó a hibát a legújabb firmware-verzióban javította. A sérülékenységről bővebben az ICS-CERT weboldalán lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-19-087-01
A következő hibát a gyártó jelezte az NCCIC-nek, ez a sérülékenység a bevitt adatok nem megfelelő ellenőrzéséből adódik és az Allen-Bradly Stratix 5950-es biztonsági appliance-ek alábbi verzióit érinti:
- 1783-SAD4T0SBK9;
- 1783-SAD4T0SPK9;
- 1783-SAD2T2SBK9;
- 1783-SAD2T2SPK9.
A hibával kapcsolatban a gyártó a berendezésekbe épített Cisco IPSec VPN használatának mellőzését és további kockázatcsökkentő intézkedéseket javasol. A sérülékenységről bővebben az ICS-CERT-nek ebben a bejelentésében lehet információkat találni: https://ics-cert.us-cert.gov/advisories/ICSA-19-094-04
Szintén a gyártó jelezte az NCCIC-nek, hogy az alábbi termékeiben két sérülékenységet is azonosítottak:
- Allen-Bradley Stratix 5400, a 15.2(6)E0a és korábbi verziói;
- Allen-Bradley Stratix 5410, a 15.2(6)E0a és korábbi verziói;
- Allen-Bradley Stratix 5700, a 15.2(6)E0a és korábbi verziói;
- Allen-Bradley ArmorStratix 5700, a 15.2(6)E0a és korábbi verziói;
- Allen-Bradley Stratix 8000, a 15.2(6)E0a és korábbi verziói;
- Allen-Bradley Stratix 8300, a 15.2(4)EA7 és korábbi verziói.
A gyártó a hibát az alábbi verziókban javította:
- FRN 15.2(6)E2a:
- Allen-Bradley Stratix 5400 esetén;
- Allen-Bradley Stratix 5410 esetén;
- Allen-Bradley Stratix 5700 esetén;
- Allen-Bradley ArmorStratix 5700 esetén;
- Allen-Bradley Stratix 8000 esetén.
- FRN 15.2(4)EA7:
- Allen-Bradley Stratix 8300 esetén.
A sérülékenységről további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-19-094-03
A Rockwell Automation egy ugyancsak Cisco komponensekből eredeztethető hibát jelentett az NCCIC-nek az alábbi termékeivel kapcsolatban:
- Allen-Bradley Stratix 5400 minden 15.2(6)E2a-nál korábbi verzió;
- Allen-Bradley Stratix 5410 minden 15.2(6)E2a-nál korábbi verzió;
- Allen-Bradley Stratix 5700 minden 15.2(6)E2a-nál korábbi verzió;
- Allen-Bradley ArmorStratix 5700 minden 15.2(6)E2a-nál korábbi verzió.
A gyártó a hibát a 15.2(6)E2a és később verziókban javította. A sérülékenységről bővebben az ICS-CERT weboldalán lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-19-094-02
Sérülékenység Omron termékekben
Esteban Ruiz, a Source Incite munkatársa a ZDI-vel együttműködve egy sérülékenységet talált az Omron alábbi termékeiben:
- CX-Programmer v9.70 és korábbi verziói;
- Common Components January 2019 és korábbi verziók.
A gyártó a hibát az érintett rendszerek legújabb verzióiban javította. A sérülékenységről részleteket az ICS-CERT publikációjában találhatóak: https://ics-cert.us-cert.gov/advisories/ICSA-19-094-01
A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.