Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CDXLIII

Sérülékenységek Schneider Electric, Siemens, Rockwell Automation, Hitachi Energy és 2N rendszerekben

2024. november 20. - icscybersec

Bejelentés dátuma: 2024.11.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 CPU (BMXP34* cikkszámú modellek) minden verziója;
- Modicon MC80 (BMKC80 cikkszámú modellek) minden verziója;
- Modicon Momentum Unity M1E Processor (171CBU*) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Enforcement of Message Integrity During Transmission in a Communication Channel (CVE-2024-8933)/súlyos;
- Authentication Bypass by Spoofing (CVE-2024-8935)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hibák javításán.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.11.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 CPU (BMXP34* cikkszámú modellek) SV3.65-nél korábbi verziói;
- Modicon MC80 (BMKC80 cikkszámú modellek) minden verziója;
- Modicon Momentum Unity M1E Processor (171CBU*) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-8936)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-8937)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-8938)/súlyos;
Javítás: elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.11.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ IT Gateway 1.21.0.6-os, 1.22.0.3-as, 1.22.1.5-os és 1.23.0.4-es verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authorization (CVE-2024-10575)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.11.12.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM CROSSBOW Station Access Controller (SAC) 5.6-osnál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-7104)/közepes;
- Use After Free (CVE-2024-0232)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.11.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIPORT V3.4.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2024-47783)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.11.12.
Gyártó: Siemens
Érintett rendszer(ek):
- OZW672 V5.2-nél korábbi verziói;
- OZW772 V5.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-36140)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.11.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SINEC NMS V3.0 SP1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2023-4807)/súlyos;
- Improper Input Validation (CVE-2023-5363)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Out-of-bounds Write (CVE-2023-6129)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-6237)/közepes;
- HTTP Request/Response Splitting (CVE-2023-38709)/közepes;
- Improper Input Validation (CVE-2023-46218)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-46219)/közepes;
- Out-of-bounds Read (CVE-2023-46280)/közepes;
- Improper Input Validation (CVE-2024-0727)/közepes;
- Improper Input Validation (CVE-2024-2004)/közepes;
- Improper Certificate Validation (CVE-2024-2379)/közepes
- Missing Release of Resource after Effective Lifetime (CVE-2024-2398)/súlyos;
- Improper Validation of Certificate with Host Mismatch (CVE-2024-2466)/súlyos;
- HTTP Request/Response Splitting (CVE-2024-24795)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2024-27316)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2024-47808)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.11.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge SE2024 V224.0 Update 9-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-47940)/súlyos;
- Uncontrolled Search Path Element (CVE-2024-47941)/súlyos;
- Uncontrolled Search Path Element (CVE-2024-47942)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.11.12.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) V8.2-nél korábbi verziói;
- RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) V8.2-nél korábbi verziói;
- SCALANCE M804PB (6GK5804-0AP00-2AA2) V8.2-nél korábbi verziói;
- SCALANCE M812-1 ADSL-Router (6GK5812-1AA00-2AA2) V8.2-nél korábbi verziói;
- SCALANCE M812-1 ADSL-Router (6GK5812-1BA00-2AA2) V8.2-nél korábbi verziói;
- SCALANCE M816-1 ADSL-Router (6GK5816-1AA00-2AA2) V8.2-nél korábbi verziói;
- SCALANCE M816-1 ADSL-Router (6GK5816-1BA00-2AA2) V8.2-nél korábbi verziói;
- SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) V8.2-nél korábbi verziói;
- SCALANCE M874-2 (6GK5874-2AA00-2AA2) V8.2-nél korábbi verziói;
- SCALANCE M874-3 3G-Router (CN) (6GK5874-3AA00-2FA2) V8.2-nél korábbi verziói;
- SCALAN-nél korábbi verziói;CE M874-3 (6GK5874-3AA00-2AA2) V8.2
- SCALANCE M876-3 (6GK5876-3AA02-2BA2) V8.2-nél korábbi verziói;
- SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) V8.2-nél korábbi verziói;
- SCALANCE M876-4 (6GK5876-4AA10-2BA2) V8.2-nél korábbi verziói;
- SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) V8.2-nél korábbi verziói;
- SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) V8.2-nél korábbi verziói;
- SCALANCE MUM853-1 (A1) (6GK5853-2EA10-2AA1) V8.2-nél korábbi verziói;
- SCALANCE MUM853-1 (B1) (6GK5853-2EA10-2BA1) V8.2-nél korábbi verziói;
- SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) V8.2-nél korábbi verziói;
- SCALANCE MUM856-1 (A1) (6GK5856-2EA10-3AA1) V8.2-nél korábbi verziói;
- SCALANCE MUM856-1 (B1) (6GK5856-2EA10-3BA1) V8.2-nél korábbi verziói;
- SCALANCE MUM856-1 (CN) (6GK5856-2EA00-3FA1) V8.2-nél korábbi verziói;
- SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) V8.2-nél korábbi verziói;
- SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) V8.2-nél korábbi verziói;
- SCALANCE S615 EEC LAN-Router (6GK5615-0AA01-2AA2) V8.2-nél korábbi verziói;
- SCALANCE S615 LAN-Router (6GK5615-0AA00-2AA2) V8.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2021-3506)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-28450)/súlyos;
- Integer Overflow or Wraparound (CVE-2023-49441)/súlyos;
- Uncontrolled Resource Consumption (CVE-2024-2511)/alacsony;
- Excessive Iteration (CVE-2024-4603)/közepes;
- Use After Free (CVE-2024-4741)/súlyos;
- Improper Output Neutralization for Logs (CVE-2024-5594)/közepes;
- Observable Discrepancy (CVE-2024-26306)/közepes;
- Improper Locking (CVE-2024-26925)/közepes;
- Missing Release of Resource after Effective Lifetime (CVE-2024-28882)/közepes;
- Improper Input Validation (CVE-2024-50557)/súlyos;
- Improper Access Control (CVE-2024-50558)/közepes;
- Path Traversal (CVE-2024-50559)/közepes;
- Improper Input Validation (CVE-2024-50560)/alacsony;
- Cross-site Scripting (CVE-2024-50561)/közepes;
- Injection (CVE-2024-50572)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.11.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-PLCSIM V16 minden verziója;
- SIMATIC S7-PLCSIM V17 minden verziója;
- SIMATIC STEP 7 Safety V16 minden verziója;
- SIMATIC STEP 7 Safety V17 minden, V17 Update 8-nál korábbi verziója;
- SIMATIC STEP 7 Safety V18 minden, V18 Update 5-nél korábbi verziója;
- SIMATIC STEP 7 V16 minden verziója;
- SIMATIC STEP 7 V17 minden, V17 Update 8-nál korábbi verziója;
- SIMATIC STEP 7 V18 minden, V18 Update 5-nél korábbi verziója;
- SIMATIC WinCC Unified V16 minden verziója;
- SIMATIC WinCC Unified V17 minden, V17 Update 8-nál korábbi verziója;
- SIMATIC WinCC Unified V18 minden, V18 Update 5-nél korábbi verziója;
- SIMATIC WinCC V16 minden verziója;
- SIMATIC WinCC V17 minden, V17 Update 8-nál korábbi verziója;
- SIMATIC WinCC V18 minden, V18 Update 5-nél korábbi verziója;
- SIMOCODE ES V16 minden verziója;
- SIMOCODE ES V17 minden, V17 Update 8-nál korábbi verziója;
- SIMOCODE ES V18 minden verziója;
- SIMOTION SCOUT TIA V5.4 SP1 minden verziója;
- SIMOTION SCOUT TIA V5.4 SP3 minden verziója;
- SIMOTION SCOUT TIA V5.5 SP1 minden verziója;
- SINAMICS Startdrive V16 minden verziója;
- SINAMICS Startdrive V17 minden verziója;
- SINAMICS Startdrive V18 minden verziója;
- SIRIUS Safety ES V17 minden, V17 Update 8-nál korábbi verziója;
- SIRIUS Safety ES V18 minden verziója;
- SIRIUS Soft Starter ES V17 minden, V17 Update 8-nál korábbi verziója;
- SIRIUS Soft Starter ES V18 minden verziója;
- TIA Portal Cloud V16 minden verziója;
- TIA Portal Cloud V17 minden, V4.6.0.1-nél korábbi verziója;
- TIA Portal Cloud V18 minden, V4.6.1.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-32736)/súlyos;
Javítás:
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.11.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC INS V1.0 SP2 Update 3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2023-2975)/közepes;
- Out-of-bounds Write (CVE-2023-3341)/súlyos;
- Inefficient Regular Expression Complexity (CVE-2023-3446)/közepes;
- Excessive Iteration (CVE-2023-3817)/közepes;
- Reachable Assertion (CVE-2023-4236)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-4408)/súlyos;
- Improper Input Validation (CVE-2023-4807)/súlyos;
- Reachable Assertion (CVE-2023-5517)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Reachable Assertion (CVE-2023-5679)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-5680)/súlyos;
- Out-of-bounds Write (CVE-2023-6129)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-6237)/közepes;
- Memory Allocation with Excessive Size Value (CVE-2023-6516)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-7104)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-32002)/kritikus;
- Path Traversal (CVE-2023-32003)/súlyos;
- Path Traversal (CVE-2023-32004)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2023-32005)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-32006)
- Path Traversal (CVE-2023-32558)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-32559)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-38552)/súlyos;
- Improper Input Validation (CVE-2023-39331)/súlyos;
- Improper Input Validation (CVE-2023-39332)/kritikus;
- Improper Input Validation (CVE-2023-39333)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44487)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-45143)/alacsony;
- Covert Timing Channel (CVE-2023-46809)/súlyos;
- Out-of-bounds Write (CVE-2023-47038)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-47039)/súlyos;
- Improper Input Validation (CVE-2023-47100)/kritikus;
- Truncation of Security-relevant Information (CVE-2023-48795)/közepes;
- Improper Input Validation (CVE-2023-50387)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-50868)/súlyos;
- Integer Overflow or Wraparound (CVE-2023-52389)/kritikus;
- Use After Free (CVE-2024-0232)/közepes;
- Improper Input Validation (CVE-2024-0727)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-2511)/alacsony;
- Use After Free (CVE-2024-4741)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2024-5535)/közepes;
- Improper Authentication (CVE-2024-21890)/közepes;
- Path Traversal (CVE-2024-21891)/közepes;
- Code Injection (CVE-2024-21892)/súlyos;
- Path Traversal: 'dir/../../filename' (CVE-2024-21896)/súlyos;
- Execution with Unnecessary Privileges (CVE-2024-22017)/súlyos;
- Uncontrolled Resource Consumption (CVE-2024-22019)/súlyos;
- Uncontrolled Resource Consumption (CVE-2024-22025)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2024-24758)/alacsony;
- Server-Side Request Forgery (SSRF) (CVE-2024-24806)/súlyos;
- OS Command Injection (CVE-2024-27980)/súlyos;
- HTTP Request/Response Smuggling (CVE-2024-27982)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-27983)/súlyos;
- Path Traversal (CVE-2024-46888)/kritikus;
- Use of Hard-coded Cryptographic Key (CVE-2024-46889)/közepes;
- OS Command Injection (CVE-2024-46890)/kritikus;
- Uncontrolled Resource Consumption (CVE-2024-46891)/közepes;
- Insufficient Session Expiration (CVE-2024-46892)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2024-46894)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.11.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Spectrum Power 7 minden, V24Q3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Privilege Assignment (CVE-2024-29119)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.11.12.
Gyártó: Siemens
Érintett rendszer(ek):
- PP TeleControl Server Basic 8 to 32 V3.1 (6NH9910-0AA31-0AB1)minden, V3.1.2.1-nél korábbi verziója;
- PP TeleControl Server Basic 32 to 64 V3.1 (6NH9910-0AA31-0AF1)minden, V3.1.2.1-nél korábbi verziója;
- PP TeleControl Server Basic 64 to 256 V3.1 (6NH9910-0AA31-0AC1)minden, V3.1.2.1-nél korábbi verziója;
- PP TeleControl Server Basic 256 to 1000 V3.1 (6NH9910-0AA31-0AD1)minden, V3.1.2.1-nél korábbi verziója;
- PP TeleControl Server Basic 1000 to 5000 V3.1 (6NH9910-0AA31-0AE1)minden, V3.1.2.1-nél korábbi verziója;
- TeleControl Server Basic 8 V3.1 (6NH9910-0AA31-0AA0)minden, V3.1.2.1-nél korábbi verziója;
- TeleControl Server Basic 32 V3.1 (6NH9910-0AA31-0AF0)minden, V3.1.2.1-nél korábbi verziója;
- TeleControl Server Basic 64 V3.1 (6NH9910-0AA31-0AB0)minden, V3.1.2.1-nél korábbi verziója;
- TeleControl Server Basic 256 V3.1 (6NH9910-0AA31-0AC0)minden, V3.1.2.1-nél korábbi verziója;
- TeleControl Server Basic 1000 V3.1 (6NH9910-0AA31-0AD0)minden, V3.1.2.1-nél korábbi verziója;
- TeleControl Server Basic 5000 V3.1 (6NH9910-0AA31-0AE0)minden, V3.1.2.1-nél korábbi verziója;
- TeleControl Server Basic Serv Upgr (6NH9910-0AA31-0GA1)minden, V3.1.2.1-nél korábbi verziója;
- TeleControl Server Basic Upgr V3.1 (6NH9910-0AA31-0GA0)minden, V3.1.2.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2024-44102)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.11.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CP1543-1 V4.0 (6GK7543-1AX10-0XE0) verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Authorization (CVE-2024-50310)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.11.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Runtime V8-as verziója;
- Mendix Runtime V9-es verziója;
- Mendix Runtime V10-es verziója;
- Mendix Runtime V10.6-os verziója;
- Mendix Runtime V10.12-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Race Condition (CVE-2024-50313)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.11.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Siveillance Video 2022 R1 minden, V22.1 HotfixRev16-nál korábbi verziója;
- Siveillance Video 2022 R2 minden, V22.2 HotfixRev16-nál korábbi verziója;
- Siveillance Video 2022 R3 minden, V22.3 HotfixRev15-nél korábbi verziója;
- Siveillance Video 2023 R1 minden, V23.1 HotfixRev14-nél korábbi verziója;
- Siveillance Video 2023 R2 minden, V23.2 HotfixRev13-nál korábbi verziója;
- Siveillance Video 2023 R3 minden, V23.3 HotfixRev11-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2024-0056)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.11.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Verve Asset Manager 1.39-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Dependency on Vulnerable Third-Party Component (CVE-2024-37287)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-13

Bejelentés dátuma: 2024.11.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Updater - Web Client 4.00.00 verziója;
- FactoryTalk Updater - Client minden verziója;
- FactoryTalk Updater - Agent minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insecure Storage of Sensitive Information (CVE-2024-10943)/kritikus;
- Improper Input Validation (CVE-2024-10944)/súlyos;
- Improperly Implemented Security Check for Standard (CVE-2024-10945)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-14

Bejelentés dátuma: 2024.11.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Arena Input Analyzer v16.20.03-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Specified Quantity in Input (CVE-2024-6068)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-15

Bejelentés dátuma: 2024.11.14.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MSM 2.2.8-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Release of Resource after Effective Lifetime (CVE-2024-2398)/súlyos;
- Infinite Loop (CVE-2019-5097)/súlyos;
Javítás: Nincs, a gyártó jelenleg is dolgozik rajta.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-16

Bejelentés dátuma: 2024.11.14.
Gyártó: 2N
Érintett rendszer(ek):
- Access Commander 3.1.1.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2024-47253)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2024-47254)/közepes;
- Insufficient Verification of Data Authenticity (CVE-2024-47255)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-17

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Brute force támadások HMI-k ellen

20 másodperc alatt lehet bejutni egyes Siemens HMI-kbe jelszó-sérülékenységeket kihasználva

Joseph Gardiner és Awais Rashid, a Nagy-britanniai Bristol Egyetem kutatói egy 7 oldalas tanulmányt publikáltak, amiben a Siemens Sm@rtServer által biztosított távoli HMI-hozzáférés sérülékenységeit vizsgálták. A Sm@rtServer a VNC megoldását használja ezekhez a távoli hozzáférésekhez, így végső soron a vizsgált Siemens HMI-ok esetén a VNC-hez kapcsolódó sérülékenységet találtak és dokumentáltak, aminek a lényege az, hogy a HMI-ben nincs beépített védelem a jelszavak brute force módszerrel történő törése ellen. Ráadásul felismerték azt is, hogy a Siemens által használt VNC verzió levágja a 8 karakternél hosszabb jelszavak 8 karakter feletti részét, ezáltal is megkönnyítve a jelszavak sima találgatáson alapuló törését.

A megoldás egyszerűnek tűnik, gondoskodni kell arról, hogy a szervezeteink által használt HMI-ok alkalmazzanak olyan biztonsági kontrollokat, amik értelmetlenné teszik a próbálkozások nagy számára alapozott jelszótöréses támadásokat - és persze ezért kell az alapvető ICS/OT biztonsági intézkedések alkalmazására hangsúlyt fektetni, hogy az ilyen támadásokhoz szükséges ICS/OT hálózati hozzáféréseket a támadók ne legyenek képesek megszerezni vagy ha mégis be tudnak jutni a védett hálózatainkba, mielőbb észlelni tudjuk őket.

ICS sérülékenységek CDXLII

Sérülékenységek Moxa, Subnet Solutions, Hitachi Energy és Rockwell Automation rendszerekben

Bejelentés dátuma: 2024.11.08.
Gyártó: Moxa
Érintett rendszer(ek):
- EDS-P510 sorozatú eszközök 3.11-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Modbus/TCP Device Identification (n/a)/közepes;
- Modbus/TCP Coil Access (n/a)/közepes;
- Unencrypted Telnet Server (n/a)/közepes;
Javítás: Elérhető a Moxa Technical Support-nál.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.11.12.
Gyártó: Subnet Solutions
Érintett rendszer(ek):
- PowerSYSTEM Center PSC 2020 v5.22.x és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2024-45490)/kritikus;
- Integer Overflow or Wraparound (CVE-2024-45491)/kritikus;
- Integer Overflow or Wraparound (CVE-2024-45492)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-317-01

Bejelentés dátuma: 2024.11.12.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Hitachi Energy TRO600-as sorozat 9.0.1.0-tól 9.2.0.0-ig terjedő firmware-verziói;
- Hitachi Energy TRO600-as sorozat 9.1.0.0-tól 9.2.0.0-ig terjedő firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2024-41153)/súlyos;
- Improper Removal of Sensitive Information Before Storage or Transfer (CVE-2024-41156)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-317-02

Bejelentés dátuma:
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View ME v14.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-37365)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-317-03

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

PLC-k biztonsági scannelése - tegyük vagy ne tegyük?

Az aktív (scanner-ekkel végzett) biztonsági tesztelés mind a mai napig az egyik legnagyobb kockázatnak tekintett biztonsági tevékenység az OT világban. Nem véletlenül. Még a Purdue-modell magasabb szintjein (L2, L3) működő rendszerek esetén sem lehet garantálni, hogy egy biztonsági tesztelő (scannelő) megoldás használata nem zavarja meg a SCADA/DCS rendszerek működését (volt "szerencsém" ilyet tapasztalni, egyszer megfigyelőként, egyszer azonban aktív elkövetőjeként egy Loss-of-View eseménynek - pedig tényleg minden lehetséges és elvárható előkészítést és előzetes egyeztetést az üzemeltető és felhasználó mérnökökkel megtettem, mégis egy közepes méretű probléma lett egy sima port scan-ből).

Persze ma már nem csak aktív eszközökkel lehet információkat gyűjteni az OT rendszerek komponenseiről, hanem a már több, mint egy tucatnyi OT hálózatmonitorozó megoldás használatával passzív módon (pl. a hálózati forgalom SPAN porton vagy TAP-en keresztül kicsatolt másolatának vizsgálatával) vagy ugyanezeknek a megoldásoknak egy bár aktív (a DCS/SCADA szerverekre, operátori/mérnöki munkaállomásokra, hálózati OT hálózati eszközökre service userrel történő bejelentkezést igénylő), de a biztonsági scanner-megoldásokénál mégis sokkal kevésbé kockázatos - bár a legtöbb OT vendor ettől függetlenül továbbra is mereven elzárkózik az ilyen, bejelentkezést igénylő vizsgálatoktól, ami gyakorlatilag egyet jelent azzal, hogy maximum a rendszer tulajdonosának saját felelősségére lehet ilyen biztonsági vizsgálatokat végezni. Ezt pedig (idestova lassan 13 éves OT biztonsági tapasztalataim alapján) nagyjából soha, senki nem fogja felvállalni a vendor írásos hozzájárulása nélkül.

Az idei S4x konferencián Raphael Arakelian erről a témáról (egészen pontosan a PLC-k) biztonsági scanneléséről tartott előadást, ami egy kifejezett érdekes volt és néhány hónapja már elérhető az előadás teljes felvétele is: https://www.youtube.com/watch?v=yqhn4xPwbfQ&ab_channel=S4Events

Raphael megközelítése mellett mostanában támadt egy újabb ötletem a SCADA/DCS rendszerek elterjedt megoldásoknál sokkal durvább (akár behatolás-tesztelésig terjedő) biztonsági vizsgálataira vonatkozóan. A legtöbb OT vendor ma már kiterjedt biztonsági szolgáltatásokat kínál, gyakran Managed Security Services-ként cimkézve a szolgáltatásukat (ezek többnyire az IT rendszereknél már megszokott biztonsági tevékenységeket takarják, jellemzően patch-elés, AV/végpontvédelmi megoldás telepítése és rendszeres frissítése OT rendszerekhez dedikált AV-menedzsment szerverrel, loggyűjtés és elemzés, OT hálózatbiztonsági monitoring, mentés-visszaállítás, stb.). A mentés-visszaállítási tevékenységnél szeretek rákérdezni arra, hogy milyen gyakorisággal történik meg a mentések visszaállíthatóságának tesztelése. Sajnos láttam már arra is példát, hogy egy mentésről csak az adatvesztéssel járó (üzemeltetési) incidens után derült ki, hogy bár a jelek szerint rendszeresen sikeres volt a mentés elkészítése, nem lehet belőle helyreállítani a szervezet számára igen fontos adatokat, szóval jöhetett az adat-helyreállító cég. Ha pedig az OT vendor által kínált mentés-visszatöltés szolgáltatásnak valóban része az OT rendszer mentésének rendszeres (pl. évenkénti) visszatöltés-tesztelése (nyilván nem egy élesben üzemelő SCADA/DCS környezetben, hanem egy biztonságos, labor környezetben, amit a tesztek végén törölnek), akkor a visszatöltési tesztek után, de még a teszt/labor-környezet felszámolása előtt bármilyen üzembiztonsági kockázat nélkül lehet sérülékenység vizsgálatokat vagy behatolás-teszteket végezni a mentésből helyreállított folyamatirányító rendszeren.

ICS sérülékenységek CDXLI

Sérülékenységek Rockwell Automation, Moxa, Beckhoff Automation, Delta Electronics és Bosch Rexroth rendszerekben

Bejelentés dátuma: 2024.10.31.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ThinManager 11.2.0-tól 11.2.9-ig terjedő verziói;
- ThinManager 12.0.0-tól 12.0.7-ig terjedő verziói;
- ThinManager 12.1.0-tól 12.1.8-ig terjedő verziói;
- ThinManager 13.0.0-tól 13.0.5-ig terjedő verziói;
- ThinManager 13.1.0-tól 13.1.3-ig terjedő verziói;
- ThinManager 13.2.0-tól 13.2.2-ig terjedő verziói;
- ThinManager 14.0.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication For Critical Function (CVE-2024-10386)/kritikus;
- Out-of-Bounds Read (CVE-2024-10387)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-305-01

Bejelentés dátuma: 2024.11.01.
Gyártó: Moxa
Érintett rendszer(ek):
- MDS-G4012 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4020 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4028 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4012-L3 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4020-L3 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4028-L3 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4012-4XGS sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4020-4XGS sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4028-4XGS sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4012-L3-4XGS sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4020-L3-4XGS sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4028-L3-4XGS sorozatú eszközök 4.0 és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Integrity Check Value (CVE-2023-48795)/közepes;
- HTTP Request/Response Smuggling (CVE-2019-20372)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.11.04.
Gyártó: Moxa
Érintett rendszer(ek):
- MDS-G4012 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4020 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4028 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4012-4XGS sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4020-4XGS sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4028-4XGS sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4012-L3 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4020-L3 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4028-L3 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4012-L3-4XGS sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4020-L3-4XGS sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MDS-G4028-L3-4XGS sorozatú eszközök 4.0 és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Integrity Check Value (CVE-2023-48795)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44487)/súlyos;
- Off-by-one Error (CVE-2021-23017)/súlyos;
- Improper Certificate Validation (CVE-2021-3618)/súlyos;
- HTTP Request/Response Smuggling (CVE-2019-20372)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.11.07.
Gyártó: Beckhoff Automation
Érintett rendszer(ek):
- TwinCAT Package Manager 1.0.603.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2024-8934)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-312-01

Bejelentés dátuma: 2024.11.07.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DIAStudio Smart Machine Suite v1.5.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- - Stack-based Buffer Overflow (CVE-2024-47131)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-39605)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-39354)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-312-02

Bejelentés dátuma: 2024.11.07.
Gyártó: Bosch Rexroth
Érintett rendszer(ek):
- Bosch Rexroth AG IndraDrive FWA-INDRV*-MP*: 17VRS-től 20V36-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2024-48989)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-312-03

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Active Directory az OT hálózatokban

Központi címtárakat használni IT rendszerekben jó, ezt kb. már az egyetemkről kikerülő frissdiplomás informatikus hallgatók is meggyőződéssel vallják. Egyszerűbb (és központi) felhasználókezelés, könnyebb megfelelőség a különböző szabványoknak és ma már jogszabályi előírásoknak, ezek csak néhány a központi címtárak által biztosított előnyökből. A legtöbb ilyen címtár ma már a Microsoft Active Directory nevű címtár-megoldása. Ha ehhez hozzávesszük, hogy a legtöbb folyamatirányító rendszer (legalább is az Advanced Process Control-ként hivatkozott, nagy bonyolultságú rendszer, SCADA-k és DCS-ek) jellemzően szintén Microsoft Windows operációs rendszer ilyen-olyan verzióin fut, akkor érthetőnek tűnik, hogy miért is használnak AD-t címtár-szolgáltatásként egyes folyamatirányító-rendszer gyártók a DCS és SCADA rendszereikben.

Ha pedig már arról beszélünk, hogy AD-t használjunk a SCADA/DCS rendszerünk központi címtáraként, adná magát a lehetőség, hogy miért is ne integrálnánk az OT rendszereinket a meglévő IT hálózatban használt AD-vel?

Nos, nálam jóval okosabb OT és OT biztonsági mérnökök szerint ennél rosszabbat nem nagyon tehetnénk és elég azt végiggondolnunk, hogy mi is minden támadó végső célja, amikor bejut egy szervezet hálózatába, ha nem az, hogy kompromittálni tudja az adott hálózat központi címtárát? Szóval sokkal jobb ötletnek tűnik, hogy az OT rendszerek számára (de akár mindegyik SCADA/DCS rendszer számára) egy-egy saját Domain Controllert és AD-t létrehozni. Nemrég viszont szembejött egy, még 2023-ban publikált blog-bejegyzés a Cyolo nevű cég munkatársától, Josh Martin-tól, aki cikkében azt fejtegeti, szerinte miért is rossz (és lehet költséges) ötlet úgy általában AD-t használni OT környezetekben.

Josh 9 témakörben írja le a gondolatait a témával kapcsolatban:

1. Biztonsági kockázatok
2. Komplexitási és kompatibilitási kockázatok
3. Nem engedélyezett hozzáférések
4. Hibajavítások és frissítések problémája
5. Megnövekedett támadási felületet jelent az AD használata
6. Hiányzó IT tudás az OT domain-ben
7. Megfelelőségi kihívások
8. Adatintegritási kockázatok
9. Költségek és erőforrások

Persze a blog-bejegyzés vége (mint oly sokszor) most is arra fut ki, hogy a cégnek milyen, az AD-nál jobb megoldása van az OT rendszerek hozzáférés-vezérlésére és felhasználó-kezelésére, de talán ettől az egy mondattól eltekintve érdekes felvetéseket tartalmaz a cikk, amiket mindenképp érdemes alaposan végiggondolni (és megbeszélni az IT vagy OT domainben dolgozó kollégákkal, attól függően, hogy ki kezdeményezi az OT környezetben telepítendő címtár használatát), mielőtt a tervezés végén elkezdenénk a címtár telepítését és konfigurálását.

ICS sérülékenységek CDXL

Sérülékenységek ABB, Moxa, VIMESA, iniNet Solutions, Deep Sea Electronics, Siemens, Solar-Log és Delta Electronics rendszerekben

Bejelentés dátuma: 2024.10.14.
Gyártó: Moxa
Érintett rendszer(ek):
- EDR-8010 sorozatú eszközök 3.12.1-es és korábbi firmware-verziói;
- EDR-G9004 sorozatú eszközök 3.12.1-es és korábbi firmware-verziói;
- EDR-G9010 sorozatú eszközök 3.12.1-es és korábbi firmware-verziói;
- EDF-G1002-BP sorozatú eszközök 3.12.1-es és korábbi firmware-verziói;
- NAT-102 sorozatú eszközök 1.0.5-ös és korábbi firmware-verziói;
- OnCell G4302-LTE4 sorozatú eszközök 3.9-es és korábbi firmware-verziói;
- TN-4900 sorozatú eszközök 3.6-os és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2024-9137)/kritikus;
- OS Command Injection (CVE-2024-9139)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.10.21.
Gyártó: ABB
Érintett rendszer(ek):
- ABB Relion védelmek: 611, 615, 620 és 630 sorozatok, REC/RER615/620, REX610, REX615 és REX640;
- ABB SMU615 alállomási berendezések;
- ABB SSC600 okos alállomási vezérlő és védelmi rendszer;
- ABB ARG/ARC/ARR/ARP600, RER/REC601/603, ARM600 és ARM600SW kommunikációs megoldások;
- ABB COM600, SPA ZC-400/402 és SUE3000 digitális alállomási termékek;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Integrity Check (CVE-2024-8036)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: ABB

Bejelentés dátuma: 2024.10.21.
Gyártó: Moxa
Érintett rendszer(ek):
- NE-4100 sorozatú eszközök 4.2-es és korábbi firmware-verziói;
- MiiNePort E1 sorozatú eszközök 1.9-es és korábbi firmware-verziói;
- MiiNePort E2 sorozatú eszközök 1.5-ös és korábbi firmware-verziói;
- MiiNePort E3 sorozatú eszközök 1.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2016-9361)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.10.23.
Gyártó: Siemens
Érintett rendszer(ek):
- InterMesh 7177 Hybrid 2.0 Subscriber minden, V8.2.12-nél korábbi verziója;
- InterMesh 7707 Fire Subscriber minden, V7.2.12-nél korábbi verziója, ha az IP interface engedélyezve van;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2024-47901)/kritikus;
- Missing Authentication for Critical Function (CVE-2024-47902)/közepes;
- Execution with Unnecessary Privileges (CVE-2024-47903)/közepes;
- Incorrect Privilege Assignment (CVE-2024-47904)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.10.24.
Gyártó: VIMESA
Érintett rendszer(ek):
- VHF/FM Transmitter Blue Plus v9.7.1-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Access Control (CVE-2024-9692)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-298-01

Bejelentés dátuma: 2024.10.24.
Gyártó: iniNet Solutions
Érintett rendszer(ek):
- SpiderControl SCADA PC HMI Editor 8.10.00.00 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2024-10313)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-298-02

Bejelentés dátuma: 2024.10.24.
Gyártó: Deep Sea Electronics
Érintett rendszer(ek):
- DSE855 Ethernet kommunikációs eszköz 1.0.26-os verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2024-5947)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-298-03

Bejelentés dátuma: 2024.10.29.
Gyártó: Solar-Log
Érintett rendszer(ek):
- Base 15 6.0.1 Build 161-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2023-46344)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-303-02

Bejelentés dátuma: 2024.10.29.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- InfraSuite Device Master 1.0.12-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2024-10456)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-303-03

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Katasztrófa-elhárítási tervek OT rendzsereknél

Gondolom a rendszeres olvasóimnak (annak a néhánynak) nem sok újat mondok azzal, hogy az ICS/OT rendszerek esetén a katasztrófa-elhárítási tervek sem pont ugyanúgy néznek ki, mint amit az IT rendszereknél sokan megszokhattak.

Az OT környezetek katasztrófa-helyreállítási sajátosságairól tartott előadást a Honeywell egyik munkatársa, Mashirova Saltanat.

Az OT rendszerek (erről is számtalanszor szó volt már), soha nem választhatóak el az általuk vezérelt fizikai folyamatoktól és azok biztonságától (process safety). Az OT DRP is innen indul, erről is beszél Mashirova az előadásában, ahol különböző szintű veszélyes forgatókönyveket, helyreállítási forgatókönyveket mutat be, az egyes, SIS (safety) rendszerek leállítási szintjeihez párosítva.

Az előadás másik nagyon fontos gondolata, hogy az OT DRP folyamatoknak mennyire összetett folyamatok, mennyi részletet kell ismerni az OT (és kapcsolódó IT) rendszerek összefüggéseiről, függőségeiről és ezeket milyen sorrendben kell (és lehet) újraindítani és erre vonatkozóan példákat is vázol, amik legalább is segíthetnek elkezdeni a gondolkodást egy saját OT rendszerre vonatkozó DRP kidolgozására.

Az előadás teljes fevétele a YouTube-on az S4 Events csatornán érhető el: https://www.youtube.com/watch?v=zjwUwGa3rLw&t=135s&ab_channel=S4Events

ICS sérülékenységek CDXXXIX

Sérülékenységek Moxa, Elvaco, LCDS, Mitsubishi Electric, HMS Networks, Kieback&Peter és ICONICS rendszerekben

Bejelentés dátuma: 2024.10.14.
Gyártó: Moxa
Érintett rendszer(ek):
- EDR-8010 sorozatú eszközök 3.12.1-es és korábbi firmware-verziói;
- EDR-G9004 sorozatú eszközök 3.12.1-es és korábbi firmware-verziói;
- EDR-G9010 sorozatú eszközök 3.12.1-es és korábbi firmware-verziói;
- EDR-G1002-BP sorozatú eszközök 3.12.1-es és korábbi firmware-verziói;
- NAT-102 sorozatú eszközök 1.0.5-ös és korábbi firmware-verziói;
- OnCell G4302-LTE4 sorozatú eszközök 3.9-es és korábbi firmware-verziói;
- TN-4900 sorozatú eszközök 3.6-os és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2024-9137)/kritikus;
- OS Command Injection (CVE-2024-9139)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.10.17.
Gyártó: Elvaco
Érintett rendszer(ek):
- CMe3100 1.12-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2024-49396)/súlyos;
- Cross-site Scripting (CVE-2024-49397)/súlyos;
- Unrestricted Upload of File with Dangerous Type (CVE-2024-49398)/kritikus;
- Missing Authentication for Critical Function (CVE-2024-49399)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-291-01

Bejelentés dátuma: 2024.10.17.
Gyártó: LCDS
Érintett rendszer(ek):
- LAquis SCADA: Version 4.7.1.511
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-9414)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-291-02

Bejelentés dátuma: 2024.10.17.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- Mitsubishi Electric M800VW (BND-2051W000-**) minden verziója;
- Mitsubishi Electric M800VS (BND-2052W000-**) minden verziója;
- Mitsubishi Electric M80V (BND-2053W000-**) minden verziója;
- Mitsubishi Electric M80VW (BND-2054W000-**) minden verziója;
- Mitsubishi Electric M800W (BND-2005W000-**) minden verziója;
- Mitsubishi Electric M800S (BND-2006W000-**) minden verziója;
- Mitsubishi Electric M80 (BND-2007W000-**) minden verziója;
- Mitsubishi Electric M80W (BND-2008W000-**) minden verziója;
- Mitsubishi Electric E80 (BND-2009W000-**) minden verziója;
- Mitsubishi Electric C80 (BND-2036W000-**) minden verziója;
- Mitsubishi Electric M750VW (BND-1015W002-**) minden verziója;
- Mitsubishi Electric M730VW/M720VW (BND-1015W000-**) minden verziója;
- Mitsubishi Electric M750VS (BND-1012W002-**) minden verziója;
- Mitsubishi Electric M730VS/M720VS (BND-1012W000-**) minden verziója;
- Mitsubishi Electric M70V (BND-1018W000-**) minden verziója;
- Mitsubishi Electric E70 (BND-1022W000-**) minden verziója;
- Mitsubishi Electric NC Trainer2 (BND-1802W000-**) minden verziója;
- Mitsubishi Electric NC Trainer2 plus (BND-1803W000-**) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Specified Quantity in Input (CVE-2024-7316)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-291-03

Bejelentés dátuma: 2024.10.17.
Gyártó: HMS Networks
Érintett rendszer(ek):
- EWON FLEXY 202 14.2s0 firmware-verziója;;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2024-7755)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-291-04

Bejelentés dátuma: 2024.10.17.
Gyártó: Kieback&Peter
Érintett rendszer(ek):
- DDC4002 1.12.14-es és korábbi verziói;
- DDC4100 1.7.4-es és korábbi verziói;
- DDC4200 1.12.14-es és korábbi verziói;
- DDC4200-L 1.12.14-es és korábbi verziói;
- DDC4400 1.12.14-es és korábbi verziói;
- DDC4002e 1.17.6-os és korábbi verziói;
- DDC4200e 1.17.6-os és korábbi verziói;
- DDC4400e 1.17.6-os és korábbi verziói;
- DDC4020e 1.17.6-os és korábbi verziói;
- DDC4040e 1.17.6-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2024-41717)/kritikus;
- Insufficiently Protected Credentials (CVE-2024-43812)/súlyos;
- Use of Weak Credentials (CVE-2024-43698)/kritikus;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-291-05

Bejelentés dátuma: 2024.10.18.
Gyártó: Moxa
Érintett rendszer(ek):
- MXsecurity sorozat v1.1.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposed Dangerous Method or Function (CVE-2024-4739)/közepes;
- Use of Hard-coded Credential (CVE-2024-4740)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.10.21.
Gyártó: Moxa
Érintett rendszer(ek):
- NE-4100 sorozatú eszközök 4.2-es és korábbi firmware-verziói;
- MiiNePort E1 sorozatú eszközök 1.9-es és korábbi firmware-verziói;
- MiiNePort E2 sorozatú eszközök 1.5-ös és korábbi firmware-verziói;
- MiiNePort E3 sorozatú eszközök 1.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2016-9361)/kritikus;
Javítás: Javasolt a gyártó műszaki támogatási központjával felvenni a kapcsolatot.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.10.22.
Gyártó: ICONICS, Mitsubishi Electric
Érintett rendszer(ek):
- ICONICS Suite, beleértve a GENESIS64, Hyper Historian, AnalytiX és MobileHMI termékek 10.97.3-as és korábbi verziói;
- Mitsubishi Electric MC Works64 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Default Permissions (CVE-2024-7587)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-296-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Kiberbiztonsági tevékenységek OT területen I

A "Sliding Scale of Cyber Security" modell használata OT környezetekben

A Sliding Scale of Cyber Security néven ismert modellről szóló publikációt Robert M. Lee (a Dragos későbbi alapítója és mai napig vezérigazgatója) írta még 2015-ben (kb. egy évvel a Dragos alapítása előtt). A modell lényege, hogy öt tevékenység-kategóriát bemutatva segítsen felépíteni egy kiberbiztonsági programot. Az öt kategória az alábbiak:

- Architektúra,
ami több minta-architektúra modellt is ismertet röviden, pl. a NIST 800-as sorozatát, a Purdue modellt és a PCI-DSS szabványt.
- Passzív védelmi intézkedések,
az ajánlott modellek a témában a Defense-in-Depth, a NIST 800-as sorozata és szintén a NIST-től a Cybersecurity Framework.
- Aktív védelmi intézkedések,
ahol szintén RML egy SANS tanfolyamhoz (ICS 515) készített modelljét ismerteti:
- Fenyegetés-elemzés;
- Eszköz-azonosítás és hálózatbiztonsági monitoring;
- Incidenskezelés;
- Fenyegetés- és környezet-manipuláció;
- Információgyűjtés és elemzés,
ami részben az aktív védelmi intézkedéseknél is szóba kerül, itt pedig három információgyűjtési és elemzési modellt sorol fel:
- Cyber Kill Chain (én a blogon két részben dolgoztam fel);
- A behatolás-elemzés gyémánt-modellje;
- Információgyűjtési életciklus vagy folyamat;
- Támadó műveletek,
ami gyakorlatilag a katonai és rendvédelmi szervek kivételével, illetve a rendvédelmi szervek felhatalmazása nélkül bármilyen szervezet számára a mindenkor hatályos jogszabályok azonnali és nyílt megsértését jelenti és ezért senki számára nem ajánlott tevékenység. Nagyon nem. Akkor sem, ha minden körülmény abba az irányba mutat, hogy ez lenne a leggyorsabb és/vagy leghatékonyabb megoldása az adott kiberbiztonsági problémának.

A modell maga a fenti kategóriákra épülve egy balról jobbra mozgó skálát mutat be, amit követve egy egyre érettebb biztonsági környezetet építhet fel a szervezet, ami ezt a modellt alkalmazza. Ráadásul a fenti lista sorrendje fordított arányban lévő költség-hatékonyság arányban sorolja a biztonsági intézkedések kategóriáit (ahol az architektúra-tervezés és kialakítás igényli a legkisebb költség-ráfordítást, ellenben ez adja a legnagyobb javulást egy szervezet kiberbiztonsági állapotához).

A fenti témák mindegyike alkalmazható (több-kevesebb változtatással) OT környezetben is, ráadásul számos témakörnek van kifejezett ICS/OT rendszerekre adaptált verziója is, így mindenképp hasznosnak tartom ennek a SANS Reading Room-ban elérhető 20 oldalnak a tanulmányozását.

süti beállítások módosítása