Az ICS/OT kiberbiztonság formálisan soha le nem írt parancsolatai közül az első számú minden bizonnyal az lenne, hogy soha, de SOHA ne tegyünk elérhetővé folyamatvezérlő rendszereket publikus hálózatokon. Persze ezt a szabályt igen gyakran megszegik, erről készült még 2019-ben egy tanulmány (amit 2020 elején publikáltak), ami az Intrneten elérhető magyar folyamatirányító rendszereket és berendezéseket vizsgálta. Sajnos maga a tanulmány már nem érhető el a BlackCell publikációi között, viszont az erről írt cikk a régi Indexen még olvasható (és ha valakinek csillapíthatatlan vágya lenne elolvasni a teljes tanulmányt, azt is meg lehet azért oldani).

A héten pedig egy újabb felmérést találtam a SANS Internet Storm Center nevű oldalán Jan Kopriva tollából. Jan kutatásai szerint (amihez Shodan-t, Censys-t és Shadowserver-t használt), 2021 és 2024 között ismét nőtt a publikusan elérhető ICS/OT rendszerek száma és már meghaladja a 30.000-et. A cikk igen érdekes részleteket világít meg például az elérhető rendszerek által használt ICS protokollokról, az egyes országokban publikusan elérhető rendszerek számáról és arról, hogy mennyire eltérő eredményeket mutatnak a felméréshez használt eszközök ugyanazokat a keresési feltételeket alkalmazva. Jan Kopriva írása itt olvasható: https://isc.sans.edu/diary/rss/30860

Bejelentés dátuma: 2024.04.16.
Gyártó: RoboDK
Érintett rendszer(ek):
- RoboDK v5.5.4 (Windows 64 bit) verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2024-0257)/alacsony;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-107-04

Bejelentés dátuma: 2024.04.18.
Gyártó: Unitronics
Érintett rendszer(ek):
- Vision 230 minden verziója;
- Vision 280 minden verziója;
- Vision 290 minden verziója;
- Vision 530 minden verziója;
- Vision 120 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Storing Passwords in a Recoverable Format (CVE-2024-1480)/súlyos;
Javítás: A gyártó nem reagált a megkeresésre, a hibát felfedező Dragos kockázatcsökkentő intézkedést alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-109-01

Bejelentés dátuma: 2024.04.19.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 minden, Palo Alto Networks Virtual NGFW-vel használt változata, ha PAN Virtual NGFW GlobalProtect gateway vagy GlobalProtect portal funkciója használatban van;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2024-3400)/kritikus;
Javítás: A gyártóval kell felvenni a kapcsolatot.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.04.22.
Gyártó: Moxa
Érintett rendszer(ek):
- AIG-301 sorozatú eszközök v1.5-ös és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Double free (CVE-2024-27099)/kritikus;
- Code Injection (CVE-2024-25110)/kritikus;
- Code Injection (CVE-2024-21646)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Moxa

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

ICS/OT környezetekben az incidenskezelési feladatok is jelentősen eltérőek lehetnek attól, ahogy ezt a feladatot IT környezetekben végezni szokták. Szoktuk. Nem utolsó sorban, de nem is kizárólag a különböző, időként meglehetősen egyedi ICS/OT protokollok használata miatt.

Ezekben a kihívásokkal teli témákban jelenthetnek segítséget azok a cheat sheet-ek, amiket Shiv Kataria publikált a LinkedIn oldalán. Az első, 7 oldalas dokumentum számos, ICS/OT környezetekben gyakorta használt protokoll legfontosabb jellemzőit sorolja fel, kiegészítve gyakori IT protokollok jellemzőivel.

A második cheat sheet pedig az ICS/OT környezetekben (is) használható, ingyenes és/vagy nyílt forrású szoftverek használatához szükséges információkat foglalja össze.

Bejelentés dátuma: 2024.03.26.
Gyártó: ABB
Érintett rendszer(ek):
- S+ Operations 3.3 SP1 RU4 és korábbi verziói;
- S+ Operations 2.1 SP2 RU3 és korábbi verziói;
- S+ Operations 2.0 SP6 TC6 és korábbi verziói;
- S+ Engineering 2.1-től 2.3 RU3-ig terjedő verziói;
- S+ Analyst 7.0.0.0-tól 7.2.0.2-ig terjedő verziói, ha Fast Data Logger használatban van;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Malformed Packet Handling (CVE-2024-0335)/súlyos;
Javítás: Nincs
Link a publikációhoz: ABB

Bejelentés dátuma: 2024.04.09.
Gyártó: SUBNET Solutions
Érintett rendszer(ek):
- PowerSYSTEM Server 4.07.00 és korábbi verziói;
- Substation Server 2021 4.07.00 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Insufficiently Trustworthy Component (CVE-2024-3313)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-100-01

Bejelentés dátuma: 2024.04.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy Studio v9.3.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unquoted search path or element (CVE-2024-2747)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS minden, V2.0 SP2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Path Traversal (CVE-2024-31978)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens TeleControl Server Basic V3 V3.1.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Integer Overflow or Wraparound (CVE-2022-40303)/súlyos;
- Double Free (CVE-2022-40303)/súlyos;
- External Control of File Name or Path (CVE-2022-43513)/súlyos;
- Path Traversal (CVE-2022-43514)/súlyos;
- Improper Input Validation (CVE-2022-44725)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-46908)/súlyos;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- Inefficient Regular Expression Complexity (CVE-2023-3446)/közepes;
- Improper Input Validation (CVE-2023-4807)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Improper Input Validation (CVE-2023-21528)/súlyos;
- Improper Input Validation (CVE-2023-21568)/súlyos;
- Improper Input Validation (CVE-2023-21704)/súlyos;
- Improper Input Validation (CVE-2023-21705)/súlyos;
- Improper Input Validation (CVE-2023-21713)/súlyos;
- Improper Input Validation (CVE-2023-21718)/súlyos;
- Improper Input Validation (CVE-2023-23384)/súlyos;
- NULL Pointer Dereference (CVE-2023-28484)/közepes;
- Improper Input Validation (CVE-2023-29349)/súlyos;
- Improper Input Validation (CVE-2023-29356)/súlyos;
- Double Free (CVE-2023-29469)/közepes;
- Improper Input Validation (CVE-2023-32025)/súlyos;
- Improper Input Validation (CVE-2023-32026)/súlyos;
- Improper Input Validation (CVE-2023-32027)/súlyos;
- Improper Input Validation (CVE-2023-32028)/súlyos;
- Improper Input Validation (CVE-2023-36049)/súlyos;
- Improper Input Validation (CVE-2023-36417)/súlyos;
- Improper Input Validation (CVE-2023-36420)/súlyos;
- Improper Input Validation (CVE-2023-36560)/súlyos;
- Improper Input Validation (CVE-2023-36728)/közepes;
- Improper Input Validation (CVE-2023-36730)/súlyos;
- Improper Input Validation (CVE-2023-36785)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36788)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36792)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36793)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36794)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36796)/súlyos;
- Improper Input Validation (CVE-2023-36873)/súlyos;
- Improper Input Validation (CVE-2023-36899)/súlyos;
- Improper Input Validation (CVE-2023-38169)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-39615)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM APE1808 minden, Palo Alto Networks Virtual NGFW before V11.0.1-es verziójával használt verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Network Amplification (CVE-2022-0028)/súlyos;
- Exposure of Sensitive System Information to an Unauthorized Control Sphere (CVE-2023-0005)/közepes;
- External Control of File Name or Path (CVE-2023-0008)/közepes;
- Cross-site Scripting (CVE-2023-6790)/közepes;
- Insufficiently Protected Credentials (CVE-2023-6791)/közepes;
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2023-38046)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Parasolid V35.1 V35.1.254-nél korábbi verziói;
- Siemens Parasolid V36.0 V36.0.207-nél korábbi verziói;
- Siemens Parasolid V36.1 V36.1.147-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-26275)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2024-26276)/alacsony;
- NULL Pointer Dereference (CVE-2024-26277)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM APE1808 minden, Palo Alto Networks Virtual NGFW-vel használt verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2023-6789)/közepes;
- Improper Privilege Management (CVE-2023-6793)/alancsony;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-38802)/súlyos;
- Truncation of Security-relevant Information (CVE-2023-48795)/közepes;
- Insufficient Session Expiration (CVE-2024-0008)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC PCS 7 V9.1 minden, V9.1 SP2 UC04-nél korábbi verziója;
- Siemens SIMATIC WinCC Runtime Professional V17 minden verziója;
- Siemens SIMATIC WinCC Runtime Professional V18 minden verziója;
- Siemens SIMATIC WinCC Runtime Professional V19 minden, V19 Update 1-nél korábbi verziója;
- Siemens SIMATIC WinCC V7.5 minden, V7.5 SP2 Update 16-nál korábbi verziója;
- Siemens SIMATIC WinCC V8.0 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-50821)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) minden, V8.10.0.9-nél korábbi verziója;
- Siemens SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) minden, V8.10.0.9-nél korábbi verziója;
- Siemens SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) minden, V8.10.0.9-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-35980)/kritikus;
- Classic Buffer Overflow (CVE-2023-35981)/kritikus;
- Classic Buffer Overflow (CVE-2023-35982)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC S7-1500 TM MFP (GNU/Linux subsystem) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Improper Input Validation (CVE-2023-6121)/közepes;
- Use After Free (CVE-2023-6817)/súlyos;
- Out-of-bounds Write (CVE-2023-6931)/súlyos;
- Use After Free (CVE-2023-6932)/súlyos;
- Improper Input Validation (CVE-2023-45898)/súlyos;
- Use After Free (CVE-2023-6121)/közepes;
- Improper Input Validation (CVE-2024-0727)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.04.11.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 5015-AENFTXT típusú ethernet/IP adapterek v35-ös és v2.12.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-2424)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-102-09

Bejelentés dátuma: 2024.04.16.
Gyártó: Measuresoft
Érintett rendszer(ek):
- ScadaPro 6.9.0.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Access Control (CVE-2024-3746)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-107-01

Bejelentés dátuma: 2024.04.16.
Gyártó: Electrolink
Érintett rendszer(ek):
- 10W, 100W, 250W, Compact DAB adók;
- 500W, 1kW, 2kW Medium DAB adók;
- 2.5kW, 3kW, 4kW, 5kW High Power DAB adók;
- 100W, 500W, 1kW, 2kW Compact FM adók;
- 3kW, 5kW, 10kW, 15kW, 20kW, 30kW Modular FM adók;
- 15W - 40kW Digital FM adók;
- BI, BIII VHF TV adók;
- 10W - 5kW UHF TV adók;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass by Assumed-Immutable Data (CVE-2024-3741)/súlyos;
- Authentication Bypass by Assumed-Immutable Data (CVE-2024-22179)/súlyos;
- Reliance on Cookies without Validation and Integrity Checking (CVE-2024-22186)/súlyos;
- Reliance on Cookies without Validation and Integrity Checking (CVE-2024-21872)/súlyos;
- Missing Authentication for Critical Function (CVE-2024-21846)/közepes;
- Missing Authentication for Critical Function (CVE-2024-1491)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2024-3742)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-107-02

Bejelentés dátuma: 2024.04.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ControlLogix 5580 V35.011-es verziója;
- GuardLogix 5580 V35.011-es verziója;
- CompactLogix 5380 V35.011-es verziója;
- 1756-EN4TR V5.001-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-3493)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-107-03

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Fortiphyd Logic nevű cég néhány hónapja publikálta a fenti címmel (Top 20 Secure PLC Coding Practices) a biztonságos(abb) PLC-k fejlesztéséhez összerakott útmutatóját a Github-on.

A tanácsok lényege:

1. Modularize PLC Code.
2. Track operating modes.cim-nelkul_8336644
3. Leave operational logic in the PLC wherever feasible.
4. Use PLC flags as integrity checks.
5. Use cryptographic and/or checksum integrity checks for PLC code.
6. Validate timers and counters.
7. Validate and alert for paired inputs/outputs.
8. Validate HMI input variables at the PLC level, not only at HMI.
9. Validate indirections.
10. Assign designated register blocks by function (read/write/validate).
11. Instrument for plausibility checks.
12. Validate inputs based on physical plausibility.
13. Disable unneeded/unused communication ports and protocols.
14. Restrict third-party data interfaces.
15. Define a safe process state in case of a PLC restart.
16. Summarize PLC cycle times and trend them on the HMI.
17. Log PLC uptime and trend it on the HMI.
18. Log PLC hard stops and trend them on the HMI.
19. Monitor PLC memory usage and trend it on the HMI.
20. Trap false negatives and false positives for critical alerts.

A tanácsokon kívül jó néhány ICS gyártó PLC-ihez lehet fejlesztési segédleteket elérni a fenti Github oldalon, többek között olyan nagy gyártók termékeihez, mint a Honeywell, a Mitsubishi, a Rockwell, a Schneider Electric, a Siemens vagy a Yokogawa.

Bejelentés dátuma: 2024.04.04.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Asset Suite 9.6.3.13-nál korábbi verziói;
- Asset Suite 9.6.4.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2024-2244)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-095-01

Bejelentés dátuma: 2024.04.04.
Gyártó: Schweitzer Engineering Laboratories
Érintett rendszer(ek):
- SEL-700BT Motor Bus Transfer Relay R301-V0-tól R301-V6-ig terjedő verziói;
- SEL-700BT Motor Bus Transfer Relay R302-V0-tól R302-V1-ig terjedő verziói;
- SEL-700G Generator Protection Relay R100-V0-tól R301-V6-ig terjedő verziói;
- SEL-700G Generator Protection Relay R302-V0-tól R302-V1-ig terjedő verziói;
- SEL-710-5 Motor Protection Relay R100-V0-tól R302-V1-ig terjedő verziói;
- SEL-751 Feeder Protection Relay R101-V0-tól R302-V3-ig terjedő verziói;
- SEL-751 Feeder Protection Relay R400-V0-tól R400-V2-ig terjedő verziói;
- SEL-787-2/-3/-4 Transformer Protection Relay R100-V0-tól R302-V1-ig terjedő verziói;
- SEL-787Z High-Impedance Differential Relay R302-V0-tól R302-V3-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Inclusion of Undocumented Features (CVE-2024-2103)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-095-02

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A port scannelés és aktív sérülékenység vizsgálat sok éven át olyan területe volt az ICS/OT kiberbiztonságnak, amiről nem lehetett formális tanfolyamokon tanulni. Ráadásul nagyon kevés biztonsági szakembernek volt lehetősége ICS/OT rendszereken tesztelni az ilyen eljárásokat, akiknek mégis, ők jellemzően a saját (és az érintett ICS/OT rendszerek üzemeltetőinek) kárán tanulták meg, hogy mit szabad és mit nem ajánlott csinálni OT környezetekben az olyan, IT rendszereknél napi rutinfeladatként használt eszközökkel, mint pl. az Nmap.

Ez csak lassan kezdett változni az 2010-es évek közepén, nemrég azonban egy ingyenesen elérhető, kifejezetten az Nmap OT környezetekben történő használatával foglalkozó minitanfolyamra akadtam Marcel Rick-Cen-től.

A minitanfolyam rögtön azzal kezdődik, hogy SOHA NE scanneljünk éles ICS/OT rendszert! Ezután lépésről-lépésre mutatja be, hogyan lehet minimalizálni a Nmap scan-ek jelentette kockázatokat az ICS/OT rendszerekre nézve. Természetesen ez minitanfolyam csak az Nmap legalapvetőbb képességeit ismerteti, de ha valaki most ismerkedik az ICS/OT rendszerek biztonsági tesztelésével, mindenképp hasznos lehet.

A tanfolyam a minicoursegenerator.com-on érhető el.

Incidensek

Ransomware-támadás érte a Thyssenkrupp rendszereit

A német acélgyártás egyik központi vállalatát, a Thyssenkrupp-ot még február végén érte ransomware-támadás. A cég állítása szerint a támadók kudarcot vallottak, azonban a hírek szerint így is leállt a gyárak termelése.

Forrás: SecurityWeek

Leállt a Duvel belga sörgyár több üzeme egy ransomware-támadás után

Március 5-éről 6-ára virradó éjjel zsarolóvírus-támadás érte a belga Duvel sörgyár rendszereit, aminek következtében 4 belga és egy Kansas City-i üzemében állt le a termelés.

Források:
Cyber Security Intelligence

Graham Cluley blogja

The Register

Hírek

Stuxnet-szerű támadást szimuláltak kutatók

Az Atlantában található Georgia Tech egyetem kutatói olyan Proof-of-Concept malware-t fejlesztettek, amivel a modern PLC webszerverei ellen lehet a Stuxnet-hez hasonló támadásokat végrehajtani. A "hagyományos" PLC-k elleni támadásokkal szemben a Georgia Tech kutatóinak módszere jelentősen egyszerűbb és könnyebb perzisztenssé tenni az illegális hozzáférést is.

Forrás: Compromising Industrial Processes using Web-Based Programmable Logic Controller Malware

(Külön érdekessége ennek a hírnek, hogy az első amerikai ICS biztonsági konferencia, amin részt vettem - és utána a következő évben is - a Georgia Tech hotelben, az egyetem campusa mellett került megrendezésre. Kicsi ez az ICS biztonsági világ.)

SecurityWeek

Badgerboard - PoC eszköz PLC-k hálózati forgalmának elemzéséhez

A Cisco Talos blogján jelent meg az a hír, ami szerint Badgerboard néven egy új, PLC backplane-ekkel használható hálózati forgalomelemző eszközön dolgoznak.

Kína fokozza az ipari cégek hálózatbiztonságát

A kínai kormányzat további intézkedéseket tervez a kínai ipari szervezetek által használt hálózatok kiberbiztonságának növelésére. A terv szerint 2026 végéig több, mint 45.000 szervezetnél kell javítani a kijelölt hálózatok kockázati helyzetén.

Forrás: Reuters

A brit energiaszektor kiberbiztonsági kockázatai fokozódnak

A SecurityIntelligence.com az IBM X-Force nevű kiberbiztonsági kutatócsoportjának publikációs felülete. Itt írnak arról, hogy a brit energiaszektor legfontosabb vállalatainak kockázatai gyorsuló ütemben nőnek, ezzel (a szerzők szerint) ma már Nagy-Britannia kritikus infrastruktúráinak kockázatai már a legmagasabbak Európában.

Forrás: SecurityIntelligence.com

Palo Alto felmérés az OT biztonsági incidensek hatásairól

Sok más, hagyományosan IT biztonsági területen indult céghez hasonlóan mára a Palo Alto is egyre komolyabb hangsúlyt helyez az OT biztonság területére (van pl. ruggedized NextGen tűzfaluk is, én régebben találkoztam is a PA-220R jelű modellel). Nemrég egy felmérésük eredményeit publikálták, ami szerint négyből egy ipari szervezet tapasztalt olyan súlyú biztonsági incidenst, aminek hatására le kellett állítania az ICS/OT rendszeinek működését. Ez nem azt jelenti, hogy ennyi szervezetnél érte közvetlen támadás az OT rendzsereket, ebbe azok a cégek is beletartoznak, ahol elővigyázatosságból döntöttek a leállás mellett vagy olyan eseteket is ide sorolhatnak, mint amilyen a Colonial Pipeline-incidens volt, ahol elég volt egyes IT rendszereket használhatatlanná tenni, utána már a cég menedzsmentje döntött az OT rendszerek és a teljes működésük leállítása mellett.

Forrás: https://www.paloaltonetworks.com/content/dam/pan/en_US/assets/pdf/reports/state-of-ot-security-report-2024.pdf

Kaspersky ICS-CERT jóslatok 2024-re

A Kaspersky ICS-CERT nevű csapata, ahogy évek óta, úgy idén is publikálta az évre vonatkozó ICS/OT biztonsági jóslatait. Véleményük szerint a zsarolóvírusok idén is a legnagyobb problémák egyikeként maradnak velünk és egyre komolyabb gazdasági és társadalmi következményei lesznek az ilyen támadásoknak. Ahogy a geopolitikai feszültségek (milyen szép kifejezés a háborúkra és egyéb, regionális ellentétekre) fokozódnak, úgy fognak nőni az állami hátterű APT-csoportok és politikailag motivált hacktivisták jelentette veszélyek. Ezekről és további várakozásaikról is lehet olvasni itt: https://securelist.com/threat-landscape-for-industrial-automation-systems-h2-2023/112153/

Bejelentés dátuma: 2023.04.02.
Gyártó: IOSiX
Érintett rendszer(ek):
- IO-1020 Micro ELD 360-asnál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Default Credentials (CVE-2024-30210)/súlyos;
- Use of Default Credentials (CVE-2024-31069)/súlyos;
- Download of Code Without Integrity Check (CVE-2024-28878)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-093-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az ICS/OT rendszerek sérülékenységeivel szinte a blog indulása óta foglalkozom, nem csoda, hogy ennek a posztnak a publikálása idején már a 411. részénél tart az ICS sérülékenységek poszt-sorozatom. Néhány hónapja láttam egy LinkedIn posztot, ahol a szerző az általa javasolt forrásokat gyűjtöttem össze a témában, ezért úgy gondoltam, talán nekem sem lenne haszontalan összállítanom a saját listámat:

DHS CISA - www.cisa.gov

CERT-FR - www.cert.ssi.gouv.fr

ICS Advisory project - www.icsadvisoryproject.com

ISSSource - www.isssource.com

Gyártói oldalak:

Siemens ProductCERT

Schneider Electric

ABB

Moxa

Belden-Hirschmann

Van esetleg bárkinek javaslata, hogy mit kéne még felvenni erre a listára?