Sérülékenységek AMX termékekben

Az ICS-CERT tegnap megjelent bejelentésében hozta nyilvánosságra, hogy az AMX amerikai vállalat konferencia- és tantermi audió- és videó-automatizálási rendszereiben beégetett jelszavakat találtak, amelyekkel jogosulatlan hozzáféréseket lehet szerezni a sérülékeny rendszerekhez. A hiba a cég számos termékét érinti (a CVE-2015-8362 alapján az összes felsorolt terméket, de néhányban a 2015. októberi javítás után is maradt ismert, kihasználható hiba, erről a CVE-2016-1984 idén január 22-én jelent meg):

- NX-1200, NX-2200, NX-3200, NX-4200 NetLinx Controller, az 1.4.66 és minden korábbi verzió;
- Massio ControlPads MCP-10x, az 1.4.66 és minden korábbi verzió;;
- Enova DVX-x2xx, az 1.4.65-nél korábbi összes verzió, valamint az 1.4.72-es verzió;
- DVX-31xxHD-SP (-T), a 4.8.331-nél korábbi összes verzió;
- DVX-21xxHD-SP (-T), minden  4.8.331-nél korábbi verzió;
- DVX-2100HD-SP-T Master, a 4.1.420-nál korábbi verziók;
- Enova DGX 100 NX Series Master, a 1.4.72-nél korábbi verziók;
- Enova DGX 8/16/32/64 NX Series Master, a 1.4.72-nél korábbi verziók;
- Enova DGX 8/16/32/64 NI Series Master, a 1.4.72-nél korábbi verziók;
- NI-700, NI-900 Master Controllers (64M RAM), minden 4.1.419-nél korábbi verzió;
- NI-700, NI-900 Master Controllers (32M RAM), az 3.60.456-nál korábbi összes verzió;
- NI-2100, NI-3100, NI-4100, NI-2100 with ICSNet, NI-3100 with ICSNet, NI-3100/256, NI-3100/256 with ICSNet, NI-4100/256, minden 4.1.419-nél korábbi verzió;
- NI-3101-SIG Master Controller, minden 4.1.419-nél korábbi verzió;
- NI-2000, NI-3000, NI-4000, az 3.60.456-nál korábbi összes verzió;
- ME260/64 Duet, az 3.60.456-nál korábbi összes verzió.

A hiba javítását a gyártó elérhetővég tette a weboldalán, tájékoztatásuk szerint egyes régebbi eszközökön a firmware-frissítést több lépésben lehet végrehajtani. További részleteket az ICS-CERT ICSA-16-049-02-es bejelentése tartalmaz.

Authentikáció-megkerülést lehetővé tevő hiba a B+B SmartWorx VESP211 rendszerében

A B+B SmartWorx VESP211 termékcsaládja egy soros port-Ethernet adapter-szerver, amit számos iparágban (energiaszektor, telekommunikáció, szállítmányozás) használnak. A B+B SmartWorx idén januárban olvadt be az Advantech nevű tajvani ICS-gyártóba.

A hibát a Javascriptet használó webes interface kliens-oldalon megvalósított felhasználói authentikációja teszi lehetővé, hogy egy érvényes authentikációval nem rendelkező támadó hozzáférjen a rendszerhez. A hiba a VESP211 alábbi verzióiban található meg:

- VESP211-EU, 1.7.2-es firmware verzió;
- VESP211-232, 1.7.2-es firmware verzió;
- VESP211-232, 1.5.1 firmware verzió.

A gyártótól mostanáig csak az a javaslat látott napvilágot a sérülékenységgel kapcsolatban, hogy az ügyefeleik az általuk használt VESP211 adapter-szervereket csak tűzfallal védett zónákból engedjék elérni. További részleteket az ICS-CERT ICSA-16-049-01-es bejelentése tartalmaz.

Mivel ez utóbbi sérülékenység esetén nem áll rendelkezésre olyan frissítés, amivel javítani lehetne a hibát, még fontosabb az ICS-CERT által rendszeresen tanácsolt intézkedések mielőbbi bevezetése azok számára (és persze mindenkinek, aki bármilyen ICS rendszert üzemeltet):

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettl;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!