Schneider Electric Building Operation Application Server
Karn Ganeshen független kutató a Schneider Electric Building Operation Application Server nevű ICS rendszerében talált operációs rendszer szintű command injection hibát, ami a V1.7 és korábbi verziójú alkalmazás szervereket érinti. A hibát kihasználva az adminisztrátori jogosultsággal rendelkező felhasználók bizonyos funkciókon keresztül meg tudják kerülni a rendszerbe épített hozzáférési korlátozásokat.
A gyártó a hibát a legújabb firmware-verzióban javította. Az ICS-CERT bejelentése a sérülékenységről itt érhető el.
Rockwell Automation Allen-Bradley CompactLogix
Az ICS-CERT másik, tegnap megjelent tájékoztatója a 2015. augusztus 13-án megjelent, ICS-ALERT-15-225-01A bejelentéséhez kapcsolódik. A Rockwell Automation Allen-Bradley CompactLogix webes ICS/SCADA kontroller platformjában Aditya Sood, független kutató talált XSS hibát, ami időközben nyilvánosságra került. A hiba az alábbi típusú és verziójú eszközöket érinti:
- 1769-L16ER-BB1B, 27.011 és korábbi verziók,
- 1769-L18ER-BB1B, 27.011 és korábbi verziók,
- 1769-L18ERM-BB1B, 27.011 és korábbi verziók,
- 1769-L24ER-QB1B, 27.011 és korábbi verziók,
- 1769-L24ER-QBFC1B, 27.011 és korábbi verziók,
- 1769-L27ERM-QBFC1B, 27.011 és korábbi verziók,
- 1769-L30ER, 27.011 és korábbi verziók,
- 1769-L30ERM, 27.011 és korábbi verziók,
- 1769-L30ER-NSE, 27.011 és korábbi verziók,
- 1769-L33ER, 27.011 és korábbi verziók,
- 1769-L33ERM, 27.011 és korábbi verziók,
- 1769-L36ERM, 27.011 és korábbi verziók,
- 1769-L23E-QB1B, 20.018 és korábbi verziók (a támogatás 2016. júniusban megszűnik),
- 1769-L23E-QBFC1B, 20.018 és korábbi verziók (a támogatás 2016. júniusban megszűnik).
Az érintett eszközöket üzemeltetők számára a gyártó az alábbiakat javasolja:
- A 1769-L23E-QB1B típusú eszközöket használók migráljanak a 1769-L24ER-BB1B típusra;
- A 1769-L23E-QBFC1B típusú eszközöket használók migráljanak a 1769-L24ER-QBFC1B típusra;
- Minden más típus esetén a gyártó javasolja a 28.011-nél újabb firmware-verzióra történő frissítést.
A Rockwell Automation ezen túlmenően minden ügyfelének javasolja, hogy
- csak megbízható szoftvereket, patch-eket használjanak;
- alkalmazzanak antivirus/antimalware szoftvereket;
- csak megbízható weboldalakat és csatolmányokat nyissanak meg;
- tartsanak biztonságtudatossági képzéseket a munkatársaknak, hogy minél hatékonyabban ismerjék fel az adathalász és social engineering támadásokat;
- minimalizálják az ICS rendszerek és eszközök kockázatait, rendszeresen ellenőrizzék, hogy az ilyen eszközök és rendszerek nem érhetőek el az Internet irányából;
- ICS rendszerekhez csak VPN használatával biztosítsanak távoli hozzáférést, figyelembe véve, hogy az VPN-megoldásokban is lehetnek hibák és hogy minden VPN-kapcsolat csak annyira biztonságos, mint az ezen keresztül csatlakoztatott végponti eszköz.