Az ICS-CERT legutóbbi, május 12-i bejelentése Karn Ganeshen független biztonsági kutató által a Meteocontrol WEB'log szoftverében talált sérülékenységekről szól.

A hibák az alábbi verziókat érintik:

- Basic 100 minden verziója,
- Light minden verziója,
- Pro minden verziója és
- Pro Unlimited minden verziója.

A hibák között van adminisztratív feladatokhoz használt weboldalak authentikáció nélkül történő elérésének lehetősége, shell-szerű hozzáférés authentikáció nélkül és érzékeny adatok szöveges formában történő tárolása.

A hibákat távolról is ki lehet használni.

A gyártó a hibákat a legújabb, weboldalán elérhető verzióban javította és azt javasolja a felhasználóknak, hogy WEB'log rendszereket tűzfallal védjék és ne legyen közvetlen Internet-kapcsolatuk.

Az ICS-CERT ezen túlmenően a szokásos, kockázatcsökkentő intézkedéseket javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

További részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-133-01