Az ICS-CERT tegnap publikált bejelentése alapján Maxim Rupp két hibát talált a Resource Data Management által gyártott Intuitive650 TDB Controller nevű termékének 2.1-es és korábbi verzióiban. A hibák között jogosultságszint-emelés és CSRF is található. A hibák távolról is kihasználhatóak.

A gyártó a V2.1.24-es verzióban javította a fenti hibákat.

Az ICS-CERT a hibával kapcsolatban a szokásos, kockázatcsökkentő intézkedéseket javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A sérülékenységekkel kapcsolatban további információkat az ICS-CERT bejelentés tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-140-01