Az ICS-CERT tegnapi bejelentései alapján megint mozgalmas napjuk lehetett, három különböző ICS gyártó termékeiről publikáltak ismert hibákat.

Black Box AlertWerks ServSensor sérülékenység

A Black Box termékében Lee Ryman független biztonsági kutató hibát, ami az AlertWerks ServSensor alábbi verzióit érinti, amennyiben azok a Version SP473-nál régebbi firmware-t használják:

- A Black Box’s AlertWerks ServSensor EME105A, EME106A, EME108A-R2, EME109A-R2 és EME110A-R2 modellszámú termékei;
- A Black Box’s AlertWerks ServSensor Junior EME102A-R2, EME103A-R2 és EME104A-R2 modellszámú termékei;
- A Black Box’s AlertWerks ServSensor Junior with PoE, EME152A, EME153A, EME154A, EME155A, and EME158A modellszámú termékei és
- A Black Box’s AlertWerks ServSensor Contact EME111A-20-R2, EME111A‑60-R2, EME112A-20-R2, EME112A-60-R2, EME113A-20-R2 és EME113A‑60-R2 modellszámú termékei.

A hiba meglehetősen banális, bármilyen sikeresen authentikált felhasználó képes lekérdezni az adminisztrátori fiók vagy bármelyik másik felhasználó jelszavát. A gyártó a hibát a Version SP473-as firmware-ben javította, ezt a következő FTP tárhelyről lehet letölteni: ftp://ftp.blackbox.com/AlertWerks%20Firmware/fw%20SP-473%20for%20EME102%20-EME113%20and%20EME152%20-%20EME158.zip

A sérülékenységről további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-147-03

Sixnet BT-sorozatú mobil router sérülékenység

A Sixnet BT-sorozatú mobil routereiben Neil Smith független kutató talált hibát, ami a Sixnet BT-5xxx és BT-6xxx sorozatú M2M mobil routereit érinti, amennyiben azok 3.8.21-esnél régebbi firmware-t futtatnak. A hiba ebben az esetben sem rendkívüli, az érintett sorozatokba tartozó routerekben gyárilag beégetett felhasználói azonosítók vannak. A Sixnet ügyfelei az érintett eszközök hibáit a 3.8.21-es vagy 3.9.8-as verziójú firmware-ek egyikére történő frissítéssel javíthatják.

A hibáról további részleteket az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-16-147-02

Environmental Systems Corporation Data Controllers sérülékenységek

A nap utolsó hibáját az Environmental Systems Corporation (ESC) Data Controller nevű webes SCADA rendszerében találta a blogon már sokszor emlegetett Maxim Rupp. Az eset érdekessége, hogy az ESC-től származó információ szerint ugyanezt a hibát Makány Balázs már jelentette feléjük 2015. február 18-án.

A hiba az ESC 8832-es típusú Data Controllerek 3.02-es és korábbi verziójú firmware-jeit futtató példányait érinti. A hibák között egy authentikáció-megkerülési lehetőséget biztosító van, a másik hibát kihasználva pedig egy az eszköz menürendszerében nem megjelenített funkciókhoz férhet hozzá a megfelelő paraméter brute force-olásával.

A gyártó szerint az érintett eszközökön nincs hely a további hibajavítások kódjai számára, így a firmware frissítése nem lehetséges! Az ESC mindezeket figyelembe véve az érintett eszközök upgrade-jét javasolja, illetve ahol ez nem megoldható, ott a kockázatok csökkentésére egyéb intézkedések bevezetését ajánlja, az eszközök 80/tcp portjához történő hozzáférés tűzfalas szűrését, illetve a webes operátori interfész használata helyett az eszköz által biztosított egyéb hozzáférési módok használatát. Részletesebb tanácsokat a gyártó weboldalán lehet találni (bejelentkezés után): www.envirosys.com.

A hibával kapcsolatos bővebb információkért megint csak az ICS-CERT bejelentését érdemes elolvasni: https://ics-cert.us-cert.gov/advisories/ICSA-16-147-01

Az ICS-CERT a fenti sérülékenységekkel kapcsolatban a szokásos javaslatokat teszi a kockázatok csökkentése érdekében:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!