Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek XXXVI

ABB PCM600 és Moxa UC 7408-LX-Plus sérülékenységek

Facebook Tumblr Tweet Pinterest Tetszik
0
2016. június 01. - icscybersec

Tegnap az ICS-CERT két bejelentést publikált, amelyek az alábbi termékek sérülékenységeinek részleteit tartalmazták:

ABB PCM600 sérülékenységek

Ilya Karpov, a Positive Technologies munkatársa 4 különböző hibát talált az ABB PCM600-as típusú eszközeiben, amennyiben azok 2.6-os vagy korábbi verziójú szoftvert futtatnak. A hibák közül három a rendszer által használt jelszavak nem tárolását eredményezi bizonyos körülmények (például jelszóváltoztatás után) között, a negyedik hiba pedig a rendszer által az egyik jelszó esetén használt hash algoritmus gyengeségéből adódik, így a jelszóhasht rövid idő alatt lehet törni.

Ezeket a hibákat csak lokálisan és felhasználói interakció segítségével lehet kihasználni.

A gyártó a hibákat a 2.7-es szoftververzióban javította és minden ügyfelének a mielőbbi frissítést ajánlja, továbbá az alábbi kockázatcsökkentő intézkedések bevezetését:

- Fizika hozzáférési szabályokkal kell biztosítani, hogy a PCM600-asokhoz csak az erre jogosult személyek tudjanak hozzáférni;
- Nem szabad a vezérlőrendszerhez közvetlen Internet-kapcsolatot biztosítani;
- A vezérlőrendszer hálózatát tűzfalakkal el kell szeparálni minden más hálózati szegmenstől és a tűzfalakon csak a minimálisan szükséges portok forgalmát szabad engedélyezni;
- A folyamatvezérlési feladatokra használt rendszert nem szabad Internetböngészésre, azonnali üzenetküldésre vagy elektronikus levelezésre;
- Körültekintően ellenőrizni kell a hordozható számítógépeket és adathordozókat és teljes körű víruskeresést kell végezni rajtuk, mielőtt a vezélőrendszerhez csatlakoztatnánk őket.

Az ICS-CERT ezen túlmenően (a szokásos módon) felhívja a figyelmet a távoli elérések biztonságosabbá tételéhez használt VPN-megoldások esetleges sérülékenységeire és arra tényre, hogy minden VPN-megoldás csak annyira biztonságos, mint az azon keresztül csatlakoztatott eszközök.

A sérülékenységekről további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-152-02

Moxa UC 7408-LX-Plus sérülékenység

Az ICS-CERT meg nem nevezett forrásból szerzett információi szerint a Moxa UC 7408-LX-Plus típusú beágyazott számítógépek minden verziója érintett egy olyan hiba által, aminek következtében authentikáció nélkül lehet felülírni a berendezések firmware-jét. Egy ilyen firmware-felülírást nem lehet javítani, amennyiben megtörtént a felülírás, az eszközt cserélni kell. A helyzetet súlyosbítja, hogy a gyártó már megszűntette az érintett típusú eszközök támogatását, így a hibával kapcsolatban nem várható javítás.

A Moxa számos javaslatot tesz a sérülékenység miatt megnövekedett kockázatok csökkentésére:

Erősebb authentikációt kell biztosítani az eszközök számára
 - Rendszeresen változtatni kell az adminisztrátori jogosultságú felhasználói fiókok jelszavait;
 - Erős jelszavakat kell használni;
 - A nem használt felhasználói fiókokat tiltani vagy törölni kell (én azért a törlést auditálhatósági okokból nem javaslom, egy nagyon hosszú és bonyolult, véletlenszerű jelszóval történő felülírás után inkább célszerű riasztást beállítani arra az esetre, ha az adott felhasználói fiókkal bejelentkezési kísérletet észlel a rendszer);
 - Le kell tiltani a nem létfontosságú szolgáltatások futását;
 - Engedélyezni kell a rendszernaplók monitorozását;
 - Naplózni kell a sikertelen bejelentkezési kísérleteket is;
 - Automatikusan ki kell jelentkeztetni az SSH és Telnet kapcsolatokon bejelentkezve maradt, inaktív felhasználókat (megint csak az én véleményem, hogy a Telnet használatától érdemes tartózkodni).
 
Erősíteni kell a hozzáférés-vezérlést
 - Meg kell szigorítani a különböző programkódok letölthetőségét és futtathatóságát;
 - Limitálni kell a párhuzamos munkafolyamatok, pl. SSH-kapcsolatok számát;
 - Audit okokból a hozzáférési logoknál időbélyeget kell használni (hozzátenném, hogy ha ezt teszi valaki, célszerű központi NTP-szinkronizálást is beállítani).

Fejleszteni kell az adatok integritásának megőrzését biztosító eljárásokat és technikákat
 - Ennek érdekében biztonságos protokollokat (pl. SSH, VPN, HTTPS, stb.) kell használni (ismét csak saját véleményem, hogy a titkosítás nélkül működő protokollok használatát, mint pl. Telnet, RSH, rexec, FTP, stb. már csak a bizalmasság megőrzése érdekében is érdemes kerülni, hiszen bármilyen biztonságos lehet egy jelszó, ha azt egy támadó a hálózati forgalom lehallgatása után simán olvashatja).
 
Fejleszteni kell az adatok integritásának megőrzését biztosító eljárásokat és technikákat
 - Minden olyan adatmegosztást meg kell szüntetni, amire már nincs szükség.
 
Szigorítani kell az adatok áramlására vonatkozó szabályokat
 - A tűzfalakon tiltani kell a minden forgalmat engedélyező szabályokat (nem sokat ér az a tűzfal, aminek a szabályláncában egy ACCEPT IP any any áll az utolsó sorban).
 
Az ICS-CERT ennek a sérülékenységnek az apropóján is a már jól megszokott kockázatcsökkentő intézkedéseket sorolja.

A sérülékenységről bővebb információkat a vonatkozó ICS-CERT bejelentés tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-152-01

Szólj hozzá!
ABB Moxa ICS sérülékenység

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr318768944

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása