Az ICS-CERT két, OSIsoft PI rendszert érintő sérülékenységről adott közre bejelentést:

OSIsoft PI AF Server sérülékenység

Az első hiba a PI AF Server 2016-nál, illetve 2.8.0-nál régebbi verzióit érinti és a rendszerbe bevitt adatok nem megfelelő ellenőrzéséből ered. A hibából eredő kockázatok csökkentésére az OSIsoft az alábbiakat javasolja ügyfeleinek:

- Frissíteni kell a sérülékenység által érintett szoftvereket a PI AF Server 2016-os verziójára;
- Host tűzfalak alkalmazásával a feltétlenül szükséges mértékre kell csökkenteni azoknak a megbízható munkaállomásoknak a számát, amik PI SQL termékeket (pl. PI OLEDB Enterprise-t) futtatnak és a 5459/tcp porton próbálnak csatlakozni az AF szerverhez. Ezen a porton keresztül két termék használja a rendszer kereső funkcióját, a PI WebParts 2010-es és korábbi verziói, valamint a PI Coresight 2013 és korábbi verziói;
- Az AF szerverhez csak azoknak a felhasználók kapjanak hozzáférést, akiknek a feladataik miatt ez indokolt. A gyártó által közzétett biztonsági közlemény itt érhető el: https://techsupport.osisoft.com/Troubleshooting/PI-System-Cyber-Security, az ICS-CERT bejelentése pedig itt: https://ics-cert.us-cert.gov/advisories/ICSA-16-166-02

OSIsoft PI SQL Data Access Server sérülékenység

Ugyancsak a rendszerbe bevitt adatok nem megfelelő ellenőrzése miatt sérülékeny az OSIsoft PI Data Access Server megoldásának 2016 (1.5) korábbi verzióját tartalmazó két terméke:

- PI JDBC Driver 2015 (1.4.1.404) és korábbi verziók, valamint a
- PI ODBC Driver 2015 (3.5.403) és korábbi verziók.

A gyártó szerint a fenti termékek esetén az authentikált forrásból érkező adatok nem megfelelő kezelése miatt szolgáltatás-megtagadást (DoS) lehet előidézni a sérülékeny verziót futtató rendszereken.

A gyártó a hibát a PI SQL Data Access Server (OLE DB) 2016 (1.5) verzióban javította, az erre történő frissítés mellett további kockázatcsökkentő intézkedéseket is javasol a sérülékeny verziókat használó ügyfelek számára:

- Frissíteni kell a sérülékenység által érintett szoftvereket a PI SQL Data Access Server (OLE DB) 2016 (1.5) verziójára;
- Host tűzfalak alkalmazásával a feltétlenül szükséges mértékre kell csökkenteni azoknak a megbízható munkaállomásoknak a számát, amik PI SQL kliens termékeket (pl. PI JDBC Driver, PI ODBC Driver) futtatnak és a 5461/tcp vagy 5462/tcp portokon próbálnak csatlakozni a szerverhez;
- A PI SQL Data Access Server-hez csak azoknak a felhasználók kapjanak hozzáférést, akiknek a feladataik miatt ez indokolt. A gyártó által közzétett biztonsági közlemény itt érhető el: https://techsupport.osisoft.com/Troubleshooting/PI-System-Cyber-Security, az ICS-CERT bejelentése pedig itt: https://ics-cert.us-cert.gov/advisories/ICSA-16-166-01

Az ICS-CERT mindkét sérülékenységgel kapcsolatban a szokásos kockázatcsökkentő intézkedések alkalmazását javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!