Az ICS-CERT július 5-én kiadott figyelmeztetése szerint Maxim Rupp, független biztonsági kutató több hibát is talált a Rexroth Bosch által gyártott BLADEcontrol-WebVIS webes HMI rendszerben, amit elsősorban az energiaszektorban működő cégek használnak.
A hibák a BLADEcontrol-WebVIS Version 3.0.2 és ennél korábbi verzióit érinti.
A hibák között egy SQLi és egy XSS van, a CVSSv3 alapján mindkettő közepes súlyosságú besorolást kapott.
A gyártó a hibákat a legújabb szoftververzióban javította, ami innen tölthető le.
Az ICS-CERT ezzel a hibával kapcsolatban is a szokásos kockázatcsökkentő intézkedéseket javasolja:
- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!
A hibával kapcsolatban részletesebb információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-187-01