Az ICS-CERT tegnap publikált bejelentése szerint a Cisco Talos kutatócsoportja egy nem dokumentált és magas szintű hozzáférést biztosító SNMP community string-et azonosított a MicroLogix 1400 sorozatú PLC-kben. Az érintett verziók az alábbiak:
- 1766-L32BWA,
- 1766-L32AWA,
- 1766-L32BXB,
- 1766-L32BWAA,
- 1766-L32AWAA,
- 1766-L32BXBA.
Tekintettel arra, hogy az SNMP szolgáltatás nélkülözhetetlen az érintett termék firmware-frissítési folyamatában, ezért a gyártó nem tudja eltávolítani termékből, ehelyett olyan intézkedéseket javasol, amikkel csökkenteni lehet a kockázatokat:
- Az érintett termékekbe épített *RUN* kapcsoló használatával megelőzhető az jogosulatlan és nem kívánt firmware-frissítés vagy más, kártékony célú konfiguráció-módosítás;
- Megfelelő IP hálózati kontrollok alkalmazásával (pl. tűzfalak) szűrni lehet, hogy csak megbízható forrásból érkező SNMP parancsok kerüljenek végrehajtásra;
- Az SNMP szolgáltatás kerüljön kikapcsolásra az érintett eszközöknél, amennyiben ez megoldható. Ha ez megtörténik, figyelembe kell venni, hogy az érintett PLC-k firmware-frissítéséhez az SNMP szolgáltatást engedélyezni kell, majd a frissítés után célszerű ismét letiltani. Fontos, hogy a gyári SNMP community string megváltoztatása a gyártó szerint nem elégséges intézkedés!
Az ICS-CERT mindezeken túl a szokásos kockázatcsökkentő intézkedéseket javasolja:
- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!
A hibával kapcsolatban további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-224-01