Az ICS-CERT által kiadott publikáció szerint a Navis WebAccess nevű, szállítmányozási szektorban használt termékében talált SQL injection sérülékenységet egy bRpsd néven ismert személy és tette közzé a hibát, együtt, az azt kihasználó proof-of-concept (PoC) programkóddal együtt. A hiba a Navis WebAccess minden, 2016. augusztus 10-e előtti verziójában megtalálható.

A gyártó az augusztus 10-én kiadott verzióban javította a hibát és értesítette erről az érintett szoftvert használó ügyfeleket (szám szerint 13 ilyen ügyfelük van, ebből 5 az USA-ban).

Az ICS-CERT ezúttal is a szokásos kockázatcsökkentő intézkedések bevezetését javasolja:

- A sikeres SQL injection támadások hatásait csökkenteni kell a különböző adatbázis felhasználói fiókok jogosultsági szintjének a feladatvégzéshez szükséges minimumra csökkentésével;
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A hibával kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-231-01