Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek LIX

Moxa Active OPC Server sérülékenység

2016. szeptember 21. - icscybersec

Az ICS-CERT által publikált cikk szerint Zhou Yu független biztonsági kutató hibát fedezett fel a Moxa Active OPC Server alkalmazásában. A sérülékenység az Active OPC Server 2.4.19-nél régebbi verzióit érinti.

Az érintett szoftver HMI és SCADA rendszerek OPC drivereként használható. A hibát kihasználva egy, a rendszeren sikeresen authentikált felhasználó a fájlrendszerhez hozzáférve képes lehet jogosultságszint-emelést végrehajtani.

A gyártó a hibával kapcsolatban azt javasolja ügyfeleinek, hogy az Active OPC Server-ről váltsanak az újabb szoftverére, az MX-AOPC UA szerverre vagy telepítsék az Active OPC Server 2.4.19-es verzióját, amiben már javították ezt a hibát.

Az ICS-CERT a hibával kapcsolatban a szokásos biztonsági intézkedések alkalmazását javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A sérülékenységgel kapcsolatban további információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-264-01

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr3911733967

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása