Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek LXII

American Auto-Matrix Front-End Solutions sérülékenységek

2016. október 01. - icscybersec

Az ICS-CERT legújabb publikációja szerint Maxim Rupp független biztonsági kutató több sérülékenységet fedezett fel az American Auto-Matrix épület-automatizálási rendszereket gyártó cég termékeiben. A hibák az alábbi termékeket és verziókat érintik:

- Aspect-Nexus Building Automation Front-End Solutions application, 3.0.0-nál régebbi verziók és
- Aspect-Matrix Building Automation Front-End Solutions application minden verziója.

Az első hibát kihasználva egy támadó authentikáció nélkül lehet képes bármilyen fájl tartalmát megismerni a sérülékeny alkalmazást futtató számítógépen, a második sérülékenységet pedig a rendszerben használt jelszavak olvasható formában történő tárolása okozza.

A gyártó weboldalán már elérhetővé tette a hibákat javító szoftver verziókat.

Az ICS-CERT ezúttal is a szokásos kockázatcsökkentő intézkedéseket javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A sérülékenységgel kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz:
https://ics-cert.us-cert.gov/advisories/ICSA-16-273-01-0

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr4511758485

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása