Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek LXVI

Sérülékenység Kabona AB WDC, Fatek Automation Designer, Moxa ioLogik E1200 sorozatú, Rockwell Automation Stratix, OSIsoft PI Web API és Schneider Electric PowerLogic rendszerekben

Facebook Tumblr Tweet Pinterest Tetszik
0
2016. október 19. - icscybersec

Az elmúlt napok igazán szép termést hoztak ICS sérülékenységek terén és mivel rendesen el voltam havazva, kicsit össze is torlódtak, ezért a mai poszt kicsit hosszabb lesz a szokásosnál.

Kabona AB WDC sérülékenységek

Martin Jartelius és John Stock, az Outpost 24 munkatársai több sérülékenységet is találtak a Kabona AB WebDatorCentral (WDC) nevű alkalmazásában. A hibák a WDC 3.4.0-nál korábbi összes verziójában megtalálhatóak.

A hibák között XSS, nyílt redirect és brute force támadást lehetővé tevő hiba egyaránt található. A gyártó a 3.4.0 verzióban javította a hibákat és azt javasolja minden ügyfelének, hogy frissítsen a legújabb verzióra.

További információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-287-07

Fatek Automation Designer sérülékenység

Ariele Caltabiano (kimiya) a ZDI-vel együttműködésben fedezett fel több, memóriakezeléssel kapcsolatos hibát a Fatek Automation Designer alábbi verzióiban:

- Automation PM Designer V3 Version 2.1.2.2;
- Automation FV Designer Version 1.2.8.0;

A gyártó a ZDI megkeresésére nem reagált, ezért a ZDI saját szabályai alapján nyilvánosságra hozta a hibát.

Mivel a gyártó nem egyeztetett a hibáról sem a ZDI-vel, sem az ICS-CERT-tel, ezért egyelőre nincs információ arról sem, hogy lesz-e és ha igen, mikor javítás a most felfedezett hibákra.

További részleteket a hibáról az ICS-CERT illetve a ZDI publikációja tartalmaz.

Moxa ioLogik E1200 sorozatú eszközök sérülékenységei

Legutóbb október 7-én írtam Moxa ioLogik eszközök hibáiról, most ismét ezek egy részével van probléma. Alexandru Ariciu, az Applied Risk munkatársa fedezett fel több hibát az ioLogik 1200 sorozatú eszközeiben. A hibák az alábbi típusokat és firmware verziókat érintik:
 
- ioLogik E1210, firmware V2.4 és korábbi verziók;
- ioLogik E1211, firmware V2.3 és korábbi verziók;
- ioLogik E1212, firmware V2.4 és korábbi verziók;
- ioLogik E1213, firmware V2.5 és korábbi verziók;
- ioLogik E1214, firmware V2.4 és korábbi verziók;
- ioLogik E1240, firmware V2.3 és korábbi verziók;
- ioLogik E1241, firmware V2.4 és korábbi verziók;
- ioLogik E1242, firmware V2.4 és korábbi verziók;
- ioLogik E1260, firmware V2.4 és korábbi verziók;
- ioLogik E1262, firmware V2.4 és korábbi verziók;

A hibák között XSS, gyengén védett bejelentkezési adatok, gyenge jelszószabályok és CSRF egyaránt található.

A gyártó a hibát az alábbi helyekről letölthető, új firmware verziókban javította:

- ioLogik E1210 V2.5;
- ioLogik E1211 V2.4;
- ioLogik E1212 V2.5;
- ioLogik E1213 V2.6;
- ioLogik E1214 V2.5;
- ioLogik E1240 V2.4;
- ioLogik E1241 V2.5;
- ioLogik E1242 V2.5;
- ioLogik E1260 V2.5;
- ioLogik E1262 V2.5;

A hibákkal kapcsolatos további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-16-287-05

Sérülékenységek Rockwell Automation Stratix ipari switch-ekben

Az ICS-CERT a Rockwell Automation jelzése alapján készült bejelentésében arról ír, hogy az utóbbi időkben a Cisco iOS és iOS XE szoftvereivel kapcsolatban publikált hibák egy része érintheti a Rockwell Automation Allen-Bradley Startix ipari környezetbe szánt hálózati eszközeit is. A gyártó szerint az alábbi modellek és szoftver verziók érintettek:

- Allen-Bradley Stratix 5400 Industrial Ethernet Switches 15.2(4)EA3 és korábbi verziók;
- Allen-Bradley Stratix 5410 Industrial Distribution Switches 15.2(4)EA3 és korábbi verziók;
- Allen-Bradley Stratix 5700 Industrial Managed Ethernet Switches versions 15.2(4)EA3 és korábbi verziók;
- Allen-Bradley Stratix 8000 Modular Managed Ethernet Switches versions 15.2(4)EA3 és korábbi verziók;
- Allen-Bradley ArmorStratix 5700 Industrial Managed Ethernet Switches versions 15.2(4)EA3 és korábbi verziók;

A hibák között található több is, amely a bevitt adatok nem megfelelő ellenőrzését teszi lehetővé, van nem megfelelően működő védelmi funkció és az eszköz által nem megfelelően megjelenített hibaüzenetből eredő hiba is.

A gyártó minden, sérülékeny eszközt használó ügyfelének azt javasolja, hogy frissítsen a legújabb elérhető szoftververzióra, amiben a fenti hibákat már javították, továbbá alkalmazzák a Rockwell Automation által javasolt biztonsági beállításokat (bejelentkezést igényel).

A hibákkal kapcsolatos további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-287-04

OSIsoft PI Web API sérülékenység

Az OSIsoft egy jogosultságkezelési hibát fedezett fel a PI Web API 2015 R2 1.5.1-es verziójában. A hiba kihasználásával egy támadó képes lehet megfelelő jogosultságok nélkül hozzáférni a rendszerhez.

A hiba a PI Web API 2016 (1.7.0.176) és későbbi verzióban már javításra került, az OSIsoft minden ügyfelének azt javasolja, hogy frissítsen ezen verziók valamelyikére. További intézkedésként a gyártó azt javasolja, hogy a PI Web API szervíz felhasználója a minimálisan szükséges jogosultsági szinttel futtassa az alkalmazást. Amennyiben a szervíz felhasználó tartományi felhasználói fiókként lett létrehozva, az alapértelmezett csoporttagságok (minden felhasználó, PIWorld) csak olvasási jogosultságokat biztosítanak.

Az OSIsoft továbbá javasolja a sérülékeny szoftvert futtató szerverre helyi tűzfal telepítését és ennek megfelelő beállításaival kizárólag a megbízható munkaállomások és szoftverek számára engedélyezni a PI Web API által használt 443/tcp port elérését.

További információkat a hibával kapcsolatban az ICS-CERT bejelentése és az OSIsoft publikációja tartalmaz.

Schneider Electric PowerLogic sérülékenység

He Congwen független biztonsági kutató egy nem dokumentált, beégetett jelszót fedezett fel a Schneider Electric PowerLogic PM8ECC 2.651 és korábbi szoftververzióiban. A gyártó a hibával kapcsolatban elérhetővé tette egy javítást, ami itt érhető el: http://www.schneider-electric.com/ww/en/download/document/PM8ECC%2Bv2_DOT_652

További intézkedésként a Schneider Electric azt javasolja az ügyfeleinek, hogy a támadási felület csökkentése érdekében az érintett eszközökön kapcsolják ki a webszerver funkciót.

A hibáról további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-16-292-01

Természetesen az ICS-CERT a fenti hibák esetén is hangsúlyozza az általános, kockázatcsökkentő intézekdések fontosságát:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Szólj hozzá!
Schneider Electric Moxa OSIsoft Rockwell Automation ICS sérülékenység Fatek Automation Kabona AB

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr3611822607

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása