Az elmúlt napokban ismét több ICS eszközzel kapcsolatos sérülékenység látott napvilágot.

Sérülékenység a Moxa EDR-810 típutsú ipari routerekben

Maxim Rupp, az ICS sérülékenységek lelkes vadásza egy jogosultság-emelést lehetővé tevő hibát azonosított a Moxa EDR-810 típusú, ipari környezetekbe szánt routereiben. A hiba a V3.13-nál korábbi firmware verziókat használó routereket érinti.

A gyártó a hibát a V3.13-as verziójú firmware-ben javította, és minden, érintett routert használó ügyfelének a mielőbbi frissítést javasolja.

A hibáról további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-16-294-01

Siemens SICAM RTU DoS-sérülékenység

A mai nap második hibáját Adam Crain, az Automak LLC munkatársa azonosította. A hiba az alábbi SICAM RTU-kat és firmware-verziókat érinti:

- SICAM AK,
- SICAM TM 1703,
- SICAM BC 1703 és
- SICAM AK 3 típusú eszközök SM-2558-as bővítőmodullal szerelt példányai, ha azok az ETA4 firmware Revision 08-nál korábbi verzióját futtatják;

- SICAM AK,
- SICAM TM és
- SICAM BC típusú eszközök SM-2556-os bővítőmodullal szerelt példányai, ha azok az ETA2 firmware Revision 11.01-nél korábbi verzióját futtatják.

A hibát kihasználva a sérülékeny szoftververziókat futtató eszközök 2404/tcp portjára küldött, megfelelően formázott TCP csomagokkal hibás állapotot lehet előidézni, amelyből az RTU csak egy leállítás-újraindítás után tud visszatérni a normál üzemmódba.

A Siemens az SM-2558-as bővítőmodulokkal szerelt RTU-khoz elérhetővé tette az ETA4 firmware Revision 08-as verzióját, ami innen tölthető le.

Az SM-2556-os bővítőmodullal szerelt RTU-kat használó ügyfelek számára a Siemens azt javasolja, vegyék fel a kapcsolatot a terméktámogatási központtal. Minden, sérülékeny RTU-t használó ügyfelüknek azt javasolják továbbá, hogy használjanak tűzfalat, illetve az SM-2558-as bővítőmodulok esetén az eszközbe épített IPSec funkciót, csak megbízható hálózatokban üzemeltessenek RTU-kat illetve csak megbízható eszközöknek engedélyezzenek hozzáférést ezekhez és alkalmazzák a SICAM RTU-khoz elérhető biztonsági kézikönyvben leírtakat.

A hibával kapcsolatban többet a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Honeywell Experion PKS sérülékenység

A Honeywell egy hibát fedezett fel az Experion PKS nevű, Series-C típusú eszközeinek firmware konfigurációjához használható kliens szoftverében, amelyet kihasználva meg lehet kerülni a bevitt adatok ellenőrzési mechanizmusát. A hiba az alábbi verziókban található meg:

- Experion PKS, Release 3xx és korábbi verziók,
- Experion PKS, Release 400,
- Experion PKS, Release 410,
- Experion PKS, Release 430 és
- Experion PKS, Release 431.

A gyártó a hibát az alábbi szoftver verziókban már javította:

- R400.8 HOTFIX1,
- R410.8 HOTFIX6,
- R430.5 HOTFIX1 és
- R431.2 HOTFIX2.

Azon ügyfeleinek, akik olyan verziót használnak az Experion PKS-ből, amihez még nem jelent meg a hibát javító verzió, a Honeywell azt javasolja, hogy a sérülékeny kliens használatakor izolálják a hálózati forgalmat a kliens és a Series-C típusú eszközök között illetve hogy amikor nem töltenek fel új firmware-t az eszközökre állítsák le az eNAP Server szolgáltatást.

A hibával kapcsolatban részletesebb információkat az ICS-CERT weboldalán található bejelentés tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-301-01

Az ICS-CERT ezúttal is a szokásos kockázatcsökkentő intézkedések alkalmazását javasolja a hibákkal kapcsolatban:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!