Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek LXIX

Sérülékenységek Schneider Electric, Moxa, OSISoft, Siemens és Phoenix Contact termékekben

2016. november 09. - icscybersec

Az elmúlt napokban megint nagy számban publikáltak különböző ICS rendszereket érintő hibákat, a mai posztban ezeket fogom röviden áttekinteni (és még így is ez a poszt lesz mindmáig a rekorder az ICS sérülékenységek sorozatban, már ami a hosszát illeti).

Schneider Electric ION okosmérők sérülékenységei

A Schneider Electric ION sorozatú okosmérőivel kapcsolatos CSRF sérülékenységét először szeptember 12-én publikálta az ICS-CERT (én itt írtam róla: http://icscybersec.blog.hu/2016/09/19/ics_serulekenysegek_lviii). A szeptemberi bejelentéshez képest a mostani publikáció már egy nem megfelelő hozzáférés kontrollt is említ, ami a CVSSv3 alapján magas kockázatú besorolást kapott. Ugyanakkor az ICS-CERT legújabb publikációjában sincs információ arról, hogy a gyártó javította volna a hibákat, az ICS-CERT csak megismétli a Scheider Electric szeptemberben már hallott tanácsait az érintett okosmérők hardeningjével kapcsolatban:

- Az okosmérők "Webserver Config Access" paraméterét javasolt "Disabled"-re állítani (alapértelmezetten ez a paraméter engedélyezett állásban van) és a mérők konfigurációját lementeni.
- Az okosmérők konfigurációjában van egy "Enable Webserver" paraméter is, ami a mérők webszerver funkciójának teljes engedélyezéséért vagy tiltásáért felelős. A paraméternek "YES" és "NO" értéke lehet, alapértelmezetten engedélyezve van a működése.

Az ICS-CERT bejelentése további információkat is tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-308-03

Schneider Electric Magelis HMI sérülékenységek

Még mindig Scheider Electric, a Magelis Human-Machine Interface berendezéseiben Eran Goldstein talált több hibát, amelyek egyenként is túlzott erőforrás használathoz vezethetnek a sérülékeny HMI-ken. A hiba az alábbi Magelis eszközöket érinti:

- Magelis GTO Advanced Optimum Panel, minden verzió;
- Magelis GTU Universal Panel, minden verzió;
- Magelis STO5xx and STU Small Panel, minden verzió;
- Magelis XBT GH Advanced Hand-held Panel, minden verzió;
- Magelis XBT GK Advanced Touchscreen Panel billentyűzettel, minden verzió;
- Magelis XBT GT Advanced Touchscreen Panel, minden verzió;
- Magelis XBT GTW Advanced Open Touchscreen Panel (Windows XPe).

A gyártó jelenleg is dolgozik a hibák javításán, saját becslése szerint várhatóan 2017 március végére fog elkészülni a javításokat tartalmazó új szoftver verziókkal. A javítások publikálásáig az alábbi kockázatcsökkentő intézkedések bevezetését javasolja a sérülékeny Magelis HMI eszközöket használó ügyfelei számára:

- Minimalizálják a sérülékeny eszközök hálózati kitettségét a vezérlő rendszer és vagy az eszközök esetén és biztosítsák, hogy ezek a rendszerek és eszközök nem érhetőek el az Internet irányából;
- A Web Gate szervereket, amennyiben nem használják őket, tartsák az alapértelmezett, letiltott állapotban, ezzel minimálizálhatják a lehetséges támadási felületet;
- A vezérlő rendszerek eszközeit és hálózatait tűzfallal védett hálózatban üzemeltesség és izolálják a vállalati hálózatoktól;
- Menedzselt switch-ek használatával korlátozzák a helyi hálózat forgalmát a feltétlenül szükséges forgalomra;
- Ahol lehetséges, kerüljék a vezeték nélküli hálózati kommunikáció használatát. Ahol nélkülözhetetlen a WiFi-hálózatok használata, csak biztonságos beállításokkal használják a WiFi hálózatokat (pl. WPA2 titkosítással);
- Csak megbízható számítógépekről engedélyezzék a vezérlő rendszerek elérését;
- Amennyiben nélkülözhetetlen a vezérlő rendszerek távoli elérésének engedélyezése, használjanak biztonságos megoldásokat, pl. VPN-t. Biztosítsák, hogy a távoli (VPN-) kapcsolatot kezdeményező számítógépekre és a VPN-megoldásra is telepítve van az összes ismert hibára kiadott javítás.

A hibával kapcsolatban a Scheider Electric és az ICS-CERT weboldalain lehet további részleteket olvasni.

Moxa OnCell sérülékenységek

Maxim Rupp talán az egyik legismertebb ICS biztonsági kutató, itt a blogon is gyakran felmerül a neve, mint egy-egy ICS sérülékenység felfedezőjéé. Ezúttal a Moxa OnCell átjáróiban talált több hibát. Az OnCell eszközcsaládot soros vagy Ethernet hálózatok és mobiltelefon hálózatok közötti átjáróként használják, elsősorban ázsiai és európai szervezetek. A hibák az alábbi modelleket érintik:

- OnCellG3470A-LTE;
- AWK-1131A/3131A/4131A sorozatú eszközök;
- AWK-3191 sorozatú eszközök;
- AWK-5232/6232 sorozatú eszközök;
- AWK-1121/1127 sorozatú eszközök;
- WAC-1001 V2 sorozatú eszközök;
- WAC-2004 sorozatú eszközök;
- AWK-3121-M12-RTG sorozatú eszközök;
- AWK-3131-M12-RCC sorozatú eszközök;
- AWK-5232-M12-RCC sorozatú eszközök;
- TAP-6226 sorozatú eszközök;
- AWK-3121/4121 sorozatú eszközök;
- AWK-3131/4131 sorozatokú eszközök;
- AWK-5222/6222 sorozatú eszközök.

A hibák között nem megfelelő authentikáció és nem megfelelő jogosultságkezelés egyaránt található. A gyártó néhány érintett sorozathoz már kiadott frissített, a hibákat már nem tartalmazó firmware-t, de a legtöbb esetben a javítás csak 2017 tavasszal illetve nyáron várható, néhány sorozat esetén pedig a hibát nem tervezik javítani. Az érintett modellek és firmware-kiadási időpontokat az alábbi táblázat tartalmazza:

Termék neve Frissített firmware megjelenési dátuma
OnCellG3470A-LTE
AWK-1131A/3131A/4131A sorozat
AWK-3191 sorozat
AWK-5232/6232 sorozat
AWK-1121/1127 sorozat
WAC-1001 V2 sorozat
WAC-2004 sorozat
AWK-3121-M12-RTG sorozat
AWK-3131-M12-RCC sorozat
AWK-5232-M12-RCC sorozat
TAP-6226 sorozat
AWK-3121/4121 sorozat
AWK-3131/4131 sorozat
AWK-5222/6222 sorozat
2016.11.01
2016.11.01
2017.05.31
2017.05.31
2017.06.30
2017.06.30
2017.06.30
2017.06.30
2017.06.30
2017.06.30
Nem várható javítás
Nem várható javítás
Nem várható javítás
Nem várható javítás

 

A hibával kapcsolatban további információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-16-308-01

OSIsoft PI sérülékenység

Az OSISoft egyes PI szoftvercsaládjában fedezett fel olyan, befejezetlen modelleket, amelyek miatt funkciók hibásan működnek. Ennek következményei a rendszer leállását vagy adatvesztést okozhatnak. Az érintett termékek és verziók az alábbiak:

- Azok az alkalmazások, amelyek a PI Asset Framework (AF) Client 2016, 2.8.0-nál korábbi verzióit használják;
- Azok az alkalmazások, amik a PI Software Development Kit (SDK) 2016, 1.4.6-nál korábbi verzióit használják;
- PI Buffer Subsystem, 4.4 és ennél korábbi verziói;
- PI Data Archive 2015, 3.4.395.64-nél korábbi verziói.

A gyártó a hibák javítása érdekében az alábbi szoftver verziók használatát javasolja:

- PI Buffer Subsystem, Version 4.5.0 vagy újabb;
- PI AF Client 2016, Version 2.8.0 vagy újabb;
- PI SDK 2016, Version 1.4.6 vagy újabb;
- PI Data Archive 2016, Version 3.4.400.1162 vagy újabb.

A hibával kapcsolatban több információt az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICS-VU-313-03

Lokális jogosultsági szint emelést lehetővé tevő hiba a Siemens egyes ipari környezetbe szánt termékeiben

A Siemens, együttműködve a WATERSURE-rel és a KIANDRA IT-vel, egy számos ipari környezetbe szánt termékében megtalálható hibát publikált. A lokális jogosultsági szint emelést lehetővé tevő hiba az alábbi Siemens termékeket érinti:

- SIMATIC WinCC:
  - V7.0 SP2 és korábbi verziók a V7.0 SP2 Upd 12-ig;
  - V7.0 SP3 minden verziója a V7.0 SP3 Upd 8-ig;
  - V7.2: minden verziója;
  - V7.3: minden verziója;
  - V7.4: minden verziója;

- SIMATIC STEP 7 V5.X: minden verzió;

- SIMATIC PCS 7:
   - V7.1 és korábbi verziók;
   - V8.0: minden verzió;
   - V8.1: minden verzió;
   - V8.2: minden verzió;
   
- SIMATIC WinCC Runtime Professional: minden verzió;
- SIMATIC WinCC (TIA Portal) Professional: minden verzió;
- SIMATIC WinCC (TIA Portal) Basic, Comfort, Advanced: V14-nél korábbi verziók;
- SIMATIC STEP 7 (TIA Portal): V14-nél korábbi verziók;
- SIMATIC NET PC-Software: V14-nél korábbi verziók;
- SINEMA Remote Connect Client: minden verzió;
- SINEMA Server: V13 SP2-nél korábbi verziók;
- SIMATIC WinAC RTX 2010 SP2: minden verzió;
- SIMATIC WinAC RTX F 2010 SP2: minden verzió;
- SIMATIC IT Production Suite: minden verzió;
- TeleControl Server Basic: V3.0 SP2-nél korábbi verziók;
- SOFTNET Security Client V5.0: minden verzió;
- SIMIT V9.0,
- Security Configuration Tool (SCT): minden verzió;
- Primary Setup Tool (PST): minden verzió.

A hiba kihasználásával egy támadó képes lehet a fenti szoftvereket futtató Windows operációs rendszeren magasabb szintű jogosultságokat szerezni.

A gyártó az alábbi termékekhez a feltüntetett verziójú szoftverekben javította a hibát:

- SIMATIC WinCC:
   - V7.0 SP2 és korábbi verziók esetén a V7.0 SP2 Upd 12-ben;
   - V7.0 SP3 esetén a V7.0 SP3 Upd 8-ban;

- SIMATIC WinCC (TIA Portal) Basic, Comfort, Advanced verziók esetén a V14-ben;
- SIMATIC STEP 7 (TIA Portal) esetén a V14-ben;
- SIMATIC NET PC-Software esetén a V14-ben;
- TeleControl Server Basic esetén a V3.0 SP2-ben;
- SINEMA Server esetén a V13 SP2-ben;

Az alábbi termékek esetén a Siemens egy átmeneti javítást tett elérhetővé a weboldalán:
https://support.industry.siemens.com/cs/ww/en/view/109740929

- SIMATIC WinCC V7.2;
- SIMATIC STEP 7 V5.X;
- SIMATIC PCS 7 V7.1 és V8.0;
- SIMATIC STEP 7 (TIA Portal) V13;
- SIMATIC NET PC-Software V13;
- SINEMA Remote Connect Client;
- SIMATIC WinAC RTX 2010 SP2;
- SIMATIC WinAC RTX F 2010 SP2;
- SIMATIC IT Production Suite;
- SOFTNET Security Client V5.0;
- SIMIT V9.0;
- Security Configuration Tool (SCT);
- Primary Setup Tool (PST).

Az alábbi termékeknél, ha azok nem alapértelmezett konfigurációval üzemelnek, a Siemens azt javasolja, hogy a Siemens üzemeltetési útmutatójában foglaltak alapján kerüljön telepítésre az átmeneti javítás:

- SIMATIC WinCC V7.3 and V7.4,
- SIMATIC PCS 7 V8.1 and V8.2,
- SIMATIC WinCC Runtime Professional, and
- SIMATIC WinCC (TIA Portal) Professional.

További információkat a hibával kapcsolatban a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenységek a Phoenix Contact ILC PLC termékeiben

Matthias Niedermaier és Michael Kapfer, az augsburgi egyetem kutatói több hibát is találtak a Phoenix Contact ILC100-as sorozatú PLC-iben. A sérülékenységek minden, 100-as sorozatú ILC PLC-t érintenek. A hibák között van authentikáció megkerülést lehetővé tevő, érzékeny információk olvasható formában történő tárolásra visszavezethető hiba és egy, ami authentikáció nélkül engedi egyes kritikus PLC változók módosítását.

A gyártó elkészítette a hibák javítását tartalmazó új firmware-verziót, amit ügyfelei a céggel folytatott egyeztetés után kaphatnak meg. A Phoenix Contact továbbá számos kockázatcsökkentő intézkedést is javasol a sérülékeny PLC-kkel kapcsolatban:

- A PLC-ket publikus hálózatokon keresztül csak VPN alkalmazásával szabad távolról elérni;
- Tűzfalakkal kell szeparálni a PLC-ket a hálózat egyéb szegmenseitől;
- Az eszközök működéséhez nem nélkülözhetetlen alkalmazásokat és portokat le kell tiltani;
- A PLC-khez történő hozzáféréseket a lehetséges minimumra kell korlátozni;
- A gyári, alapértelmezett jelszavakat az eszközök első telepítése során meg kell változtatni és később is rendszeresen meg kell változtatni. A jelszavakban kis és nagy betűket, számjegyeket és speciális karaktereket is használni kell és legalább 10 karakter hosszúak legyenek;
- Rendszeres fenyegetés-elemzéssel kell biztosítani, hogy az alkalmazott biztonsági intézkedések megfelelőek-e;
- Biztonsági szoftverek telepítésével és rendszeres frissítésével biztosítani kell a kártékony kódok (vírusok, trójaiak) és az adathalász támadások elleni védelmet;
- Az ILC PLC 1x1 típusú eszközökben a 4.42-es firmware verziótól már lehetőség van HTTPS protokoll használatára és rendelkezésre áll a HTML5 a webszerver alapú HMI használatához;
- Az ILC PLC 100 sorozatú vezérlők esetén a gyártó biztonság- (safety) kritikus környezetekben nem ajánlja a kiegészítő biztonsági eszközök nélkül történő használatot!

A hibákról többet az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-313-01

Az ICS-CERT az összes, fenti hibával kapcsolatban a szokásos kockázatcsökkentő intézkedés-csomag alkalmazását javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr3411946353

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása