Az elmúlt napokban megint nagy számban publikáltak különböző ICS rendszereket érintő hibákat, a mai posztban ezeket fogom röviden áttekinteni (és még így is ez a poszt lesz mindmáig a rekorder az ICS sérülékenységek sorozatban, már ami a hosszát illeti).

Schneider Electric ION okosmérők sérülékenységei

A Schneider Electric ION sorozatú okosmérőivel kapcsolatos CSRF sérülékenységét először szeptember 12-én publikálta az ICS-CERT (én itt írtam róla: http://icscybersec.blog.hu/2016/09/19/ics_serulekenysegek_lviii). A szeptemberi bejelentéshez képest a mostani publikáció már egy nem megfelelő hozzáférés kontrollt is említ, ami a CVSSv3 alapján magas kockázatú besorolást kapott. Ugyanakkor az ICS-CERT legújabb publikációjában sincs információ arról, hogy a gyártó javította volna a hibákat, az ICS-CERT csak megismétli a Scheider Electric szeptemberben már hallott tanácsait az érintett okosmérők hardeningjével kapcsolatban:

- Az okosmérők "Webserver Config Access" paraméterét javasolt "Disabled"-re állítani (alapértelmezetten ez a paraméter engedélyezett állásban van) és a mérők konfigurációját lementeni.
- Az okosmérők konfigurációjában van egy "Enable Webserver" paraméter is, ami a mérők webszerver funkciójának teljes engedélyezéséért vagy tiltásáért felelős. A paraméternek "YES" és "NO" értéke lehet, alapértelmezetten engedélyezve van a működése.

Az ICS-CERT bejelentése további információkat is tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-308-03

Schneider Electric Magelis HMI sérülékenységek

Még mindig Scheider Electric, a Magelis Human-Machine Interface berendezéseiben Eran Goldstein talált több hibát, amelyek egyenként is túlzott erőforrás használathoz vezethetnek a sérülékeny HMI-ken. A hiba az alábbi Magelis eszközöket érinti:

- Magelis GTO Advanced Optimum Panel, minden verzió;
- Magelis GTU Universal Panel, minden verzió;
- Magelis STO5xx and STU Small Panel, minden verzió;
- Magelis XBT GH Advanced Hand-held Panel, minden verzió;
- Magelis XBT GK Advanced Touchscreen Panel billentyűzettel, minden verzió;
- Magelis XBT GT Advanced Touchscreen Panel, minden verzió;
- Magelis XBT GTW Advanced Open Touchscreen Panel (Windows XPe).

A gyártó jelenleg is dolgozik a hibák javításán, saját becslése szerint várhatóan 2017 március végére fog elkészülni a javításokat tartalmazó új szoftver verziókkal. A javítások publikálásáig az alábbi kockázatcsökkentő intézkedések bevezetését javasolja a sérülékeny Magelis HMI eszközöket használó ügyfelei számára:

- Minimalizálják a sérülékeny eszközök hálózati kitettségét a vezérlő rendszer és vagy az eszközök esetén és biztosítsák, hogy ezek a rendszerek és eszközök nem érhetőek el az Internet irányából;
- A Web Gate szervereket, amennyiben nem használják őket, tartsák az alapértelmezett, letiltott állapotban, ezzel minimálizálhatják a lehetséges támadási felületet;
- A vezérlő rendszerek eszközeit és hálózatait tűzfallal védett hálózatban üzemeltesség és izolálják a vállalati hálózatoktól;
- Menedzselt switch-ek használatával korlátozzák a helyi hálózat forgalmát a feltétlenül szükséges forgalomra;
- Ahol lehetséges, kerüljék a vezeték nélküli hálózati kommunikáció használatát. Ahol nélkülözhetetlen a WiFi-hálózatok használata, csak biztonságos beállításokkal használják a WiFi hálózatokat (pl. WPA2 titkosítással);
- Csak megbízható számítógépekről engedélyezzék a vezérlő rendszerek elérését;
- Amennyiben nélkülözhetetlen a vezérlő rendszerek távoli elérésének engedélyezése, használjanak biztonságos megoldásokat, pl. VPN-t. Biztosítsák, hogy a távoli (VPN-) kapcsolatot kezdeményező számítógépekre és a VPN-megoldásra is telepítve van az összes ismert hibára kiadott javítás.

A hibával kapcsolatban a Scheider Electric és az ICS-CERT weboldalain lehet további részleteket olvasni.

Moxa OnCell sérülékenységek

Maxim Rupp talán az egyik legismertebb ICS biztonsági kutató, itt a blogon is gyakran felmerül a neve, mint egy-egy ICS sérülékenység felfedezőjéé. Ezúttal a Moxa OnCell átjáróiban talált több hibát. Az OnCell eszközcsaládot soros vagy Ethernet hálózatok és mobiltelefon hálózatok közötti átjáróként használják, elsősorban ázsiai és európai szervezetek. A hibák az alábbi modelleket érintik:

- OnCellG3470A-LTE;
- AWK-1131A/3131A/4131A sorozatú eszközök;
- AWK-3191 sorozatú eszközök;
- AWK-5232/6232 sorozatú eszközök;
- AWK-1121/1127 sorozatú eszközök;
- WAC-1001 V2 sorozatú eszközök;
- WAC-2004 sorozatú eszközök;
- AWK-3121-M12-RTG sorozatú eszközök;
- AWK-3131-M12-RCC sorozatú eszközök;
- AWK-5232-M12-RCC sorozatú eszközök;
- TAP-6226 sorozatú eszközök;
- AWK-3121/4121 sorozatú eszközök;
- AWK-3131/4131 sorozatokú eszközök;
- AWK-5222/6222 sorozatú eszközök.

A hibák között nem megfelelő authentikáció és nem megfelelő jogosultságkezelés egyaránt található. A gyártó néhány érintett sorozathoz már kiadott frissített, a hibákat már nem tartalmazó firmware-t, de a legtöbb esetben a javítás csak 2017 tavasszal illetve nyáron várható, néhány sorozat esetén pedig a hibát nem tervezik javítani. Az érintett modellek és firmware-kiadási időpontokat az alábbi táblázat tartalmazza:

A hibával kapcsolatban további információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-16-308-01

OSIsoft PI sérülékenység

Az OSISoft egyes PI szoftvercsaládjában fedezett fel olyan, befejezetlen modelleket, amelyek miatt funkciók hibásan működnek. Ennek következményei a rendszer leállását vagy adatvesztést okozhatnak. Az érintett termékek és verziók az alábbiak:

- Azok az alkalmazások, amelyek a PI Asset Framework (AF) Client 2016, 2.8.0-nál korábbi verzióit használják;
- Azok az alkalmazások, amik a PI Software Development Kit (SDK) 2016, 1.4.6-nál korábbi verzióit használják;
- PI Buffer Subsystem, 4.4 és ennél korábbi verziói;
- PI Data Archive 2015, 3.4.395.64-nél korábbi verziói.

A gyártó a hibák javítása érdekében az alábbi szoftver verziók használatát javasolja:

- PI Buffer Subsystem, Version 4.5.0 vagy újabb;
- PI AF Client 2016, Version 2.8.0 vagy újabb;
- PI SDK 2016, Version 1.4.6 vagy újabb;
- PI Data Archive 2016, Version 3.4.400.1162 vagy újabb.

A hibával kapcsolatban több információt az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICS-VU-313-03

Lokális jogosultsági szint emelést lehetővé tevő hiba a Siemens egyes ipari környezetbe szánt termékeiben

A Siemens, együttműködve a WATERSURE-rel és a KIANDRA IT-vel, egy számos ipari környezetbe szánt termékében megtalálható hibát publikált. A lokális jogosultsági szint emelést lehetővé tevő hiba az alábbi Siemens termékeket érinti:

- SIMATIC WinCC:
  - V7.0 SP2 és korábbi verziók a V7.0 SP2 Upd 12-ig;
  - V7.0 SP3 minden verziója a V7.0 SP3 Upd 8-ig;
  - V7.2: minden verziója;
  - V7.3: minden verziója;
  - V7.4: minden verziója;

- SIMATIC STEP 7 V5.X: minden verzió;

- SIMATIC PCS 7:
   - V7.1 és korábbi verziók;
   - V8.0: minden verzió;
   - V8.1: minden verzió;
   - V8.2: minden verzió;
   
- SIMATIC WinCC Runtime Professional: minden verzió;
- SIMATIC WinCC (TIA Portal) Professional: minden verzió;
- SIMATIC WinCC (TIA Portal) Basic, Comfort, Advanced: V14-nél korábbi verziók;
- SIMATIC STEP 7 (TIA Portal): V14-nél korábbi verziók;
- SIMATIC NET PC-Software: V14-nél korábbi verziók;
- SINEMA Remote Connect Client: minden verzió;
- SINEMA Server: V13 SP2-nél korábbi verziók;
- SIMATIC WinAC RTX 2010 SP2: minden verzió;
- SIMATIC WinAC RTX F 2010 SP2: minden verzió;
- SIMATIC IT Production Suite: minden verzió;
- TeleControl Server Basic: V3.0 SP2-nél korábbi verziók;
- SOFTNET Security Client V5.0: minden verzió;
- SIMIT V9.0,
- Security Configuration Tool (SCT): minden verzió;
- Primary Setup Tool (PST): minden verzió.

A hiba kihasználásával egy támadó képes lehet a fenti szoftvereket futtató Windows operációs rendszeren magasabb szintű jogosultságokat szerezni.

A gyártó az alábbi termékekhez a feltüntetett verziójú szoftverekben javította a hibát:

- SIMATIC WinCC:
   - V7.0 SP2 és korábbi verziók esetén a V7.0 SP2 Upd 12-ben;
   - V7.0 SP3 esetén a V7.0 SP3 Upd 8-ban;

- SIMATIC WinCC (TIA Portal) Basic, Comfort, Advanced verziók esetén a V14-ben;
- SIMATIC STEP 7 (TIA Portal) esetén a V14-ben;
- SIMATIC NET PC-Software esetén a V14-ben;
- TeleControl Server Basic esetén a V3.0 SP2-ben;
- SINEMA Server esetén a V13 SP2-ben;

Az alábbi termékek esetén a Siemens egy átmeneti javítást tett elérhetővé a weboldalán:
https://support.industry.siemens.com/cs/ww/en/view/109740929

- SIMATIC WinCC V7.2;
- SIMATIC STEP 7 V5.X;
- SIMATIC PCS 7 V7.1 és V8.0;
- SIMATIC STEP 7 (TIA Portal) V13;
- SIMATIC NET PC-Software V13;
- SINEMA Remote Connect Client;
- SIMATIC WinAC RTX 2010 SP2;
- SIMATIC WinAC RTX F 2010 SP2;
- SIMATIC IT Production Suite;
- SOFTNET Security Client V5.0;
- SIMIT V9.0;
- Security Configuration Tool (SCT);
- Primary Setup Tool (PST).

Az alábbi termékeknél, ha azok nem alapértelmezett konfigurációval üzemelnek, a Siemens azt javasolja, hogy a Siemens üzemeltetési útmutatójában foglaltak alapján kerüljön telepítésre az átmeneti javítás:

- SIMATIC WinCC V7.3 and V7.4,
- SIMATIC PCS 7 V8.1 and V8.2,
- SIMATIC WinCC Runtime Professional, and
- SIMATIC WinCC (TIA Portal) Professional.

További információkat a hibával kapcsolatban a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenységek a Phoenix Contact ILC PLC termékeiben

Matthias Niedermaier és Michael Kapfer, az augsburgi egyetem kutatói több hibát is találtak a Phoenix Contact ILC100-as sorozatú PLC-iben. A sérülékenységek minden, 100-as sorozatú ILC PLC-t érintenek. A hibák között van authentikáció megkerülést lehetővé tevő, érzékeny információk olvasható formában történő tárolásra visszavezethető hiba és egy, ami authentikáció nélkül engedi egyes kritikus PLC változók módosítását.

A gyártó elkészítette a hibák javítását tartalmazó új firmware-verziót, amit ügyfelei a céggel folytatott egyeztetés után kaphatnak meg. A Phoenix Contact továbbá számos kockázatcsökkentő intézkedést is javasol a sérülékeny PLC-kkel kapcsolatban:

- A PLC-ket publikus hálózatokon keresztül csak VPN alkalmazásával szabad távolról elérni;
- Tűzfalakkal kell szeparálni a PLC-ket a hálózat egyéb szegmenseitől;
- Az eszközök működéséhez nem nélkülözhetetlen alkalmazásokat és portokat le kell tiltani;
- A PLC-khez történő hozzáféréseket a lehetséges minimumra kell korlátozni;
- A gyári, alapértelmezett jelszavakat az eszközök első telepítése során meg kell változtatni és később is rendszeresen meg kell változtatni. A jelszavakban kis és nagy betűket, számjegyeket és speciális karaktereket is használni kell és legalább 10 karakter hosszúak legyenek;
- Rendszeres fenyegetés-elemzéssel kell biztosítani, hogy az alkalmazott biztonsági intézkedések megfelelőek-e;
- Biztonsági szoftverek telepítésével és rendszeres frissítésével biztosítani kell a kártékony kódok (vírusok, trójaiak) és az adathalász támadások elleni védelmet;
- Az ILC PLC 1x1 típusú eszközökben a 4.42-es firmware verziótól már lehetőség van HTTPS protokoll használatára és rendelkezésre áll a HTML5 a webszerver alapú HMI használatához;
- Az ILC PLC 100 sorozatú vezérlők esetén a gyártó biztonság- (safety) kritikus környezetekben nem ajánlja a kiegészítő biztonsági eszközök nélkül történő használatot!

A hibákról többet az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-313-01

Az ICS-CERT az összes, fenti hibával kapcsolatban a szokásos kockázatcsökkentő intézkedés-csomag alkalmazását javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!