December első napjaiban ismét számos ICS rendszerben felfedezett sérülékenységről adott ki tájékoztatókat az ICS-CERT.

Smiths-Medical CADD-Solis Medication Safety alkalmazás sérülékenységei

A CADD-Solis Medication Safety Software egy inzulin pumpák gyógyszeradagolásáért felelős alkalmazás, amiben Andrew Gothard, Newcastle-upon-Tyne-i kórházak munkatársa talált hibákat. A sérülékenységek a Smiths-Medical CADD-Solis Medication Safety alkalmazásának alábbi verzióit érintik:

- Smiths-Medical CADD-Solis Medication Safety Software, Version 1.0;
- Smiths-Medical CADD-Solis Medication Safety Software, Version 2.0;
- Smiths-Medical CADD-Solis Medication Safety Software, Version 3.0;
- Smiths-Medical CADD-Solis Medication Safety Software, Version 3.1.

Andrew Gothard egy jogosultságkezelési hibát és egy Man-in-the-middle sérülékenységet talált a fenti szoftverekben.

A gyártó kiadta a hibákat javító új szoftververziókat, az USA területén a Version 3.2, az USA-n kívül használt rendszerek számára a Version 4.1-et. A Smiths-Medical a javított verziókon túl az alábbi intékezdések végrehajtását javasolja az érintett szoftvereket használó ügyfeleinek:

- Biztonságosnak tekinthető jelszavakat használjanak (kis- és nagybetűk, számjegyek és speciális karakterek kombinálásával) és 8 vagy több karakterből álljanak;
- Hatékony Active Directory üzemeltetési eljárásokat kell kialakítani;
- A CADD-Solis Medication Safety Software számára service felhasználó kialakítása az SQL adatbázisban;
- Service felhasználókat kell használni a szervereken és az inzulin pumpáknál is;
- Használjanak VLAN tagging-et;
- Az SQL és Windows szerverek esetén hardening eljárásokat kell alkalmazni.

A sérülékenységekkel kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSMA-16-306-01

Advantech SUSIAccess Server sérülékenységek

Korábban már több ICS sérülékenységgel kapcsolatban említetésre került rgod neve, aki ezúttal is a ZDI-vel együttműködve talált 3 hibát az Advantech SUISAccess Server Version 3.0 és korábbi verzióiban. A hibák között egy jogosulatlan információ-hozzáférést lehetővé tevő, egy könyvtár-bejárási támadást lehetővé tevő és egy statikus kulccsal titkosított, beégetett admin jelszót alkalmazó hiba is van.

A gyártó az SUISAccess termékvonalhoz már nem biztosít támogatást, ezeket a termékeket a WISE-PaaS/RMM termékvonallal helyettesítette, így a hibák javítása sem várható.

A hibákról bővebb információ az ICS-CERT weboldalán található: https://ics-cert.us-cert.gov/advisories/ICSA-16-336-04

Mitsubishi Electric MELSEC-Q sorozatú Ethernet Interface modulok sérülékenységei

A Mitsubishi Electric Ethernet-PLC interface modulokban Vladimir Dashchenko, a Kaspersky Lab Critical Infrastructure Defense Team munkatársa talált több sérülékenységet. A hibák a MELSEC-Q sorozat alábbi modelljeit érintik:

- QJ71E71-100, minden verzió;
- QJ71E71-B5, minden verzió;
- QJ71E71-B2, minden verzió.

A fenti eszközökben most felfedezett hibák közül az egyik a gyenge kriptográfiai algoritmus alkalmazásából adódik, a másik hiba pedig egy támadónak lehetőséget ad arra, hogy az 5002/tcp porton keresztül egy szolgáltatás-megtagadásos támadással elérhetetlenné tegye a PLC-t és csak annak újraindítása után lesz ismét használható.

A gyártó új szoftververziót adott ki a 18072 és későbbi sorozatszámú eszközökhöz, amivel egy IP cím szűrési funkciót is implementált a szoftverben a QJ71E71-100, QJ71E71-B5 és QJ71E71-B2 Ethernet Interface modulokhoz. Az IP cím szűrés a Mitsubishi Electric jelentése szerint javítja az eszközök külső forrásból történő hozzéférés-védelmét, azonban teljes védelmet nem biztosít. További intézkedésként javasolják a kommunikáció titkosítását, pl. IPSec alkalmazásával. A gyenge titkosítási algoritmus hibájával kapcsolatban mostanáig nem történt gyártói intézkedés.

A fenti hibákkal kapcsolatban az ICS-CERT további intézkedéseket is javasol:

- Biztosítani kell, hogy minden, használaton kívüli port le van tiltva;
- A kommunikációs útvonalak biztosítását javasolt IPSec titkosítással megvalósítani;
- Az érintett eszközök üzemeltetőinek javasolt megfontolni Bump-in-the-Wire (BitW) megoldás alkalmazásával javítani az eszközök kommunikációjának biztonságán.

A hibákkal kapcsolatban további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-336-03

Moxa NPort eszközök sérülékenységei - újabb fejlemények

Még idén április 8-án jelentek meg információk a Moxa NPort eszközök súlyos sérülékenységeivel kapcsolatban (én is írtam róluk itt a blogon), most a Moxa megjelentette az érintett eszközökhöz a hibákat javító szoftver verziókat:

- NPort 5110 Version 2.6;
- NPort 5130/5150 Series Version 3.6;
- NPort 5200 Series Version 2.8;
- NPort 5400 Series Version 3.11;
- NPort 5600 Series Version 3.7;
- NPort 5100A Series & NPort P5150A Version 1.3;
- NPort 5200A Series Version 1.3;
- NPort 5150AI-M12 Series Version 1.2;
- NPort 5250AI-M12 Series Version 1.2;
- NPort 5450AI-M12 Series Version 1.2;
- NPort 5600-8-DT Series Version 2.4;
- NPort 5600-8-DTL Series Version 1.3;
- NPort 6x50 Series Version 1.14;
- NPort IA5450A Version 1.4;

A gyártó közlése szerint az NPort 6110-es eszközök 2008 december óta nem rendelkeznek gyártói támogatással, így a most megjelent patch-ek ehhez a típushoz nem kerülnek kiadásra. Az ICS-CERT az NPort eszközök sérülékenységeivel kapcsolatban további intézkedések bevezetését is javasolja:

- A 161/udp, 4800/udp és 4900/tcp portokat csak megbízható rendszerekből szabad elérhetővé tenni. A 4800/udp és 4900/tcp portok elérésének szigorítása kihatással lesz az érintett rendszerek távoli adminisztrálására!
- Meg kell bizonyosodni arról, hogy a nem használt portok legyenek letiltva.

Az áprilisi hibákkal kapcsolatban most megjelent információkról többet az ICS-CERT bejelentéséből lehet megtudni: https://ics-cert.us-cert.gov/advisories/ICSA-16-336-02

Siemens SICAM PAS sérülékenységek

Ilya Karpov és Dmitry Sklyarov, a Positive Technologies, valamint Sergey Temnikov és Vladimir Dashchenko, a Kaspersky Lab Critical Infrastructure Defense Team munkatársai közös munkájuk során fedeztek fel 4 hibát a Siemens SICAM PAS eszközeiben.

A hibák között gyárilag beégetett jelszavak (a hiba SICAM PAS 8.00-nál régebbi verzióit érinti), jelszavak visszafejthető formában történő tárolása (a hiba SICAM PAS 8.00-nál régebbi verzióit érinti). További hibák lehetővé teszik, hogy támadók a 19235/tcp porton keresztül fájlokat töltsenek fel vagy le, illetve töröljenek az érintett rendszerekből, a 19234/tcp porton keresztül pedig szolgáltatás-megtagadásos támadást illetve authentikáció nélküli távoli kódfuttatást hajtsanak végre (mindkét hiba a SICAM PAS összes verzióját érinti). Ez utóbbi két hibát (és természetesen azokat is, amelyek csak a 8.00-nál régebbi verziókat érintik) a gyártó a SICAM PAS 8.08-as verzióban már javította.

További információkat a sérülékenységekkel kapcsolatban a Siement ProductCERT-en és az ICS-CERT bejelentésében lehet olvasni.

Az összes, december 1-jén megjelent sérülékenységgel kapcsolatban érvényesek az ICS-CERT általános kockázatcsökkentést célzó intézkedésekre vonatkozó javaslatai:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!