December első napjaiban ismét számos ICS rendszerben felfedezett sérülékenységről adott ki tájékoztatókat az ICS-CERT.
Smiths-Medical CADD-Solis Medication Safety alkalmazás sérülékenységei
A CADD-Solis Medication Safety Software egy inzulin pumpák gyógyszeradagolásáért felelős alkalmazás, amiben Andrew Gothard, Newcastle-upon-Tyne-i kórházak munkatársa talált hibákat. A sérülékenységek a Smiths-Medical CADD-Solis Medication Safety alkalmazásának alábbi verzióit érintik:
- Smiths-Medical CADD-Solis Medication Safety Software, Version 1.0;
- Smiths-Medical CADD-Solis Medication Safety Software, Version 2.0;
- Smiths-Medical CADD-Solis Medication Safety Software, Version 3.0;
- Smiths-Medical CADD-Solis Medication Safety Software, Version 3.1.
Andrew Gothard egy jogosultságkezelési hibát és egy Man-in-the-middle sérülékenységet talált a fenti szoftverekben.
A gyártó kiadta a hibákat javító új szoftververziókat, az USA területén a Version 3.2, az USA-n kívül használt rendszerek számára a Version 4.1-et. A Smiths-Medical a javított verziókon túl az alábbi intékezdések végrehajtását javasolja az érintett szoftvereket használó ügyfeleinek:
- Biztonságosnak tekinthető jelszavakat használjanak (kis- és nagybetűk, számjegyek és speciális karakterek kombinálásával) és 8 vagy több karakterből álljanak;
- Hatékony Active Directory üzemeltetési eljárásokat kell kialakítani;
- A CADD-Solis Medication Safety Software számára service felhasználó kialakítása az SQL adatbázisban;
- Service felhasználókat kell használni a szervereken és az inzulin pumpáknál is;
- Használjanak VLAN tagging-et;
- Az SQL és Windows szerverek esetén hardening eljárásokat kell alkalmazni.
A sérülékenységekkel kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSMA-16-306-01
Advantech SUSIAccess Server sérülékenységek
Korábban már több ICS sérülékenységgel kapcsolatban említetésre került rgod neve, aki ezúttal is a ZDI-vel együttműködve talált 3 hibát az Advantech SUISAccess Server Version 3.0 és korábbi verzióiban. A hibák között egy jogosulatlan információ-hozzáférést lehetővé tevő, egy könyvtár-bejárási támadást lehetővé tevő és egy statikus kulccsal titkosított, beégetett admin jelszót alkalmazó hiba is van.
A gyártó az SUISAccess termékvonalhoz már nem biztosít támogatást, ezeket a termékeket a WISE-PaaS/RMM termékvonallal helyettesítette, így a hibák javítása sem várható.
A hibákról bővebb információ az ICS-CERT weboldalán található: https://ics-cert.us-cert.gov/advisories/ICSA-16-336-04
Mitsubishi Electric MELSEC-Q sorozatú Ethernet Interface modulok sérülékenységei
A Mitsubishi Electric Ethernet-PLC interface modulokban Vladimir Dashchenko, a Kaspersky Lab Critical Infrastructure Defense Team munkatársa talált több sérülékenységet. A hibák a MELSEC-Q sorozat alábbi modelljeit érintik:
- QJ71E71-100, minden verzió;
- QJ71E71-B5, minden verzió;
- QJ71E71-B2, minden verzió.
A fenti eszközökben most felfedezett hibák közül az egyik a gyenge kriptográfiai algoritmus alkalmazásából adódik, a másik hiba pedig egy támadónak lehetőséget ad arra, hogy az 5002/tcp porton keresztül egy szolgáltatás-megtagadásos támadással elérhetetlenné tegye a PLC-t és csak annak újraindítása után lesz ismét használható.
A gyártó új szoftververziót adott ki a 18072 és későbbi sorozatszámú eszközökhöz, amivel egy IP cím szűrési funkciót is implementált a szoftverben a QJ71E71-100, QJ71E71-B5 és QJ71E71-B2 Ethernet Interface modulokhoz. Az IP cím szűrés a Mitsubishi Electric jelentése szerint javítja az eszközök külső forrásból történő hozzéférés-védelmét, azonban teljes védelmet nem biztosít. További intézkedésként javasolják a kommunikáció titkosítását, pl. IPSec alkalmazásával. A gyenge titkosítási algoritmus hibájával kapcsolatban mostanáig nem történt gyártói intézkedés.
A fenti hibákkal kapcsolatban az ICS-CERT további intézkedéseket is javasol:
- Biztosítani kell, hogy minden, használaton kívüli port le van tiltva;
- A kommunikációs útvonalak biztosítását javasolt IPSec titkosítással megvalósítani;
- Az érintett eszközök üzemeltetőinek javasolt megfontolni Bump-in-the-Wire (BitW) megoldás alkalmazásával javítani az eszközök kommunikációjának biztonságán.
A hibákkal kapcsolatban további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-336-03
Moxa NPort eszközök sérülékenységei - újabb fejlemények
Még idén április 8-án jelentek meg információk a Moxa NPort eszközök súlyos sérülékenységeivel kapcsolatban (én is írtam róluk itt a blogon), most a Moxa megjelentette az érintett eszközökhöz a hibákat javító szoftver verziókat:
- NPort 5110 Version 2.6;
- NPort 5130/5150 Series Version 3.6;
- NPort 5200 Series Version 2.8;
- NPort 5400 Series Version 3.11;
- NPort 5600 Series Version 3.7;
- NPort 5100A Series & NPort P5150A Version 1.3;
- NPort 5200A Series Version 1.3;
- NPort 5150AI-M12 Series Version 1.2;
- NPort 5250AI-M12 Series Version 1.2;
- NPort 5450AI-M12 Series Version 1.2;
- NPort 5600-8-DT Series Version 2.4;
- NPort 5600-8-DTL Series Version 1.3;
- NPort 6x50 Series Version 1.14;
- NPort IA5450A Version 1.4;
A gyártó közlése szerint az NPort 6110-es eszközök 2008 december óta nem rendelkeznek gyártói támogatással, így a most megjelent patch-ek ehhez a típushoz nem kerülnek kiadásra. Az ICS-CERT az NPort eszközök sérülékenységeivel kapcsolatban további intézkedések bevezetését is javasolja:
- A 161/udp, 4800/udp és 4900/tcp portokat csak megbízható rendszerekből szabad elérhetővé tenni. A 4800/udp és 4900/tcp portok elérésének szigorítása kihatással lesz az érintett rendszerek távoli adminisztrálására!
- Meg kell bizonyosodni arról, hogy a nem használt portok legyenek letiltva.
Az áprilisi hibákkal kapcsolatban most megjelent információkról többet az ICS-CERT bejelentéséből lehet megtudni: https://ics-cert.us-cert.gov/advisories/ICSA-16-336-02
Siemens SICAM PAS sérülékenységek
Ilya Karpov és Dmitry Sklyarov, a Positive Technologies, valamint Sergey Temnikov és Vladimir Dashchenko, a Kaspersky Lab Critical Infrastructure Defense Team munkatársai közös munkájuk során fedeztek fel 4 hibát a Siemens SICAM PAS eszközeiben.
A hibák között gyárilag beégetett jelszavak (a hiba SICAM PAS 8.00-nál régebbi verzióit érinti), jelszavak visszafejthető formában történő tárolása (a hiba SICAM PAS 8.00-nál régebbi verzióit érinti). További hibák lehetővé teszik, hogy támadók a 19235/tcp porton keresztül fájlokat töltsenek fel vagy le, illetve töröljenek az érintett rendszerekből, a 19234/tcp porton keresztül pedig szolgáltatás-megtagadásos támadást illetve authentikáció nélküli távoli kódfuttatást hajtsanak végre (mindkét hiba a SICAM PAS összes verzióját érinti). Ez utóbbi két hibát (és természetesen azokat is, amelyek csak a 8.00-nál régebbi verziókat érintik) a gyártó a SICAM PAS 8.08-as verzióban már javította.
További információkat a sérülékenységekkel kapcsolatban a Siement ProductCERT-en és az ICS-CERT bejelentésében lehet olvasni.
Az összes, december 1-jén megjelent sérülékenységgel kapcsolatban érvényesek az ICS-CERT általános kockázatcsökkentést célzó intézkedésekre vonatkozó javaslatai:
- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!