Ez a hét ismét több új ICS rendszerrel kapcsolatban hozott új sérülékenységeket.
Visonic PowerLink2 sérülékenységek
A Visonic PowerLink2 minden, 2016 októbere előtt megjelent firmware-verzióját érintő sérülékenységet Aditya K. Sood fedezte fel. A hibák között XSS és bizalmas rendszeradatokat hozzáférhetővé tevő hiba is található.
A gyártó a még támogatással rendelkező verziókat használó ügyfeleknek a 2016 októberinél későbbi firmware-re történő frissítést javasolják, a gyártói támogatással nem rendelkező verzióknál pedig a frissebb verzióra váltást ajánlják.
A hibákkal kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-348-01
Moxa DACenter sérülékenységek
Zhou Yu független biztonsági kutató a Moxa DACenter nevű OPC interfész-megoldásában talált több hibát. A hibák a DACenter 1.4 és ennél régebbi verzióit érinti. A sérülékenységek között program-összeomlást előidéző és nem megfelelően kezelt keresési feltételek okozta hibák találhatóak.
Mivel a DACenter termékvonal az életciklusa végén jár, a gyártó az MX-AOPC UA termékre történő váltást ajánlja minden, érintett terméket használó ügyfele számára. A DACenter számára a Moxa nem készít olyan frissítést, ami ezeket a hibákat javítaná. Azon ügyfelek számára, akik sérülékeny DACenter verziót használnak, a Moxa az ügyféltámogatási csoporttal történő kapcsolatfelvételt javasolja.
A sérülékenységekről további információkat az ICS-CERT publikációjából lehet megtudni: https://ics-cert.us-cert.gov/advisories/ICSA-16-348-02
Sérülékenységek Delta Electronics termékekben
A TrendMicro-hoz tartozó ZDI biztonsági kutatói, axt és Ariele Caltabiano több sérülékenységet találtak a Delta Electronics alábbi termékeiben:
- WPLSoft V2.42.11-nél korábbi verziói;
- ISPSoft 3.02.11-nél korábbi verziói és
- PMSoft 2.10.10-nél korábbi verziói.
A hibák között puffer-túlcsordulást illetve szabálytalan fájl olvasást és végrehajtást lehetővé tevő hiba is található.
A sérülékenységekkel kapcsolatban a gyártó az alábbi verziókra történő frissítést javasolja:
- ISPSoft V3.02.11;
- PMSoft V2.10.10;
- WPLSoft V2.42.11;
A hibákról több információt az ICS-CERT weboldalán és a ZDI alábbi publikációiban lehet olvasni:
http://www.zerodayinitiative.com/advisories/ZDI-16-672/
http://www.zerodayinitiative.com/advisories/ZDI-16-663/
http://www.zerodayinitiative.com/advisories/ZDI-16-662/
http://www.zerodayinitiative.com/advisories/ZDI-16-661/
http://www.zerodayinitiative.com/advisories/ZDI-16-660/
http://www.zerodayinitiative.com/advisories/ZDI-16-659/
http://www.zerodayinitiative.com/advisories/ZDI-16-658/
http://www.zerodayinitiative.com/advisories/ZDI-16-657/
http://www.zerodayinitiative.com/advisories/ZDI-16-656/
http://www.zerodayinitiative.com/advisories/ZDI-16-655/
http://www.zerodayinitiative.com/advisories/ZDI-16-654/
http://www.zerodayinitiative.com/advisories/ZDI-16-653/
http://www.zerodayinitiative.com/advisories/ZDI-16-652/
http://www.zerodayinitiative.com/advisories/ZDI-16-651/
http://www.zerodayinitiative.com/advisories/ZDI-16-650/
http://www.zerodayinitiative.com/advisories/ZDI-16-649/
OmniMetrix OmniView sérülékenységek
Az OmniMetrix OmniView nevű, vezérlőközpontokban használt rendszerében Bill Voltmer, az Elation Technologies LLC munkatársa talált két sérülékenységet is. A hibák az OmniView 1.2-es verzióját érintik. Az első hiba a webes bejelentkezési adatok titkosítás nélkül http-csatornán történő továbbítása, a második pedig lehetőséget ad támadóknak, hogy brute-force támadást hajtsanak végre a felhasználói jelszavak kitalálása érdekében.
A gyártó a hibákat a legújabb verzióban javította, ettől a verziótól kezdve az alkalmazás https protokollt használ és kötelező erős jelszavakat használni.
A hibával kapcsolatban további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-350-02
Siemens Desigo PX Web modul sérülékenységek
A Siemens Desigo PX webes moduljában Marcella Hastings, Joshua Fried és Nadia Heninger, a Pennsylvania Egyetem munkatársai találtak egy gyenge véletlenszám-generáló alkalmazás használatából adódó sérülékenységet. A hiba az alábbi termékeket érinti:
- Desigo PX PXC00-E.D, PXC50-E.D, PXC100-E.D, PXC200-E.D automatizálási vezérlők PXA40-W0, PXA40-W1, PXA40-W2 Desigo PX web moduljai, amik a V6.00.046-nál korábbi firmware verziókat használják;
- Desigo PX PXC00-U, PXC64-U, PXC128-U automatizálási vezérlők P PXA30-W0, PXA30-W1, PXA30-W2 Desigo PX web moduljai, amik a V6.00.046-nál korábbi firmware verziókat használják.
A sérülékenység abból adódik, hogy a nem kellően véletlenszerű véletlenszám-generáló alkalmazás használata miatt a https-titkosításhoz használt privát kulcsot egy támadó bizonyos körülmények között képes lehet megszerezni.
A hibát a Siemens a Desigo PX Web modulok V6.00.046-os firmware-verziójában javította.
A hibával kapcsolatban további információkat a Siemens ProductCERT publikációja tartalmaz: http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-856492.pdf
Szerk: A hibával kapcsolatban megjelent az ICS-CERT publikációja is: https://ics-cert.us-cert.gov/advisories/ICSA-16-355-01
Fatek Automation PLC WinProladder sérülékenység
A Fatek Automation PLC WinProladder nevű termékében egy, a ZDI-vel együttműködő kutató talált puffer-túlcsordulást okozó hibát. A hiba a PLC WinProladder 3.11-es verziójának 14701-es build-jét érinti. A gyártó mindezidáig nem készített javítást a hibára, ezért a ZDI felvette a kapcsolatot az ICS-CERT-tel, majd saját szabályai szerint publikálta a sérülékenység részleteit.
További információkat a hibáról az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-350-01
A hibákkal kapcsolatban az ICS-CERT ezúttal is a szokásos kockázatcsökkentő intézkedések alkalmazását javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!