5 nap telt el 2017-ből és máris itt vannak az első ICS rendszereket értintő sérülékenységekről szóló publikációk.

Sérülékenység Rockwell Automation Logix5000 programozható automatizálási vezérlőkben

Az ICS-CERT bejelentése szerint a gyártó egy stack-alapú puffer-túlcsordulási hibát azonosított a Logix5000 vezérlőiben, ami egyes, FRN 16.00 és későbbi firmware-verziókat futtató eszközöket érinti:

FRN 16.00:
- ControlLogix 5560-as kontrollerek (V16.020-tól V16.022-ig);
- ControlLogix L55-ös kontrollerek (V16.020-tól V16.022-ig);
- ControlLogix 5560-as redundáns kontrollerek (V16.020-tól V16.022-ig);
- GuardLogix 5560-as kontrollerek (minden verzió);
- FlexLogix L34-es kontrollerek (minden verzió);
- 1769 CompactLogix L23x-es kontrollerek (minden verzió);
- 1769 CompactLogix L3x-es kontrollerek (V16.020-tól V16.023-ig) és
- 1768 CompactLogix L4x-es kontrollerek, (V16.020-tól V16.025-ig).

FRN 17.00:
- SoftLogix 5800-as kontrollerek (minden verzió);
- ControlLogix 5560-as kontrollerek (minden verzió);
- GuardLogix 5560-as kontrollerek (minden verzió);
- 1769 CompactLogix L23x-es kontrollerek (minden verzió);
- 1769 CompactLogix L3x-es kontrollerek (minden verzió) és
- 1768 CompactLogix L4x-es kontrollerek (minden verzió).

FRN 18.00:
- SoftLogix 5800-as kontrollerek (minden verzió);
- RSLogix Emulate 5000-es kontrollerek (minden verzió);
- ControlLogix 5560-as kontrollerek (minden verzió);
- ControlLogix 5570-es kontrollerek (minden verzió);
- GuardLogix 5560-as kontrollerek (minden verzió);
- 1769 CompactLogix L23x-es kontrollerek (minden verzió);
- 1769 CompactLogix L3x-es kontrollerek (minden verzió);
- 1768 CompactLogix L4x-es kontrollerek (minden verzió) és
- 1768 Compact GuardLogix L4xS-es kontrollerek (minden verzió).

FRN 19.00:
- SoftLogix 5800-as kontrollerek (minden verzió);
- RSLogix Emulate 5000-es kontrollerek (minden verzió);
- ControlLogix 5560-as kontrollerek (minden verzió);
- ControlLogix 5570-es kontrollerek (minden verzió);
- ControlLogix 5560 redundáns kontrollerek (minden verzió);
- GuardLogix 5560-as kontrollerek (minden verzió);
- 1769 CompactLogix L23x-es kontrollerek (minden verzió);
- 1769 CompactLogix L3x-es kontrollerek (minden verzió);
- 1768 CompactLogix L4x-es kontrollerek (minden verzió) és
- 1768 Compact GuardLogix L4xS-es kontrollerek (minden verzió);

FRN 20.00:
- SoftLogix 5800-as kontrollerek (minden verzió);
- RSLogix Emulate 5000-es kontrollerek (minden verzió);
- ControlLogix 5560-as kontrollerek (V20.010-től V20.013-ig);
- ControlLogix 5570-es kontrollerek (V20.010-től V20.013-ig);
- ControlLogix 5560 redundáns kontrollerek (V20.050-től V20.055-ig);
- ControlLogix 5570 redundáns kontrollerek (V20.050-től V20.055-ig);
- GuardLogix 5560-as kontrollerek (V20.010-től V20.017-ig);
- GuardLogix 5570-es kontrollerek (V20.010-től V20.017-ig);
- 1769 CompactLogix L23x-es kontrollerek (V20.010-től V20.013-ig);
- 1769 CompactLogix L3x-es kontrollerek (V20.010-től V20.013-ig);
- 1769 CompactLogix 5370 L1 kontrollerek (V20.010-től V20.013-ig);
- 1769 CompactLogix 5370 L2 kontrollerek (V20.010-től V20.013-ig);
- 1769 CompactLogix 5370 L3 kontrollerek (V20.010-től V20.013-ig);
- 1768 CompactLogix L4x-es kontrollerek (V20.011-től V20.016-ig) és
- 1768 Compact GuardLogix L4xS-es kontrollerek (V20.011-től V20.016-ig).

FRN 21.00:
- SoftLogix 5800-as kontrollerek (minden verzió);
- RSLogix Emulate 5000-es kontrollerek (minden verzió);
- ControlLogix 5570-es kontrollerek (minden verzió);
- ControlLogix 5570 redundáns kontrollerek (minden verzió);
- GuardLogix 5570-es kontrollerek (minden verzió);
- 1769 CompactLogix 5370 L1 kontrollerek (minden verzió);
- 1769 CompactLogix 5370 L2 kontrollerek (minden verzió) és
- 1769 CompactLogix 5370 L3 kontrollerek (minden verzió).

A gyártó a FlexLogix kontrollerek kivételével az összes érintett termékhez új verziójú firmware-verziókat adott ki, amikben javította a hibát.

A Rockwell Automation minden ügyfelének azt javasolja, hogy elővigyázatosságból és a mostanihoz hasonló puffer-túlcsordulási hibák okozta kockázatok csökkentése érdekében, amikor lehetséges, hajtsák végre az alábbi intézkedéseket:

- Megfelelő hálózatbiztonsági kontrollokat (pl. tűzfalakat) kell alkalmazni annak biztosítására, hogy csak engedélyezett helyekről lehessen elérni az eszközöket;
- Az ipari zónán kívülről blokkolni kell minden hálózati forgalmat a 2222/tcp, 2222/udp illetve 44818/tcp és 44818/udp portokon;
- Amennyiben lehetséges, a kontrollereket RUN módban kell működtetni Remote RUN vagy Remote Program mód helyett és így megelőzni minden kártékony célú módosítást.

A hibával kapcsolatban további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-343-05

Rockwell Automation MicroLogix 1100 és 1400 típusú eszközök sérülékenységek

Az ICS-CERT publikációja szerint Alexey Osipov és Ilya Karpov, a Positive Technologies munkatársai több hibát is azonosítottak az Allen-Bradley MicroLogix 1100-as vezérlők alábbi verzióiban:

- 1763-L16AWA, A és B sorozatú eszközök, amik a 14.000 és korábbi firmware-verziókat használják;
- 1763-L16BBB, A és B sorozatú eszközök, amik a 14.000 és korábbi firmware-verziókat használják;
- 1763-L16BWA, A és B sorozatú eszközök, amik a 14.000 és korábbi firmware-verziókat használják és
- 1763-L16DWD, A és B sorozatú eszközök, amik a 14.000 és korábbi firmware-verziókat használják.

Ugyancsak érintettek az 1400-as vezérlők alábbi verziói:

- 1766-L32AWA, A és B sorozatú eszközök, amik a 15.004 és korábbi firmware-verziókat használják;
- 1766-L32BWA, A és B sorozatú eszközök, amik a 15.004 és korábbi firmware-verziókat használják;
- 1766-L32BWAA, A és B sorozatú eszközök, amik a 15.004 és korábbi firmware-verziókat használják;
- 1766-L32BXB, A és B sorozatú eszközök, amik a 15.004 és korábbi firmware-verziókat használják;
- 1766-L32BXBA, A és B sorozatú eszközök, amik a 15.004 és korábbi firmware-verziókat használják és
- 1766-L32AWAA, A és B sorozatú eszközök, amik a 15.004 és korábbi firmware-verziókat használják.

A hibák között érzékeny információk olvasható formában történő továbbítása és adminisztrátori funkciók nem megfelelő kezelését lehetővé tévő hiba található.

A gyártó a hibákat az alábbi, új firmware-verziókban javította:

- 15.000 a MicroLogix 1100 B sorozatú eszközök esetében és
- 16.000 a MicroLogix 1400 B sorozatú eszközök számára.

A MicroLogix 1100 és 1400 típusú eszközök A sorozataihoz a firmware-verziók esetén a gyártó a hibát már nem javítja. Azoknak az ügyfeleknek, akik még A sorozatú berendezéseket használnak, a gyártó azt javasolja, hogy ha megtehetik, tiltsák le a webszerver működését. Ez az intézkedés megfelelő védelmet jelent a most felfedezett hibák kihasználása ellen.

A sérülékenységekről bővebb információt az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-336-06

A fenti hibákkal kapcsolatban az ICS-CERT ezúttal is a szokásos kockázatcsökkentő intézkedések alkalmazását javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!