A tegnapi napon ismét több ICS rendszerre vonatkozóan publikált sérülékenységi információkat az ICS-CERT (illetve egy esetben ennek nyomán a ZDI).
Advantech WebAccess sérülékenységek
Az Advantech WebAccess termékeivel kapcsolatban nem először írok különböző sérülékenységekről, ezúttal a Tenable Network Security nevű cég (többek között a Nessus automatizált sérülékenységvizsgáló eszköz gyártója) fedezett fel két hibát a WebAccess 8.1-es verziójában. Az első hiba egy SQLi, a második pedig authentikáció megkerülést tesz lehetővé.
A gyártó a fenti hibák a WebAccess 8.2-es verziójában javította, amit innen lehet letölteni.
A sérülékenységekkel kapcsolatban további információkat az ICS-CERT illetve a ZDI bejelentéseiben lehet olvasni.
VideoInsight Web Client sérülékenység
A VideoInsight Web Client nevű termékében Juan Pablo Lopez Yacubian, szabadúszó argentín biztonsági szakember fedezett fel egy SQLi hibát, ami a 6.3.5.11 és ezt megelőző verziókban található meg. A gyártó a hibát a 6.3.6.11-es verzióban javította, a hibát felfedező szakember pedig tesztelte, hogy valóban javítja a hibát. A javított verzió elérhető a gyártó weboldalán: www.downloadvi.com
A hibáról további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-012-02
Sérülékenységek Carlo Gavazzi VMU-C rendszerekben
Karn Ganeshen neve szintén nem ismeretlen az ICS sérülékenységekkel foglalkozók körében, ezúttal a Carlo Gavazzi által gyártott VMU-C eszközökben fedezett fel több sérülékenységet.
A hibák a VMU-C berendezések alábbi típusait és firmware-verzióit érintik:
- VMU-C EM A11_U05-nél korábbi firmware esetén és
- VMU-C PV A17-nél korábbi firmware használata esetén.
A sérülékenységek között az első authentikáció nélkül is hozzáférést biztosít a rendszer legtöbb (de nem az összes) funkciójához. A második sérülékenység CSRF-támadást teszt lehetővé, a harmadik pedig abból adódik, hogy a rendszer egyes bizalmas információkat sima szöveges fájlokban, olvasható formában tárol.
A gyártó a hibákat a VMU-C EM berendezések esetén az A11_U05-ös, a VMU-C PV berendezéseknél az A17-es firmware-ben javította, a javított verziók elérhetőek a Carlo Gavazzi weboldalán: http://www.gavazzi-automation.com/nsc/HQ/EN/energy_efficiency_monitoring
A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-012-03
Az ICS-CERT a most publikált hibák esetén is az általánosan használható kockázatcsökkentési intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!