Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek LXXXVIII

Sérülékenységek Honeywell XL, BD Alaris és Sielco Sistemi Winlog rendszerekben

2017. február 09. - icscybersec

Az elmúlt egy hét ismét termékenynek bizonyult ICS sérülékenységek terén, három gyártó különböző temrékeivel kapcsolatban jelentek meg új sérülékenységi információk.

Honeywell XL sérülékenységek

A Honeywell XL termékcsaládjának alábbi tagjaiban Maxim Rupp független biztonsági kutató fedezett fel 5 különböző hibát:

- XL1000C500 XLWebExe-2-01-00 és korábbi verziói;
- XLWeb 500 XLWebExe-1-02-08 és korábbi verziói.

A hibák között olvasható formában tárolt jelszó, nem megfelelően védett felhasználói adatok, nem megfelelő jogosultság-kezelés, könyvtárbejárást lehetővé tevő hiba mellett egy olyan hiba is található, amivel egy támadó egy már authentikált felhasználói munkamenetet tud átvenni. A gyártó a hibákat a 3.04.05.05-ös verzióban javította a hibákat.

A sérülékenységekről további információkat az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-033-01

BD Alaris sérülékenységek

A Becton, Dickinson and Company (BD) több termékében is olyan hibát fedezett fel, ami miatt a felhasználói adatok védelme kijátszható. A hiba az alábbi termékeket érinti:

- Alaris 8000 PC, minden verzió;
- Alaris 8015 PC, Version 9.5 és korábbi verziók;
- Alaris 8015 PC, Version 9.7 és korábbi verziók.

A hibával kapcsolatban a gyártó nem tervezi javítás kiadását, azonban a kockázatok csökkentését célzó javaslatokat tett a hiba által érintett termékeit használóknak:

- A felhasználóknak javasolt telepíteni egy fizikai eszközök kezelését naplózó rendszert, amivel az eszközök követése és leltározása történik;
- Az Alaris PC eszközök vezeték nélküli kapcsolatainak authentikációs adatait javasolt törölni, ha az eszközöket le kell szerelni vagy szállítani kell. A vezeték nélküli kapcsolat authentikációs adatainak törlési eljárását az Alaris System Maintenance Software User Manual című kézikönyv tartalmazza;
- Javasolt rendszeresen változtatni az érintett Alaris PC típusú eszközökön a vezeték nélküli kapcsolathoz használt authentikációs adatokat. Amennyiben felmerül annak a lehetősége, hogy valaki fizikailag hozzáférhetett egy, a sérülékenység által érintett Alaris PC-hez, javasolt azonnal megváltoztatni az authentikációs adatokat;
- Amennyiben az eszközökön nincs használatban a vezeték nélküli kommunikáció lehetősége, javasolt a vezeték nélküli authentikáció beállítását nélkülözni;
- Javasolt ACL-ekkel szűrni, hogy mely fizikai (MAC) és logikai (IP) címekről illetve portokon, protokollokon és szolgáltatásokkal lehet elérni a sérülékenység által érintett Alaris PC eszközöket;
- Javasolt az Alaris PC-ket egy szeparált, dedikált SSID-vel ellátott hálózatban elhelyezni. A BD azt is javasolja, hogy gyakran változzon az SSID és a vezeték nélküli kapcsolathoz használt authentikációs adatok. (Én személy szerint az authentikációhoz használt adatok változtatásának lelkes híve vagyok, de az SSID változatását értelmetlennek tartom, valószínűleg annyi eredménye lehet, hogy az üzemeltető személyzetnek kicsit nehézkesebb lesz fejben tartani a rendszeres SSID változásokat, de egy támadót maximum 1-2 percre tart fel egy ilyen "biztonsági intézkedés").

A fenti hibákkal kapcsolatban az ICS-CERT két bejelentést is publikált:
https://ics-cert.us-cert.gov/advisories/ICSMA-17-017-01
https://ics-cert.us-cert.gov/advisories/ICSMA-17-017-02

A gyártó által kiadott, Alaris PC modell 8015-höz kiadott biztonsági közlemény itt érhető el: http://www.carefusion.com/customer-support/alerts-and-notices/product-security-bulletin-for-alaris-pc-unit-model-8000

Sielco Sistemi Winlog SCADA Software sérülékenység

Karn Ganeshen független biztonsági kutató egy DLL hijacking-et lehetővé tevő hibát fedezett fel az olasz Sielco Sistemi Winlog SCADA nevű szoftverének alábbi verzióiban:

- Winlog Lite SCADA Software 3.02.01 előtti verziói;
- Winlog Pro SCADA Software 3.02.01 előtti verziói.

A gyártó a hibát a Winlog SCADA legújabb verziójában javította és az új verziót elérhetővé tette a weboldalán: https://www.sielcosistemi.com/en/download/public/download.html

A sérülékenységgel kapcsolatos további részletek az ICS-CERT bejelentésében érhetőek el: https://ics-cert.us-cert.gov/advisories/ICSA-17-038-01

A hibákkal kapcsolatban az ICS-CERT a már ismert kockázatcsökkentő intézkedések alkalmazását javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr4912243686

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása