Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek XCI

Siemens RuggedCom, VIPA Controls, Red Lion Controls és Schneider Electric rendszerek sérülékenységei

Facebook Tumblr Tweet Pinterest Tetszik
0
2017. február 26. - icscybersec

Az elmúlt hét ismét elég erős termést hozott az ICS rendszerek sérülékenységei terén.

Siemens RuggedCom NMS webes sérülékenységek

A Siemens ProductCERT bejelentése alapján a RuggedCom NMS rendszer V2.1-nél korábbi minden (Windows-on és Linux-on futó) verziója tartalmaz egy-egy CSRF és XSS sérülékenységet.

A gyártó a hibákat a V2.1-es NMS verzióban javította és az új verzió telepítése mellett a weboldalán elérhető üzemeltetési útmutatóban leírtak alkalmazását javasolja.

A hibákkal kapcsolatban további információkat a Siemens ProductCERT bejelentése tartalmaz: http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-363881.pdf

VIPA Controls WinPLC7 sérülékenység

A TrendMicro-hoz tartozó ZDI kutatója, Ariele Caltabiano (kimiya) egy puffer túlcsordulásos hibát talált a VIPA Controls nevű ICS gyártó WinPLC7 termékének 5.0.45.5921 és ennél korábbi verzióiban. A gyártó közzétett a hibával kapcsolatban egy javítást, ami innen tölthető le.

A sérülékenységről további információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-054-01

Red Lion Controls termékek sérülékenységei

Mark Cross, a RIoT Solutions munkatársa beégetett titkosítási kulcsokat fedezett fel a Red Lion Controls alábbi termékeiben:

- Sixnet-Managed Industrial Switches, ha 5.0.196 vagy korábbi firmware-verziókat futtatnak;
- Az AutomationDirect által forgalmazott, de Red Lion Controls által gyártott Stride-Managed Ethernet Switches, ha 5.0.190 vagy korábbi firmware-verziókat futtatnak.

A gyártó a hibák javítására kiadta az SLX nevű firmware 5.3.174-es verzióját, amit innen lehet letölteni. Az AutomationDirect a Stride-Managed Ethernet Switches-hez használható firmware bináris itt érhető el: http://support.automationdirect.com/firmware/binaries.html

A hibával kapcsolatban további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-054-02

Schneider Electric Modicon M340 PLC sérülékenység

Luis Francisco Martin Liras jelentette a Schneider Electric-nek azt a hibát, amit a Modicon M340 PLC-család alábbi tagjainak 2.9-esnél korábbi firmware-verzióiban talált:

- BMXNOC0401;
- BMXNOE0100;
- BMXNOE0110;
- BMXNOE0110H;
- BMXNOR0200H;
- BMXP341000;
- BMXP342000;
- BMXP3420102;
- BMXP3420102CL;
- BMXP342020;
- BMXP342020H;
- BMXP342030;
- BMXP3420302;
- BMXP3420302H;
- BMXP342030H.

A hibát kihasználva egy támadó megfelelően kialakított hálózati csomagokkal képes lehet a PLC-ket lefagyasztani, ami után csak a fizikai újraindítással lehet ismét használható állapotba hozni az érintett berendezéseket.

A gyártó a hiba hatását csökkentő új (2.9-es) firmware-verziót elérhetővé tette a weboldalán: http://www.schneider-electric.com/en/download/document/BMXP342000_V29/

A hibával kapcsolatban részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-054-03

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat laborkörülményekben célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szólj hozzá!
Siemens Schneider Electric ICS sérülékenység VIPA Controls Red Lion Controls

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr5412294849

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása