Az elmúlt néhány napban több Schneider Electric termékkel kapcsolatban jelentek meg friss sérülékenységi információk.
Schneider Electric Wonderware Intelligence sérülékenység
A Schneider Electric házon belül talált egy, a felhasználói adatok kezelésével kapcsolatos hibát a Wonderware Intelligence 2014R3 és korábbi verzióiba beágyazottan használt Tableau Server/Desktop szoftver 7.0-tól 10.1.3-ig terjedő verzióiban. A hibát kihasználva egy támadó adminisztrátori szintű jogosultságot szerezhet a sérülékeny rendszereken.
A gyártó a hibát az alább felsorolt verziókban javította:
Tableau Analytics Dashboard Server v10.1.4
Tableau Analytics Client v10.1.4
Wonderware Intelligence 2014 R3
A sérülékenységről további információkat a Schneider Electric és az ICS-CERT publikációi tartalmaznak.
Schneider Electric ClearSCADA sérülékenység
Sergey Temnikov és Vladimir Dashchenko, a Kapersky Lab Critical Infrastructure Defense Team-jének munkatársai fedeztek fel egy sérülékenységet a Schneider Electric ClearSCADA termékének alábbi verzióiban:
- ClearSCADA 2014 R1 (build 75.5210) és minden korábbi verziója;
- ClearSCADA 2014 R1.1 (build 75.5387) és minden korábbi verziója;
- ClearSCADA 2015 R1 (build 76.5648) és minden korábbi verziója;
- ClearSCADA 2015 R2 (build 77.5882) és minden korábbi verziója.
A hiba lehetővé teszi, hogy a sérülékeny rendszerek a bevitt adatokat bármilyen ellenőrzés nélkül dolgozzák fel, ezzel lehetővé válik egy támadó számára, hogy megzavarja vagy akár meg is szakítsa a sérülékeny rendszer üzemszerű működését.
A gyártó a hibát az alábbi verziókban javította:
- ClearSCADA 2014 R1.1 hotfix build 75.6239
- ClearSCADA 2015 R1.1 Service Pack (build 76.6191)
- ClearSCADA 2015 R2 hotfix build 77.6181
A ClearSCADA 2013R2 és ennél korábbi verzióit futtató felhasználók számára a Schneider Electric azt javasolja, hogy frissítsenek a ClearSCADA 2015R2 verzióra a hiba javítása érdekében.
A hibajavítás alkalmazása mellett a gyártó az alábbi kockázatcsökkentő intézkedések alkalmazását is javasolja a ClearSCADA termékcsaládot használó ügyfeleinek:
- Gondoskodjanak a ClearSCADA rendszerek és hálózati interfészeik fizikai biztonságáról;
- Megfelelően konfigurált tűzfalak alkalmazásával korlátozzák az egyes hálózati szegmensek közötti forgalmat a feltétlenül szükséges portokra és protokollokra;
- Minden külső hozzáférés esetén használjanak VPN-megoldást;
- A felhazsnálói biztonsági beállítások használatával és rendszeres auditálásával csökkentsék a DoS-támadások kockázatait;
- A ClearSCADA rendszerek kulcsfelhasználói fiókjainál a megfelelő biztonsági szabályok konfigurálásával tegyék minél nehezebbé a jogosulatlan bejelentkezéseket.
A sérülékenységről bővebb információkat a Schneider Electric és az ICS-CERT bejelentéseiben lehet olvasni.
A fenti sérülékenységekkel kapcsolatban az ICS-CERT ezúttal is az általános kockázatcsökkentési intézkedések alkalmazására hívja fel a figyelmet:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat laborkörülményekben célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.