Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CII

CODESYS Web Server és Schneider Electric rendszerek sérülékenységei

Facebook Tumblr Tweet Pinterest Tetszik
0
2017. április 03. - icscybersec

CODESYS Web Server sérülékenységek

David Atch, a CyberX munkatársa 2 hibát fedezett fel a 3S-Smart Software Solutions GmbH által gyártott CODESYS Web Server nevű termékében. A hibák a 2.3 és ennél korábbi verziókban található meg.

Az első hiba lehetővé teszi egy támadó számára, hogy speciális webszerver hívásokkal a jogosultsági rendszert megkerülve tetszőleges fájlt töltsön fel a CODESYS Web Server-re, ami távoli kódfuttatási lehetőséget biztosíthat a támadónak. A másik hiba egy verem túlcsordulási hiba.

A gyártó a sérülékenység által érintett ügyfelek számára azt javasolja, hogy telepítsék a V.1.1.9.18 verziójú hibajavítást.

A sérülékenységről további információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-087-02

Schneider Electric Wonderware InTouch Access Anywhere sérülékenység

Ruslan Habalov és Jan Bee, a Google ISA Assessments Team tagjai 3 hibát találtak a Schneider Electric Wonderware InTouch Access Anywhere termékében. A hibák a Wonderware InTouch Access Anywhere 11.5.2 és ennél korábbi verzióit érintik. A hibák között Cross-site request forgery mellett van egy speciális URL-en keresztül bejelentkezés adatokat elérhetővé tevő hiba és nem megfelelően implementált TLS titkosítás is található.

A Schneider Electric a hibákat a Wonderware InTouch Access Anywhere 2017 (17.0.0) verzióban javította.

A sérülékenységről további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-089-01

Schneider Electric Modicon PLC sérülékenységek

David Formby és Raheem Beyah, a Georgia Tech és a Fortiphyd Logic Inc. munkatársai 3 különböző sérülékenységet találtak a Schneider Electric Modicon PLC-inek különböző verzióiban.

Az első hiba, ami a nem kellően véletlenszerű értékek generálásával megjósolhatóvá teszi a kezdeti TCP szekvencia értéket, az alábbi Modicon PLC-ket érinti:

- Modicon M221, ha 1.5.0.0-nál régebbi firmware-verzióval működnek;
- Modicon M241, ha 4.0.5.11-nél régebbi firmware-verziót futtatnak;
- Modicon M251, ha 4.0.5.11-nél régebbi firmware-verzióval működnek.

A második sérülékenység a webes alkalmazás által használt, nem kellően véletlenszerű session-szám generálására vezethető vissza, ami a következő Modicon PLC-kben található meg:

- Modicon M241, ha 4.0.5.11-nél régebbi firmware-verziót futtatnak;
- Modicon M251, ha 4.0.5.11-nél régebbi firmware-verzióval működnek.

A harmadik hibát az okozza, hogy az alább felsorolt PLC-k a felhasználói adatokat a hálózaton keresztül Base-64 kódolással küldik át:

- Modicon M241, minden firmware-verziónál;
- Modicon M251, minden firmware-verziónál.

A gyártó a nem megfelelően véletlenszerű véletlenszám-generálásból adódó hibákra kiadta a hibákat javító frissítéseket, amiket az ügyfelek a a Schneider Electric szoftverfrissítő megoldásokon, a SoMachine 4.2-es és a SoMachineBasic 1.5-ös verzióival érhetik el. A felhasználói adatok nem megfelelő titkosítással történő hálózati továbbításából adódó hibára mostanáig nem érkezett javítás. Ezzel a hibával kapcsolatban a gyártó néhány kockázatcsökkentő tanácsot tett közzé:

- Az érintett eszkzöket és a velük kapcsolatba kerülő minden hardvert és szoftvert az ISA/IEC 62443-as szabványában foglaltaknak megfelelő tervezési és üzemeltetési szabályok szerint javasolt telepíteni és üzemeltetni;
- A helyi hálózat forgalmát a hálózati eszközökön szabályozva a minimálisan szükségesre javasolt korlátozni;
- Amennyiben lehetséges, kerülni kell a vezeték nélküli hálózatok használatát. Ha ez nem megoldható, kizárólag WPA2 szintű titkosítással javasolt vezeték nélküli kommunikációt használni;
- Ismeretlen számítógépeknek ne tegyék lehetővé a hálózati hozzáférést;

A Modicon PLC-k fenti hibáival kapcsolatban a gyártó és az ICS-CERT publikációi tartalmaznak további rézsleteket:

http://www.schneider-electric.com/en/download/document/SEVD-2017-075-01/
http://www.schneider-electric.com/en/download/document/SEVD-2017-075-02/
http://www.schneider-electric.com/en/download/document/SEVD-2017-075-03/
https://ics-cert.us-cert.gov/advisories/ICSA-17-089-02

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat laborkörülményekben célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szólj hozzá!
Schneider Electric ICS sérülékenység CODESYS

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr3712396247

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása