Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CVIII

Sérülékenységek Moxa, Hyundai Motor America, Sierra Wireless, BLF-Tech LLC és GE rendszerekbe

2017. május 01. - icscybersec

Moxa AWK-3131A sérülékenységek

A Cisco Talos munkatársa, Patrick DeSantis egy beégetett adminisztrátori hozzáférést talált a Moxa AWK-3131A sorozatú ipari IEEE 802.11a/b/g/n vezeték nélküli eszközeinek 1.1-es verziójában. A 94jo3dkru4 felhasználónévhez tartozó moxaiwroot jelszóval bárki teljes hozzáférést szerezhet a sérülékeny eszközökön. Az érintett eszközökön a legitim adminisztrátorok számára jelenleg nincs lehetőség a fenti felhasználói adatok megváltoztatására, a Talos és a Moxa csak azt tudja javasolni, hogy a sérülékeny eszközökön tiltsák le a távoli bejelentkezést lehetővé tevő szolgáltatásokat (SSH, Telnet).

A fenti, a CVSSv3-ban 10,0 pontra értékelt hiba mellett a Talos szakemberei számos egyéb  (XSS, CSRF, CLI, DoS, POODLE, DROWN, HTTP header injection, jelszavak olvasható formában történő továbbítását, információ-szivárgást lehetővé tevő) hibát is találtak.

A hibákról bővebben az alábbiakban lehet olvasni:

http://www.talosintelligence.com/reports/TALOS-2016-0225/
http://www.talosintelligence.com/reports/TALOS-2016-0230/
http://www.talosintelligence.com/reports/TALOS-2016-0232/
http://www.talosintelligence.com/reports/TALOS-2016-0233/
http://www.talosintelligence.com/reports/TALOS-2016-0234/
http://www.talosintelligence.com/reports/TALOS-2016-0236/
http://www.talosintelligence.com/reports/TALOS-2016-0237/
http://www.talosintelligence.com/reports/TALOS-2016-0238/
http://www.talosintelligence.com/reports/TALOS-2016-0239/
http://www.talosintelligence.com/reports/TALOS-2016-0240/
http://www.talosintelligence.com/reports/TALOS-2016-0241/
http://www.talosintelligence.com/reports/TALOS-2016-0235/
http://www.talosintelligence.com/reports/TALOS-2016-0231/

Hyundai Motor America Blue Link sérülékenységek

A Hyundai Motor America jármű-kezeléshez használt alkalmásának alábbi verzióiban Will Hatzer és Arjun Kumar, a Rapid7 munkatársai találtak hibákat:

- Blue Link 3.9.5 és
- Blue Link 3.9.4.

A kutatók a fenti verziókban beégetett titkosítási kulcsokat és egy közbeékelődéses (Man-in-the-Middle) támadásra lehetőséget adó hibát azonosítottak.

A gyártó a hibát javító verziót (Blue Link 3.9.6) Androidra 2017. március 6-án, iOS-re március 8-án adta ki.

A hibáról további részleteket a Rapid7 és az ICS-CERT publikációiban lehet találni.

Új információk a Sierra Wireless AirLink Raven XE és XT sérülékenységekkel kapcsolatban

Az ICS-CERT új információkat jelentetett meg a 2016. június 30-án publikált Sierra Wireless AirLink Raven XE és XT eszközöket érintő sérülékenységekkel (nem megfelelő jogosultságkezelés, CSRF, nem kellőképpen védett felhasználói adatok) kapcsolatban. A gyártó tavaly nyári nyilatkozatával ellentétben (hogy az AirLink Raven XE és XT sorozatú eszközök életciklusa lejárt és az akkor publikált hibák javítására nem fordítanak erőforrásokat) most mégis arról érkeztek hírek, hogy a Sierra Wireless mind a Raven XE, mind az XT sorozatú eszközökhöz elkészítette a fenti hibákat javító firmware-verziókat (a Raven XE-nél ez a 4.0.14, az XT-nél a 4.0.11).

További információkat (a firmware-ek letöltési hivatkozásait és a Sierra Wireless által kiadott Technical Bulletint) az ICS-CERT weboldalán lehet elérni: https://ics-cert.us-cert.gov/advisories/ICSA-17-115-02

BLF-Tech LLC VisualView HMI sérülékenység

Karn Ganeshen a BLF-Tech LLC által fejlesztett VisualView HMI 9.9.14.0 és korábbi verzióiban talált egy kártékony DLL felhasználásával tetszőleges kódfuttatásra lehetőséget adó hibát.

A gyártó a hibát a 10.2.15.0 verzióban javította.

A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-115-01

Sérülékenység a GE Multilin SR digitális védelmi reléiben

Anastasis Keliris, Charalambos Konstantinou, Marios Sazos, és Dr. Michail (Mihalis) Maniatakos, a New York-i egyetem kutatói a GE több digitális védelmi reléjében találtak olyan sérülékenységet, ami a jelszavak gyenge titkosításában ölt testet. Az érintett rendszerek:

- 750 Feeder védelmi relé, 7.47-nél korábbi firmware-verziókban;
- 760 Feeder védelmi relé, 7.47-nél korábbi firmware-verziókban;
- 469 Motor védelmi relé, 5.23-nál korábbi firmware-verziókban;
- 489 Generátor védelmi relé, 4.06-nál korábbi firmware-verziókban;
- 745 Transzformátor védelmi relé, 5.23-nál korábbi firmware-verziókban;
- 369 Motor védelmi relé, minden firmware-verzió esetén.

A gyártó a hibát az alábbi firmware-verziókban javította:

- 750 Feeder védelmi relé, 7.47;
- 760 Feeder védelmi relé, 7.47;
- 469 Motor védelmi relé, 5.23;
- 489 Generátor védelmi relé, 4.06;
- 745 Transzformátor védelmi relé, 5.23;
- 369 Motor védelmi relé - a GE a javítást ennél a rendszernél 2017. júniusra igéri.

A hibával kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-117-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat laborkörülményekben célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr7812470045

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása