Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CXI

Sérülékenységek Siemens, Rockwell Automation és Cisco rendszerekben

2017. május 11. - icscybersec

Az elmúlt napokban furcsa kettősség volt a friss ICS sérülékenységekről szóló bejelentésekben, a Siemens számos termékében javított a bevitt adatok nem megfelelő ellenőrzéssel kapcsolatos hibákat, a Rockwell Automation pedig egy termékcsaládjában javított nem kevesebb, mint 41 különböző sérülékenységet és gyenge pontot.

Siemens SIMATIC WinCC és STEP 7 (TIA Portal) sérülékenység

Duan JinTong, Ma ShaoShuai és Cheng Lei, az NSFOCUS Security Team tagjai jelezték a Siemensnek, hogy az alábbi SIMATIC WinCC és STEP 7 (TIA Portal) termékeiben egy, a PROFINET Discovery and Configuration Protocol-lal (DCP-vel) kapcsolatos hibát fedeztek fel:

- SIMATIC WinCC (TIA Portal)
  - V13: minden, V13 SP2-nél korábbi verzió;
  - V14: minden, V14 SP1-nél korábbi verzió;
- SIMATIC STEP 7 (TIA Portal)
  - V13: minden, V13 SP2-nél korábbi verzió;
  - V14: minden, V14 SP1-nél korábbi verzió;
- SIMATIC STEP 7 V5.X: minden verzió;
- STEP 7 - Micro/WIN SMART: minden verzió;
- SMART PC Access V2.0,
- SIMATIC Automation Tool: minden verzió;
- SIMATIC WinCC: minden verzió;
- SIMATIC PCS 7: minden verzió;
- SIMATIC NET PC-Software: minden verzió;
- Primary Setup Tool (PST): minden verzió;
- Security Configuration Tool (SCT): minden verzió;
- SINEMA Server: minden verzió;
- SINAUT ST7CC: minden verzió;
- SIMATIC WinAC RTX 2010 SP2: minden verzió;
- SIMATIC WinAC RTX F 2010 SP2: minden verzió;
- SINUMERIK 808D Programming Tool: minden verzió;
- SIMATIC WinCC flexible 2008: minden verzió.

Egy támadó a PROFINET DCP hibát kihasználva szolgáltatás-megtagadásos (DoS) támadást indíthat a sérülékeny rendszerek ellen, amit csak az érintett eszközök manuális újraindításával lehet elhárítani. A Siemens a hibát az alábbi verziókban javította:

- SIMATIC WinCC (TIA Portal) V13 SP2;
- SIMATIC WinCC (TIA Portal) V14 SP1;
- SIMATIC STEP 7 (TIA Portal) V13 SP2;
- SIMATIC STEP 7 (TIA Portal) V14 SP1.

A sérülékenységről további információkat a Siemens ProductCERT és az ICS-CERT publikációiban lehet találni.

A DCP hiba hasonló módon érint számos Siemens terméket:

- SIMATIC CP 343-1 Std, CP 343-1 Lean: minden verzió;
- SIMATIC CP 343-1 Adv: minden verzió;
- SIMATIC CP 443-1 Std, CP 443-1 Adv: V3.2.17-nél korábbi verziók;
- SIMATIC CP 443-1 OPC-UA: minden verzió;
- SIMATIC CP 1243-1: minden verzió;
- SIMATIC CM 1542-1: V2.0-nál korábbi verziók
- SIMATIC CP 1543SP-1, CP 1542SP-1 és CP 1542SP-1 IRC: minden verzió;
- SIMATIC CP 1543-1: V2.1-nél korábbi verziók;
- SIMATIC RF650R, RF680R, RF685R: V3.0-nál korábbi verziók;
- SIMATIC CP 1616, CP 1604, DK-16xx PN IO: V2.7-nél korábbi verziók;
- SCALANCE X200: minden verzió;
- SCALANCE X200 IRT: minden verzió;
- SCALANCE X300, X408, X414: minden verzió;
- SCALANCE XM400, XR500: minden verzió;
- SCALANCE W700: V6.1-nél korábbi verziók;
- SCALANCE M-800,S615:minden verzió;
- Softnet PROFINET IO for PC-based Windows systems: minden verzió;
- IE/PB-Link: V3.0-nál korábbi verziók;
- IE/AS-i Link PN IO: minden verzió;
- SIMATIC Teleservice Adapter Standard Modem, IE Basic, IE Advanced: minden verzió;
- SITOP PSU8600 / UPS1600 PROFINET: minden verzió;
- SIMATIC ET 200 PROFINET IO-hoz való interfész modulok:
  - SIMATIC ET 200AL: minden verzió;
  - SIMATIC ET 200ecoPN: minden verzió;
  - SIMATIC ET 200M: minden verzió;
  - SIMATIC ET 200MP: V4.0.1-nél korábbi verziók;
  - SIMATIC ET 200pro: minden verzió;
  - SIMATIC ET 200S: minden verzió;
  - SIMATIC ET 200SP: minden verzió;
  - PN/PN Coupler: minden verzió;
- PROFINET IO fejlesztői és teszt készletek:
  - DK Standard Ethernet Controller: V4.1.1 Patch04-nél korábbi verziók;
  - EK-ERTEC 200P PN IO: V4.4.0 Patch01-nél korábbi verziók;
  - EK-ERTEC 200 PN IO: V4.2.1 Patch03-nál korábbi verziók;
- SIMATIC S7-200 SMART: minden verzió;
- SIMATIC S7-300, F és T sorozat is: V3.X.14-nél korábbi verziók;
- SIMATIC S7-400, F és H sorozat: minden verzió;
- SIMATIC S7-1200, F sorozat: V4.2.1-nél korábbi verziók;
- SIMATIC S7-1500m F, T és TF sorozat: V2.1-nél korábbi verziók;
- SIMATIC S7-1500 szoftveres kontroller, F sorozat: V2.1-nél korábbi verziók;
- SIMATIC WinAC RTX 2010, F sorozat: minden verzió;
- SIRIUS ACT 3SU1 PROFINET interfész modul: minden verzió;
- SIRIUS Soft starter 3RW44 PN: minden verzió;
- SIRIUS Motor starter M200D PROFINET: minden verzió;
- SIMOCODE pro V PROFINET: minden verzió;
- SINAMICS:
  - SINAMICS DCM: minden verzió;
  - SINAMICS DCP: minden verzió;
  - SINAMICS G110M / G120(C/P/D) w. PN: V4.7 SP6 HF3-nél korábbi verziók;
  - SINAMICS G130 és G150: V4.8 HF4-nél korábbi verziók;
  - SINAMICS S110 w. PN: minden verzió;
  - SINAMICS S120: V4.8 HF4-nél korábbi verziók;
  - SINAMICS S150: V4.8 HF4-nél korábbi verziók;
  - SINAMICS V90 w. PN: minden verzió;
- SIMOTION: V4.5 HF1-nél korábbi verziók;
- SINUMERIK 828D:
  - V4.5-nél korábbi verziók;
  - V4.7: V4.7 SP4 HF1-nél korábbi verziók;
- SINUMERIK 840D sl:
  - Minden, V4.5 SP6 HF8-nál korábbi verzió;
  - V4.7: V4.7 SP4 HF1-nél korábbi verziók;
- SIMATIC HMI Comfort Panels, HMI Multi Panels, HMI Mobile Panels: minden verzió.

A hibát a gyártó ezekben a termékekben is javította, az alábbi verziókban:

- SIMATIC CP 443-1 Std: V3.2.17;
- SIMATIC CP 443-1 Adv: V3.2.17;
- SIMATIC CM1542-1: V2.0;
- SIMATIC CP 1543-1: V2.1;
- SIMATIC RF650R, RF680R, RF685R: V3.0;
- SIMATIC CP 1616, CP 1604, DK-16xx PN IO: V2.7;
- SCALANCE W700: V6.1.0;
- IE/PB-Link: V3.0;
- PROFINET IO fejlesztői és teszt készletek:
  - DK Standard Ethernet Controller: V4.1.1 Patch04-nél korábbi verziók;
  - EK-ERTEC 200P PN IO:V4.4.0 Patch01-nél korábbi verziók;
  - EK-ERTEC 200 PN IO: V4.2.1 Patch03-nál korábbi verziók;
- SIMATIC S7-300, F és  T sorozat: V3.X.14;
- SIMATIC S7-1200, F sorozat:V4.2;
- SIMATIC S7-1500, F, T és TF sorozat: V2.1;
- SIMATIC S7-1500 szoftveres kontroller, F sorozat: V2.1;
- SINAMICS:
  - SINAMICS G110M/G120(C/P/D) w. PN: V4.7 SP6 HF3;
- SINAMICS G130 és G150: V4.8: V4.8 HF4;
- SINAMICS S120: V4.8: V4.8 HF4;
- SINAMICS S150: V4.8: V4.8 HF4;
- SIMOTION: V4.5 HF1;
- SINUMERIK 828D: V4.7: V4.7 SP4 HF1;
- SINUMERIK 840D sl:
  - V4.5-nél korábbi verzióknál: V4.5 SP6 HF8;
  - V4.7: V4.7 SP4 HF1.

A sérülékenységről ezeknél az eszközöknél is a Siemens ProductCERT és az ICS-CERT bejelentéseiből lehet többet megtudni.

Sérülékenység Siemens SIMATIC WinCC és WinCC Runtime Professional termékekben

Sergey Temnikov és Vladimir Dashchenko, a Kaspersky Lab kritikus infrastruktúra védelmi csapatának tagjai szintén egy, a bevitt adatok nem megfelelő ellenőrzésével kapcsolatos hibát találtak a SIMATIC WinCC és a WinCC Runtime Professional szoftverek alábbi verzióiban:

- SIMATIC WinCC:
  - V7.3: V7.3 Update 11-nél korábbi verziók;
  - V7.4: V7.4 SP1-nél korábbi verziók;
- SIMATIC WinCC Runtime Professional:
  - V13: V13 SP2-nél korábbi verziók;
  - V14: V14 SP1-nél korábbi verziók;
- SIMATIC WinCC (TIA Portal) Professional:
  - V13: V13 SP2-nél korábbi verziók;
  - V14: V14 SP1-nél korábbi verziók.
 
A hibát a sérülékeny rendszerek DCOM interfészére küldött, speciálisan kialkaított üzenetekkel lehet kihasználni. A hiba kihasználáshoz a támadó által használt felhasználói fióknak adminisztrátori jogosultságokkal kell rendelkeznie. Egy sikeres támadás eredményeképp a sérülékeny rendszer összeomolhat, ezzel gyakorlatilag szolgáltatás-megtagadás idézhető elő.

A Siemens a hibát az alábbi verziókban javította:

- SIMATIC WinCC:
  - V7.3: Update to WinCC V7.3 Update 13;
  - V7.4: Update to WinCC V7.4 SP1;
- SIMATIC WinCC Runtime Professional:
  - V13: Update to V13 SP2;
  - V14: Update to V14 SP1;
- SIMATIC WinCC (TIA Portal) Professional:
  - V13: Update to V13 SP2;
  - V14: Update to V14 SP1.

A sérülékenységről bővebben a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Rockwell Automation Stratix 5900 sérülékenységek

A Rockwell Automation-nek a Cisco jelezte, hogy a Cisco kódbázisra épülő Stratix 5900-as routerek 15.6.3-nál korábbi firmware-jei számos (számszerűen 41 különböző) hibát tartalmaznak. A sérülékenységek között több, a bevitt adatok nem megfelelő ellenőrzéssel kapcsolatos hiba, erőforrás-kezelési hibák, nem megfelelő authentikációból adódó hibák és könyvtár-bejárást lehetővé tevő hibák vannak.

A gyártó a hibákat a Stratix 5900-asok 15.6.3-as firmware-jében javította.

A sérülékenységekről számos részletet tartalmaz az ICS-CERT publikációja: https://ics-cert.us-cert.gov/advisories/ICSA-17-094-04

Sérülékenység Cisco ipari környezetekbe szánt hálózati eszközökben

A Cisco bejelentése szerint az alábbi, ipari környezetekbe szánt hálózati eszközeiben találtak olyan, Cluster Management Protocol (CMP) hibát, ami távoli kódfuttatást tesz lehetővé:

- Cisco IE 2000-16PTC-G Industrial Ethernet Switch;
- Cisco IE 2000-16T67 Industrial Ethernet Switch;
- Cisco IE 2000-16T67P Industrial Ethernet Switch;
- Cisco IE 2000-16TC Industrial Ethernet Switch;
- Cisco IE 2000-16TC-G Industrial Ethernet Switch;
- Cisco IE 2000-16TC-G-E Industrial Ethernet Switch;
- Cisco IE 2000-16TC-G-N Industrial Ethernet Switch;
- Cisco IE 2000-16TC-G-X Industrial Ethernet Switch;
- Cisco IE 2000-24T67 Industrial Ethernet Switch;
- Cisco IE 2000-4S-TS-G Industrial Ethernet Switch;
- Cisco IE 2000-4T Industrial Ethernet Switch;
- Cisco IE 2000-4T-G Industrial Ethernet Switch;
- Cisco IE 2000-4TS Industrial Ethernet Switch;
- Cisco IE 2000-4TS-G Industrial Ethernet Switch;
- Cisco IE 2000-8T67 Industrial Ethernet Switch;
- Cisco IE 2000-8T67P Industrial Ethernet Switch;
- Cisco IE 2000-8TC Industrial Ethernet Switch;
- Cisco IE 2000-8TC-G Industrial Ethernet Switch;
- Cisco IE 2000-8TC-G-E Industrial Ethernet Switch;
- Cisco IE 2000-8TC-G-N Industrial Ethernet Switch;
- Cisco IE 3000-4TC Industrial Ethernet Switch;
- Cisco IE 3000-8TC Industrial Ethernet Switch;
- Cisco IE-3010-16S-8PC Industrial Ethernet Switch;
- Cisco IE-3010-24TC Industrial Ethernet Switch;
- Cisco IE-4000-16GT4G-E Industrial Ethernet Switch;
- Cisco IE-4000-16T4G-E Industrial Ethernet Switch;
- Cisco IE-4000-4GC4GP4G-E Industrial Ethernet Switch;
- Cisco IE-4000-4GS8GP4G-E Industrial Ethernet Switch;
- Cisco IE-4000-4S8P4G-E Industrial Ethernet Switch;
- Cisco IE-4000-4T4P4G-E Industrial Ethernet Switch;
- Cisco IE-4000-4TC4G-E Industrial Ethernet Switch;
- Cisco IE-4000-8GS4G-E Industrial Ethernet Switch;
- Cisco IE-4000-8GT4G-E Industrial Ethernet Switch;
- Cisco IE-4000-8GT8GP4G-E Industrial Ethernet Switch;
- Cisco IE-4000-8S4G-E Industrial Ethernet Switch;
- Cisco IE-4000-8T4G-E Industrial Ethernet Switch;
- Cisco IE-4010-16S12P Industrial Ethernet Switch;
- Cisco IE-4010-4S24P Industrial Ethernet Switch;
- Cisco IE-5000-12S12P-10G Industrial Ethernet Switch;
- Cisco IE-5000-16S12P Industrial Ethernet Switch.

A Cisco új firmware verziót adott ki az érintett eszközökhöz, amiben javította a hibát.

A sérülékenységről további részleteket a Cisco bejelentéséből lehet megtudni: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr2512497175

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása