Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CXIII

Sérülékenységek Schneider Electric, Hanwha Techwin és Detcon rendszerekben, EternalBlue sérülékenység ipari rendszerekben

2017. május 23. - icscybersec

Schneider Electric SoMachine rendszerek sérülékenységei

Zhou Yu, független biztonsági kutató két sérülékenységet talált a Schneider Electric SoMachine nevű, PLC programozásra használható szoftverének 2.1.0 és korábbi verzióiban. Az első hiba egy puffer túlcsordulás, a második pedig DLL hijack támadást tesz lehetővé.

A gyártó a sérülékenységek által érintett ügyfeleinek azt tanácsolja, hogy frissítsenek a SoMachine HVAC Programming Software 2.2-es verziójára.

A sérülékenységekről további részleteket a Schneider Electric és az ICS-CERT bejelentéseiből lehet megtudni.

Schneider Electric VAMPSET sérülékenység

Kushal Arvind Shah, a Fortinet-nél működő Fortiguard Labs munkatársa egy memóriakorrupciós hibát fedezett fel a VAMPSET 2.2.189-nél korábbi verzióiban.

A gyártó a hibát a 2.2.191-es verzióban javította.

A hibával kapcsolatban további információkat a gyártó és az ICS-CERT által kiadott tájékoztatókból lehet szerezni.

Hanwha Techwin SRN-4000 sérülékenység

Can Demirel és Faruk Unal, a Biznet Bilisim munkatársai egy authentikáció nélküli, adminisztrátori szintű hozzáférést biztosító hibát találtak a Hanwha Techwin SRN-4000 típusú eszközeinek SRN4000_v2.16_170401-nél korábbi verzióiban.

A gyártó a hibát a RN4000_v2.16_170401-es és újabb verziókban már javította.

A sérülékenységről további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-136-03

Detcon SiteWatch Gateway sérülékenység

Maxim Rupp független biztonsági kutató két sérülékenységet (nem megfelelő authentikáció, olvasható formában tárolt jelszavak) fedezett fel a Detcon SiteWatch Gateway nevű termékeiben. A sérülékenységek a SiteWatch Gateway minden verzióját érintik, a gyártó közlése szerint a mobil kommunikációs termékeket azonban nem.

A gyártó már nem forgalmazza az érintett SiteWatch Gateway termékeket és támogatást sem nyújt hozzájuk.

A sérülékenységekről bővebb információkat az ICS-CERT bejelentéséből lehet megtudni: https://ics-cert.us-cert.gov/advisories/ICSA-17-136-01

EternalBlue sérülékenység ipari rendszerekben

A WannaCry ransomware-támadásokat lehetővé tevő, EternalBlue-nak nevezett SMB-sérülékenységgel kapcsolatban jelentetett meg egy figyelmeztetést, amiben az alábbi, ipari rendszereket gyártó cégek bejelentéseit gyűjtötték össze az EternalBlue sérülékenységgel kapcsolatban:

- Rockwell Automation;
- Becton, Dickinson and Company;
- Schneider Electric;
- ABB;
- Siemens.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr512535517

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása