Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CXIV

Schneider Electric, Miele Professional, B. Braun Medical, Rockwell Automation, Moxa és Siemens Healthineers rendszerek sérülékenységei

Facebook Tumblr Tweet Pinterest Tetszik
0
2017. május 25. - icscybersec

Az elmúlt egy hétben ismét számos új, ICS rendszereket érintő sérülékenységi információ látott napvilágot, nem teljesen függetlenül a WannaCry ransomware-támadások utóhatásaitól.

Sérülékenység a Miele Professional PG 85 sorozatú berendezésekben

Jens Regel, a Schneider & Wulf munkatársa mindenfajta előzetes egyeztetés nélkül publikált egy, a Miele Professional PG 85 sorozatú berendezéseiben felfedezett, könyvtár-bejárást lehetővé tevő hibát. A sérülékenység az alábbi verziókat érinti:

- PG8527, 2.02, 2.51, 2.52 és 2.54-es verziók;
- PG8528, 2.02, 2.51, 2.52 és 2.54-es verziók;
- PG8535, 1.00 és 1.04-es verziók;
- PG8536, 1.10 és 1.14-es verziók.

A gyártó a hiba javítását május 4-én adta ki, a sérülékeny verziókat használó ügyfelek az alábbi verziókra frissítve javíthatják a hibát:

- PG8527, 2.02-es verzió esetén a 2.12-es verzióval;
- PG8527, 2.51-es verzió esetén a 2.61-es verzióval;
- PG8527, 2.52-es verzió esetén a 2.62-es verzióval;
- PG8527, 2.54-es verzió esetén a 2.64-es verzióval;
- PG8528, 2.02-es verzió esetén a 2.12-es verzióval;
- PG8528, 2.51-es verzió esetén a 2.61-es verzióval;
- PG8528, 2.52-es verzió esetén a 2.62-es verzióval;
- PG8528, 2.54-es verzió esetén a 2.64-es verzióval;
- PG8535, 1.00-ás verzió esetén az 1.10-es verzióval;
- PG8535, 1.04-es verzió esetén az 1.14-es verzióval;
- PG8536, 1.10-es verzió esetén az 1.20-as verzióval;
- PG8536, 1.14-es verzió esetén az 1.24-es verzióval.

A hibával kapcsolatban bővebb információkat az ICS-CERT bejelentésében és a gyártó sajtóközleményéből lehet megtudni.

Schneider Electric Wonderware sérülékenység

Karn Ganeshen egy helytelen alapértelmezett jogosultsági beállításból fakadó sérülékenységet talált a Wonderware InduSoft Web Studio v8.0 Patch 3 és azt megelőző verzióiban. A hiba kihasználásával egy támadó képes lehet a jogosultsági szintjének emelésére a sérülékeny rendszerekben.

A Schneider Electric a hibát a Wonderware InduSoft Web Studio v8.0 + Service Pack 1 verzióban javította.

A sérülékenységről további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-138-02

Sérülékenység B. Braun Medical rendszerekben

Marc Ruef és Rocco Gagliardi of scip AG munkatársai egy URL átirányítást lehetővé tevő hibát találtak a B. Braun Medical alábbi SpaceCom moduljaiban:

- A 8713142U cikkszámú SpaceCom modulok 012U000040-nél korábbi verziói;
- A 8713140U cikkszámú SpaceStation berendezések 8713160U cikkszámú SpaceCom moduljainak 012U000040-nél korábbi verziói.

A B. Braun Medical a hibát a 012U000040-es verzióban javította, amit (telepítési tanácsokkal együtt) a gyártó FTP-szerveréről lehet letölteni.

A sérülékenységgel kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSMA-17-082-02

Sérülékenység egyes Rockwell Automation Allen-Bradley MicroLogix rendszerekben

A Rockwell Automation Allen-Bradley MicroLogix alábbi berendezéseit érintő hibát egymástól függetlenül David Formby és Raheem Beyah, a GeorgiaTech és a Fortiphyd Logic, Inc. kutatói, valamint Ilya Karpov, a Positive Technologies munkatársa fedezték fel:

- MicroLogix 1100 PLC-k:
- 1763-L16AWA, A és B sorozat, 16.00 és ennél korábbi verziók;
- 1763-L16BBB, A és B sorozat, 16.00 és ennél korábbi verziók;
- 1763-L16BWA, A és B sorozat, 16.00 és ennél korábbi verziók;
- 1763-L16DWD, A és B sorozat, 16.00 és ennél korábbi verziók;
- MicroLogix 1400 PLC-k:
1766-L32AWA, A és B sorozat, 16.00 és ennél korábbi verziók;
1766-L32BWA, A és B sorozat, 16.00 és ennél korábbi verziók;
1766-L32BWAA, A és B sorozat, 16.00 és ennél korábbi verziók;
1766-L32BXB, A és B sorozat, 16.00 és ennél korábbi verziók;
1766-L32BXBA, A és B sorozat, 16.00 és ennél korábbi verziók;
1766-L32AWAA, A és B sorozat, 16.00 és ennél korábbi verziók.

A kutatók által feltárt hibák az alábbiak:
- A korábbi TCP szekvencia-számokból megjósolható a következő érték, amit kihasználva egy támadó képes lehet meghamisítani az érintett eszközök kommunikációját;
- Egyszer használatos értékek ismételt felhasználása az alkalmazott titkosítási eljárásban;
- A felhasználói adatok sima HTTP GET-tel történő továbbítása lehetőséget ad a felhasználói adatok rögzítésére;
- Nincs semmilyen kontroll a nyers erőn alapuló jelszótörési kísérletek kivédésére;
- Gyenge jelszavak használatának lehetősége.

A hibát a Rockwell Automation a MicroLogix 1400 B sorozatú eszközeihez kiadott, FRN 21.00 firmware-verzióban javította. A MicroLogix 1100 A és B, valamint az 1400 A sorozatú eszközökhöz a gyártó már nem adta ki a hibák javítását tartalmazó firmware-verziót, helyett a kockázatokat csökkentő intézekdések bevezetését javasolja:

- Ha nem szükséges, le kell tiltani az érintett eszközök beépített webszerverét;
- Az érintett eszközöket futási módban kapcsolva megvédhetjük a a sérülékeny berendezéseket.

A sérülékenységgel kapcsolatban további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-115-04

Moxa OnCell sérülékenységek

Maxim Rupp három hibát talált a Moxa alábbi, nagy sebességű, ipari szintű átjáróiban:

- OnCell G3110-HSPA 1.3 build 15082117 és korábbi verziók;
- OnCell G3110-HSDPA 1.2 Build 09123015 és korábbi verziók;
- OnCell G3150-HSDPA 1.4 Build 11051315 és korábbi verziók;
- OnCell 5104-HSDPA;
- OnCell 5104-HSPA<
- OnCell 5004-HSPA.

A hibákról dióhéjban:
- Az első sérülékenységet a nyers erőn alapuló jelszótörések elleni védelem hiánya okozza;
- A második hiba a jelszavak olvasható, szöveges formában történő tárolásából adódik;
- A harmadik hiba pedig egy CSRF.

A fenti hibákat a Moxa csak az alábbi modellek esetén javíotta, az OnCell G31x0-HSPA és OnCell 5x04-HSPA modellek esetén az 1.4-es vagy újabb firmware-verziók már javítják a fenti sérülékenységeket. Az OnCell G31x0-HSPA és OnCell 5x04-HSPA modellek esetén a felhasználók számára javasolt letilteni a HTTP kapcsolatokat és helyette inkáb a HTTPS használatát tanácsolják.

A sérülékenységekkel kapcsolatban részletesebb információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-143-01

EternalBlue (WannaCry) sérülékenység Siemens Healthineers egészségügyi rendszerekben

A Siemens számos, Siemens Healthineers termékcsaláddal kapcsolatos bejelentést publikált, amikben az alábbi termékek EternalBlue sérülékenységére és annak már elérhető javításaira hívják fel a figyelmet:

- syngo Multimodality Workplace (MMWP) minden verziója;
- MAGNETOM® MRI rendszerek minden verziója;
- Molekuláris képalkotó rendszerek:
- PET/CT rendszerek: minden modell minden verziója;
- SPECT/CT rendszerek: minden modell minden verziója;
- SPECT rendszerek: minden modell minden verziója;
- SPECT rendszerek: minden modell minden verziója;
- Laboratóriumi diagnosztikai rendszerek:
- Atellica® COAG 360 minden verziója;
- BCS® XP minden verziója;
- BN ProSpec® minden verziója;
- Atellica NEPH 630 minden verziója;
- BEP 2000 Advance® minden verziója;
- Quadriga BeFree minden verziója;
- ADVIA® 2120i minden verziója;
- ADVIA 120 minden verziója;
- Sysmex® CS-2000i/2100i minden verziója;
- Sysmex CS-2500 minden verziója;
- Sysmex CS-5100 minden verziója;
- ADVIA 560 minden verziója;
- ADVIA Chemistry 1800 minden verziója;
- ADVIA Chemistry 2400 minden verziója;
- ADVIA Chemistry XPT minden verziója;
- ADVIA Centaur® XP minden verziója;
- ADVIA Centaur CP minden verziója;
- ADVIA Centaur XPT minden verziója;
- Dimension Vista® minden verziója;
- IMMULITE® 1000 minden verziója;
- IMMULITE 2000 minden verziója;
- syngo® Laboratory Connectivity Manager: minden verziója;
- syngo Laboratory Data Manager minden verziója;
- Aptio® Automation minden verziója;
- ADVIA Automation minden verziója;
- VersaCell® minden verziója;
- VersaCell X3 minden verziója;
- VivaTM minden verziója;
- Röntgenográfiai, mobil röntgen és mammográfiai rendszerek:
- Mammomat Inspiration® minden verziója;
- Mammomat Fusion® minden verziója;
- syngo® MammoReport minden verziója;
- Mammomat Novation minden verziója;
- AXIOM® Aristos FX/MX/VX/TX minden verziója;
- MULTIX® M minden verziója;
- MULTIX® Swing mFD minden verziója;
- Mobilett XP digital® minden verziója;
- Molekuláris diagnosztikai rendszerek:
- VERSANT kPCR Molecular System minden verziója;
- VERSANT kPCR Sample Prep minden verziója;
- Tissue Preparation System minden verziója;
- Onkológiai sugárkezelő rendszerek:
- RTT minden verziója;
- Coherence Therapist / Primeview 3i minden verziója;
- Coherence Oncologist minden verziója;
- Coherence Dosimetrist minden verziója;
- Coherence Physicist minden verziója;
- Syngo RT Therapist minden verziója;
- Syngo RT Oncologist minden verziója;
- Syngo RT Dosimetrist minden verziója;
- ModuLeaf minden verziója;
- Simview 3000/NT minden verziója;
- Beamview NT minden verziója;
- Lantis minden verziója;
- Mosaiq (Elekta product) minden verziója;
- Biograph mMR rendszer minden verziója;
- Point-of-Care rendszerek:
- RAPIDPoint 400 minden verziója;
- RAPIDPoint 500 minden verziója;
- RAPIDLab 1200 minden verziója;
- CLINITEK AUWi minden verziója;
- Terápiás rendszerek:
- Artis minden típus és verzió;
- Sensis minden típus és verzió;
- Leonardo/X-Workplace minden verzió;
- Arcadis Family minden verzió;
- Ultrahang rendszerek:
- ACUSON SC2000™ ultrahang rendszer: 4.x és 5.x verziók;
- syngo® SC2000™ Workplace: 4.x és 5.x verziók;
- ACUSON X700™ ultrahang rendszer: 2.0-nál korábbi verziók;
- ACUSON P500™ ultrahang rendszer minden verzió;
- ACUSON P300™ ultrahang rendszer minden verzió;

A felsorolt termékek EternalBlue sérülékenység általi érintettségéről további információkat az alábbi, Siemens ProductCERT publikációkból lehet megtudni:

http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-354910.pdf
http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-832636.pdf
http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-161640.pdf
http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-286693.pdf
http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-492736.pdf
http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-966341.pdf
http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-774661.pdf
http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-740012.pdf
http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-709509.pdf
http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-023589.pdf
http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-701903.pdf
http://www.siemens.com/cert/pool/cert/siemens_security_bulletin_ssb-412479.pdf

Ezzel párhuzamosan az ICS-CERT újabb, ICS/egészségügyi gyártók által kiadott publikációkat adott közre az EternalBlue sérülékenység által érintett különböző ipari rendszerekről:

- GE;
- Philips;
- Smith Medical;
- Johnson & Johnson;
- Medtronic;
- Tridium;
- Emerson Automation Solutions;
- Honeywell;


A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szólj hozzá!
Schneider Electric Moxa Rockwell Automation ICS sérülékenység Miele Professional B Braun Medical Siemens Healthineers

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr3512538317

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása