Sérülékenység Newport XPS rendszerekben
Az ICS-CERT bejelentése szerint a Newport által gyártott XPS eszközök alábbi vezióiban egy nem megfelelő authentikációból adódó sérülékenységet talált Maxim Rupp:
- az XPS-Cx vezérlők minden verziója;
- az XPS-Qx vezérlők minden verziója.
A sérülékenységet kihasználva egy támadó authentikció nélkül tudja olvasni és módosítani az érintett eszközök konfigurációját.
A gyártó közleménye szerint a hibát a vezérlők következő, XPS-Dx generációjában fogja javítani, addig is az ICS-CERT-tel közösen az alábbi kockázatcsökkentő intézkedéseket javasolja az érintett verziókat használó ügyfeleinek:
- A vezérlőket és azok hálózatait ne csatlakoztassák nyílt hálózatokra (pl. Internet vagy irodai hálózatok), ezeket az eszközöket és hálózatokat tűzfalakkal szeparálják más hálózatoktól;
- Limitálják a vezérlők fizikai és elektronikus hozzáféréseit a szükséges és arra feljogosított személyekre;
- Az üzembe helyezésnél cseréljék le az eszközök gyári jelszavait;
- Rendszeresen cseréljék le a rendszerekben használt jelszavakat;
(Bár az utóbbi két tanács általában sokat segít egy incidens megelőzésében, jelen sérülékenység ellen pont nem jelentenek védelmet, hiszen ebben az esetben a támadónak nem szükséges ismernie a jelszót a rendszerhez történő hozzáféréshez.)
- Ha szükséges a távoli hozzáférés az eszközökhöz, használjanak VPN-megoldást;
- Rendszeresen hajtsanak végre fenyegetettség-elemzések és vizsgálják, hogy az ellenintézkedések megfelelnek-e a szervezet biztonsági szabályzataiban előírtaknak;
- Alakítsanak ki mélységi védelmet a rendszerekhez történő hozzáférések szigorításához.
A sérülékenységről bővebb információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-178-01
Siemens Viewport sérülékenység
Az ICS-CERT és a Siemens ProductCERT bejelentései alapján a Viewport for Web Office Portal 1453-nál korábbi verzióiban egy nem megfelelő authentikációból fakadó sérülékenységet fedezett fel Hannes Trunde, a Kapsch BusinessCom AG munkatársa. A sérülékenységet kihasználva egy támadó adminisztrátori jogosultságú távoli kódfuttatást idézhet elő a sérülékeny rendszerekben.
A Siemens a hibát a Viewport for Web Office Portal 1453-as verziójában javította, a frissítés mellett az alábbi intézkedések végrehajtását javasolja az érintett rendszereket használó ügyfeleinek:
- Az érintett rendszerek 80/tcp és 443/tcp portjainak elérését csak a feltétlenül szükséges helyekről engedélyezzék;
- A 80/tcp porton történő elérést kapcsolják ki és csak a 443/tcp porton, kliens tanúsítvánnyal történő hitelesítés után engedélyezzék a hozzáférést;
- Alkalmazzanak mélységi védelmet az érintett rendszerek esetén.
A hibával kapcsolatban további részleteket az ICS-CERT és a Siemens ProductCERT bejelentései tartalmaznak.
Intel AMT sérülékenység Siemens termékekben
A nemrég közzétett, Intel AMT (Active Management Technology) sérülékenység, amely számos Core i5, Core i7 és Xeon processzort használó számítógépet érint, az ICS-CERT és a Siemens ProductCERT közleményei szerint számos Siemens terméket is érintenek:
- SIMATIC ipari PC;
- SINUMERIK Panel Control Unit (PCU);
- SIMOTION P320.
A hiba javítását a Siemens egy új firmware-verzióban tette elérhetővé ügyfelei számára. A gyártó további javaslatai az érintett termékeket használó ügyfelei számára:
- A BIOS-ban az iAMT minden esetben legyen "unconfigured" vagy "disabled";
- Kongrollálják az érintett számítógépekhez történő távoli hozzáféréseknél a 16992/tcp, 16993/tcp, 16994/tcp, 16995/tcp, 623/tcp és 664/tcp portok elérését.
A sérülékenységgel kapcsolatban további részletek az ICS-CERT és a Siemens ProductCERT bejelentéseiben olvashatóak.
Sérülékenységek Schneider Electric U.motion Builder rendszerekben
Az ICS-CERT publikációja szerint az rgod néven ismert személy a TrendMicro ZDI-vel együttműködve hét különböző hibát fedezett fel a Schneider Electric U.motion Builder 1.2.1 és korábbi verzióiban. A hibák között SQLi, könyvtárbejárást lehetővé tevő hiba, nem megfelelő authentikció, beégetett jelszó, nem megfelelő hozzáférés-vezérlés, DoS és hibaüzeneten keresztüli érzékeny információ-megjelenítés is van.
A gyártó a hibák javítását az augusztus végére tervezett firmware-upgrade-ben ígéri.
A hibákról részleteket az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-180-02
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.