Siemens SIMATIC Sm@rtClient Android App sérülékenységek
A Siemens ProductCERT és ICS-CERT bejelentései szerint Karsten Sohr és Timo Glander, a brémai egyetemen működő TZI munkatársai két sérülékenységet találtak a Siemens SIMATIC Sm@rtClient Android-os alkalmazásaiban, egészen pontosan a SIMATIC WinCC Sm@rtClient for Android V1.0.2.2-nél korábbi verzióiban és a SIMATIC WinCC Sm@rtClient Lite for Android V1.0.2.2-nél korábbi verzióiban. Az első sérülékenység egy közbeékelődéses (Man-in-the-middle) támadást, a másik pedig authentikáció-megkerülést tesz lehetővé.
A Siemens a fenti sérülékenységeket az App V1.0.2.2-es verziójában javította, amit a felhasználók a Google Play Store-ból tölthetnek le.
Bővebb információt ezekről a sérülékenységekről az alábbi helyeken lehet találni:
https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-589378.pdf
https://ics-cert.us-cert.gov/advisories/ICSA-17-194-03
Siemens SiPass Integrated sérülékenységek
A Siemens 4 különböző hibát talált a SiPass Integrated V2.70-nél korábbi verzióiban. A hibák között nem megfelelő authentikáció, nem megfelelő jogosultság-kezelés, rendszeren kívüli eszközök számára hozzáférhető kommunikációs csatorna és visszafejthető formában tárolt jelszavak vannak.
A gyártó a hibákat a SiPass V2.70-es verziójában javította.
A sérülékenységekről további részleteket a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet olvasni.
GE Communicator sérülékenység
Az ICS-CERT bejelentése szerint Kimiya, az iDefense Labs (ami az Accenture Security egyik vállalata) egy puffer-túlcsordulási hibát talált a GE okosmérőinek programozásához és ellenőrzéséhez használt Communicator eszközeinek 3.15-ös és korábbi verzióiban.
A GE a hibát a 4.0-ás verzióban javította.
A sérülékenységről részletesebb információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-194-02
A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.