Az elmúlt hét ismét meglehetősen sok ICS sérülékenység publikálását hozta.
NXP i.MX termékcsaládot érintő sérülékenységek
Az ICS-CERT bejelentése szerint a Quarkslab munkatársai két sérülékenységet azonosítottak az NXP i.MX termékeiben. Az alábbi eszközökben egy puffer-túlcsordulást találtak:
- i.MX 50;
- i.MX 53;
- i.MX 6ULL;
- i.MX 6UltraLite;
- i.MX 6SoloLite;
- i.MX 6Solo;
- i.MX 6DualLite;
- i.MX 6SoloX;
- i.MX 6Dual;
- i.MX 6Quad;
- i.MX 6DualPlus;
- i.MX 6QuadPlus;
- Vybrid VF3xx;
- Vybrid VF5xx és
- Vybrid VF6xx.
A másik hiba egy nem megfelelő tanúsítvány-ellenőrzésből adódik, ami az alábbi típusú eszközöket érinti:
i.MX 28;
i.MX 50;
i.MX 53;
i.MX 7Solo
i.MX 7Dual
Vybrid VF3xx;
Vybrid VF5xx;
Vybrid VF6xx;
i.MX 6ULL;
i.MX 6UltraLite;
i.MX 6SoloLite;
i.MX 6Solo;
i.MX 6DualLite;
i.MX 6SoloX;
i.MX 6Dual;
i.MX 6Quad;
i.MX 6DualPlus és
i.MX 6QuadPlus.
A gyártó közleménye szerint a fenti hibák hardveres hibák, így szoftveres javítás nem várható hozzájuk.
A sérülékenységekkel kapcsolatban az NXP közleménye itt, az ICS-CERT bejelentése itt olvasható: https://ics-cert.us-cert.gov/advisories/ICSA-17-152-02
PDQ Manufacturing termékek sérülékenységei
Az ICS-CERT bejelentése szerint Billy Rios és Jonathan Butts, a WhiteScope munkatársai, valamint Terry McCorkle független biztonsági kutató két sérülékenységet találtak a PDQ Manufacturing alábbi termékeiben:
- a LaserWash G5 és G5 S Series minden verziója;
- a LaserWash M5 minden verziója;
- a LaserWash 360 és 360 Plus minden verziója;
- a LaserWash AutoXpress és AutoExpress Plus minden verziója;
- a LaserJet minden verziója;
- a ProTouch Tandem minden verziója;
- a ProTouch ICON minden verziója és
- a ProTouch AutoGloss minden verziója.
A sérülékenységek között egy nem megfelelő authentikáció és a bizalmas adatok titkosításának a hiánya található.
A gyártó megerősítette a sérülékenységek létezését és dolgozik azok javításán, az átmeneti időszakra az alábbi intézkedéseket javasolja:
- Minden esetben bizonyosodjanak meg róla, hogy a PDQ berendezéseket nem lehet elérni az Internet irányából, azokat biztonságos tűzfalak mögött kell üzemeltetni;
- Minden eszközön a telepítésnél le kell cserélni az alapértelmezett gyári jelszavakat egy egyedi jelszóra;
- Minden hálózatot (vezetékes vagy Wi-Fi) a beépített biztonsági funkciók bekapcsolása mellett javasolt használni;
- A routerek port forwarding funkciójának használatát kerülni kell. A port forward alkalmazása növelheti a rendszer kitettségét az Internet irányából és hozzáférést biztosíthat olyan személyeknek, akiknek nincs jogosultságuk a rendszer használatára;
- Ne osszanak meg vagy írjanak le jelszavakat könnyen elérhető helyekre!
A fenti sérülékenységekkel kapcsolatban további részleteket az ICS-CERT publikációjában lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-208-03
Mirion Technologies termékek sérülékenységei
Az ICS-CERT bejelentése szerint Ruben Santamarta, az IOActive munkatársa két sérülékenységet fedezett fel a Mirion Technologies alábbi termékeiben:
DMC 3000 Transmitter Modul;
iPam Transmitter f/DMC 2000;
RDS-31 iTX és különböző változatai (az RSD31-AM csomag is);
DRM-1/2 és különböző változatai (a Solar PWR csomag is);
DRM és RDS-alapú Boundary Monitor eszközök;
Külső transmitterek;
Telepole II és
MESH jelismétlők.
A sérülékenységek között nem megfelelő erősségű titkosítás és a rendszerben beégetett titkosítási kulcsok használata található.
A fenti hibákról bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-208-02
Continental AG Infineon S-Gold 2 sérülékenységek
Mickey Shkatov, Jesse Michael és Oleksandr Bazhaniuk, a McAfee Advanced Threat Research Team-jének munkatársai számos sérülékenységet találtak a Continental AG Infineon S-Gold 2 (PMB 8876) típusú kommunikációs chipsetjében, amit számos autógyártó (pl. BMW, Nissan, Infiniti, Ford, stb.) használ különböző modelljeiben. Az ICS-CERT bejelentése szerint az alábbi modellek lehetnek érintettek:
- A BMW 2009-2010 között gyártott számos modellje;
- Ford - néhány régebbi modell érintett, ezekhez 2016 óta fut egy, a 2G modem frissítését célzó kampány;
- Infiniti 2013 JX35;
- Infiniti 2014-2016 QX60;
- Infiniti 2014-2016 QX60 hibrid;
- Infiniti 2014-2015 QX50;
- Infiniti 2014-2015 QX50 hibrid;
- Infiniti 2013 M37/M56;
- Infiniti 2014-2016 Q70;
- Infiniti 2014-2016 Q70L;
- Infiniti 2015-2016 Q70 hibrid;
- Infiniti 2013 QX56;
- Infiniti 2014-2016 QX 80;
- Nissan 2011-2015 Leaf.
A hibák között puffer-túlcsordulás és nem megfelelő memóriakezelés is található. A Continental AG megerősítette a sérülékenységek létezését, de sem a javításukra, sem a kockázatok csökkentésére vonatkozóan nem adott információt. Az érintett autógyártók egyénileg kezelik az érintett modellek esetén a kockázatok csökkentését.
A sérülékenységekkel kapcsolatban további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-208-01
Sérülékenységek a Siemens Healthineers molekuláris képalkotó rendszerében
A Siemens ProductCERT bejelentése szerint 4 kritikus súlyosságú hibát találtak a Siemens Healthineers molekuláris képalkotó rendszerében. A sérülékenységek a Windows 7 és a HP Client Automation komponensekkel kerültek a rendszerbe és az alábbi verziókat érintik:
- Siemens PET/CT rendszerek: Minden Windows 7-alapú verzió;
- Siemens SPECT/CT rendszerek: Minden Windows 7-alapú verzió;
- Siemens SPECT rendszerek: Minden Windows 7-alapú verzió;
- Siemens SPECT munkaállomások/Symbia.net: Minden Windows 7-alapú verzió.
A gyártó jelenleg is dolgozik a sérülékenységek javításán.
A fenti hibákról további információkat a Siemens ProductCERT publikációjából lehet megtudni: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-822184.pdf
A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.