Az elmúlt héten 3 gyártó termékeivel kapcsolatban publikáltak újonnan felfedezett sérülékenységeket, köztük van két 0. napi hiba is.
Sérülékenységek Mitsubishi Electric rendszerekben
Az ICS-CERT és a ZDI publikációi szerint a Mitsubishi Electric Europe B.V. által forgalmazott E-Designer 7.52-es verziójának 344-es build-jében Andrea “rgod” Micalizzi talált három sérülékenységet. Az E-Designer a Mitsubishi E1000-es termékeinél használt HMI programozására szolgáló megoldás.
Az rgod által talált hibák között két puffer-túlcsordulás és egy nem megfelelő memória-kezelésből származó hiba van. A hibákkal kapcsolatban javításról nincs információ, a gyártó az érintett verziót használó ügyfeleknek azt javasolja, hogy vagy biztonságos, tűzfalakkal védett hálózatban használják az E-Designer-t vagy helyettesítsék az E-Designer-t a Mitsubishi újabb termékeibe épített interfészekkel. Az E-Designer-hez a gyártó már nem ad támogatást, így a jövőben sem várható javítás a most publikált hibákhoz.
A sérülékenységekkel kapcsolatban bővebb információ az ICS-CERT és a ZDI publikációiban található:
http://www.zerodayinitiative.com/advisories/ZDI-17-509/
http://www.zerodayinitiative.com/advisories/ZDI-17-510/
http://www.zerodayinitiative.com/advisories/ZDI-17-511/
http://www.zerodayinitiative.com/advisories/ZDI-17-512/
http://www.zerodayinitiative.com/advisories/ZDI-17-513/
http://www.zerodayinitiative.com/advisories/ZDI-17-514/
http://www.zerodayinitiative.com/advisories/ZDI-17-515/
http://www.zerodayinitiative.com/advisories/ZDI-17-516/
http://www.zerodayinitiative.com/advisories/ZDI-17-517/
http://www.zerodayinitiative.com/advisories/ZDI-17-518/
Schneider Electric rendszer sérülékenysége
Az ICS-CERT augusztus 3-án publikálta a Schneider Electric Pro-face GP-Pro EX termékének 4.07.000 verziójában Karn Ganeshen által talált, tetszőleges kódvégrehajtást eredményező hibát.
A gyártó a hibát a 4.07.100-as verzióban javította, amit a weboldalán tett elérhetővé.
A sérülékenységről további részleteket az ICS-CERT publikációjában lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-215-01
0. napi sérülékenység az Eaton ELCSoft termékében
A TrendMicro-hoz tartozó ZDI által publikált információk szerint Ariele Caltabiano két puffer-túlcsordulásos hibát talált az Eaton ELCSoft nevű rendszerében (a bejelentés nem tartalmaz verziószámot, így feltételezhetjük, hogy minden verziót érintenek a hibák).
A sérülékenységekről néhány további részletet a ZDI publikációiban lehet találni:
http://www.zerodayinitiative.com/advisories/ZDI-17-519/
http://www.zerodayinitiative.com/advisories/ZDI-17-520/
Sérülékenységek Siemens Healthineers Mobilett Mira Max rendszerekben
A Siemens ProductCERT bejelentése alapján a gyártó javította az EternalBlue SMBv1 sérülékenységet a Mobilett Mira Max VE10S XP009/17/S nélküli verzióiban megtalálható hibát, ami 6 különböző kritikus sérülékenységért felelős.
A bejelentés elérhető a Siemens ProductCERT weboldalán: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_SSA-131263.pdf
0. napi sérülékenységek az Advantech WebAccess termékében
A ZDI 44 különböző publikációt adott ki, amik számos különböző Advantech WebAccess sérülékenységről szólnak. A hibákra jelenleg nincs elérhető javítás, amit különösen súlyossá az tesz, hogy a legtöbb hiba távoli kódfuttatást tesz lehetővé a sérülékeny rendszerekben.
Részleteket a ZDI bejelentéseiben lehet olvasni:
http://www.zerodayinitiative.com/advisories/ZDI-17-529/
http://www.zerodayinitiative.com/advisories/ZDI-17-530/
http://www.zerodayinitiative.com/advisories/ZDI-17-531/
http://www.zerodayinitiative.com/advisories/ZDI-17-532/
http://www.zerodayinitiative.com/advisories/ZDI-17-533/
http://www.zerodayinitiative.com/advisories/ZDI-17-534/
http://www.zerodayinitiative.com/advisories/ZDI-17-535/
http://www.zerodayinitiative.com/advisories/ZDI-17-536/
http://www.zerodayinitiative.com/advisories/ZDI-17-537/
http://www.zerodayinitiative.com/advisories/ZDI-17-538/
http://www.zerodayinitiative.com/advisories/ZDI-17-539/
http://www.zerodayinitiative.com/advisories/ZDI-17-540/
http://www.zerodayinitiative.com/advisories/ZDI-17-541/
http://www.zerodayinitiative.com/advisories/ZDI-17-542/
http://www.zerodayinitiative.com/advisories/ZDI-17-543/
http://www.zerodayinitiative.com/advisories/ZDI-17-544/
http://www.zerodayinitiative.com/advisories/ZDI-17-545/
http://www.zerodayinitiative.com/advisories/ZDI-17-546/
http://www.zerodayinitiative.com/advisories/ZDI-17-547/
http://www.zerodayinitiative.com/advisories/ZDI-17-548/
http://www.zerodayinitiative.com/advisories/ZDI-17-549/
http://www.zerodayinitiative.com/advisories/ZDI-17-550/
http://www.zerodayinitiative.com/advisories/ZDI-17-551/
http://www.zerodayinitiative.com/advisories/ZDI-17-552/
http://www.zerodayinitiative.com/advisories/ZDI-17-553/
http://www.zerodayinitiative.com/advisories/ZDI-17-554/
http://www.zerodayinitiative.com/advisories/ZDI-17-555/
http://www.zerodayinitiative.com/advisories/ZDI-17-556/
http://www.zerodayinitiative.com/advisories/ZDI-17-557/
http://www.zerodayinitiative.com/advisories/ZDI-17-558/
http://www.zerodayinitiative.com/advisories/ZDI-17-559/
http://www.zerodayinitiative.com/advisories/ZDI-17-560/
http://www.zerodayinitiative.com/advisories/ZDI-17-561/
http://www.zerodayinitiative.com/advisories/ZDI-17-562/
http://www.zerodayinitiative.com/advisories/ZDI-17-563/
http://www.zerodayinitiative.com/advisories/ZDI-17-564/
http://www.zerodayinitiative.com/advisories/ZDI-17-565/
http://www.zerodayinitiative.com/advisories/ZDI-17-566/
http://www.zerodayinitiative.com/advisories/ZDI-17-567/
A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.
