Az elmúlt hét megint hozott néhány új ICS sérülékenységet.
Sérülékenység BMC Medical egészségügyi rendszerekben
Az ICS-CERT bejelentése szerint a MedSec egy, a bevitt adatok nem megfelelő ellenőrzéséből eredő sérülékenységet fedezett fel a BMC Medical Luna CPAP Machine nevű termékének 2017. július 1-je előtt kiadott verzióiban. A jelenleg rendelkezésre álló információk szerint az érintett berendezésekhez a gyártó sem javítást, sem más, kockázatcsökkentő intézkedést nem biztosít.
A sérülékenységgel kapcsolatban részleteket az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-227-01
Puffer-túlcsordulás Advantech WebOp berendezésekben
Az ICS-CERT publikációja szerint Ariele Caltabiano (másnéven kimiya) egy puffer-túlcsordulásos hibát talált az Advantech WebOp operátori panelekben, amit kihasználva egy támadó távoli kódfuttatási lehetőséghez juthat.
A gyártó mostanáig nem volt képes megerősíteni a sérülékenység létezését, így egyelőre javítás sem érhető el, azonban a hibát kihasználó exploit már publikus.
A sérülékenységről részletesebb információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-227-01
Sérülékenységek Philips egészségügyi rendszerekben
Az ICS-CERT bejelentése szerint a gyártó két sérülékenységet azonosított a DoseWise Portal 1.1.7.333-as és 2.1.1.3069-es verzióiban. A DoseWise egy web-alapú radiológiai ellenőrző rendszer.
A hibák között beégetett felhasználói azonosítók és olvasható formában tárolt érzékeny adatok vannak.
A gyártó jelenleg is dolgozik a hibákat javító verziókon, amik várhatóan még augusztus folyamán meg fognak jelenni. A javítások megjelenéséig a Philips az általános hálózatbiztonsági intézkedések bevezetését illetve a 1433/tcp port elérésének blokkolását javasolja (kivéve azokat az eseteket, amikor a DoseWise adatbázisa egy dedikált SQL szerveren fut).
A sérülékenységek részleteiről az ICS-CERT bejelentésében lehet további információkat találni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-229-01
Automated Logic Corporation rendszerek sérülékenységei
Gjoko Krstic, a Zero Science Lab munkatársa három hibát talált az Automated Logic Corporation (ALC) WebCTRL, i-Vu, SiteScan Web rendszereinke alábbi verzióiban:
- ALC WebCTRL, i-Vu, SiteScan Web 6.5 és korábbi verziók;
- ALC WebCTRL, SiteScan Web 6.1 és korábbi verziók;
- ALC WebCTRL, i-Vu 6.0 és korábbi verziók;
- ALC WebCTRL, i-Vu, SiteScan Web 5.5 és korábbi verziók;
- ALC WebCTRL, i-Vu, SiteScan Web 5.2 és korábbi verziók.
A fenti verziók közül a gyártó a 6.0 és újabb verziókhoz biztosít támogatást, az 5.5, 5.2 illetve korábbi verziókat használó ügyfeleiknek a mielőbbi verzióváltást ajánlják, ha javítani szeretnék a most felfedezett sérülékenységeket.
A sérülékenységeket az alábbi hibajavítások telepítésével lehet megszüntetni:
- WebCTRL 6.0, Cumulative Patch #13;
- WebCTRL 6.1, Cumulative Patch #7;
- WebCTRL 6.5, Cumulative Patch #7 + WS65_Security_Update2.update;
- i-Vu 6.0, Cumulative Patch #13;
- i-Vu 6.5, Cumulative Patch #7 + WS65_Security_Update2.update;
- SiteScan Web Version 6.1, Cumulative Patch #7;
- SiteScan Web Version 6.5, Cumulative Patch #7 + WS65_Security_Update2.update.
A sérülékenységekkel kapcsolatban részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-234-01
SpiderControl SCADA MicroBrowser sérülékenység
Karn Ganeshen a ZDI-vel együttműködve talált egy puffer-túlcsordulásos hibát a SpiderControl SCADA MicroBrowser Versions 1.6.30.144 és korábbi verzióiban.
A gyártó a hibát az 1.6.40.148-as verzióban javította.
A sérülékenységről bővebb információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-234-02
SpiderControl SCADA Web Server sérülékenység
Szintén Karn Ganeshen és a ZDI találtak egy könyvtárbejárást lehetővé tevő sérülékenységet a SpiderControl SCADA Web Server menedzsment platformjában. A gyártó a hibát a 2.02.0100-as verzióban javította.
A sérülékenységgel kapcsolatosan további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-234-03
A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.