Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CXXXI

BMC Medical, Advantech, Philips, Automated Logic Corporation és SpiderControl rendszerek sérülékenységei

2017. augusztus 23. - icscybersec

Az elmúlt hét megint hozott néhány új ICS sérülékenységet.

Sérülékenység BMC Medical egészségügyi rendszerekben

Az ICS-CERT bejelentése szerint a MedSec egy, a bevitt adatok nem megfelelő ellenőrzéséből eredő sérülékenységet fedezett fel a BMC Medical Luna CPAP Machine nevű termékének 2017. július 1-je előtt kiadott verzióiban. A jelenleg rendelkezésre álló információk szerint az érintett berendezésekhez a gyártó sem javítást, sem más, kockázatcsökkentő intézkedést nem biztosít.

A sérülékenységgel kapcsolatban részleteket az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-227-01

Puffer-túlcsordulás Advantech WebOp berendezésekben

Az ICS-CERT publikációja szerint Ariele Caltabiano (másnéven kimiya) egy puffer-túlcsordulásos hibát talált az Advantech WebOp operátori panelekben, amit kihasználva egy támadó távoli kódfuttatási lehetőséghez juthat.

A gyártó mostanáig nem volt képes megerősíteni a sérülékenység létezését, így egyelőre javítás sem érhető el, azonban a hibát kihasználó exploit már publikus.

A sérülékenységről részletesebb információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-227-01

Sérülékenységek Philips egészségügyi rendszerekben

Az ICS-CERT bejelentése szerint a gyártó két sérülékenységet azonosított a DoseWise Portal 1.1.7.333-as és 2.1.1.3069-es verzióiban. A DoseWise egy web-alapú radiológiai ellenőrző rendszer.

A hibák között beégetett felhasználói azonosítók és olvasható formában tárolt érzékeny adatok vannak.

A gyártó jelenleg is dolgozik a hibákat javító verziókon, amik várhatóan még augusztus folyamán meg fognak jelenni. A javítások megjelenéséig a Philips az általános hálózatbiztonsági intézkedések bevezetését illetve a 1433/tcp port elérésének blokkolását javasolja (kivéve azokat az eseteket, amikor a DoseWise adatbázisa egy dedikált SQL szerveren fut).

A sérülékenységek részleteiről az ICS-CERT bejelentésében lehet további információkat találni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-229-01

Automated Logic Corporation rendszerek sérülékenységei

Gjoko Krstic, a Zero Science Lab munkatársa három hibát talált az Automated Logic Corporation (ALC) WebCTRL, i-Vu, SiteScan Web rendszereinke alábbi verzióiban:

- ALC WebCTRL, i-Vu, SiteScan Web 6.5 és korábbi verziók;
- ALC WebCTRL, SiteScan Web 6.1 és korábbi verziók;
- ALC WebCTRL, i-Vu 6.0 és korábbi verziók;
- ALC WebCTRL, i-Vu, SiteScan Web 5.5 és korábbi verziók;
- ALC WebCTRL, i-Vu, SiteScan Web 5.2 és korábbi verziók.

A fenti verziók közül a gyártó a 6.0 és újabb verziókhoz biztosít támogatást, az 5.5, 5.2 illetve korábbi verziókat használó ügyfeleiknek a mielőbbi verzióváltást ajánlják, ha javítani szeretnék a most felfedezett sérülékenységeket.

A sérülékenységeket az alábbi hibajavítások telepítésével lehet megszüntetni:

- WebCTRL 6.0, Cumulative Patch #13;
- WebCTRL 6.1, Cumulative Patch #7;
- WebCTRL 6.5, Cumulative Patch #7 + WS65_Security_Update2.update;
- i-Vu 6.0, Cumulative Patch #13;
- i-Vu 6.5, Cumulative Patch #7 + WS65_Security_Update2.update;
- SiteScan Web Version 6.1, Cumulative Patch #7;
- SiteScan Web Version 6.5, Cumulative Patch #7 + WS65_Security_Update2.update.

A sérülékenységekkel kapcsolatban részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-234-01

SpiderControl SCADA MicroBrowser sérülékenység

Karn Ganeshen a ZDI-vel együttműködve talált egy puffer-túlcsordulásos hibát a SpiderControl SCADA MicroBrowser Versions 1.6.30.144 és korábbi verzióiban.

A gyártó a hibát az 1.6.40.148-as verzióban javította.

A sérülékenységről bővebb információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-234-02

SpiderControl SCADA Web Server sérülékenység

Szintén Karn Ganeshen és a ZDI találtak egy könyvtárbejárást lehetővé tevő sérülékenységet a SpiderControl SCADA Web Server menedzsment platformjában. A gyártó a hibát a 2.02.0100-as verzióban javította.

A sérülékenységgel kapcsolatosan további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-234-03

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr8412774522

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása