Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CXXXII

Sérülékenységek Westermo, Rockwell Automation, Delta Industrial Automation és Schneider Electric rendszerekben

2017. augusztus 30. - icscybersec

Az elmúlt hét ismét nem múlt új ICS sérülékenységek nélkül.

Sérülékenységek Westermo berendezésekben

Mandar Jadhav, a Qualys Security munkatársa 3 sérülékenységet azonosított a Westermo alábbi termékeiben:

- MRD-305-DIN, 1.7.5.0-nél régebbi verziójú szoftverek használata esetén és
- MRD-315, MRD-355, MRD-455 1.7.5.0-nél régebbi verziójú szoftverek használata esetén.

A hibák között Cross-site request forgery és beégetett felhasználói azonosítók/jelszavak illetve titkosítási kulcs vannak.

A gyártó a hibák javítása érdekében a legfrissebb elérhető verzió (1.7.7.0) telepítését javasolja.

A sérülékenységekről további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-236-01

Rockwell Automation Allen-Bradley switch-ek sérülékenysége

A Rockwell Automation alábbi, Allen-Bradley termékcsaládjához tartozó, Cisco IOS és IOS XE kódbázisára épülő ipari hálózati eszközeivel kapcsolatban a Cisco által azonosított hibáról jelent meg publikáció az ICS-CERT weboldalán:

- A 15.2(5)EA.fc4 és korábbi firmware verziót használó alábbi eszközök
- Allen-Bradley Stratix 5400 ipari switch-ek;
- Allen-Bradley Stratix 5410 ipari switch-ek;
- Allen-Bradley Stratix 5700 és ArmorStratix™ 5700 ipari menedzselhető switch-ek;
- Allen-Bradley Stratix 8000 moduláris menedzselhető switch-ek;
- A 15.6(3)M1 és korábbi firmware verziót használó Allen-Bradley Stratix 5900 router-ek;
- A 15.2(4)EA és korábbi firmware verziót használó Stratix 8300 moduláris menedzselhető switch-ek.

A Cisco által azonosított hiba egy SNMP RCE-t lehetővé tevő sérülékenység. A hiba javítása érdekében a Stratix 8300-as eszközökre az ügyfeleknek javasolt a v15.2(4a)EA5 illetve későbbi firmware-verziót telepíteni.

További kockázatcsökkentést célzó javaslatokat és részletes információkat a sérülékenységgel kapcsolatban az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-208-04

Delta Industrial Automation rendszerek sérülékenységei

A ZDI által publikált nulladik napi sérülékenységeket Ghirmay Desta és egy axt név mögött megbújó személy fedezték fel. A hibák a PMSoft (2 stack-based puffer túlcsordulásra visszavezethető, távoli kódvégrehajtást lehetővé tevő hiba) és a WPLSoft (heap- és stack-based puffer-túlcsordulásokből eredő távoli kódvégrehajtást lehetővé tevő és memória-kezelési hibára visszavezethető távoli kódvégrehajtást lehetővé tevő hibák, szám szerint összesen 9 darab) termékcsaládokat érintik. A sérülékenységek közül többnél a ZDI publikációi megemlítik, hogy a gyártó és az ICS-CERT szerint az érintett szoftverek egy újabb verziója javítja a fenti hibákat, de a ZDI ezzel kapcsolatos gyártói bejelentésről nem tud.

A sérülékenységekről további részleteket a ZDI bejelentései tartalmaznak:
http://www.zerodayinitiative.com/advisories/ZDI-17-697/
http://www.zerodayinitiative.com/advisories/ZDI-17-698/
http://www.zerodayinitiative.com/advisories/ZDI-17-699/
http://www.zerodayinitiative.com/advisories/ZDI-17-700/
http://www.zerodayinitiative.com/advisories/ZDI-17-701/
http://www.zerodayinitiative.com/advisories/ZDI-17-702/
http://www.zerodayinitiative.com/advisories/ZDI-17-703/
http://www.zerodayinitiative.com/advisories/ZDI-17-704/
http://www.zerodayinitiative.com/advisories/ZDI-17-705/
http://www.zerodayinitiative.com/advisories/ZDI-17-706/
http://www.zerodayinitiative.com/advisories/ZDI-17-707/

Schneider Electric Wonderware ArchtestrA Logger sérülékenységek

A Schneider Electric által a saját weboldalán közzé tett bejelentés szerint a PowerSCADA Expert v8.2-ben használt Wonderware ArchtestrA Logger komponensben több sérülékenységet azonosítottak. A hibák között távoli kódvégrehajtást lehetővé tevő hiba, memóriaszivárgás és szolgáltatás megtagadásos támadást (DoS) lehetővé tevő hiba is van.

A gyártó a hibákat javító verziót a weboldalán elérhetővé tette.

A sérülékenységekről további részleteket a Schneider Electric bejelentésében lehet találni.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr2412789054

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása