Az elmúlt hét ismét nem múlt új ICS sérülékenységek nélkül.
Sérülékenységek Westermo berendezésekben
Mandar Jadhav, a Qualys Security munkatársa 3 sérülékenységet azonosított a Westermo alábbi termékeiben:
- MRD-305-DIN, 1.7.5.0-nél régebbi verziójú szoftverek használata esetén és
- MRD-315, MRD-355, MRD-455 1.7.5.0-nél régebbi verziójú szoftverek használata esetén.
A hibák között Cross-site request forgery és beégetett felhasználói azonosítók/jelszavak illetve titkosítási kulcs vannak.
A gyártó a hibák javítása érdekében a legfrissebb elérhető verzió (1.7.7.0) telepítését javasolja.
A sérülékenységekről további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-236-01
Rockwell Automation Allen-Bradley switch-ek sérülékenysége
A Rockwell Automation alábbi, Allen-Bradley termékcsaládjához tartozó, Cisco IOS és IOS XE kódbázisára épülő ipari hálózati eszközeivel kapcsolatban a Cisco által azonosított hibáról jelent meg publikáció az ICS-CERT weboldalán:
- A 15.2(5)EA.fc4 és korábbi firmware verziót használó alábbi eszközök
- Allen-Bradley Stratix 5400 ipari switch-ek;
- Allen-Bradley Stratix 5410 ipari switch-ek;
- Allen-Bradley Stratix 5700 és ArmorStratix™ 5700 ipari menedzselhető switch-ek;
- Allen-Bradley Stratix 8000 moduláris menedzselhető switch-ek;
- A 15.6(3)M1 és korábbi firmware verziót használó Allen-Bradley Stratix 5900 router-ek;
- A 15.2(4)EA és korábbi firmware verziót használó Stratix 8300 moduláris menedzselhető switch-ek.
A Cisco által azonosított hiba egy SNMP RCE-t lehetővé tevő sérülékenység. A hiba javítása érdekében a Stratix 8300-as eszközökre az ügyfeleknek javasolt a v15.2(4a)EA5 illetve későbbi firmware-verziót telepíteni.
További kockázatcsökkentést célzó javaslatokat és részletes információkat a sérülékenységgel kapcsolatban az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-208-04
Delta Industrial Automation rendszerek sérülékenységei
A ZDI által publikált nulladik napi sérülékenységeket Ghirmay Desta és egy axt név mögött megbújó személy fedezték fel. A hibák a PMSoft (2 stack-based puffer túlcsordulásra visszavezethető, távoli kódvégrehajtást lehetővé tevő hiba) és a WPLSoft (heap- és stack-based puffer-túlcsordulásokből eredő távoli kódvégrehajtást lehetővé tevő és memória-kezelési hibára visszavezethető távoli kódvégrehajtást lehetővé tevő hibák, szám szerint összesen 9 darab) termékcsaládokat érintik. A sérülékenységek közül többnél a ZDI publikációi megemlítik, hogy a gyártó és az ICS-CERT szerint az érintett szoftverek egy újabb verziója javítja a fenti hibákat, de a ZDI ezzel kapcsolatos gyártói bejelentésről nem tud.
A sérülékenységekről további részleteket a ZDI bejelentései tartalmaznak:
http://www.zerodayinitiative.com/advisories/ZDI-17-697/
http://www.zerodayinitiative.com/advisories/ZDI-17-698/
http://www.zerodayinitiative.com/advisories/ZDI-17-699/
http://www.zerodayinitiative.com/advisories/ZDI-17-700/
http://www.zerodayinitiative.com/advisories/ZDI-17-701/
http://www.zerodayinitiative.com/advisories/ZDI-17-702/
http://www.zerodayinitiative.com/advisories/ZDI-17-703/
http://www.zerodayinitiative.com/advisories/ZDI-17-704/
http://www.zerodayinitiative.com/advisories/ZDI-17-705/
http://www.zerodayinitiative.com/advisories/ZDI-17-706/
http://www.zerodayinitiative.com/advisories/ZDI-17-707/
Schneider Electric Wonderware ArchtestrA Logger sérülékenységek
A Schneider Electric által a saját weboldalán közzé tett bejelentés szerint a PowerSCADA Expert v8.2-ben használt Wonderware ArchtestrA Logger komponensben több sérülékenységet azonosítottak. A hibák között távoli kódvégrehajtást lehetővé tevő hiba, memóriaszivárgás és szolgáltatás megtagadásos támadást (DoS) lehetővé tevő hiba is van.
A gyártó a hibákat javító verziót a weboldalán elérhetővé tette.
A sérülékenységekről további részleteket a Schneider Electric bejelentésében lehet találni.
A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.
