Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CXXXIII

Sérülékenységek AzeoTech, Advantech, Abbott Laboratories, Automated Logic Corporation, Moxa, OPW Fuel Management Systems és Siemens rendszerekben

2017. szeptember 06. - icscybersec

AzeoTech DAQFactory sérülékenységek

Karn Ganeshen két sérülékenységet jelentett az ICS-CERT-nek, amik az AzeoTech DAQFactory 17.1-nél korábbi verzióit érinti. Az első hiba a jogosultságkezelésben van és nem adminisztrátori jogosultságú felhasználóknak is lehetőséget ad az alkalmazás fájljainak módosítására. A második hiba a rendszer DLL-kezelését érinti.

A gyártó a hibákat a 17.1-es verzióban javította.

A sérülékenységekkel kapcsolatos további részletek az ICS-CERT bejelentésében olvashatóak: https://ics-cert.us-cert.gov/advisories/ICSA-17-241-01

Sérülékenységek az Advantech WebAccess rendszerében

Több különböző független biztonsági kutató és a Tenable Network Security illetve az ADLab munkatársai 9 különböző hibát találtak az Advantech WebAccess V8.2_20170817-nél korábbi verzióiban.

Az Advantech a hibák javítását a V8.2_20170817-es verzióban tette elérhetővé az ügyfelei számára.

A sérülékenységek részleteit az ICS-CERT, illetve a ZDI két bejelentésében találhatóak:

http://www.zerodayinitiative.com/advisories/ZDI-17-712/
http://www.zerodayinitiative.com/advisories/ZDI-17-713/

Abbott Laboratories egészségügyi rendszerek sérülékenységei

Az ICS-CERT bejelentése szerint 3 hibát fedeztek fel az Abbott Laboratories alább felsorolt, 2017. augusztus 28-a előtt gyártott rendszereiben:

- Accent/Anthem;
- Accent MRI;
- Assurity/Allure;
- Assurity MRI.

A hibákat a gyártó az alábbi firmware-verziókban javította:

- Accent/Anthem: F0B.0E.7E;
- Accent MRI/Accent ST: F10.08.6C;
- Assurity/Allure: F14.07.80;
- Assurity MRI: F17.01.49.

Az egészségügyi rendszerek biztonságával kapcsolatban az ICS-CERT és a Cybersecurity Medical Advisory Board az alábbi általános ajánlásokat fogalmazta meg:

- Az egészségügyi szolgáltatók és a páciensek minden esetben egyeztessék az egyes eszközök firmware-frissítésének kiberbiztonsági kockázatait és az egészségügyi előnyöket. Az egyeztetés során mindenképp figyelembe kell venni a páciensek egyedi körülményeit (a pacemaker szükségessége, az eszköz életkora, a páciens által előnyben részesített megoldás);
- Meg kell vizsgálni, hogy a firmware-frissítés megfelelő-e a páciens számára, ismerve a frissítés kockázatait - amennyiben igen, a frissítés során mindenben a gyártó előírásait kell követni;
- Amennyiben pacemaker-t igénylő pánciens eszközén kell firmware-frissítést végezni, azt olyan létesítményben kell végezni, ahol minden szükséges eszköz rendelkezésre áll akár a teljes eszköz cseréjéhez is.

A fenti hibákkal kapcsolatban bővebb információkat az ICS-CERT bejelentes tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSMA-17-241-01

Sérülékenység Automated Logic Corporation rendszerekben

Evgeny Ermakov, a Kaspersky Lab munkatársa egy XXE (XML External Entity) sérülékenységet fedezett fel az ALC alábbi, webes épületautomatizálásban használt rendszereiben:

- Liebert SiteScan Web Version 6.5 és korábbi verziói;
- ALC WebCTRL Version 6.5 és korábbi verziói;
- Carrier i-Vu Version 6.5 és korábbi verziói.

A gyártó a hibát az alábbi verziókban javította:

- WebCTRL 6.0, Cumulative Patch #11;
- WebCTRL 6.1, Cumulative Patch #4;
- WebCTRL 6.5, Cumulative Patch #5;
- i-Vu 6.0, Cumulative Patch #11;
- i-Vu 6.5, Cumulative Patch #5.

A sérülékenységgel kapcsolatban további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-150-01

Moxa SoftCMS Live Viewer sérülékenység

Ziqiang Gu, a Huawei WeiRan Labs munkatársa egy SQL Injection hibát talált a Moxa SoftCMS Live Viewer 1.6-os és korábbi verzióiban.

A gyártó a hibát a SoftCMS Live Viewer 1.7-es verziójában javította.

A sérülékenység részleteiről az ICS-CERT bejelentésében lehet további információkat találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-243-05

Sérülékenységek az OPW Fuel Management Systems rendszereiben

Semen Rozhkov, a Kaspersky Labs munkatársa két hibát fedezett fel az OPW Fuel Management Systems (OPW) SiteSentinel termékcsaládjának Integra 100-as, Integra 500-as és iSite ATG konzoljainak alábbi verzióiban:

- a V175-nél korábbi verziókban;
- a V175-V189 verziókban;
- a V191-V195 verziókban;
- a V16Q3.1-es verziók.

A hibák között kritikus funkció esetén hiányzó authentikáció és SQL Injection található.

A gyártó a hibát a 17Q2.1-es verzióban javította és mivel a hibákat kiemelten fontosnak tartja, a felhasználókat a Service Bulletin 462-ben illetve külön levélben is értesíti az esetről.

A sérülékenységekről részleteket az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-243-04

Sérülékenység egyes Siemens rendszerekben

Sergey Temnikov, Kaspersky Labs munkatársa egy XXE hibát fedezett fel azokban a Siemens rendszerekben, amik az OPC UA protokoll stack discovery service szolgáltatását használják. Az érintett termékek köre az alábbi:

- SIMATIC PCS 7
- V7.1 és korábbi verziók;
- V8.0 minden verziója;
- V8.1 minden verziója;
- SIMATIC WinCC:
- V7.0 minden verziója;
- V7.2 minden verziója;
- V7.3 minden verziója;
- V7.4: V7.4 SP1-nél régebbi verziók;
- SIMATIC WinCC Runtime Professional:
- V13 minden verziója;
- V14: V14SP1-nél régebbi verziók;
- SIMATIC NET PC Software minden verziója;
- SIMATIC IT Production Suite minden verziója.

A Siemens a hibával kapcsolatos javítást elérhetővé tette. A sérülékenység további részleteiről az ICS-CERT és a Siemens ProductCERT bejelentéseiből lehet tájékozódni.

Siemens LOGO! sérülékenységek

Maxim Rupp két sérülékenységet azonosított a Siemens LOGO!8 BM szoftverének összes verziójában. A sérülékenységek között nem megfelelően védett bejelentkezési adatok és Man-in-the-Middle támadást lehetővé tevő hiba található.

A Siemens a hibákat a LOGO!8 BM FS-05 V.1.81.2-es firmware-verziójában javította.

A sérülékenységekről további részleteket az ICS-CERT és a Siemens ProductCERT bejelentéseiből lehet megtudni.

Siemens 7KM PAC Ethernet switch sérülékenység

A Siemens munkatársai egy DoS-támadást lehetővé tevő hibát azonosítottak a 7KM PAC Ethernet switch-ek PROFINET moduljaiban. A hiba a V2.1.3-nál korábbi összes verziót érinti.

A gyártó a hibát a V2.1.3.[1]-es verzióban javította.

A sérülékenységről bővebben az ICS-CERT bejelentésében lehet megtudni: https://ics-cert.us-cert.gov/advisories/ICSA-17-243-03

Sérülékenységek Siemens ACUSON S1000/2000/3000 berendezésekben

A Siemens ProductCERT bejelentése szerint az ACUSON termékcsalád S1000/2000/3000 típusú berendezéseinek minden VC30, VC31, VD10 és VE10A verzióját érinti a most felfedezett, SMBv1-hez kapcsolódó sérülékenységek.

A hibajavítással kapcsolatban a Siemens ProductCERT bejelentése azt javasolja az érintett berendezéseket használó ügyfeleknek, hogy lépjenek kapcsolatba a Siemens Healthineers ügyfélszolgálatával.

A sérülékenységekkel kapcsolatban további részleteket a Siemens ProductCERT bejelentésében lehet olvasni: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-866217.pdf

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr3312800854

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása