A mai posztban az elmúlt héten nyilvánosságra került ICS sérülékenységeket fogom áttekinteni.
Sérülékenységek Smith Medical orvosi eszközökben
Scott Gayou, független biztonsági kutató 8 különböző sérülékenységet fedezett fel a Smith Medical vezeték nélküli kommunikációra képes Syringe infúziós berendezésének alábbi verzióiban:
- Medfusion 4000 Wireless Syringe Infusion Pump, 1.1-es verziója;
- Medfusion 4000 Wireless Syringe Infusion Pump, 1.5-ös verziója és
- Medfusion 4000 Wireless Syringe Infusion Pump, 1.6-os verziója.
A hibák között klasszikus puffer-túlcsordulás, nem megfelelő hozzáférés-kezelés, beégetett felhasználói azonosítók és jelszavak, nem megfelelő tanúsítvány-ellenőrzés, és konfigurációs fájlban olvasható formában tárolt jelszavak is találhatóak.
A gyártó a hibákat a 2018 januárban kiadni tervezett 1.6.1-es firmware-verzióban fogja javítani, addig is az alábbi biztonsági intézkedéseket javasolja az érintett berendezéseket használók számára:
- Használjanak statikus IP címeket a Medfusion 4000 Wireless Syringe infúziós berendezéseknél;
- Ellenőrizzék a hálózatot nem engedélyezett DNS és DHCP szerverek működését figyelve;
- Biztosítsák, hogy a Medfusion 4000 Wireless Syringe infúziós berendezések hálózata legyen elkülönítve a többi kórházi hálózattól;
- Mérlegeljék a hálózat mikro-szegmentálását;
- A hálózatszegmentálásnál mérlegeljék a VLAN-ok használatát;
- Alkalmazzanak biztonságos és kellően bonyolult jelszavakat;
- Kerüljék a jelszavak ismételt felhasználását.
A sérülékenységgel kapcsolatban további részleteket az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-250-02
i-SENS SmartLog vércukor-szint ellenőrző szoftver sérülékenysége
Mark Cross, független biztonsági kutató egy DLL-injection sérülékenységet fedezett fel az i-SENS SmartLog Diabetes Management Software 2.4.0 és korábbi verzióiban.
A gyártó a hibát a 2.4.1-es verzióban javította.
A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-250-01
Sérülékenység Phoenix Contact mGuard eszközökben
A gyártó a német CERT@VDE-n keresztül jelentette az ICS-CERT-nek azt a Null Point Dereference hibát, ami az alábbi hálózatbiztonsági eszközöket érinti, ha 8.0.0 és 8.5.1 közötti verziójú firmware-t futtatnak:
- FL MGUARD RS4000 TX/TX VPN,
- FL MGUARD GT/GT,
- FL MGUARD GT/GT VPN,
- FL MGUARD RS4000 TX/TX,
- FL MGUARD SMART2 VPN,
- FL MGUARD SMART2,
- FL MGUARD RS2000 TX/TX VPN,
- FL MGUARD DELTA TX/TX,
- FL MGUARD DELTA TX/TX VPN,
- FL MGUARD PCI4000,
- FL MGUARD PCI4000 VPN,
- FL MGUARD PCIE4000 VPN,
- FL MGUARD RS2005 TX VPN,
- FL MGUARD RS4004 TX/DTX,
- FL MGUARD RS4004 TX/DTX VPN,
- FL MGUARD RS4000 TX/TX-P,
- FL MGUARD RS4000 TX/TX VPN-M,
- FL MGUARD CENTERPORT,
- FL MGUARD RS,
- FL MGUARD RS VPN ANALOG,
- TC MGUARD RS2000 3G VPN,
- TC MGUARD RS4000 3G VPN,
- TC MGUARD RS2000 4G VPN és
- TC MGUARD RS4000 4G VPN.
A hibát a gyártó szerint a 8.5.2 és újabb firmware-verziókat javították.
A hibával kapcsolatban további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-250-02
SpiderControl SCADA Web Server sérülékenység
Karn Ganeshen egy nem megfelelő jogosultság-kezelésből adódó hibát talált a SpiderControl SCADA Web Server 2.02.0007 és korábbi verzióiban.
A gyártó a hibát a 2.02.0100-es verzióban javította.
A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-250-01
A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.