Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CXXXIV

Smith Medical, i-SENS, Phoenix Contact és SpiderControl rendszerek sérülékenységei

2017. szeptember 13. - icscybersec

A mai posztban az elmúlt héten nyilvánosságra került ICS sérülékenységeket fogom áttekinteni.

Sérülékenységek Smith Medical orvosi eszközökben

Scott Gayou, független biztonsági kutató 8 különböző sérülékenységet fedezett fel a Smith Medical vezeték nélküli kommunikációra képes Syringe infúziós berendezésének alábbi verzióiban:

- Medfusion 4000 Wireless Syringe Infusion Pump, 1.1-es verziója;
- Medfusion 4000 Wireless Syringe Infusion Pump, 1.5-ös verziója és
- Medfusion 4000 Wireless Syringe Infusion Pump, 1.6-os verziója.

A hibák között klasszikus puffer-túlcsordulás, nem megfelelő hozzáférés-kezelés, beégetett felhasználói azonosítók és jelszavak, nem megfelelő tanúsítvány-ellenőrzés, és konfigurációs fájlban olvasható formában tárolt jelszavak is találhatóak.

A gyártó a hibákat a 2018 januárban kiadni tervezett 1.6.1-es firmware-verzióban fogja javítani, addig is az alábbi biztonsági intézkedéseket javasolja az érintett berendezéseket használók számára:

- Használjanak statikus IP címeket a Medfusion 4000 Wireless Syringe infúziós berendezéseknél;
- Ellenőrizzék a hálózatot nem engedélyezett DNS és DHCP szerverek működését figyelve;
- Biztosítsák, hogy a Medfusion 4000 Wireless Syringe infúziós berendezések hálózata legyen elkülönítve a többi kórházi hálózattól;
- Mérlegeljék a hálózat mikro-szegmentálását;
- A hálózatszegmentálásnál mérlegeljék a VLAN-ok használatát;
- Alkalmazzanak biztonságos és kellően bonyolult jelszavakat;
- Kerüljék a jelszavak ismételt felhasználását.

A sérülékenységgel kapcsolatban további részleteket az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-250-02

i-SENS SmartLog vércukor-szint ellenőrző szoftver sérülékenysége

Mark Cross, független biztonsági kutató egy DLL-injection sérülékenységet fedezett fel az i-SENS SmartLog Diabetes Management Software 2.4.0 és korábbi verzióiban.

A gyártó a hibát a 2.4.1-es verzióban javította.

A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-250-01

Sérülékenység Phoenix Contact mGuard eszközökben

A gyártó a német CERT@VDE-n keresztül jelentette az ICS-CERT-nek azt a Null Point Dereference hibát, ami az alábbi hálózatbiztonsági eszközöket érinti, ha 8.0.0 és 8.5.1 közötti verziójú firmware-t futtatnak:

- FL MGUARD RS4000 TX/TX VPN,
- FL MGUARD GT/GT,
- FL MGUARD GT/GT VPN,
- FL MGUARD RS4000 TX/TX,
- FL MGUARD SMART2 VPN,
- FL MGUARD SMART2,
- FL MGUARD RS2000 TX/TX VPN,
- FL MGUARD DELTA TX/TX,
- FL MGUARD DELTA TX/TX VPN,
- FL MGUARD PCI4000,
- FL MGUARD PCI4000 VPN,
- FL MGUARD PCIE4000 VPN,
- FL MGUARD RS2005 TX VPN,
- FL MGUARD RS4004 TX/DTX,
- FL MGUARD RS4004 TX/DTX VPN,
- FL MGUARD RS4000 TX/TX-P,
- FL MGUARD RS4000 TX/TX VPN-M,
- FL MGUARD CENTERPORT,
- FL MGUARD RS,
- FL MGUARD RS VPN ANALOG,
- TC MGUARD RS2000 3G VPN,
- TC MGUARD RS4000 3G VPN,
- TC MGUARD RS2000 4G VPN és
- TC MGUARD RS4000 4G VPN.

A hibát a gyártó szerint a 8.5.2 és újabb firmware-verziókat javították.

A hibával kapcsolatban további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-250-02

SpiderControl SCADA Web Server sérülékenység

Karn Ganeshen egy nem megfelelő jogosultság-kezelésből adódó hibát talált a SpiderControl SCADA Web Server 2.02.0007 és korábbi verzióiban.

A gyártó a hibát a 2.02.0100-es verzióban javította.

A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-250-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr8212825496

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása