Sérülékenység Saia Burgess Controls PCD kontrollerekben
Davide Fauri, az Eindhoveni Műszaki Egyetem munkatársa egy információszivárgásból adódó sérülékenységet azonosított a Saia Burgess Controls PCD kontrollereinek 1.24.69-nél és 1.28.16-nál korábbi fimware-verzióiban.
A gyártó a hibát a 1.24.69-es és a 1.28.16-os firmware verziókban javította.
A sérülékenységgel kapcsolatban további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-234-05
iniNet Solutions SCADA Webserver sérülékenység
Matthias Niedermaier és Florian Fischer, az Augsburgi Egyetem munkatársai egy nem megfelelő authentikációból adódó sérülékenységet fedeztek fel az iniNet Solutions SCADA Webserver termékének V2.02.0100-nál korábbi verzióiban. A hibát kihasználó támadó hozzáférhet HMI oldalakhoz és akár PLC változókat is módosíthat.
A hibát a gyártó a V2.02.0100 verzióban javította.
A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-264-04
Digium Asterisk GUI sérülékenység
Davy Douhine, a RandoriSec munkatársa egy operációs rendszer szintű parancs-befecskendezést lehetővé tevő hibát talált a Digium Asterisk GUI 2.1.0 és korábbi verzióiban. A hibát kihasználva egy támadó tetszőleges kódfuttatási lehetőséghez juthat.
A gyártó az Asterisk GUI támogatásával már felhagyott, így ezt a hibát sem fogják javítani. A sérülékenység által érintett ügyfeleiknek azt javasolják, hogy váltsanak a SwitchVox nevű termékükre.
A sérülékenység részleteit az ICS-CERT publikációjában lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-264-03
Sérülékenység Ctek SkyRouter eszközökben
Maxim Rupp egy nem megfelelő authentikációból adódó sérülékenységet azonosított a Ctek SkyRouter 4200-as és 4400-as sorozatú eszközeinek V6.00.11-nél korábbi verzióiban. A hibát egy speciális URL-lel lehet kihasználni és ezzel az URL-lel mindenfajta authentikáció nélkül lehet hozzáférést szerezni az alkalmazáshoz.
A gyártó a hibát a V6.00.11-es verzióban javította, amit a jelenleg gyártásban lévő modellekre (Z4500, Z4550 és Z4400) lehet telepíteni.
A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-264-02
Nulladik napi sérülékenységek Eaton ELCSoft berendezésekben
A ZDI 6 különbözó nulladik napi sérülékenységet publikált, amiket egy axt néven hivatkozott személy talált az Eaton ELCSoft PLC programozó szoftverében. A sérülékenységeket puffer-túlcsordulásból és memóriakezelési hibákból adódó távoli kódfuttatási lehetőséget adó hibák okozzák.
Nulladik napi sérülékenységek lévén jelenleg még nincs elérhető javítás a hibákra.
Részletesebb információkat a ZDI bejelentései tartalmaznak:
http://www.zerodayinitiative.com/advisories/ZDI-17-813/
http://www.zerodayinitiative.com/advisories/ZDI-17-815/
http://www.zerodayinitiative.com/advisories/ZDI-17-816/
http://www.zerodayinitiative.com/advisories/ZDI-17-817/
http://www.zerodayinitiative.com/advisories/ZDI-17-818/
http://www.zerodayinitiative.com/advisories/ZDI-17-819/
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.