JanTek JTC-200 sérülékenységek

Karn Ganeshan két sérülékenységet jelentett az ICS-CERT-nek, amik a JanTek JTC-200 TCP/IP konverter berendezések minden verzióját érinti. A hibák között egy CSRF és egy nem megfelelő authentikációból adódó hiba található.

A gyártó a JTC-200-as sorozatú eszközökhöz nem fog hibajavítást kiadni, jelenleg a JTC-300-as sorozat 2017 végére ütemezett megjelenésén dolgoznak.

A sérülékenységekkel kapcsolatban további részleteket az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-283-02

Sérülékenység LAVA Computer MFG berendezésekben

Maxim Rupp egy authentikáció megkerülést lehetővé tevő hibát talált a LAVA Computer MFG ESL (Ether-Serial Link) berendezéseinek 6.01.00/29.03.2017 és korábbi firmware-verzióiban.

A gyártó nem reagált az ICS-CERT hibával kapcsolatos megkeresésére, így jelenleg nincs elérhető javítás a sérülékenységre.

A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-283-01

Sérülékenységek Siemens BACnet berendezésekben

A Siemens két sérülékenységet azonosított az általa gyártott, alábbi BACnet berendezésekben:

- APOGEE PXC BACnet Automation Controllers: minden, V3.5-nél korábbi verzió;
- TALON TC BACnet Automation Controllers: minden, V3.5-nél korábbi verzió.

A gyártó a hibákat a V3.5-ös firmware-verzióban javította.

A sérülékenységekkel kapcsolatban további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-05

NXP Semiconductors rendszerek sérülékenységei

Scott Gayou két hibát, egy puffer-túlcsordulást és egy memória-kezelési hibát talált az NXP Semiconductors alábbi rendszereiben:

- MQX RTOS 5.0 és korábbi verziók (puffer-túlcsordulás);
- MQX RTOS 4.1 és korábbi verziók (memória-kezelési hiba).

A gyártó 2018. januárra tervezi a fenti hibákat javító új MQX verziót.

A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-04

Sérülékenység Envitech EnviDAS Ultimate rendszerekben

Can Demirel és Deniz Çevik, a Biznet Bilisim munkatársai egy nem megfelelő authentikációból adódó hibát találtak az Envitech EnviDAS Ultimate v1.0.0.5-nél korábbi verzióiban.

A gyártó a hibát a v1.0.0.5-ös és újabb verzióiban javította.

A sérülékenységgel kapcsolatos további információkat az ICS-CERT bejelentése tartalmazza: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-03

WECON rendszerek sérülékenysége

Andrea “rgod” Micalizzi, az iDefense Labs munkatársa egy puffer-túlcsordulásból adódó hibát fedezett fel a WECON LEVI Studio HMI Editor v1.8.1 és korábbi verzióiban.

A gyártó a hibát a v1.8.2 és újabb verziókban javította.

A sérülékenységgel kapcsolatosan részletesebb információkat az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-02

Sérülékenységek Prominent MultiFLEX berendezésekben

Maxim Rupp 5 különböző sérülékenységet azonosított a ProMinen MultiFLEX M10a típusú berendezéseiben. A hibák a MultiFLEX M10a webes interfészének minden verzióját érintik.

A gyártó mostanáig nem adott hírt a sérülékenységek javításáról.

A sérülékenységek részleteiről az ICS-CERT bejelentésében lehető bővebben olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-01

Progea Movicon SCADA/HMI rendszerek sérülékenységei

Karn Ganeshen két sérülékenységet fedezett fel a Progea Movicon HMI szoftver-platformjának 11.5.1181-es és korábbi verzióiban.

A gyártó mostanáig nem tett elérhetővé javítást a hibákkal kapcsolatban, de egy tudásbázis cikk elérhető a DLL Hijacking sérülékenységről: http://www.movicon.info/Support/MoviconKB/WebHelp/Knowledgebase/kb000035.htm

A sérülékenység részleteiről az ICS-CERT weboldalán lehet bővebb információkat szerezni: https://ics-cert.us-cert.gov/advisories/ICSA-17-290-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.