Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CXL

Sérülékenységek SpiderControl, Boston Scientific, Rockwell Automation, Korenix, Trihedral, ABB, Advantech, Siemens, Schneider Electric és AutomationDirect rendszerekben

2017. november 15. - icscybersec

Az elmúlt kb. 3 hétben nem igazán volt időm a blogra, így elég rendesen összegyűltek az ICS rendszerekkel kapcsolatos sérülékenységi információk is, szóval a mai egy hosszú poszt lesz.

SpiderControl MicroBrowser sérülékenység

Karn Ganeshen egy DLL hijacking hibát fedezett fel a SpiderControl MicroBrowser, Windows XP, Windows Vista, Windows 7/8/10 operációs rendszerekre épülő érintő paneles operációs rendszereinek 1.6.30.144-es és ennél korábbi verzióiban.

A hibát a gyártó a MicroBrowser 1.6.30.148-as verziójában javította.

A sérülékenységről további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-292-01

Sérülékenységek Boston Scientific rendszerekben

Jonathan Butts és Billy Rios, a Whitescope munkatársai két hibát fedeztek fel a Boston Scientific ZOOM LATITUDE PRM nevű termékének Model 3120-as szériájának. A hibák a Model 3120 minden verzióját érintik. Mindkét hiba a ZOOM LATITUDE PRM Model 3120 által használt titkosításhoz kötődik, az első egy beégetett titkosítási kulcs, a második pedig érzékeny adatok titkosításának elmaradásából adódik.

A gyártó a sérülékenységekkel kapcsolatban javítást nem, csak kompenzáló kontrollokra vonatkozó javaslatokat publikált:

- Megfelelően dokumentált és ellenőrzött hozzáférés-ellenőrzés bevezetését javasolják az érintett eszközök esetén;
- A nem használt eszközöket biztonságos és/vagy zárt helyen javasolt tárolni;
- Az érintett eszközökben használt fizikai titkosító kulcs tároló eszközt javasolt eltávolítani a leállításra vagy kiszerelésre szánt eszközökből.

A sérülékenységekkel kapcsolatos részletesebb információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-292-01

Rockwell Automation sérülékenység

Mathy Vanhoef, a belgiumi Leuven-i Katolikus Egyetem munkatársa egy KRACK sérülékenységgel kapcsolatos hibát fedezett fel a Rockwell Automation Stratix 5100-as ipari vezeték nélküli access pontjainak/munkacsoport átjáróinak 15.3(3)JC1 és korábbi verziójú firmware-eiben.

A hibával kapcsolatban a gyártó későbbre ígéri a Stratix 5100-as eszközök firmware-frissítését. Addig is azt javasolja minden érintett eszközt használó ügyfelének, hogy patch-eljék a Stratix 5100-asokhoz csatlakozó klienseket, mert már a kliens oldali javítás is képes lehet az adott kliens és a sérülékeny Stratix 5100 közötti kommunikációt biztonságossá tenni. Ennek ellenére amikor publikálásra kerül a Stratix 5100-ashoz készült javított firmware-verzió, javasolt azt is mielőbb telepíteni.

A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-299-02

Korenix JetNet sérülékenységek

Mandar Jadhav két sérülékenységet azonosított a Korenix JetNet alábbi verzióiban:

- JetNet5018G, 1.4-es verzió;
- JetNet5310G, 1.4a verzió;
- JetNet5428G-2G-2FX, 1.4-es verzió;
- JetNet5628G-R, 1.4-es verzió;
- JetNet5628G, 1.4-es verzió;
- JetNet5728G-24P, 1.4-es verzió;
- JetNet5828G, 1.1d verzió;
- JetNet6710G-HVDC, 1.1e verzió;
- JetNet6710G, 1.1-es verzió.

A most publikált sérülékenységek között az érintett rendszerekbe beégetett titkosító kulcsok és és nem dokumentált, beégetett felhasználói azonosítók vannak.

A gyártó a nem dokumentált, beégetett felhasználói azonosítók problémáját a legújabb kiadott firmware-verzióban javította. A beégetett titkosító tanúsítvány cseréjéhez javasolják, hogy az érintett ügyfeleik vegyék fel a kapcsolatot a szoftvertámogató központjukkal.

A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-299-01

Trihedral VTSCADA sérülékenységek

Karn Ganeshen és Mark Cross egymástól függetlenül fedeztek fel két hibát a Trihedral Engineering Limited által gyártott VTScada 11.3.03-as és korábbi verzióiban. A sérülékenységek között nem megfelelő hozzáférés-ellenőrzés és DLL hijacking is található.

A hibákat a gyártó a VTSCADA 11.3.05-ös verziójában javította.

A sérülékenységek részletei az ICS-CERT publikációjában találhatóak meg: https://ics-cert.us-cert.gov/advisories/ICSA-17-304-02

Sérülékenység ABB FOX515T kommunikációs interfészekben

Ketan Bali egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó sérülékenységet azonosított az ABB FOX515T kommunikációs interfészeinek 1.0-ás verziójában.

A gyártó közlése szerint az érntett termékek elérték életciklusuk végét és nem várható javítás a sérülékenységgel kapcsolatban. Az ABB sérülékenységgel kapcsolatos további információit itt lehet megtalálni: http://new.abb.com/about/technology/cyber-security/alerts-and-notifications

A sérülékenységgel kapcsolatos további ICS-CERT információkat itt lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-304-01

Advantech WebAccess sérülékenységek

Steven Seeley, együttműködésben ZDI-vel két sérülékenységet talált az Advantech WebAccess V8.2_20170817-nél korábbi verzióiban.

A hibák között puffer-túlcsordulás és nem megfelelő pointer-visszahivatkozás található. A gyártó a hibákat a V8.2_20170817-es verzióban javította.

A sérülékenységekről további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-306-02

Sérülékenység Siemens SIMATIC PCS 7 eszközökben

Sergey Temnikov és Vladimir Dashchenko, a Kaspersky Lab munkatársai egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó sérülékenységet fedeztek fel a SIMATIC PCS 7 alábbi verzióiban:

- A WinCC V7.3 Upd 13-mal együtt használt V8.1 SP1-nél régebbi összes V8.1 verzió;
- Minden V8.2 verzió.

A gyártó a V8.1 verziók hibáit a V8.1 SP1-ben javította, a többi érintett verzió esetében jelenleg is dolgozik a hiba javításán.

A sérülékenység részleteiről az ICS-CERT és a Siemens ProductCERT bejelentéseiben lehet olvasni.

Sérülékenységek Schneider Electric rendszerekben

Aaron Portnoy egy puffer-túlcsordulásból adódó sérülékenységet azonosított a Schneider Electric alábbi rendszereiben:

- InduSoft Web Studio v8.0 SP2 Patch 1 és korábbi verziók;
- InTouch Machine Edition v8.0 SP2 Patch és korábbi verziók.

A sérülékenységekkel kapcsolatban a gyártó minden érintett ügyfelének azt javasolja, hogy frissítsenek, az InduSoft Web Studio esetén a v8.1-es verzióra, az InTouch Machine Edition esetén a 2017 v8.1-es verzióra, továbbá kiadtak egy, a sérülékenységekkel kapcsolatos bulletint is, ami itt érhető el: http://software.schneider-electric.com/pdf/security-bulletin/lfsec00000124/

A sérülékenységekkel kapcsolatos ICS-CERT bejelentés itt érhető el: https://ics-cert.us-cert.gov/advisories/ICSA-17-313-02

Sérülékenység AutomationDirect rendszerekben

Mark Cross, a RIoT Solutions munkatársa egy DLL hijacking sérülékenységet azonosított az AutomationDirect alábbi rendszereiben:

- CLICK Programming Software (Part Number C0-PGMSW), 2.10 és korábbi verziók;
- C-More Programming Software (Part Number EA9-PGMSW), 6.30 és korábbi verziók;
- C-More Micro (Part Number EA-PGMSW)4.20.01.0 és korábbi verziók;
- GS Drives Configuration Software (Part Number GSOFT), 4.0.6 és korábbi verziók;
- SL-SOFT SOLO Temperature Controller Configuration Software (Part Number SL-SOFT), 1.1.0.5 és korábbi verziók.

A gyártó az alábbi termékei esetén adott ki javítást a sérülékenységre:

- CLICK Programming Software: 2.11-es verzió;
- C-more Programming Software: 6.32-es verzió;
- C-more Micro Programming Software: 4.21-es verzió;
- GS Drives: 4.0.7-es verzió;
- SL-Soft SOLO Configuration software: 1.1.0.6-es verzió.

A sérülékenység további részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-313-01

KRACK sérülékenység Siemens ipari termékekben

A Siemens ProductCERT publikációja alapján a Siemens számos ipari környezetbe szánt termékét érinti a KRACK néven ismertté vált WPA/WPA2 sérülékenység. Az érintett termékek/rendszerek listája az alábbi:

SCALANCE W1750D: minden verzió;
SCALANCE WLC711: minden verzió;
SCALANCE WLC712: minden verzió;
SCALANCE W-700 (IEEE 802.11n): minden verzió;
SCALANCE W-700 (IEEE 802.11a/b/g): minden verzió;
SIMATIC IWLAN-PB/LINK: minden verzió;
RUGGEDCOM RX1400 WLAN interfésszel: minden verzió;
RUGGEDCOM RS9xxW: minden verzió;
SIMATIC Mobile Panel 277(F) IWLAN: minden verzió;
SIMATIC ET200 PRO IM154-6 PN IWLAN: minden verzió;
SINAMICS V20 Smart Access Module: minden verzió.

A hibával kapcsolatos javításokat a Siemens jelenleg is fejleszti. A SCALANCE W1750D eszközök gyári beállítások mellett nem érintettek, csak a "Mesh" vagy a "WiFi uplink" funkciókat használó ügyfelek rendszereiben jelentkezik a sérülékenység.

A sérülékenységekkel kapcsolatos bővebb információkat a Siemens ProductCERT bejelentése tartalmazza: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-901333.pdf

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr7513264203

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása