Az elmúlt hét ismét érdekes termést hozott ICS sérülékenységek terén.
Philips egészségügyi rendszerek sérülékenységei
A gyártó Philips két termékének egyes verzióiban talált sérülékenységet. Az érintett termékek:
- IntelliSpace Cardiovascular, 2.3.0 és korábbi verziók;
- Xcelera, R4.1L1 és korábbi verziók.
A most felfedezett sérülékenység oka, hogy az érintett rendszerek olvasható formában tárolják a felhasználói fiókok bejelentkezési adatait.
A gyártó a sérülékenységgel kapcsolatban egyes verziókhoz már elérhetővé tette a javítást, a többi verziónál jelenleg is folyik a javított verzió fejlesztése, ezek várhatóan 2017 végén lesznek elérhetőek.
A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-318-01
Sérülékenység ABB TropOS operációs rendszerekben
Az ABB nemrég jelezte az ICS-CERT-nek, hogy a TropOS operációs rendszert használó szélessávú routerei érintettek a KRACK (Key Reinstallation AttaCKs) sérülékenység által. Az ABB Mesh OS 8.5.2 és korábbi verziót használó bridge eszközei szintén érintettek.
A gyártó jelenleg is dolgozik a sérülékenység hatásait csökkentő intézkedéseken és megjelentetett egy összefoglalót a weboldalán.
A sérülékenységgel kapcsolatos további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-318-02
Siemens SICAM RTU sérülékenységek
A SEC Consult cég sérülékenységi laboratóriumának munkatársai három hibát fedeztek fel a Siemens által gyártott SICAM RTU-k SM-2556 COM moduljainak alábbi verzióiban:
- ENOS00, ERAC00, ETA2, ETLS00, MODi00, DNPi00: minden verzió.
A hibák között kritikus funkció esetén hiányzó authentikáció, az RTU webes felületének generálása során hiányzó, bevitt adat ellenőrzés és kód befecskendezést lehetővé tevő hiba is van.
A gyártó minden érintett verziót használó ügyfelének az alábbiakat javasolja:
- A csak diagnosztikai célra használható webes funkciók letiltása;
- A sérülékeny és már nem támogatott verziókat (ETA2 - 104 protokollt használó modellek, MODi00 - Modbus/TCP slave modellek, DNPi00 - DNP3/TCP protokollt használó slave modellek) használó ügyfeleik upgrade-eljenek az újabb verziókra (ETA4 - 104 protokollt használó modell, MBSiA0 - Modbus/TCP slave modell, DNPiA1 - DNP3/ TCP slave modell).
A sérülékenységgel kapcsolatban bővebb információkat az ICS-CERT és a Siemens ProductCERT bejelentéseiben lehet találni.
Sérülékenység Moxa eszközökben
Florian Adamsky három sérülékenységet azonosított az alábbi Moxa NPort eszközökben:
- NPort 5110 Version 2.2;
- NPort 5110 Version 2.4;
- NPort 5110 Version 2.6;
- NPort 5110 Version 2.7;
- NPort 5130 Version 3.7 és korábbi verziók;
- NPort 5150 Version 3.7 és korábbi verziók.
A hibák között csomag-befecskendezéses támadást lehetővé tevő, információ-szivárgást okozó és nem megfelelő erőforrás kezelési hiba található.
A gyártó a hibákat a legújabb firmware-verzióban javította.
A sérülékenységekről további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-320-01
DNSMasq sérülékenység Siemens SCALANCE eszközökben
A Siemens ProductCERT bejelentésében 4 különböző, az alábbi SCALANCE eszközökben használt DNSMasq-ot érintő sérülékenységet hozott nyilvánosságra:
- SCALANCE W1750D: minden verzió;
- SCALANCE M800 / S615: All minden verzió.
Azok a SCALANCE W1750D eszközök, amiket vezérlő módban Aruba Mobility Controllereken használnak, nem érintettek, ha az AOS verzió újabb, mint az alábbiak:
- V6.3.1.25;
- V6.4.4.16;
- V6.5.1.9;
- V6.5.3.3;
- V6.5.4.2;
- V8.1.0.4.
A gyártó jelenleg is dolgozik a sérülékenységeket javító firmware-verzión.
A sérülékenységekkel kapcsolatos részleteket a Siemens ProductCERT bejelentésében lehet megtalálni: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-689071.pdf
A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.