Phoenix Contact rendszerek sérülékenysége
Mathy Vanhoef, az imec-DistriNet és a Leuven-i Katolikus Egyetem munkatársa KRACK sérülékenységet fedezett fel a Phoenix Contact alábbi termékeiben:
- BL2 BPC;
- BL2 PPC;
- FL COMSERVER WLAN 232/422/485;
- FL WLAN 110x;
- FL WLAN 210x;
- FL WLAN 510x;
- FL WLAN 230 AP 802-11;
- FL WLAN 24 AP 802-11;
- FL WLAN 24 DAP 802-11;
- FL WLAN 24 EC 802-11;
- FL WLAN EPA;
- FL WLAN SPA;
- ITC 8113;
- RAD-80211-XD;
- RAD-WHG/WLAN-XD;
- TPC 6013;
- VMT 30xx;
- VMT 50xx;
- VMT 70xx.
A gyártó jelenlegi is vizsgálja, hogy a sérülékenység hogyan hat a beágyazott eszközeinek működésére és amíg elkészülnek a sérülékenység javításával, azt javasolják, hogy ügyfeleik telepítsék a Windows operációs rendszerekhez a Microsoft által már kiadott patch-eket.
A sérülékenységgel kapcsolatos részleteket az ICS-CERT publikációja tartalmazza: https://ics-cert.us-cert.gov/advisories/ICSA-17-325-01
Szolgáltatás-megtagadást lehetővé tevő sérülékenység Siemens termékekben
George Lashenko, a CyberX biztonsági kutatója egy SNMP DoS-t lehetővé tevő hibát azonosított a Siemens számos termékében:
- SIMATIC S7-200 Smart: V2.03.01-nél korábbi összes verzió;
- SIMATIC S7-400 PN V6: V6.0.6-nál korábbi összes verzió;
- SIMATIC S7-400 H V6: minden verzió;
- SIMATIC S7-400 PN/DP V7: minden verzió;
- SIMATIC S7-410 V8: minden verzió;
- SIMATIC S7-300: minden verzió;
- SIMATIC S7-1200: minden verzió;
- SIMATIC S7-1500: minden verzió;
- SIMATIC S7-1500 Software Controller: minden verzió;
- SIMATIC WinAC RTX 2010: minden verzió;
- SIMATIC ET 200 Interface modules for PROFINET IO:
- SIMATIC ET 200AL: minden verzió;
- SIMATIC ET 200ecoPN: minden verzió;
- SIMATIC ET 200M: minden verzió;
- SIMATIC ET 200MP: minden verzió;
- SIMATIC ET 200pro: minden verzió;
- SIMATIC ET 200S: minden verzió;
- SIMATIC ET 200SP: minden verzió;
- Development/Evaluation Kits for PROFINET IO:
- DK Standard Ethernet Controller: minden verzió;
- EK-ERTEC 200P:V4.5-nél korábbi összes verzió;
- EK-ERTEC 200 PN IO: minden verzió;
- SIMOTION Firmware:
- SIMOTION D: V5.1 HF1-nél korábbi összes verzió;
- SIMOTION C: V5.1 HF1-nél korábbi összes verzió;
- SIMOTION P: V5.1 HF1-nél korábbi összes verzió;
- SINAMICS:
- SINAMICS DCM: minden verzió;
- SINAMICS DCP: minden verzió;
- SINAMICS G110M/G120(C/P/D) w. PN: V4.7 SP9 HF1-nél korábbi összes verzió
- SINAMICS G130 és G150: minden verzió;
- SINAMICS S110 w. PN: minden verzió;
- SINAMICS S120: minden verzió;
- SINAMICS S150:
- V4.7: minden verzió;
- V4.8: minden verzió;
- SINAMICS V90 w. PN: minden verzió;
- SINUMERIK 840D sl: minden verzió;
- SIMATIC Compact Field Unit: minden verzió;
- SIMATIC PN/PN Coupler: minden verzió;
- SIMOCODE pro V PROFINET: minden verzió;
- SIRIUS Soft starter 3RW44 PN: minden verzió.
A gyártó az alábbi termékekhez a megjelölt verziókban már elérhetővé tette a javításokat:
- SIMATIC S7-200 Smart: V2.03.01;
- SIMATIC S7-400 PN V6: Update V6.0.6;
- EK-ERTEC 200P: Update V4.5;
- SIMOTION D: Update V5.1 HF1;
- SIMOTION C: Update V5.1 HF1;
- SIMOTION P: Update V5.1 HF1;
- SINAMICS G110M/G120(C/P/D): Update V4.7 SP9 HF1.
A Siemens további frissítéseken is dolgozik, azok elkészültéig az alábbi kockázatcsökkentő intézkedések alkalmazását javasolja:
- Amelyik termékben erre van lehetőség, tiltsák le az SNMP szolgáltatást, ezt tökéletes védelmet jelent a sérülékenységet kihasználó támadási kísérletek ellen;
- Kontrollálják az érintett eszközök 161/udp portjához történő hozzáférést;
- Alkalmazzák a Siemens által kidolgozott cell protection koncepciót;
- Használjanak VPN-megoldást az egyes hálózati zónák közötti kommunikációjához;
- Alkalmazzanak mélységi hálózati védelmert.
A sérülékenységgel kapcsolatosan bővebb információkat a Siemens ProductCERT bejelentésében lehet olvasni: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-346262.pdf
A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen
Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.
