Az elmúlt héten ismét megjelent néhány új és érdekes ICS sérülékenységről szóló publikáció.

Sérülékenység Phoenix Contact rendszerekben

Maxim Rupp egy Cross-site scripting hibát fedezett fel a Phoenix Contact alábbi, ipari hálózati eszközeiben:

- FL COMSERVER BASIC 232/422/485;
- FL COMSERVER UNI 232/422/485;
- FL COMSERVER BAS 232/422/485-T;
- FL COMSERVER UNI 232/422/485-T;
- FL COM SERVER RS232;
- FL COM SERVER RS485;
- PSI-MODEM/ETH.

A felsorolt eszközök mindegyik sérülékeny, amennyiben az 1.99-es, 2.20-as vagy 2.40-esnél korábbi firmware-verziók valamelyikét futtatják.

A gyártó a hibát a legújabb firmware-verzióban javította.

A sérülékenységről bővebb információkat az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-341-03

Rockwell Automation FactoryTalk sérülékenység

Egy meg nem nevezett petrolkémiai cég a bevitt adatok nem megfelelő ellenőrzéséből adódó sérülékenységet jelentett az ICS-CERT-nek. A hiba az alábbi rendszereket érinti:

- FactoryTalk Alarms and Events, 2.90 és korábbi verziók;
- FactoryTalk Services (RSLinx Enterprise), minden verzió;
- FactoryTalk View SE, 5.00 és korábbi verziók;
- Studio 5000 Logix Designer, 24-es és későbbi verziók.

A hibát az ICS-CERT publikációja szerint a Rockwell Automation a FactoryTalk 2.90-es verziójában illetve az újabb verziókban javította (ez némiképp ellentmond a sérülékeny verzióknál az első sorban írt információknak, ahol az érintett verziók között sorolják a 2.90-et és az ennél korábbi verziókat is).

Az ICS-CERT vonatkozó bejelentése itt érhető el: https://ics-cert.us-cert.gov/advisories/ICSA-17-341-02

Sérülékenység Xiongmai Technology IP kamerákban és digitális videórögzítő rendszerekben

Clinton Mielke, független biztonsági kutató egy puffer túlcsorduláson alapuló sérülékenységet fedezett fel a Xiongmai Technology által gyártott minden olyan IP kamerában és videórögzítő rendszerben, amik a NetSurveillance Web interfészt használják.

A gyártó nem reagált az ICS-CERT sérülékenységgel kapcsolatos megkeresésére, így jelenleg nem áll rendelkezésre semmilyen hivatalos gyártói információ a sérülékenységgel kapcsolatban.

Az ICS-CERT sérülékenységgel kapcsolatos kiadványát itt lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-341-01

Sérülékenység Schneider Electric EcoStruxure rendszerekben

A gyártó bejelentése szerint a Schneider Electric EcoStruxure nevű, alállomási felhasználói interfészében használt MySQL 5.5.56-os verzióban több sérülékenység is található, amiket kihasználva szolgáltatás-megtagadásos (DoS) támadást lehet végrehajtani a sérülékeny rendszerek ellen. A sérülékenység az EcoStruxure Substation Operation
User Interface (korábbi nevén EcoSUI) 2.1.17279 és korábbi verzióit érinti.

A gyártó a hibát a 2.1.17285-ös verzióban javította.

A sérülékenységgel kapcsolatban bővebb információkat a Schneider Electric publikációjában lehet olvasni.

Sérülékenységek Schneider Electric Pelco rendszerekben

A Schneider Electric által most közzétett három hibát Gjoko Krstic fedezte fel a Pelco VideoXpert Enterprise 2.1-nél korábbi verzióiban. A hibák között biztonsági intézkedések megkerülését lehetővé tevő, érzékeny adatokat felfedő és jogosultság-kiterjesztésre lehetősége adó hibák találhatóak.

A gyártó a hibát a 2.1-es verzióban javította.

További részleteket a Schneider Electric bejelentésében lehet találni.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.