WECON LeviStudio HMI sérülékenység

Michael DePlante a ZDI-vel együttműködve tájékoztatta az ICS-CERT-et egy, a WECON LeviStudio HMI berendezéseiben talált puffer túlcsordulásból eredő sérülékenységet. A hiba a LeviStudio HMI minden verziójában megtalálható.

A hibát a gyártó a legfrissebb, weboldalán

http://www.we-con.com.cn/en/download.aspx?id=45

elérhető verzióban javította.

A sérülékenységgel kapcsolatos bővebb információkat az ICS-CERT publikációjában lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-353-05

Siemens LOGO! Soft Comfort sérülékenység

Tobias Gebhardt egy integritás-ellenőrzés nélküli kódletöltésből adódó hibát jelentett a Siemens-nek, ami a LOGO! Soft Comfort V8.2-nél korábbi verzióiban található meg.

A hibát a gyártó a LOGO! Soft Comfort V8.2-es verziójában javította.

A sérülékenység részleteiről az ICS-CERT bejelentésében lehet bővebben olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-353-04

Sérülékenység Ecava Integraxor rendszerekben

Steven Seeley, Michael DePlante és Brad Taylor két SQL injection sérülékenységet fedeztek fel az Ecava Integraxor 6.1.1030.1 és korábbi verzióiban.

A gyártó a hibákat a 6.1.1215.0 verzióban javította.

A sérülékenységekről további információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-353-03

Sérülékenység PEPPERL+FUCHS/ecom instruments eszközökben

A PEPPERL+FUCHS/ecom instruments a Mathy Vanhoef által felfedezett KRACK sérülékenységgel kapcsolatos információkat jelentett a CERT@VDE-nek. A KRACK sérülékenység az alábbi, vezeték nélküli kommunikációra képes eszközeiket érinti, amennyiben azok a WPA2 protokollt használják:

- Tab-Ex 01;
- Ex-Handy 09;
- Ex-Handy 209;
- Smart-Ex 01;
- Smart-Ex 201;
- Pad-Ex 01;
- i.roc Ci70-Ex;
- CK70A-ATEX;
- CK71A-ATEX;
- CN70A-ATEX;
- CN70E-ATEX.

Az Android alapú eszközök esetén a gyártó jelenleg is dolgozik a hiba javításán. A Microsoft Windows alapú eszközöket használó ügyfeleiknek azt tanácsolják, hogy telepítsék a Microsoft által kiadott patch-eket.

A sérülékenység részleteiről az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-353-02

Sérülékenység ABB Ellipse rendszerekben

A gyártó a felhasználók bejelentkezési adatainak olvasható formában történő továbbításából adódó hibát jelzett az ICS-CERT-nek. A sérülékenység az alábbi verziókat érinti:

- Az Ellipse 8.3-tól 8.9-ig terjedő, 2017 december előtt kiadott verziói.

A hibát a gyártó az alábbi verziókban javította:

- Ellipse 8.5.26 Release 7, 2017 decemberi kiadás;
- Ellipse 8.6.21 Release 5, 2017 decemberi kiadás;
- Ellipse 8.7.18 Release 7, 2017 decemberi kiadás;
- Ellipse 8.8.12 Release 7, 2017 decemberi kiadás;
- Ellipse 8.9.6 Release 7, 2017 decemberi kiadás.

A sérülékenységről további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-353-01

KRACK sérülékenység Siemens SIMATIC eszközökben

A Siemens ProductCERT által kiadott közlemény szerint 5 különböző, KRACK-hez kapcsolódó sérülékenységet azonosítottak az alábbi Siemens SIMATIC eszközökben:

- SIMATIC RF350M: minden Summit Client Utility-t tartalmazó verzió V22.3.5.16-nál korábbi verziók esetén;
- SIMATIC RF650M: minden Summit Client Utility-t tartalmazó verzió V22.3.5.16-nál korábbi verziók esetén.

A Siemens a hibákat a V22.3.5.16-os verzióban javította.

A sérülékenység részleteit a Siemens ProductCERT kiadványa tartalmazza: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-418456.pdf

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.