Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CXLVII

Sérülékenységek Advantech, Delta Electronics, General Motors és Shanghai OnStar, Rockwell Automation, Moxa és WECON rendszerekben

2018. január 17. - icscybersec

Sérülékenységek Advantech WebAccess rendszerekben

Több biztonsági kutató összesen hét különböző sérülékenységet fedezett fel az Advantech WebAccess 8.3-nál korábbi verzióiban. A hibák között Untrusted Pointer Dereference, puffer-túlcsordulás, könyvtárbejárást lehetővé tevő hiba, SQL injection, a bevitt adatok nem megfelelő ellenőrzése, a feltöltött fájlok nem megfelelő ellenőrzése és memóriakezelési hiba is található.

A hibákat a gyártó a WebAccess 8.3-as verziójában javította.

A sérülékenységekkel kapcsolatos részletekről az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-004-02A

Delta Electronics rendszerek sérülékenységei

Steven Seeley, a Source Incite munkatársa 4 sérülékenységet azonosított a Delta Industrial Automation Screen Editor 2.00.23.00 és korábbi verzióiban. A hibák között puffer-túlcsordulás, különböző memóriakezelési hibák is találhatóak.

A gyártó a hibákat a DOPSoft Version 2-ben javította.

A sérülékenységekről bővebb információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-004-01

Sérülékenységek General Motors és Shanghai OnStar iOS kliensekben

Charles Gans három sérülékenységet fedezett fel a GM által is használt Shanghai OnStar rendszerek iOS klienseinek 7.1-es verziójában. A hibák között érzékeny adatok olvasható formában történő tárolása, man-in-the-middle támadásra lehetőséget adó hiba és nem megfelelő authentikáció is található.

A rendelkezésre álló információk alapján javítás a fenti hibákra még nem érhető el. A GM kockázatcsökkentő intézkedéseket javasol ügyfelei számára. A kockázatcsökkentő intézkedések és a sérülékenységek részletei az ICS-CERT bejelentésében olvashatóak: https://ics-cert.us-cert.gov/advisories/ICSA-17-234-04

Rockwell Automation kontrollerek sérülékenysége

Thiago Alves, az alabamai egyetem munkatársa jelentett egy puffer-túlcsordulási hibát, ami az Allen-Bradley MicroLogix 1400-as sorozatú kontrollereinek B és C sorozatú verzióit érinti, amennyiben a 21.002 vagy korábbi firmware-verziók valamelyikét futtatják:

- 1766-L32AWA
- 1766-L32AWAA
- 1766-L32BWA
- 1766-L32BWAA
- 1766-L32BXB
- 1766-L32BXBA

A hibát a gyártó a 21.003-as verziójú firmware-ben javította.

A sérülékenységgel kapcsolatos részletek az ICS-CERT publikációjában találhatóak: https://ics-cert.us-cert.gov/advisories/ICSA-18-009-01

Sérülékenységek Phoenix Contact hálózati eszközökben

Ilya Karpov és Evgeniy Druzhinin, a Positive Technologies munkatársai két sérülékenységet azonosítottak, amik a Phoenix Contact 3xxx, 4xxx és 48xxx sorozatú switch-einek 1.0-tól 1.32-ig terjedő firmware-verzióiban találhatóak meg. A hibákat kihasználva lehetőség van authentikációs hibákat kihasználni és bizalmas adatokhoz hozzáférni.

A hibákat a gyártó az 1.33 és későbbi verziókban javította.

A sérülékenység részleteiről az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-011-03

Sérülékenység Moxa MXView hálózatmenedzsment szoftverekben

Karn Ganeshen egy könyvtárbejárást lehetővé tevő hibát azonosított a Moxa MXview v2.8 és korábbi verzióiban. A gyártó a hibát a v2.9-es verzióban javította.

A sérülékenységgel kapcsolatban további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-011-02

Sérülékenységek WECON rendszerekben

Több biztonsági kutató munkájaképpen két, puffer-túlcsorduláson alapuló sérülékenységet azonosítottak a WECON LEVI Studio HMI Editor nevű termékének v1.8.29 és korábbi verzióiban. A gyártó a hibákat a legújabb verzióban javította.

A sérülékenységekkel kapcsolatos további információkat az ICS-CERT vonatkozó publikációjában lehet elérni: https://ics-cert.us-cert.gov/advisories/ICSA-18-011-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr6013580799

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása