GE D60 Line Distance Relay sérülékenységek
Kirill Nesterov, a Kaspersky Lab munkatársa két sérülékenységet azonosított a General Electric D60 Line Distance Relay berendezéseinek 7.11-es és korábbi firmware-verzióiban. Az első hiba egy puffer-túlcsordulás, a második pedig egy memóriakezelési hiba. Mindkét sérülékenység távoli kódfuttatási lehetőséget ad egy, a hibát sikeresen kihasználó támadónak.
A gyártó a hibákat a legújabb firmware-verzióban javítottam, amit már elérhetővé tett a weboldalán.
A sérülékenység részleteiről az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-046-02
Sérülékenység Nortek rendszerekben
Evgeny Ermakov és Sergey Gordeychik egy 'command injection' sérülékenységet találtak a Nortek Linear eMerge E3 sorozatú eszközeinek V0.32-07e és korábbi verzióiban. A sérülékenységet kihasználva egy támadó magas jogosultsági szintű kódfuttatásra lehet képes.
A gyártó az E3-as eszközök felhasználói programozási útmutatójában (a 47. oldalon) leírt eljárás szerint frissítését javasolja minden, érintett verziót használó ügyfelének.
A sérülékenységről bővebben információkat az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-046-01
Sérülékenységek Cisco ipari tűzfalakban
A Cisco bejelentése szerint egy, a tűzfal-szoftvereiben (mind a régebbi Security Appliance-ekben, mind az új, FirePower termékcsalád modelljeiben) használt XML parser olyan hibát tartalmaz, ami authentikáció nélkül biztosít lehetőséget egy támadónak távoli kódfuttatásra vagy a rendszer újraindítására. A sérülékenység az alábbi verziókat érinti:
- 8.x (a gyártói támogatás már megszűnt);
- 9.0 (a gyártói támogatás már megszűnt);
- 9.1;
- 9.2;
- 9.3;
- 9.4;
- 9.5;
- 9.6;
- 9.7;
- 9.8;
- 9.9.
A hibát a gyártó a következő verziókban javította:
- 9.1.7.23;
- 9.2.4.27;
- 9.4.4.16;
- 9.6.4.3;
- 9.7.1.21;
- 9.8.2.20;
- 9.9.1.2.
A sérülékenységgel kapcsolatban számos további részletet a Cisco publikációjában lehet találni: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1#vulnerable
Schneider Electric Floating License Manager sérülékenységek
A gyártó bejelentése szerint az alábbi, Schneider Electric Floating License Manager-t használó termékeiben három sérülékenységet azonosítottak:
- SCADA Expert Vijeo Citect / CitectSCADA 7.30-as és 7.40-es verziók;
- CitectSCADA 2015 és 2016;
- Vijeo Historian / Citect Historian 4.40 és 4.50;
- CitectHistorian 2016;
- Citect Anywhere.
A gyártó a hibákat a Floating License Manager v2.1.0.0 verzióban javította.
A sérülékenységről bővebben a Schneider Electric weboldalán lehet olvasni.
Sérülékenység Schneider Electric EcoStruxure rendszerekben
A Schneider Electric által kiadott biztonsági figyelmeztetés szerint sérülékenység található a Flexera FlexNet Publisher komponensben, amit az alábbi Schneider Electric termékekben használnak:
- EcoStruxure Power Monitoring Expert 8.2 (Standard, DC, HC kiadások);
- StruxureWare Power Monitoring Expert 8.1 (Standard, DC, HC kiadások);
- StruxureWare Power Monitoring Expert 8.0 (Standard, DC, HC, kiadások);
- StruxureWare Power Monitoring Expert 7.2.x;
- Energy Expert 1.x (korábbi nevén Power Manager);
- EcoStruxure Power SCADA Operations 8.x (korábbi nevén PowerSCADA Expert), csak az Advanced Reports and Dashboards modul.
A gyártó a hibát javító patch-eket elérhetővé tette a weboldalán.
A sérülékenység részleteiről a Schneider Electric bejelentésében lehet olvasni.
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.
