Sérülékenység Emerson berendezésekben
Younes Dragoni, a Nozomi Networks munkatársa egy Stack-based Buffer Overflow sérülékenységet azonosított az Emerson ControlWave Micro CWM v.05.78.00 és korábbi verziójú firmware-jeiben. A hiba sikeres kihasználásával egy támadó elérheti az eszköz Ethernet-kommunikációjának leállását, amit csak az érintett berendezés ki- majd ismételt bekapcsolása állít helyre.
A gyártó a hibát a v.05.79.00 verzióban javította.
A sérülékenységgel kapcsolatos további információkat az ICS-CERT publikációja tartalmazza: https://ics-cert.us-cert.gov/advisories/ICSA-18-058-03
Delta Electronics WPLSoft sérülékenységek
Egy Axt néven hivatkozott személy három sérülékenységet jelentett a ZDI-nek. A hibák a WPLSoft PLC programozó szoftver 2.45.0 és korábbi verzióit érintik, közöttük két puffer-túlcsordulás és egy memória-kezelési hiba található.
A gyártó a hibát a 2.46.0 verzióban javította.
A sérülékenységekről részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-058-02
Sérülékenység Delta Industrial Automation DOPSoft rendszerekben
Ghirmay Desta a ZDI-nek jelentett egy puffer-túlcsordulást okozó hibát, amit a Delta Industrial Automation DOPSoft HMI rendszerének 4.00.01 és korábbi verzióiban talált.
A gyártó a hibát a DOPSoft 4.00.04-es verziójában javította.
A sérülékenység részleteit az ICS-CERT publikációjában lehet elérni: https://ics-cert.us-cert.gov/advisories/ICSA-18-060-03
Sérülékenység Philips Intellispace Portal rendszerekben
A gyártó számos sérülékenységet tárt fel az Intellispace Portal 8.0.x és 7.0.x verzióiban. A sérülékenységek között nem megfelelő bevitt adat ellenőrzés, információszivárgás, jogosultság-kezelési hibák, tetszőleges kódfuttatást és jogosultsági szint emelést lehetővé tevő hibák, hibakeresésből visszamaradt kód és az alkalmazott titkosítás sérülékenysége is megtalálható.
A gyártó a hibák javítását március folyamán tervezi kiadni.
A sérülékenységek részleteiről az ICS-CERT bejelentése tartalmaz bővebb információkat: https://ics-cert.us-cert.gov/advisories/ICSMA-18-058-02
Sérülékenységek Medtronic rendszerekben
Billy Rios és Jonathan Butts, a Whitescope LLC munkatársai több sérülékenységet is találtak a Medtronic 2090 CareLink Programmer rendszerében. A hibák a rendszer minden verziójában megtalálhatóak.
A gyártó mostanáig nem adott ki olyan új verziót, ami javítaná a most feltárt hibákat.
A sérülékenységek részleteit az ICS-CERT publikációjában lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-058-01
Moxa OnCell eszközök sérülékenységei
Kirill Nesterov, Eugenie Potseluevskaya és Radu Motspan, a Kaspersky Labs munkatársai három sérülékenységet jelentettek az ICS-CERT-nek, amik a Moxa OnCell G3100-HSPA sorozatú eszközeinek 1.4 Build 16062919 és korábbi verzióit futtató firmware-jeit érintik.
A gyártó a hibákat javító új firmware-verziót már elérhetővé tette a weboldalán.
A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-060-02
Sérülékenységek Schneider Electric Pelco Sarix rendszerekben
A Schneider Electric publikációja szerint Deng Yongkai, az NSFOCUS biztonsági csoport, Mihail Berk Eksioglu, a Biznet Bilisim A.S., Giri Veeraraghavan Veda, a Gulf Business Machines és Gjoko Krstic, a Zero Science Labs kutatói 12 különböző sérülékenységet azonosítottak a Pelco Sarix Professional 3.29.67-esnél korábbi firmware-verzióiban.
A gyártó a hibákat a 3.29.67-es firmware-verzióban javította.
A sérülékenységek részleteiről a Schneider Electric bejelentése tartalmaz bővebb információkat.
Hirschmann Automation berendezések sérülékenységei
Ilya Karpov, Evgeniy Druzhinin, Mikhail Tsvetkov ésDamir Zainullin, a Positive Technologies munkatársai 5 különböző sérülékenységet azonosítottak a Hirschmann Automation Classic Platform Switch termékei közül az alábbiakban:
- minden RS verzió;
- minden RSR verzió;
- minden RSB verzió;
- minden MACH100 verzió;
- minden MACH1000 verzió;
- minden MACH4000 verzió;
- minden MS verzió;
- minden OCTOPUS verzió.
A sérülékenységekkel kapcsolatos javításról jelenleg nincs információ. A gyártó az ICS-CERT bejelentésében több kockázatcsökkentő intézkedést is javasol a sérülékenységek okozta kockázatok csökkentésére vonatkozóan.
Sérülékenység Schneider Electric szoftverkomponensekben
A Venustech-hez tartozó Active-Defense Lab egy DLL injection-t lehetővé tevő sérülékenységet talált a Schneider Electric SoMove és DTM szoftverkomponenseinek alábbi verzióiban:
- SoMove software, 2.6.2-nél korábbi verziók;
- ATV320 DTM, 1.1.6-nál korábbi verziók;
- ATV340 DTM, 1.2.3-nál korábbi verziók;
- ATV6xx DTM, 1.8.0-nál korábbi verziók;
- ATV9xx DTM, 1.3.5-nél korábbi verziók;
- az AltivarDtmLibrary, 12.7.0-nál korábbi verziói:
- ATV32 DTM;
- ATV71 DTM;
- ATV61 DTM;
- ATV LIFT DTM;
- ATV31/312 DTM;
- ATV212 DTM;
- ATV12 DTM.
A hibát a gyártó az érintett szoftverek legújabb verzióiban javította.
A sérülékenység részleteiről az ICS-CERT publikációja tartalmaz információkat: https://ics-cert.us-cert.gov/advisories/ICSA-18-065-02
Eaton ELCSoft sérülékenység
Ariele Caltabiano, a kimiya néven is ismert biztonsági kutató a ZDI-vel együttműködve jelentett egy sérülékenységet az ICS-CERT-nek, ami az Eaton ELCSoft2.04.02 és korábbi verziójú firmware-jeit érinti.
A gyártó a hibát javító firmware-verziót már elérhetővé tette.
A sérülékenységről bővebben az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-065-03
A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.
