Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CLV

Siemens, GE, OSIsoft és Omron rendszerek sérülékenységei

2018. március 14. - icscybersec

Sérülékenység Siemens SIPROTEC és Reyrolle rendszerekben

A gyártó és az ICS-CERT bejelentése szerint Ilya Karpov és Alexey Stennikov, a Positive Technologies munkatársai egy sérülékenységet azonosítottak egyes SIPROTEC és Reyrolle termékekben, amik az EN10 Ethernet modul alábbi változataival készültek:

- EN100 Ethernet modul IEC 61850 változat: minden, V4.30-nál korábbi verzió;
- EN100 Ethernet modul PROFINET IO változat: minden verzió;
- EN100 Ethernet modul Modbus TCP változat: minden verzió;
- EN100 Ethernet modul DNP3 változat: minden verzió;
- EN100 Ethernet modul IEC 104 változat: minden verzió.

A sérülékenységet kihasználva egy támadó authentikáció nélkül lehet képes újabb vagy régebbi verziójú firmware-t telepíteni a sérülékeny eszközökre. A hibát a Siemens az EN100 Ethernet modul IEC 61850 változatnál a V4.30-as verzióban javította, a többi változat esetény workaround-ot ajánl az érintett ügyfeleinek.

A sérülékenységgel kapcsolatos további információkat az ICS-CERT illetve a Siemens ProductCERT bejelentéseiben lehet találni.

Sérülékenységek Siemens termékekben

Egy nap alatt két sérülékenységi bejelentést tett közzé a Siemens, amik közül mindkettő foglalkozni egyes SIPROTEC termékekben a kritikus funkció esetén hiányzó authentikációval, de az előző sérülékenységgel ellentétben ebben az esetben Ilya Karpov társa a felfedezésben Dmitry Sklyarov volt. A másik sérülékenység a nem megfelelő erősségű titkosításból adódik. A sérülékeny eszközök és verziók listája részben hasonló:

- DIGSI 4: minden, V4.92-nél korábbi verzió;
- EN100 Ethernet modul IEC 61850 változat: minden, V4.30-nál korábbi verzió;
- EN100 Ethernet modul PROFINET IO változat: minden verzió;
- EN100 Ethernet modul Modbus TCP változat: minden verzió;
- EN100 Ethernet modul DNP3 változat: minden verzió;
- EN100 Ethernet modul IEC 104 változat: minden verzió
- SIPROTEC 4 7SJ66: minden, V4.30-nál korábbi verzió - az eszközöket csak a nem megfelelő erősségű titkosításból adódó sérülékenység érinti;
- SIPROTEC Compact 7SJ80: minden, V4.77-nél korábbi verzió - az eszközöket csak a nem megfelelő erősségű titkosításból adódó sérülékenység érinti;
- SIPROTEC Compact 7SK80: minden, V4.77-nél korábbi verzió - az eszközöket csak a nem megfelelő erősségű titkosításból adódó sérülékenység érinti;
- Egyéb SIPROTEC Compact relék: minden verzió - az eszközöket csak a nem megfelelő erősségű titkosításból adódó sérülékenység érinti;
- Egyéb SIPROTEC 4 relék: minden verzió - az eszközöket csak a nem megfelelő erősségű titkosításból adódó sérülékenység érinti.

A gyártó a DIGSI 4-hez, az EN100 Ethernet modul IEC 61850 változathoz, a SIPROTEC 4 7SJ66-hoz, a SIPROTEC Compact 7SJ80-hoz és SIPROTEC Compact 7SK80-hoz elérhetővé tette a javításokat tartalmazó új firmware-verziókat, a többi típus illetve változat esetén workaround-ot ajánl az érintett ügyfeleinek.

A sérülékenységekről bővebben a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet olvasni.

Sérülékenység GE orvosi rendszerekben

Az ICS-CERT publikációja szerint Scott Erven független biztonsági kutató egy, a nem megfelelő authentikációból adódó sérülékenységet talált a GE Healthcare alábbi termékeiben:

- Optima 520 minden verziója;
- Optima 540 minden verziója;
- Optima 640 minden verziója;
- Optima 680 minden verziója;
- Discovery NM530c 1.003-nál korábbi verziók;
- Discovery NM750b 2.003-nál korábbi verziók;
- Discovery XR656 és Discovery XR656 Plus minden verziója;
- Revolution XQ/i minden verziója;
- THUNIS-800+ minden verziója;
- Centricity PACS Server minden verziója;
- Centricity PACS RA1000 minden verziója;
- Centricity PACS-IW minden verziója, ide értve a 3.7.3.7-es és 3.7.3.8-as verziókat is;
- Centricity DMS minden verziója;
- Discovery VH / Millenium VG minden verziója;
- eNTEGRA 2.0/2.5 Processing and Review Workstation minden verziója;
- CADstream minden verziója;
- Optima MR360 minden verziója;
- GEMNet licensz szerver (EchoServer) minden verziója;
- Image Vault 3.x orvosi képalkotó szoftver minden verziója;
- Infinia / Infinia with Hawkeye 4 / 1, minden verziója;
- Millenium MG / Millenium NC / Millenium MyoSIGHT minden verziója;
- Precision MP/i minden verziója;
- Xeleris 1.0 / 1.1 / 2.1 / 3.0 / 3.1 minden verziója.

A GE a hibát javító verziókat igény esetén eljuttatja az ezt igénylő ügyfeleinek.

A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-037-02

OSIsoft PI Web API sérülékenységek

A gyártó két sérülékenységet jelentett az ICS-CERT-nek, amik az OSIsoft PI Web API 2017 R2 és korábbi verzióit érintik.

A hibákat a gyártó az OSIsoft PI Web API 2017 R2 Update1 és a PI AF Services 2017 R2 Update 1 verziókban javította.

A sérülékenységekkel kapcsolatos bővebbn információkat az ICS-CERT bejelentésében lehet elérni: https://ics-cert.us-cert.gov/advisories/ICSA-18-072-04

OSIsoft PI Vision sérülékenységek

Ugyancsak a gyártó jelentette az ICS-CERT-nek az OSIsoft PI Vision 2017 és korábbi verzióiban felfedezett két sérülékenységet.

A hibákat a gyártó a PI Vision 2017 R2 Update 1 (ami a fent ismertetett PI Web API sérülékenységeket is javítja).

A PI Vision sérülékenységeiről további információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-072-03

OSIsoft PI Data Archive sérülékenységek

Még mindig OSIsoft és még mindig a gyártó jelentett három sérülékenységet a PI Data Archive 2016R2 és korábbi verzióiban.

A gyártó a hibát a PI Data Archive 2017R2 verzióban javította.

A sérülékenységek részleteiről az ICS-CERT publikációjában lehet bővebben olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-072-02

Omron CX-Supervisor sérülékenységek

Az rgod néven ismert biztonsági kutató a ZDI-vel együttműködve 7 különböző sérülékenységet azonosított CX-Supervisor 3.30 és korábbi verzióiban.

A gyártó 3.4.1-es verziójában javította a hibákat.

A sérülékenységek részleteit az ICS-CERT publikációjában lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-072-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr1313737334

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása