Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CLVI

Sérülékenységek Siemens, Geutebrück, Beckhoff és Schneider Electric rendszerekben

2018. március 28. - icscybersec

Sérülékenységek Siemens SIMATIC, SINUMERIK és PROFINET IO termékekben

A Siemens ProductCERT egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó sérülékenységet jelentett az ICS-CERT-nek. A hiba az alábbi rendszereket és verziókat érinti:

- SIMATIC CP 343-1 Advanced: minden verzió;
- SIMATIC CP 343-1 Standard: minden verzió;
- SIMATIC CP 443-1 Advanced: minden verzió;
- SIMATIC CP 443-1 Standard: minden verzió;
- SIMATIC S7-1500 Software Controller: a V1.7.0-nál korábbi összes verzió;
- SIMATIC S7-1500: a V1.7.0-nál korábbi összes verzió;
- SIMATIC S7-300: minden verzió;
- SIMATIC S7-400 H V6: minden verzió;
- SIMATIC S7-400 PN/DP V6: a V6.0.7-nél korábbi összes verzió;
- SIMATIC S7-400 PN/DP V7: minden verzió;
- SIMATIC S7-410: a V8.1-nél korábbi összes verzió;
- SIMATIC WinAC RTX 2010: minden verzió;
- SINUMERIK 828D: minden verzió;
- SINUMERIK 840D sl: minden verzió;
- Softnet PROFINET IO, PC-alapú Windows rendszerekhez: minden verzió.

A gyártó a weboldalán elérhetővé tette a hibát javító újabb verziókat.

A sérülékenység részleteiről az ICS-CERT és a Siemens ProductCERT bejelentéseiben lehet olvasni.

Siemens SIMATIC WinCC OA UI mobil alkalmazás sérülékenység

Alexander Bolshev, az IOActive és Ivan Yushkevich, az Embedi munkatársai egy hozzáférés-kezelési hibát azonosítottak a Siemens SIMATIC WinCC OA UI mobil alkalmazás alábbi verzióiban:

- SIMATIC WinCC OA UI for Android: a V3.15.10-nél korábbi összes verzió;
- SIMATIC WinCC OA UI for IOS: a V3.15.10-nél korábbi összes verzió.

A gyártó a hibát a V3.15.10-es verzióban javította.

A sérülékenységről bővebb indormációt az ICS-CERT és a Siemens ProductCERT publikációi tartalmaznak.

Geutebrück IP kamerák sérülékenységei

Davy Douhine, a RandoriSec és Nicolas Mattiocco, a Greenlock munkatársai fél tucatnyi sérülékenységet fedeztek fel a Geutebrück ipari IP kameráiban. A sérülékenységek a következő verziókat érintik:

- G-Cam/EFD-2250 (sorozat szám 5.02024) 1.12.0.4-es firmware verzió;
- Topline TopFD-2125 (sorozat szám 5.02820) 3.15.1-es firmware verzió.

A gyártó a G-Cam/EFD-2250 típusú eszközöknél a hibát az 1.12.0.4-es firmware verzióban javította.

A sérülékenységekkel kapcsolatban további információkat az ICS-CERT webodalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-079-01

Sérülékenység Beckhoff TwinCAT PLC-kben

Steven Seeley, a Source Incite munkatársa a sérülékenységet fedezett fel az alábbi Beckhoff TwinCAT PLC-kben:

- TwinCAT 3.1 Build 4022.4 és korábbi verziók;
- TwinCAT 2.11 R3 2259 és korábbi verziók;
- TwinCAT 3.1 C++ / Matlab (TC1210/TC1220/TC1300/TC1320).

A gyártó a hibával kapcsolatban a legújabb verzióra történő frissítést és a Matlab modulok újra fordítását javasolja.

A sérülékenységről bővebben az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-081-02

Schneider Electric MiCOM sérülékenység

A Schneider Electric bejelentése szerint az alábbi MiCOM termékekben egy szolgáltatás megtagadásos támadást lehtővé tevő sérülékenységet azonosítottak:

- MiCOM P445: 35, 36, 37, E0, F0, F1, F2;
- MiCOM P443, P446: 54, 55, 57, B0, D0, D1, D2;
- MiCOM P543-tól P546-ig: 44, 54, 45, 55, 47, 57, A0, B0, C0, DO, D1, D2;
- MiCOM P841A: 44, 45, 47, A0, C0, C1, C2;
- MiCOM P841B: 54, 55, 57, B0, D0, D1, D2.

A gyártó a hibát az alábbi verziók esetében már javította:

- P445: F0(F), F3;
- P443, P446: D0(F), D3
- MiCOM P543-tól P546-ig: C0(F), D0(F), D3
- P841A: C0(F), C3
- P841B: D0(F), D3

A sérülékenységgel kapcsolatos további részleteket a Schneider Electric webodalán lehet megtalálni.

Sérülékenységek Schneider Electric MGE Network Management Card Transverse-szel szerelt termékekben

A Schneider Electric publikációja szerint Ilya Karpov, Evgeny Druzhinin és Sephen Nosov, a Positive Technologies munkatársai számos sérülékenységet azonosítottak az alábbi, MGE SNMP/Web Card Transverse modullal szerelt termékekben:

- MGE Galaxy 5000;
- MGE Galaxy 6000;
- MGE Galaxy 9000;
- MGE EPS 7000;
- MGE EPS 8000;
- MGE EPS 6000;
- MGE Comet UPS;
- MGE Comet 3000;
- MGE Galaxy PW;
- MGE Galaxy 3000;
- MGE Galaxy 4000;
- MGE STS (Upsilon and Epsilon).

A gyártó a sérülékenységekkel kapcsolatban kockázatcsökkentő intézekedések bevezetését javasolja. A pontos kockázatcsökkentő intézkedésekről és a sérülékenységek további részleteiről a Schneider Electric publikációjában lehet olvasni.

Sérülékenységek Modicon beágyazott webszerverekben

Nikita Maximov, Alexey Stennikov, Anton Dorfman, Alexander Melkikh és Yuliya Simonova, a Positive Technologies munkatársai négy sérülékenységet fedeztek fel a Schneider Electric Modicon M340, Premium, Quantum PLC-iben és a BMXNOR0200-es eszközökben.

A gyártó a sérülékenységekkel kapcsolatban kockázatcsökkentő intézekedések bevezetését javasolja. A sérülékenységekkel kapcsolatos részletek a Schneider Electric bejelentésében találhatóak.

Sérülékenységek Modicon beágyazott FTP szerverekben

Meng Leizi és Zhang Daoquan független biztonsági kutatók, valamint Kirill Chernyshov, Alexey Stennikov és Nikita Maximov, a Positive Technologies munkatársai három sérülékenységet találtak a Schneider Electric Schneider Electric Modicon M340, Premium, Quantum PLC-iben és a BMXNOR0200-es kontrollereiben használt FTP-szerverben.

A gyártó a hibákkal kapcsolatban kockázatcsökkentő intézekedések alkalmazását javasolja. A sérülékenységek részleteit a Schneider Electric publikációja tartalmazza.


Schneider Electric MiCOM Px4x sérülékenységek

A gyártó bejelentése szerint az alábbi termékekben alkalmazott DNP3 over Ethernet protokollban egy szolgáltatás-megtagadásos támadás előidézésére alkalmas hibát találtak:

MiCOM P443 H4 verzió;
MiCOM P445 H4 verzió;
MiCOM P446 H4 verzió;
MiCOM P54x H4 minden verziója;
MiCOM P841A H4 verzió;
MiCOM P841B H4 verzió;

MiCOM P14x minden verziója, a B2(B) kivételével;
MiCOM P44x minden verziója;
MiCOM P64x minden verziója;
MiCOM P746 minden verziója;
MiCOM P849 minden verziója.

A gyártó a sérülékenységgel kapcsolatban ismét a kockázatcsökkentő intézkedések fontosságát hangsúlyozza és kiadta a hibát javító firmware-verziókat is.

A sérülékenység további információkat a Schneider Electric bejelentésében lehet olvasni.

A MiCOM Px4x termékcsalád egyes tagjainál a gyártó egy másik sérülékenységet is azonosított. Az érintett termékek a

MiCOM P14x, 46-os verzió;
MiCOM P44x, D6-os verzió, a D6(E) kivételével;
MiCOM P64x minden verziója;
MiCOM P849 minden verziója.

A hibát a gyártó a P44x sorozat esetén a D6(E) verzióban javította, a többi verzió esetén ebben az esetben is a kockázatcsökkentő intézekedések alkalmazását javasolják.

A sérülékenységről bővebb információ a Schneider Electric publikációjában lehet olvasni.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr6913782300

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása