Sérülékenységek Omron CX-One rendszerekben
Az ICS-CERT bejelentése szerint az rgod néven ismert biztonsági kutató a ZDI-vel együttműködve talált 3 sérülékenységet az Omron CX-One alábbi verzióiban:
- CX-One 4.42 és korábbi verziók, ide értve az alábbi alkalmazásokat is:
- CX-FLnet 1.00 és korábbi verziók;
- CX-Protocol 1.992 és korábbi verziók;
- CX-Programmer 9.65 és korábbi verziók;
- CX-Server 5.0.22 és korábbi verziók;
- Network Configurator 3.63 és korábbi verziók;
- Switch Box Utility 1.68 és korábbi verziók.
A hibákat a gyártó az alábbi verziókban javította:
- CX-FLnet 1.10;
- CX-Protocol 1.993;
- CX-Programmer 9.66;
- CX-Server 5.0.23;
- Network Configurator 3.64;
- Switch Box Utility 1.69.
A sérülékenységekkel kapcsolatban további részleteket az ICS-CERT publikációjában lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-100-02
ATI Systems vészhelyzeti tömegtájékoztató rendszerek sérülékenységei
Balint Seeber, a Bastille munkatársa 2 sérülékenységet jelentett az ICS-CERT-nek, amit az ATI Systems vészhelyzeti tömegtájékoztató rendszerének alábbi eszközeit érintik:
- HPSS16;
- HPSS32;
- MHPSS;
- ALERT4000.
A gyártó jelenleg is teszteli a hibákat javító patch-et és igény szerint elérhetővé teszi az ügyfelei számára.
A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-100-01
Sérülékenység Yokogawa termékekben
A Yokogawa a japán nemzeti CERT-tel (JPCERT) együttműködve publikált egy sérülékenységet, ami az alábbi termékeit érinti:
- CENTUM CS 1000 minden verziója;
- CENTUM CS 3000 R3.09.50 és korábbi verziók;
- CENTUM CS 3000 Small R3.09.50 és korábbi verziók;
- CENTUM VP R6.03.10 és korábbi verziók;
- CENTUM VP Small R6.03.10 és korábbi verziók;
- CENTUM VP Basic R6.03.10 és korábbi verziók;
- Exaopc R3.75.00 és korábbi verziók;
- B/M9000 CS minden verziója;
- B/M9000 VP R8.01.01 és korábbi verziók.
A gyártó a CENTUM CS 1000, CENTUM CS 3000 és CENTUM CS 3000 Small berendezésekhez nem fog javítást kiadni, ezek a típusok már elérték életciklusuk végét. A CENTUM VP, CENTUM VP Small, CENTUM VP BASIC típusokat használó ügyfelek az R5.04.B2 vagy az R6.04.00 verziókra történő frissítéssel javíthatják a hibát. Az Exaopc-k esetén az R3.76.00 verzió javítja a hibát.
A sérülékenységgel kapcsolatos további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-102-01
Rockwell Automation Stratix ipari switch-ek sérülékenységei
A Rockwell Automation 8 sérülékenységet jelentett az ICS-CERT-nek, amik a Cisco IOS és IOS XE firmware-jeire épülő alábbi termékeit érintik:
- Allen-Bradley Stratix 8300 menedzselt ipari Ethernet switch-ek, 15.2(4a)EA5 és korábbi verziói;
- Allen-Bradley Stratix 5400 ipari Ethernet switch-ek, 15.2(6)E0a és korábbi verziói;
- Allen-Bradley Stratix 5410 ipari Ethernet switch-ek, 15.2(6)E0a és korábbi verziói;
- Allen-Bradley Stratix 5700 ipari Ethernet switch-ek, 15.2(6)E0a és korábbi verziói;
- Allen-Bradley Stratix 8000 moduláris menedzselt Ethernet switch-ek, 15.2(6)E0a és korábbi verziói;
- Allen-Bradley ArmorStratix 5700 menedzselt ipari Ethernet switch-ek, 15.2(6)E0a és korábbi verziói.
A hibákkal kapcsolatban nincs információ javításról.
A sérülékenységekről bővebben az ICS-CERT publikációiban lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-107-05
https://ics-cert.us-cert.gov/advisories/ICSA-18-107-04
Sérülékenységek Rockwell Automation Stratix routerekben
A gyártó 4 sérülékenységet jelentett az ICS-CERT-nek, amik az Allen-Bradley Stratix 5900 routerek 15.6.3M1 és korábbi verzióit érintik.
A hibákkal kapcsolatban nincs információ javításról.
A sérülékenység részleteiről az ICS-CERT bejelentése tartalmaz további információkat: https://ics-cert.us-cert.gov/advisories/ICSA-18-107-03
Schneider Electric Triconex sérülékenységek
A HatMan ICS malware-rel kapcsolatos vizsgálatok során a gyártó és a NCCIC közös vizsgálata során két memóriakezelési hibát fedeztek fel, amik az MP model 3008 10.0-10.4 közötti firmware-verzióit érintik.
A hibákat a gyártó a 11.x verziókban javította.
A sérülékenységekről további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-107-02
Sérülékenység Schneider Electric rendszerekben
A Tenable Research munkatársai egy sérülékenységet fedeztek fel az alábbi Schneider Electric rendszerekben:
- InduSoft Web Studio v8.1 és korábbi verziók;
- InTouch Machine Edition 2017 v8.1 és korábbi verziók.
A hibát a gyártó az InduSoft Web Studio v8.1 SP1 és InTouch Machine Edition 2017 v8.1 SP1 verzióiban javította.
A sérülékenységgel kapcsolatban további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-107-01
Abbott Laboratories rendszerek sérülékenységei
A MedSec Holdings két sérülékenységet fedezett fel az Abbott Laboratories defibrillátorainak alábbi verzióiban:
- Fortify;
- Fortify Assura,;
- Quadra Assura;
- Quadra Assura MP;
- Unify;
- Unify Assura;
- Unify Quadra;
- Promote Quadra;
- Ellipse;
- Current;
- Promote.
A gyártó a legújabb firmware-ben javította a hibákat.
A sérülékenységekről részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-107-01
A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.