Advantech WebAccess sérülékenységek
A Zero Day Initiative számos biztonsági kutatóval folytatott együttműködése 11 különböző hiba felfedezését eredményezte, amik az alábbi Advantech termékeket érintik:
- WebAccess V8.2_20170817 és korábbi verziói;
- WebAccess V8.3.0 és korábbi verziói;
- WebAccess Dashboard V.2.0.15 and prior,
- WebAccess Scada Node 8.3.1-nél korábbi verziói;
- WebAccess/NMS 2.0.3 és korábbi verziói.
A gyártó a hibákat a WebAccess 8.3.1-es verziójában javította.
A sérülékenységek részleteit az ICS-CERT publikációjában lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-135-01
Sérülékenység Delta Electronics rendszerekben
Szintén a ZDI-vel együttműködve talált egy sérülékenységet a Delta Electronics Delta Industrial Automation TPEditor 1.89 és korábbi verzióiban egy ThePotato néven hivatkozott személy.
A gyártó a hibát a legújabb verzióban javította.
A sérülékenységgel kapcsolatban bővebb információkat az ICS-CERT weboldalán lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-137-04
Sérülékenység Siemens SINAMIC S7-400-as berendezésekben
A Siemens ProductCERT bejelentése (majd ennek nyomán az ICS-CERT) egy újonnan felfedezett hibáról szól, ami a SINAMIC S7-400-as folyamatvezérlő berendezések alábbi változatait érinti:
- SIMATIC S7-400 (incl. F) CPU, V4.0 és annál korábbi összes hardver-verziója;
- SIMATIC S7-400 (incl. F) CPU V5.0 verziója a V5.2-nél korábbi firmware-verziókkal használva;
- SIMATIC S7-400H CPU, a V4.5-nél korábbi összes hardver-verzió.
A gyártó már elérhetővé tette a hibát javító firmware-verziókat.
A sérülékenységről további információkat a Siemens ProductCERT és az ICS-CERT bejelentései tartalmaznak.
Phoenix Contact switchek sérülékenységei
A Positive Technologies és a CERT@VDE munkatársai 3 sérülékenységet azonosítottak a Phoenix Contact alábbi termékeiben:
- 3xxx, 4xxx, és 48xx-as sorozatú switchek, amik 1.0 és 1.32 közötti verziójú firmware-t futtatnak.
A gyártó a hibákat az 1.34-es és újabb firmware-verziókban javította.
A sérülékenységekről bővebben az ICS-CERT weboldalán lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-137-02
Sérülékenység GE rendszerekben
Younes Dragoni, a Nozomi Networks munkatársa egy sérülékenységet azonosított a GE alábbi rendszereiben:
- PACSystems RX3i CPE305/310 9.20 és korábbi verziói;
- RX3i CPE330 9.21 és korábbi verziói;
- RX3i CPE 400 9.30 és korábbi verziói;
- PACSystems RSTi-EP CPE 100, minden verzió;
- PACSystems CPU320/CRU320 és RXi, minden verzió.
A GE már elérhetővé tette a sérülékenységet javító verziókat.
A sérülékenységről részletei az ICS-CERT publikációjában találhatóak: https://ics-cert.us-cert.gov/advisories/ICSA-18-137-01
Medtronic N'Vision rendszerek sérülékenysége
Billy Rios, a Whitescope LLC munkatársa egy sérülékenységet azonosított a Medtronic alábbi termékeiben:
- 8840 N’Vision Clinician Programmer, minden verzió;
- 8870 N’Vision removable Application Card, minden verzió.
A gyártó nem adott ki javítást a hibához, de kockázatcsökkentő intézkedésekre vonatkozó javaslatokat tett közzé.
A sérülékenységről további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSMA-18-137-01
Sérülékenység Becton, Dickinson and Company rendszerekben
A Becton, Dickinson and Company két sérülékenységet fedezett fel és jelentett az ICS-CERT-nek az alábbi termékeiben:
- BD Kiestra TLA;
- BD Kiestra WCA;
- BD InoqulA+ specimen processor
Mindhárom felsorolt rendszerben az alábbi, sérülékeny alkalmazásokat használják:
- Database (DB) Manager, 3.0.1.0 verzió;
- ReadA Overview 1.1.0.2 és korábbi verziók;
- PerformA 3.0.0.0 és korábbi verziók.
A gyártó a hibákkal kapcsolatban kockázatcsökkentő intézkedésekre fog javaslatot tenni, várhatóan július folyamán.
A sérülékenységekről bővebben az ICS-CERT weboldalán lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-142-01
Martem TELEM temérkek sérülékenységei
Bernhards Blumbergs és Arturs Danilevics, a lett CERT (CERT.LV) munkatársai három sérülékenységet fedeztek fel a Martem alábbi, TELEM termékcsaládba tartozó eszközeiben:
- GW6, 2018.04.18-linux_4-01-601cb47 és korábbi verziói;
- GWM, 2018.04.18-linux_4-01-601cb47 és korábbi verziói.
A gyártó a hibákkal kapcsolatban újabb firmware-verzió telepítését illetve kockázatcsökkentő intézkedések bevezetését javasolja.
A sérülékenységekkel kapcsolatosan további információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-142-01
A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.