Schneider Electric Floating License Manager sérülékenységek
A gyártó 3 különböző sérülékenységet talált a Floating License Manager platformjában, amit az alábbi termékeinél használ:
- SCADA Expert Vijeo Citect / CitectSCADA Version 7.30, 7.40;
- CitectSCADA Version 2015, 2016;
- Vijeo Historian/CitectHistorian Version 4.40, 4.50;
- CitectHistorian Version 2016;
- Citect Anywhere;
- PlantStruxure PES V4.3 SP1 és korábbi verziók;
- EcoStruxure Modicon Builder V3.0 és korábbi verziók.
A három hibából az alábbi termékeket csak a memóriakezelési hiba érinti:
- EcoStruxure Power Monitoring Expert 8.2 (Standard, DC, HC Editions);
- StruxureWare Power Monitoring Expert 8.1 (Standard, DC, HC Editions);
- StruxureWare Power Monitoring Expert 8.0 (Standard, DC, HC, Buildings Editions);
- StruxureWare Power Monitoring Expert 7.2.x;
- Energy Expert 1.x (a korábban Power Manager néven futó termék);
- EcoStruxure Power SCADA Operations 8.x (a korábbi PowerSCADA Expert nevű termék, csak az Advanced Reports és Dashboards modulok).
A gyártó a hibát az érintett termékek újabb verzióiban javította.
A sérülékenységekről további részleteket az ICS-CERT és a Schneider Electric publikációiban lehet találni.
Sérülékenységek BeaconMedaes rendszerekben
Maxim Rupp három sérülékenységet talált a BeaconMedaes TotalAlert Scroll Medical Air Systems nevű rendszerének 4107600010.23 és korábbi szoftververzióit futtatják.
A gyártó a hibákat (amelyek álláspontjuk szerint sem a páciensek egészségügyi adatainak bizalmasságát, sem az érintett rendszerek NFPA 99 szabványnak való megfelelését nem érinti) a 4107600010.24-es verzióban javította.
A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-144-01
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.
