Qualcomm Life Capsule DTS sérülékenység
Elad Luz, a CyberMDX munkatársa egy távoli kódfuttatást lehetővé tevő hibát jelentett az NCCIC-nek, ami a Qualcomm Life Capsule Datacaptor Terminal Server (DTS) termékének egyik komponensét, az Allegro RomPager beágyazott webszerver 4.01-4.34-es verzióit érinti.
A gyártó kiadott egy új firmware verziót, ami csökkenti a sérülékenység okozta kockázatokat. A sérülékenység részleteiről az ICS-CERT bejelentésében lehet bővebben olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-240-01
Sérülékenységek Schneider Electric PLC-kben
Az ICS-CERT két bejelentést is megjelentetett, amikben a Schneider Electric által gyártott ModiCon M221 PLC-k sérülékenységeiről adnak tájékoztatást.
Az első bejelentésben ismertetett sérülékenységeket a New Orleans-i egyetem munkatársai, Irfan Ahmed, Hyunguk Yoo, Sushma Kalle és Nehal Ameen fedezték fel és a ModiCon M221 minden, 1.6.2.0-nál korábbi firmware verzióit érintik.
A gyártó a hibákat az 1.6.2.0 firmware verzióban javította. További részleteket az ICS-CERT publikációjában lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-240-01
A másik, sérülékenységről szóló bejelentésben szereplő hiba szintén a a ModiCon M221 minden, 1.6.2.0-nál korábbi firmware verzióit érinti. A hibát a gyártó ebben az esetben is az 1.6.2.0 verzióban javította. Ennek a sérülékenységnek a részleteit ebben a publikációban lehet elérni: https://ics-cert.us-cert.gov/advisories/ICSA-18-240-02
Sérülékenység Schneider Electric PowerLogic rendszerekben
A Schneider Electric, Ezequiel Fernandez-zel és Bertin Jose-val együttműködve egy Cross-Site Scripting sérülékenységet azonosított a PowerLogic PM5560 2.5.4-nél korábbi firmware verzióiban.
A gyártó a hibát a 2.5.4-es verzióban javította. A sérülékenységről további információkat az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-240-03
ABB eSOMS sérülékenység
Az ABB egy nem megfelelő authentikációból adódó sérülékenységet jelentett az NCCIC-nek. A hiba az eSOMS 6.0.2-es verzióját érinti.
A gyártó a hibát tervei szerint a szeptember végén publikálásra kerülő új eSOMS verzióban fogja javítani, addig is kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről további részleteket illetve az ABB kockázatcsökkentő javaslatait az ICS-CERT weboldalán lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-240-04
Sérülékenységek Philips rendszerekben
A gyártó 9 különböző sérülékenységet jelentett az NCCIC-nek, amik a Philips e-Alert rendszerének R2.1 és korábbi verzióit érintik.
A hibák közül négyet a júniusban megjelent R2.1 már javította, a maradék öt sérülékenység javítását a gyártó 2018 végére igéri. A sérülékenységekről további információkat az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-242-01
Lehetséges malware-fertőzött USB adathordozók Schneider Electric rendszerekhez kapcsolódóan
A gyártó bejelentése szerint lehetséges, hogy az alábbi rendszereihez kapcsolódó USB adathordozók közül néhány malware-fertőzött lehet:
- Conext Combox (sku 865-1058) és
- Conext Battery Monitor (sku 865-1080-01) termékekkel érkező USB adathordozók.
Az USB adathordozókon rendszerdokumentációk és a rendszerek működéséhez nem nélkülözhetetlen szoftverkomponensek találhatók. A gyártó ajánlása az esettel kapcsolatban az érintett USB adathordozók törlése. A szükséges rendszerdokumentációkat és szoftvereket az ügyfelek a Schneider Electric weboldaláról is le tudják tölteni.
Az esettel kapcsolatosan bővebb infomációkat a Schneider Electric weboldalán lehet találni.
A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.