Qualcomm Life Capsule DTS sérülékenység

Elad Luz, a CyberMDX munkatársa egy távoli kódfuttatást lehetővé tevő hibát jelentett az NCCIC-nek, ami a Qualcomm Life Capsule Datacaptor Terminal Server (DTS) termékének egyik komponensét, az Allegro RomPager beágyazott webszerver 4.01-4.34-es verzióit érinti.

A gyártó kiadott egy új firmware verziót, ami csökkenti a sérülékenység okozta kockázatokat. A sérülékenység részleteiről az ICS-CERT bejelentésében lehet bővebben olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-240-01

Sérülékenységek Schneider Electric PLC-kben

Az ICS-CERT két bejelentést is megjelentetett, amikben a Schneider Electric által gyártott ModiCon M221 PLC-k sérülékenységeiről adnak tájékoztatást.

Az első bejelentésben ismertetett sérülékenységeket a New Orleans-i egyetem munkatársai, Irfan Ahmed, Hyunguk Yoo, Sushma Kalle és Nehal Ameen fedezték fel és a ModiCon M221 minden, 1.6.2.0-nál korábbi firmware verzióit érintik.

A gyártó a hibákat az 1.6.2.0 firmware verzióban javította. További részleteket az ICS-CERT publikációjában lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-240-01

A másik, sérülékenységről szóló bejelentésben szereplő hiba szintén a a ModiCon M221 minden, 1.6.2.0-nál korábbi firmware verzióit érinti. A hibát a gyártó ebben az esetben is az 1.6.2.0 verzióban javította. Ennek a sérülékenységnek a részleteit ebben a publikációban lehet elérni: https://ics-cert.us-cert.gov/advisories/ICSA-18-240-02

Sérülékenység Schneider Electric PowerLogic rendszerekben

A Schneider Electric, Ezequiel Fernandez-zel és Bertin Jose-val együttműködve egy Cross-Site Scripting sérülékenységet azonosított a PowerLogic PM5560 2.5.4-nél korábbi firmware verzióiban.

A gyártó a hibát a 2.5.4-es verzióban javította. A sérülékenységről további információkat az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-240-03

ABB eSOMS sérülékenység

Az ABB egy nem megfelelő authentikációból adódó sérülékenységet jelentett az NCCIC-nek. A hiba az eSOMS 6.0.2-es verzióját érinti.

A gyártó a hibát tervei szerint a szeptember végén publikálásra kerülő új eSOMS verzióban fogja javítani, addig is kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről további részleteket illetve az ABB kockázatcsökkentő javaslatait az ICS-CERT weboldalán lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-240-04

Sérülékenységek Philips rendszerekben

A gyártó 9 különböző sérülékenységet jelentett az NCCIC-nek, amik a Philips e-Alert rendszerének R2.1 és korábbi verzióit érintik.

A hibák közül négyet a júniusban megjelent R2.1 már javította, a maradék öt sérülékenység javítását a gyártó 2018 végére igéri. A sérülékenységekről további információkat az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-242-01

Lehetséges malware-fertőzött USB adathordozók Schneider Electric rendszerekhez kapcsolódóan

A gyártó bejelentése szerint lehetséges, hogy az alábbi rendszereihez kapcsolódó USB adathordozók közül néhány malware-fertőzött lehet:

- Conext Combox (sku 865-1058) és
- Conext Battery Monitor (sku 865-1080-01) termékekkel érkező USB adathordozók.

Az USB adathordozókon rendszerdokumentációk és a rendszerek működéséhez nem nélkülözhetetlen szoftverkomponensek találhatók. A gyártó ajánlása az esettel kapcsolatban az érintett USB adathordozók törlése. A szükséges rendszerdokumentációkat és szoftvereket az ügyfelek a Schneider Electric weboldaláról is le tudják tölteni.

Az esettel kapcsolatosan bővebb infomációkat a Schneider Electric weboldalán lehet találni.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.