Sérülékenységek Moxa ThingsPro rendszerekben
A gyártó publikációja szerint 7 különböző hibát azonosítottak a Moxa ThingsPro Gateway 2.1-es verziójában. A hibákat (egy kivételével, ehhez kockázatcsökkentő intézkedésre tett javaslatot) a Moxa a ThingsPro Gateway 2.3-as verziójában javította. A sérülékenységekről további részleteket a Moxa weboldalán lehet olvasni: https://www.moxa.com/support/faq/faq_detail.aspx?id=2724
Sérülékenység Fr. Sauter rendszerekben
Gjoko Krstic, az Applied Risk munkatársa egy XXE (XML External Entity Reference) sérülékenységet fedezett fel az Fr. Sauter CASE Suite 3.10-es és korábbi verzióiban.
A hibát a gyártó a CASE Suite 3.10-es verzióhoz kiadott Service Release 1-ben javította. A sérülékenységről részletesebb információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-305-04
Circontrol CirCarLife sérülékenység
Öt különböző biztonsági kutató is jelentette azt a két hibát, amit a Circontrol CirCarLife nevű, elektromos autótöltőjének 4.3.1-es verziójú szoftverében találtak. A gyártó a hibák javítását tartalmazó új verziót már elérhetővé tette. A sérülékenységek részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-305-03
Sérülékenység Schneider Electric rendszerekben
A Venustech egy DLL hijacking sérülékenységet talált a Schneider Electric Software Update termékének v2.2.0-nál korábbi verzióiban. A Software Update-et az alábbi Schneider Electric megoldások használják:
- Acti 9 Smart Test;
- AltivarATV320DtmLibrary;
- AltivarDTMLibrary;
- AltivarMachine340DTMLibrary;
- AltivarProcessATV6xxDTMLibrary;
- AltivarProcessATV9xxDTMLibrary;
- Blue;
- CompactNSX Firmware Update;
- Ecodial Advance Calculation;
- eConfigure;
- Ecoreach Software;
- EcoStruxure Modicon Builder;
- eXLhoist Configuration Software;
- Lexium 26 DTM Library;
- Lexium 28 DTM Library;
- Lexium 32 DTM Library;
- LV Motor Starter;
- PowerSCADA Expert;
- Schneider Electric Floating License Manager;
- Schneider Electric License Manager;
- Schneider Electric Motion Sizer;
- Schneider Electric SQL Gateway;
- SoMachine Basic;
- SoMachine Motion Software;
- SoMachine Motion Tools v4.3;
- SoMachine Software;
- SoMove;
- SoSafe Configurable;
- SoSafe Programmable v2.1;
- TeSysDTM;
- Unity Loader;
- Unity Pro;
- Vijeo Citect;
- Vijeo Designer;
- Vijeo Designer Opti 6.1;
- Vijeo XD;
- Web Gate Client Files.
A Schneider Electric a hibát a Software Update v2.2.0 verziójában javította. A sérülékenységgel kapcsolatosan további információkat az ICS-CERT, illetve (megfelelő jogosultságok birtokában) a Schneider Electric weboldalán lehet olvasni.
Sérülékenységek AVEVA rendszerekben
A Tenable két sérülékenységet jelentett a gyártónak, amik az AVEVA alábbi rendszereit érintik:
- InduSoft Web Studio 8.1 SP2-nél korábbi verziói;
- InTouch Edge HMI (korábbi nevén InTouch Machine Edition) 2017 SP2-nél korábbi verziói.
A gyártó a hibákat javító verziókat már elérhetővé tette. A sérülékenységről további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-305-01
Sérülékenységek Roche egészségügyi rendszerekben
Niv Yehezkel, a Medigate munkatársa 5 sérülékenységet azonosított a Roche Point of Care hordozható egészségügyi termékcsaládjának alábbi tagjaiban:
- Accu-Chek Inform II;
- CoaguChek Pro II;
- CoaguChek XS Plus;
- CoaguChek XS Pro;
- cobas h 232 POC.
A gyártó a sérülékenységekkel kapcsolatban kockázatcsökkentő intézkedések bevezetését javasolja és november hónap folyamán tervez javítást kiadni. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-310-01
A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.
