Sérülékenység Philips rendszerekben
Az ICS-CERT bejelentése szerint egy ügyfél nem megfelelő erősségű jelszókövetelményekre visszavezethető sérülékenységet jelentett a Philips-nek, ami a gyártó alábbi rendszereit érinti:
- az iSite PACS minden verziója;
- az IntelliSpace PACS minden verziója.
A Philips havi rendszerességgel jelentet meg hibajavításokat a támogatással még rendelkező termékeihez, az ISite 3.6-os platform azonban már minden szempontból nem támogatott terméknek számít. A gyártó emiatt kockázatcsökkentő intézkedésekre vonatkozó javaslatokat is közzétett.
A sérülékenységről az ICS-CERT publikációja tartalmaz további részleteket: https://ics-cert.us-cert.gov/advisories/ICSMA-18-312-01
Sérülékenység Siemens SIMATIC panelekben és SIMATIC WinCC (TIA Portal) rendszerekben
A Siemens ProductCERT publikációja szerint a gyártó egy code injection sérülékenységet fedezett fel az alábbi termékeiben:
- SIMATIC HMI Comfort 4"-22"-os panelek minden, V14-nél korábbi verziója;
- SIMATIC HMI Comfort Outdoor 7"-os és 15"-os panelek minden, V14-nél korábbi verziója;
- SIMATIC HMI KTP mobil panelek KTP400F, KTP700, KTP700F, KTP900 és KTP900F változatainak minden, V14-nél korábbi verziója;
- SIMATIC WinCC Runtime Advanced minden, V14-nél korábbi verziója;
- SIMATIC WinCC Runtime Professional minden, V14-nél korábbi verziója;
- SIMATIC WinCC (TIA Portal) minden, V14-nél korábbi verziója;
- SIMATIC HMI Classic eszközök (TP/MP/OP/MP mobil panelek) minden, V14-nél korábbi verziója.
A gyártó a hibát az érintett termékek V15 Update 4 és újabb verzióiban javította valamint kockázatcsökkentő intézkedésekre vonatkozó javaslatokat is publikált. A sérülékenységgel kapcsolatban további információkat a Siemens ProductCERT bejelentésében lehet olvasni: https://cert-portal.siemens.com/productcert/pdf/ssa-944083.pdf
Siemens SIMATIC IT termékcsalád sérülékenysége
A gyártó egy sérülékenységet azonosított a SIMATIC IT termékcsalád alábbi tagjaiban:
- SIMATIC IT LMS minden verziója;
- SIMATIC IT Production Suite minden, V7.1 Upd3-nál korábbi V7.1 verziója;
- SIMATIC IT UA Discrete Manufacturing minden, V1.2, V1.3 és korábbi verziói;
- SIMATIC IT UA Discrete Manufacturing V2.3 és V2.4 verziója.
A gyártó minden érintett és támogatással még rendelkező verzióhoz elérhetővé tette a javításokat. A sérülékenységről további információkat a Siemens ProductCERT oldalán lehet találni: https://cert-portal.siemens.com/productcert/pdf/ssa-886615.pdf
Sérülékenység SIMATIC Step7 (TIA Portal) rendszerekben
A Siemens egy jelszótároláshoz kapcsolódó sérülékenységet azonosított a SIMATIC Step (TIA Portal) V15.1-nél korábbi verzióiban.
A gyártó a hibát a V15.1-es verzióban javította. A sérülékenységgel kapcsolatban további részleteket a Siemens ProductCERT bejelentésében lehet olvasni: https://cert-portal.siemens.com/productcert/pdf/ssa-621493.pdf
DoS sérülékenység SIMATIC S7 kommunikációs processzorokban
A Siemens ProductCERT Younes Dragonival, a Nozomi Networks munkatársával és az ICS-CERT-tel együttműködve egy szolgáltatás-megtagadásos támadást lehetővé tevő sérülékenységről publikált információt, ami az alábbi termékeiket érinti:
- SIMATIC S7-1200 minden verziója;
- SIMATIC S7-1500 minden, V2.6-nál korábbi verziója.
A gyártó az S7-1500-as termékekhez kiadta a hibát javító verziót, az S7-1200-as termékekhez pedig kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenység részleteit a Siemens ProductCERT weboldalán lehet megtalálni.
Sérülékenység Siemens SCALANCE S termékekben
Nelson Berg, az Applied Risk munkatársa egy Cross-site Scripting sérülékenységet fedezett fel a Siemens SCALANCE S termékcsalád alábbi tagjaiban:
- SCALANCE S602 minden, V4.0.1.1-nél korábbi verziója;
- SCALANCE S612 minden, V4.0.1.1-nél korábbi verziója;
- SCALANCE S623 minden, V4.0.1.1-nél korábbi verziója;
- SCALANCE S627-2M minden, V4.0.1.1-nél korábbi verziója.
A gyártó a hibát a V4.0.1.1-es verzióban javította. A sérülékenységről további információkat a Siemens ProductCERT publikációja tartalmaz: https://cert-portal.siemens.com/productcert/pdf/ssa-242982.pdf
Webalkalmazás sérülékenységek Siemens SIMATIC panelekben
Hosni Tounsi, a Carthage Red Team munkatársa két, webalkalmazás sérülékenységet azonosított a Siemens SIMATIC alábbi paneljeiben:
- SIMATIC HMI Comfort 4"-22"-os panelek minden, V14-nél korábbi verziója;
- SIMATIC HMI Comfort Outdoor 7"-os és 15"-os panelek minden, V14-nél korábbi verziója;
- SIMATIC HMI KTP mobil panelek KTP400F, KTP700, KTP700F, KTP900 és KTP900F változatainak minden, V14-nél korábbi verziója;
- SIMATIC WinCC Runtime Advanced minden, V14-nél korábbi verziója;
- SIMATIC WinCC Runtime Professional minden, V14-nél korábbi verziója;
- SIMATIC WinCC (TIA Portal) minden, V14-nél korábbi verziója;
- SIMATIC HMI Classic eszközök (TP/MP/OP/MP mobil panelek) minden, V14-nél korábbi verziója.
A hibákat a gyártó a V15 Update 4 és újabb verziókban javította. A sérülékenységekről további információkat a Siemens ProductCERT bejelentésében lehet találni: https://cert-portal.siemens.com/productcert/pdf/ssa-233109.pdf
DoS sérülékenység SIMATIC S7-400 kommunikációs processzorokban
A Siemens a CNCERT/CC-vel együttműködve két sérülékenységet azonosított az alábbi termékeiben:
- SIMATIC S7-400 V6 és korábbi modellek minden verziója;
- SIMATIC S7-400 PN/DP V7 minden verziója;
- SIMATIC S7-400H V4.5 és korábbi modellek minden verziója;
- SIMATIC S7-400H V6 minden verziója;
- SIMATIC S7-410 minden a V8.2.1-nél korábbi verziója.
A gyártó az S7-410-es eszközökhöz adott ki javítást a hibákkal kapcsolatban, a többi érintett termékre vonatkozóan kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységek részletes leírása a Siemens ProductCERT weboldalán érhető el: https://cert-portal.siemens.com/productcert/pdf/ssa-113131.pdf
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.
