Sérülékenységek INVT Electric rendszerekben
Ariele Caltabiano, a ZDI-vel együttműködve két sérülékenységet fedezett fel az INVT Electric VT-Designer nevű szoftverének 2.1.7.31-es verziójában. A gyártótól mostanáig nem érkezett javítás a most publikált hibákkal kapcsolatban. A sérülékenységekről részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-333-01
SpiderControl SCADA WebServer sérülékenység
Ismail Bulbul egy, a SpiderControl SCADA WebServer 2.03.0001-nél korábbi verzióit érintő sérülékenységről tájékoztatta az NCCIC-t. A gyártó a hibát a 2.03.0001-es verzióban javította. A sérülékenységről bővebb információkat az ICS-CERT weboldalán lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-338-02
Omron CX-One sérülékenységek
Esteban Ruiz, a Source Incite munkatársa a ZDI-vel együttműködve két sérülékenységről hozott nyilvánosságra részleteket, amelyek az Omron alábbi szoftvereit érintik:
- CX-Programmer 9.66 és korábbi verziói;
- CX-Server 5.0.23 és korábbi verziói.
A gyártó a hibákat a CX-Programmer 9.70-es és a CX-Server 5.0.24-es verzióiban javította. A sérülékenységekről további részleteket az ICS-CERT publikációjában lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-338-01
Sérülékenység Rockwell Automation PLC-kben
David Noren egy, a Rockwell Automation alább felsorolt PLC-iben található kritikus funkció esetén hiányzó authentikációból eredő hibát fedezett fel:
- MicroLogix 1400 vezérlők:
- A sorozat minden verziója;
- B sorozat, v21.003 és korábbi verziói;
- C sorozat, v21.003 és korábbi verziói.
- 1756 ControlLogix EtherNet/IP kommunikációs modulok:
- 1756-ENBT minden verziója;
- 1756-EWEB A sorozat minden verziója;
- 1756-EWEB B sorozat minden verziója.
- 1756-EN2F A sorozat minden verziója;
- 1756-EN2F B sorozat minden verziója;
- 1756-EN2F C sorozat, v10.10 és korábbi verziói.
- 1756-EN2T A sorozat minden verziója;
- 1756-EN2T B sorozat minden verziója;
- 1756-EN2T C sorozat minden verziója;
- 1756-EN2T D sorozat, v10.10 és korábbi verziói.
- 1756-EN2TR A sorozat minden verziója;
- 1756-EN2TR B sorozat minden verziója;
- 1756-EN2TR C sorozat, v10.10 és korábbi verziói.
- 1756-EN3TR A sorozat minden verziója;
- 1756-EN3TR B sorozat, v10.10 és korábbi verziói.
A sérülékenységgel kapcsolatban elérhető javítások listáját és a sérülékenység további részleteit az ICS-CERT weboldalán lehet elérni: https://ics-cert.us-cert.gov/advisories/ICSA-18-310-02
Sérülékenység GE rendszerekben
Vladimir Dashchenko, a Kaspersky Lab munkatársa egy sérülékenységet azonosított, amelyek a GE Cimplicity alábbi verzióit érintik:
- Cimplicity 9.0 R2;
- Cimplicity 9.5;
- Cimplicity 10.0
A gyártó a hibát javító verziót már elérhetővé tette. A sérülékenységgel kapcsolatban részletesebb információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-340-01
Philips egészségügyi rendszerek sérülékenysége
Egy névtelenségbe burkolózó biztonsági kutató egy nem megfelelő erősségű titkosításból eredő sérülékenységet jelentett a Philips-nek, ami minden Philips HealthSuite Health Android alkalmazást érint. A gyártó a hibát várhatóan 2019 első negyedévében fogja javítani, addig is kockázatcsökkentő intézkedéseket javasol az érintett termékét használó ügyfeleinek. A sérülékenységről bővebb információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSMA-18-340-01
Sérülékenységek Siemens SINUMERIK vezérlőkben
Anton Kalinin, Danila Parnishchev, Dmitry Sklyar, Gleb Gritsai, Kirill Nesterov, Radu Motspan, és Sergey Sidorov, a Kaspersky Lab munkatársai a Siemens-szel együttműködve 10 különböző sérülékenységet azonosítottak a SINUMERIK CNC-vezérlők alábbi verzióiban:
- SINUMERIK 808D v4.7 minden verziója;
- SINUMERIK 808D v4.8 minden verziója;
- SINUMERIK 828D v4.7 minden, v4.7 SP6 HF1-nél korábbi verzió;
- SINUMERIK 840D sl v4.7 minden, v4.7 SP6 HF5-nél korábbi verzió;
- SINUMERIK 840D sl v4.8 minden, v4.8 SP3-nál korábbi verzió.
A gyártó már számos, érintett termékéhez kiadta a hibákat javító új verziókat, a többi érintett termék esetén pedig jelenleg is dolgozik a javításokon. A sérülékenységekről részletesebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.
Sérülékenység Siemens SINAMICS PERFECT HARMONY GH180-as HMI-okban
A Siemens és a McAfee közös publikációja alapján a SINAMICS PERFECT HARMONY GH180-as HMI-okon futó MACC komponens hibája miatt az alábbi verziókban találtak sérülékenységet:
- SINAMICS PERFECT HARMONY GH180: MLFB 6SR32 sorozat;
- SINAMICS PERFECT HARMONY GH180: MLFB 6SR42 sorozat;
- SINAMICS PERFECT HARMONY GH180: MLFB 6SR52 sorozat;
- SINAMICS PERFECT HARMONY GH180: MLFB 6SR325 sorozat;
- SINAMICS PERFECT HARMONY GH180: MLFB 6SR32 sorozat, ha az HMI Microsoft Windows XP-n fut;
- SINAMICS PERFECT HARMONY GH180: MLFB 6SR42 sorozat, ha az HMI Microsoft Windows XP-n fut;
- SINAMICS PERFECT HARMONY GH180: MLFB 6SR52 sorozat, ha az HMI Microsoft Windows XP-n fut;
- SINAMICS PERFECT HARMONY GH180: MLFB 6SR325 sorozat, ha az HMI Microsoft Windows XP-n fut.
A Siemens és a McAfee ajánlása szerint az MLFB 6SR32, 6SR42 és 6SR52 sorozatú HMI-okat használó ügyfelek a McAfee ajánlásainak megfelelően frissítsenek a MACC v8.2.0 verziójára. A többi érintett verziót használó ügyfél számára kockázatcsökkentő intézkedések bevezetését javasolják.
A sérülékenységgel kapcsolatban további információkat a Siemens ProductCERT és az ICS-CERT bejelentései tartalmaznak.
Sérülékenység Siemens TIM 1531 IRC modulokban
A Siemens ProductCERT publikációja szerint a SIMATIC S7-1500, S7-400 és az S7-300 SINAUT ST7-tel szerelt berendezéseiben használt TIM 1531 IRC kommunikációs modulok V2.0-nál korábbi verzióiban hiányzik egy authentikáció a 102/tcp porton folytatott kommunikáció során.
A gyártó a hibát a TIM 1531 IRC modul V2.0 verziójában javította. A sérülékenységgel kapcsolatban bővebb információkat a Siemens ProductCERT publikációjában lehet olvasni.
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.