Stryker orvosi eszközök sérülékenysége

Mathy Vanhoef, a Leuven-i Katolikus Egyetemen működő imec-DistriNet munkatársa a KRACK (a több, mint egy éve felfedezett, WPA és WPA2 titkosításokat érintő) sérülékenység újabb érintett rendszereit azonosította, ezúttal a Stryker alábbi, gyógyászatban használt rendszereit, amennyiben azokban engedélyezve van az iBed Wireless funkció):

- Secure II MedSurg Bed, Model: 3002;
- S3 MedSurg Bed, Models 3002 S3 és 3005 S3;
- InTouch ICU Bed, Model 2131 és 2141.

A gyártó az érintett termékek közül a Gateway 1.0-hoz nem, a Gateway 2.0 és a Gateway 3.0 verziókhoz elérhetővé tette a javítást. A sérülékenységgel kapcsolatban további részleteket az ICS-CERT publikációjában lehet találni: https://ics-cert.us-cert.gov/advisories/ICSMA-19-029-01

Sérülékenység BD FACSLyric rendszerekben

A Becton, Dickinson and Company (BD) egy sérülékenységet azonosított az alábbi termékeiben:

- BD FACSLyric, Windows 10 kutatói változat, amerikai és malájziai kiadások;
- BD FACSLyric IVD Windows 10 amerikai kiadás.

A gyártó a rendelkezésre álló információk szerint fel fogja venni a kapcsolatot az érintett ügyfélkörrel a javítással illetve a kockázatcsökkentő intézkedések részletei miatt. A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-19-029-02

Yokogawa rendszerek sérülékenysége

A Kaspersky Lab egy, a feltöltött fájlok nem megfelelő ellenőrzéséből adódó sérülékenységet azonosított a Yokogawa License Manager szolgáltatást használó alábbi termékeiben:

- CENTUM VP (R5.01.00 - R6.06.00);
- CENTUM VP Entry Class (R5.01.00 - R6.06.00);
- ProSafe-RS (R3.01.00 - R4.04.00);
- PRM (R4.01.00 – R4.02.00);
- B/M9000 VP (R7.01.01 - R8.02.03).

A gyártó a hiba javítása érdekében az érintett termékek legújabb, elérhető verzióra történő frissítését javasolja. A sérülékenységgel kapcsolatos részletes információk az ICS-CERT weboldalán érhetőek el: https://ics-cert.us-cert.gov/advisories/ICSA-19-029-01

Sérülékenység Mitsubishi Electric PLC-kben

Tri Quach, az Amazon Customer Fulfillment Technology Security csoportjának munkatársa egy sérülékenységet fedezett fel a Mitsubishi Electric alábbi, MELSEC-Q sorozató PLC-iben:

- Q03/04/06/13/26UDVCPU: 20081 és korábbi sorozatszámú termékek;
- Q04/06/13/26UDPVCPU: 20081 és korábbi sorozatszámú termékek;
- Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU: 20101 és korábbi sorozatszámú termékek.

A gyártó a hibát a legújabb firmware-verzióban javította. A sérülékenységgel kapcsolatban további részleteket az ICS-CERT publikációjában lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-19-029-02

AVEVA Wonderware sérülékenység

Vladimir Dashchenko, a Kaspersky Lab munkatársa egy, a felhasználói adatok nem megfelelő védelmére visszavezethető sérülékenységet azonosított az AVEVA Wonderware System Platform 2017 Update 2 és korábbi verzióiban.

A gyártó a hibát a Wonderware System Platform 2017 Update 3-ban javította. A sérülékenységgel kapcsolatban további információk az ICS-CERT bejelentésében érhetőek el: https://ics-cert.us-cert.gov/advisories/ICSA-19-029-03

IDenticard PremiSys sérülékenységek

Jimi Sebree a Tenable-vel együttműködve három sérülékenységet talált az IDenticard PremiSys minden, 4.1-nél korábbi verziójában.

A gyártó a beégetett felhasználói azonosítók hibát a 4.1-es verzióban javította, a másik két hibára februárban ígér javítást. A sérülékenységek részleteiről az ICS-CERT weboldalán lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-19-031-02

Sérülékenységek Schneider Electric rendszerekben

Vladimir Kononovich és Vyacheslav Moskvin, a Positive Technologies munkatársai három sérülékenységet találtak a Schneider Electric EVLink Parking 3.2.0-12_v1 és korábbi verzióiban.

A gyártó a javítást tartalmazó verziót már elérhetővé tette és azt javasolja, hogy a töltőállomások távoli hozzáférését tűzfallal védjék. A sérülékenységekről további információkat a Schneider Electric és az ICS-CERT weboldalain lehet találni.

Sérülékenységek Aveva InduSoft és InTouch rendszerekben

Az AVEVA a Tenable-vel együttműködve két sérülékenységről hozott nyilvánosságra részleteket, amik az alábbi termékeiket érintik:

- InduSoft Web Studio 8.1 SP3-nál korábbi verziói;
- InTouch Edge HMI (korábbi nevén InTouch Machine Edition) 2017 Update-nél korábbi verziók.

A gyártó a hibákat az érintett szoftverek legújabb verzióiban javította. A sérülékenységekről bővebben az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-19-036-01

Rockwell Automation rendszerek sérülékenységei

A Rockwell Automation a Tenable-vel közösen egy sérülékenységet jelentett az NCCIC-nek, ami a következő rendszereiket érinti:

- 1756-EWEB (és a 1756-EWEBK) 5.001 és korábbi verziói;
- CompactLogix 1768-EWEB 2.005 és korábbi verziói.

A gyártó a sérülékenységgel kapcsolatban kockázatcsökkentő intézkedésként azt javasolja az ügyfeleinek, hogy amennyiben nem használják, kapcsolják ki az érintett rendszerekben az SNMP-szolgáltatást. A sérülékenységgel kapcsolatban további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-19-036-02

WECON LeviStudio sérülékenységek

Mat Powell, Ziad Badawi és Natnael Samson, a ZDI-vel együttműködve három sérülékenységet azonosítottak a WECON LeviStudio 1.8.56-os és korábbi verzióiban.

A gyártó a sérülékenységeket az érintett termék legújabb verziójában javította. A sérülékenységekről további részleteket az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-19-036-03

Sérülékenységek Kunbus termékekben

Nicolas Merle, az Applied Risk munkatársa öt sérülékenységet fedezett fel a Kunbus PR100088 Modbus gateway termékének 1.1.13166-osnál korábbi verzióiban.

A gyártó a hibákat az 1.1.13166 (Version R02) verzióban javította. A sérülékenységekről bővebben az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-19-036-05

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.