Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CXCIX

Sérülékenységek Columbia Weather Systems, AVEVA és Medtronic rendszerekben

Facebook Tumblr Tweet Pinterest Tetszik
0
2019. március 27. - icscybersec

Sérülékenységek Columbia Weather Systems rendszerekben

John Elder és Tom Westenberg, az Applied Risk munkatársai hat sérülékenységet azonosítottak a Columbia Weather Systems Weather MicroServer nevű termékének MS_2.6.9900-as és korábbi firmware-verzióiban.

A gyártó a hibákat az MS_2.7.9973-as firmware-verzióban javította. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-19-078-02

AVEVA rendszerek sérülékenysége

A Venustech-hez tartozó ADLab munkatársai a Gemalto Sentinel UltraPro korábban már általam is jelzett sérülékenységét találták meg az AVEVA alábbi rendszereiben:

- InduSoft Web Studio v8.1 SP3-nál korábbi verziók;
- InTouch Edge HMI 2017 Update 3-nál korábbi verziók.

A gyártó a hibát az érintett termékek legújabb verzióiban javította. A sérülékenységgel kapcsolatban további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-19-078-01

Sérülékenységek Medtronic eszközök által használt protokollban

Egy számos kutatóból álló csapat (Peter Morgan, a Clever Security munkatársa, Dave Singelée és Bart Preneel, a Leuven-i Katolikus Egyetem munkatársai, Eduard Marin a Leuven-i Katolikus Egyetem korábbi, jelenleg a Birmingham-i egyetem munkatársa, Flavio D. Garcia, Tom Chothia a Birmingham-i egyetem munkatársa, és Rik Willems a Leuven-i Gasthuisberg Egyetemi kórház munkatársa) két sérülékenységet fedeztek fel az alábbi Medtronic eszközök által használt rádiófrekvenciás telemetriai protokollban:

- MyCareLink Monitor 24950-es és 24952-es verziói;
- CareLink Monitor 2490C verzió;
- CareLink 2090 Programmer,
- Amplia CRT-D minden modell;
- Claria CRT-D minden modell;
- Compia CRT-D minden modell;
- Concerto CRT-D minden modell;
- Concerto II CRT-D minden modell;
- Consulta CRT-D minden modell;
- Evera ICD minden modell;
- Maximo II CRT-D and ICD minden modell;
- Mirro ICD minden modell;
- Nayamed ND ICD minden modell;
- Primo ICD minden modell;
- Protecta ICD and CRT-D minden modell;
- Secura ICD minden modell;
- Virtuoso ICD minden modell;
- Virtuoso II ICD minden modell;
- Visia AF ICD minden modell; and
- Viva CRT-D minden modell.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések bevezetését javasolja és jelenleg is dolgozik a sérülékenységek javításán. A sérülékenységekről részleteket az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSMA-19-080-01

Sérülékenység Schneider Electric Triconex rendszerekben

Az Applied Risk munkatársai egy DoS-támadást lehetővé tevő sérülékenységet találtak a Schneider Electric Triconex TriStation Emulator 1.2.0 verziójában, ami a Triconex TriStation 1131 4.9.0 verziójának egyik komponense. A 2017 végén nyilvánosságra került TriSIS/Triton/Hatman malware-támadás is ezt a terméket érintette.

A gyártó a hibát javító verziót tervei szerint 2019 júliusában fogja kiadni. A sérülékenységről bővebben az Applied Risk és a Schneider Electric kiadványaiban lehet olvasni.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szólj hozzá!
Medtronic Schneider Electric ICS sérülékenység AVEVA Columbia Weather Systems

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr1514710759

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása