Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCII

Sérülékenységek Delta, WAGO rendszerekben és különböző gyártók PLC-iben

2019. április 24. - icscybersec

Sérülékenységek Delta rendszerekben

Natnael Samson és egy névtelenségbe burkolózó biztonsági kutató a ZDI-vel együttműködve 3 sérülékenységről publikáltak részleteket, amik a Delta Industrial Automation CNCSoft ScreenEditor termékének 1.00.88-as és korábbi verzióit érinti.

A gyártó a hibákat az 1.00.89-es verzióban javította. A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-19-106-01

Sérülékenység WAGO PLC-kben

Jörn Schneeweisz, a Recurity Labs munkatársa egy, a PLC-kbe beégetett authentikációs adatokból adodó sérülékenységet azonosított a WAGO alábbi PLC-iben:

- 750-88x sorozatú eszközök:
  - 750-330 FW14-nél korábbi firmware-verziói;
  - 750-352 FW14-nél korábbi firmware-verziói;
  - 750-829 FW14-nél korábbi firmware-verziói;
  - 750-831 FW14-nél korábbi firmware-verziói;
  - 750-852 FW14-nél korábbi firmware-verziói;
  - 750-880 FW14-nél korábbi firmware-verziói;
  - 750-881 FW14-nél korábbi firmware-verziói;
  - 750-882 FW14-nél korábbi firmware-verziói;
  - 750-884 FW14-nél korábbi firmware-verziói;
  - 750-885 FW14-nél korábbi firmware-verziói;
  - 750-889 FW14-nél korábbi firmware-verziói;
- 750-87x sorozatú eszközök:
  - 750-830 FW06-nál korábbi firmware-verziói;
  - 750-849 FW08-nál korábbi firmware-verziói;
  - 750-871 FW11-nél korábbi firmware-verziói;
  - 750-872 FW07-nél korábbi firmware-verziói;
  - 750-873 FW07-nél korábbi firmware-verziói.

A gyártó a hibát az érintett eszközökhöz kiadott legújabb firmware-verzióban javította. A sérülékenységgel kapcsolatban további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-19-106-02

Sérülékenység különböző gyártók PLC-iben

Matthias Niedermaier és Florian Fischer, az Augsburg-i Főiskola valamint Jan-Ole Malchow, a Berlini Szabadegyetem munkatársai egy olyan sérülékenységet azonosítottak, ami több gyártó PLC-it és érinti:

ABB:
- ABB 1SAP120600R0071 PM554-TP-ETH;

Phoenix Contact:
- Phoenix Contact 2700974 ILC 151 ETH;

Schneider Electric:
- Schneider Modicon M221;

Siemens:
- Siemens 6ES7211-1AE40-0XB0 Simatic S7-1211;
- Siemens 6ES7314-6EH04-0AB0 Simatic S7-314;
- Siemens 6ED1052-1CC01-0BA8 Logo! 8;

WAGO:
- WAGO 750-889 Controller KNX IP;
- WAGO 750-8100 Controller PFC100;
- WAGO 750-880 Controller ETH;
- WAGO 750-831 Controller BACnet/IP.

A sérülékenységgel kapcsolatban az egyes gyártók javítást illetve helyes konfigurációs beállításokra/kockázatcsökkentő intézkedésekre vonatkozó tanácsokat adtak ki. A sérülékenységről az ICS-CERT weboldalán lehet bővebben olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-19-106-03

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr4314777252

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása