Sérülékenységek Prima Systems rendszerekben

Gjoko Krstic, a Applied Risk munkatársa 9 sérülékenységet jelentett a DHS CISA-nak, amik a Prima FlexAir 2.3.38 és korábbi verzióit érintik.

A gyártó a hibát a 2.5.12-es verzióban javította. A sérülékenységekről további részleteket az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-211-02

Wind River VxWorks sérülékenységek

Gregory Vishnepolsky, Dor Zusman és Ben Seri, az Armis kutatói 11 különböző sérülékenységről osztottak meg részleteket a DHS CISA-val, amik VxWorks valósidejű operációs rendszer (Real Time Operating System, RTOS) alábbi verzióit érintik:

- Minden, jelenleg támogatással rendelkező VxWorks verzió (6.9.4.11, Vx7 SR540, Vx7 SR610);
- Régebbi, támogatással már nem rendelkező verziók 6.5-ig visszamenőleg;
- A támogatással már nem rendelkező Advanced Networking Technology (ANT) minden verziója.

Az alábbi termékeket és verziókat a most publikált sérülékenységek nem érintik:

- VxWorks 7 SR620 (a legújabb VxWorks verzió);
- VxWorks 5.3-tól VxWorks 6.4-ig;
- VxWorks Cert minden verziója;
- VxWorks 653 2.x és korábbi verziói;
- VxWorks 653 MCE 3.x Cert Edition és későbbi verziói.

A gyártó a még támogatással rendelkező, érintett verziókhoz javításokat és kockázatcsökkentő intézkedéseket jelentett be. A sérülékenységek több más gyártó (mostanáig a Rockwell Automation és a Xerox lettek megnevezve) egyes termékeit is érintik. Egyes források szerint az érintett rendszerek száma akár 200 millió is lehet világszerte. A sérülékenységekkel kapcsolatban bővebb információkat az ICS-CERT bejelentésében lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-211-01

Sérülékenységek LCDS rendszerekben

Francis Provencher (PRL) a ZDI-vel együttműködve két sérülékenységet azonosított a LAquis SCADA 4.3.1.71-es verziójában.

A gyártó a hibákat a 4.3.1.323-as verzióban javította. A sérülékenységekről részleteket az ICS-CERT weboldalán lehet elérni: https://www.us-cert.gov/ics/advisories/icsa-19-213-06

Rockwell Automation rendszerek sérülékenységei

kimiya, a 9SG biztonsági csoport tagja két sérülékenységet talált a Rockwell Automation Arena Simulation Software nevű termékének 16.00.00 és korábbi verzióiban.

A gyártó a hibákat a 16.00.01-es verzióban javította. A sérülékenységekről bővebb információkat az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-213-05

Sérülékenység 3S-Smart Software Solutions termékekben

JunYoung Park egy sérülékenységet azonosított a 3S-Smart Software Solutions CODESYS termékcsaládjának alábbi tagjaiban:

- CODESYS Control for BeagleBone;
- CODESYS Control for emPC-A/iMX6;
- CODESYS Control for IOT2000;
- CODESYS Control for Linux;
- CODESYS Control for PFC100;
- CODESYS Control for PFC200;
- CODESYS Control for Raspberry Pi;
- CODESYS Control RTE V3;
- CODESYS Control RTE V3 (for Beckhoff CX);
- CODESYS Control Win V3 (also part of the CODESYS Development System setup);
- CODESYS V3 Simulation Runtime (part of the CODESYS Development System);
- CODESYS Control V3 Runtime System Toolkit;
- CODESYS HMI V3.

A hibát a gyártó az érintett termékek legújabb, 3.5.16.0 verziójában fogja javítani, ami a tervek szerint 2020. februárban fog megjelenni. A sérülékenységgel kapcsolatban további részleteket az ICS-CERT bejelentésében lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-213-04

3S-Smart Software Solutions CODESYS V3 sérülékenységek

A 3S-Smart Software Solutions két sérülékenységről osztott meg információkat a DHS CISA-val, amik az alábbi termékeiket érintik:

- CODESYS Control for BeagleBone;
- CODESYS Control for emPC-A/iMX6;
- CODESYS Control for IOT2000;
- CODESYS Control for Linux;
- CODESYS Control for PFC100;
- CODESYS Control for PFC200;
- CODESYS Control for Raspberry Pi;
- CODESYS Control V3 Runtime System Toolkit;
- CODESYS Gateway V3;
- CODESYS V3 Development System.

A gyártó a hibákat a v3.5.14.20-as és a v3.5.15.0 verziókban javította. A sérülékenységek részleteiről az ICS-CERT weboldalán lehet információkat találni: https://www.us-cert.gov/ics/advisories/icsa-19-213-03

Fuji Electric rendszerek sérülékenysége

kimiya, a 9SG biztonsági csapat tagja a ZDI-vel együttműködve egy sérülékenységet azonosított a Fuji Electric FRENIC Loader nevű termékének 3.5.0.0 és korábbi verzióiban.

A gyártó a hibát a legújabb verzióban javította. A sérülékenységről részletesebben az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-213-02

Sérülékenység Advantech rendszerekben

Mat Powell és a ZDI egy, az Advantech WebAccess HMI Designer 2.1.9.23-as és korábbi verzióit érintő sérülékenységről publikált információkat.

A hibát a gyártó a 2.1.9.31-es verzióban javította. A sérülékenységgel kapcsolatban további részleteket az ICS-CERT weboldalán lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-213-01

Sérülékenységek Siemens SIPROTEC 5 hálózati kommunikációs modulokban

A Siemens ProductCERT a Wind River-rel, valamint Pierre Capillon-nal, Nicolas Iooss-szal és Jean-Baptiste Galet-vel, az ANSSI munkatársaival együttműködve 12 sérülékenységről hozott nyilvánosságra részleteket, amik a SIPROTEC 5 termékcsalád alábbi tagjait érintik:

- SIPROTEC 5 CP300 és CP100 plug-in kommunikációs modulok minden, V7.91-nél korábbi verziói;
- SIPROTEC 5 CP200 plug-in kommunikációs modulok minden verziója;
- SIPROTEC 5 CP300-as CPU-val szerelt változatainak minden verziója.

A gyártó az egyik sérülékenységhez bizonyos érintett eszközök esetében adott ki javítást, a többi esetben kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységről bővebben a Siemens ProductCERT publikációjában lehet olvasni: https://cert-portal.siemens.com/productcert/pdf/ssa-632562.pdf

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.