Omron Network Configurator sérülékenység
Egy n0b0dy néven ismert biztonsági szakember egy sérülékenységről osztott meg információkat a DHS CISA-val, ami az Omron Network Configurator for DeviceNet Safety megoldásának 3.41-es és korábbi verzióit érinti.
A gyártó a hibát az érintett termék 3.42-es verziójában javította és további kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységgel kapcsolatban további információkat az ICS-CERT publikációjában lehet találni: https://www.us-cert.gov/ics/advisories/ICSA-19-134-01
Sérülékenység Omron CX-Supervisor rendszerekben
Michael DePlante a ZDI-vel együttműködésben egy sérülékenység részleteit osztotta meg a DHS CISA-val. A sérülékenység az Omron CX-Supervisor 3.5(12)-es és korábbi verzióit érinti.
A gyártó a hibát a 3.51(9)-es verzióban javította. A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-309-01
Fuji Electric V-Server sérülékenység
kimiya, a 9SG biztonsági csoport tagja egy sérülékenységet azonosított a Fuji Electric V-Server 4.0.6-os és korábbi verzióiban.
A gyártó a hibát a 4.0.7-es verzióban javította. A sérülékenység részleteit az ICS-CERT weboldalán lehet elérni: https://www.us-cert.gov/ics/advisories/icsa-19-311-02
Sérülékenység Mitsubishi Electric berendezésekben
Tri Quach, az Amazon Customer Fulfillment Technology Security (CFTS) csoportjának munkatársa egy sérülékenységet fedezett fel a Mitsubishi Electric alábbi termékeiben:
- MELSEC-Q sorozatú eszközök:
- Q03/04/06/13/26UDVCPU eszközök 21081 és korábbi sorozatszámú darabjai;
- Q04/06/13/26UDPVCPU eszközök 21081 és korábbi sorozatszámú darabjai;
- Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU eszközök 21081 és korábbi sorozatszámú darabjai.
- MELSEC-L sorozatú eszközök:
- L02/06/26CPU, L26CPU-BT eszközök 21101 és korábbi sorozatszámú darabjai;
- L02/06/26CPU-P, L26CPU-PBT eszközök 21101 és korábbi sorozatszámú darabjai;
- L02/06/26CPU-CM, L26CPU-BT-CM eszközök 21101 és korábbi sorozatszámú darabjai.
A gyártó a hibát az érintett eszközökhöz kiadott legfrissebb firmware-verzióban javította. A sérülékenységgel kapcsolatban további információkat az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-311-01
Sérülékenység Medtronic orvostechnikai rendszerekben
Az ICS-CERT két publikációjában is Medtronic Valleylab rendszerekkel kapcsolatos sérülékenységekről hozott nyilvánosságra részleteket.
Az első esetben beégetett felhasználói azonosítói adatokról, törhető hash-elési algoritmus használatáról és a bevitt adatok nem megfelelő ellenőrzéséről van szó, az érintett rendszerek az alábbiak:
- Valleylab Exchange Client 3.4-es és korábbi verziói;
- Valleylab FT10 Energy Platform (VLFT10GEN) 4.0.0 és korábbi verziói;
- Valleylab FX8 Energy Platform (VLFX8GEN)1.1.0 és korábbi verziói.
A második publikációban nem megfelelő authentikációs folyamatról és a beépített védelmi mechanizmusok hibájáról ír az ICS-CERT, ezek a hibák az alábbi rendszereket érintik:
- Valleylab FT10 Energy Platform (VLFT10GEN) 2.1.0 és korábbi verziói;
- Valleylab LS10 Energy Platform (VLLS10GEN) 1.20.2 és korábbi verziói.
A gyártó a hibákat az FT10-es és LS10-es rendszerekhez már kiadott frissítésben javította, az FX8-as típushoz a javítás várhatóan 2020-ban fog megjelennni. A sérülékenységekről részletesen az ICS-CERT vonatkozó publikációiban lehet olvasni:
https://www.us-cert.gov/ics/advisories/icsma-19-311-01
https://www.us-cert.gov/ics/advisories/icsma-19-311-02
Sérülékenység Cisco ipari környezetbe szánt hálózati eszközök menedzsment megoldásában
A Cisco bejelentése szerint egy cross-site scripting sérülékenységet azonosítottak a Cisco Industrial Network Director nevű termékük 1.7.1-45-nél korábbi verzióiban.
A gyártó a hibát az 1.7.1-45-ös verzióban javította. A sérülékenység részleteit a Cisco weboldalán lehet megtalálni: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-idn-xss
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.
