Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCXXVIII

Sérülékenységek Reliable Controls, Weidmüller, Thales DIS, Siemens és Symantec rendszerekben

2019. december 18. - icscybersec

Reliable Controls License Manager sérülékenység

Gjoko Krstic, az Applied Risk munkatársa egy sérülékenységet talált a Reliable Controls RC-LicenseManager nevű termékének 3.5-ös verziójában.

A gyártó a hibát az RC Studio 3.6.3-as verziójában javította. A sérülékenységről további részleteket az ICS-CERT publikációjában lehet elérni: https://www.us-cert.gov/ics/advisories/icsa-19-337-01

Sérülékenységek Weidmüller ipari hálózati eszközökben

A CERT@VDE öt sérülékenységet azonosított a Weidmüller alábbi, ipari környezetekbe szánt hálózati eszközeiben:

- IE-SW-VL05M-5TX firmware v3.6.6 Build 16102415 és korábbi verziói;
- IE-SW-VL05MT-5TX firmware v3.6.6 Build 16102415 és korábbi verziói;
- IE-SW-VL05M-3TX-2SC firmware v3.6.6 Build 16102415 és korábbi verziói;
- IE-SW-VL05MT-3TX-2SC firmware v3.6.6 Build 16102415 és korábbi verziói;
- IE-SW-VL05M-3TX-2ST firmware v3.6.6 Build 16102415 és korábbi verziói;
- IE-SW-VL05MT-3TX-2ST firmware v3.6.6 Build 16102415 és korábbi verziói;
- IE-SW-VL08MT-8TX firmware v3.5.2 Build 16102415 és korábbi verziói;
- IE-SW-VL08MT-5TX-3SC firmware v3.5.2 Build 16102415 és korábbi verziói;
- IE-SW-VL08MT-5TX-1SC-2SCS firmware v3.5.2 Build 16102415 és korábbi verziói;
- IE-SW-VL08MT-6TX-2ST firmware v3.5.2 Build 16102415 és korábbi verziói;
- IE-SW-VL08MT-6TX-2SC firmware v3.5.2 Build 16102415 és korábbi verziói;
- IE-SW-VL08MT-6TX-2SCS firmware v3.5.2 Build 16102415 és korábbi verziói;
- IE-SW-PL08M-8TX firmware v3.3.8 Build 16102416 és korábbi verziói;
- IE-SW-PL08MT-8TX firmware v3.3.8 Build 16102416 és korábbi verziói;
- IE-SW-PL08M-6TX-2SC firmware v3.3.8 Build 16102416 és korábbi verziói;
- IE-SW-PL08MT-6TX-2SC firmware v3.3.8 Build 16102416 és korábbi verziói;
- IE-SW-PL08M-6TX-2ST firmware v3.3.8 Build 16102416 és korábbi verziói;
- IE-SW-PL08MT-6TX-2ST firmware v3.3.8 Build 16102416 és korábbi verziói;
- IE-SW-PL08M-6TX-2SCS firmware v3.3.8 Build 16102416 és korábbi verziói;
- IE-SW-PL08MT-6TX-2SCS firmware v3.3.8 Build 16102416 és korábbi verziói;
- IE-SW-PL10M-3GT-7TX firmware v3.3.16 Build 16102416 és korábbi verziói;
- IE-SW-PL10MT-3GT-7TX firmware v3.3.16 Build 16102416 és korábbi verziói;
- IE-SW-PL10M-1GT-2GS-7TX firmware v3.3.16 Build 16102416 és korábbi verziói;
- IE-SW-PL10MT-1GT-2GS-7TX firmware v3.3.16 Build 16102416 és korábbi verziói;
- IE-SW-PL16M-16TX firmware v3.4.2 Build 16102416 és korábbi verziói;
- IE-SW-PL16MT-16TX firmware v3.4.2 Build 16102416 és korábbi verziói;
- IE-SW-PL16M-14TX-2SC firmware v3.4.2 Build 16102416 és korábbi verziói;
- IE-SW-PL16MT-14TX-2SC firmware v3.4.2 Build 16102416 és korábbi verziói;
- IE-SW-PL16M-14TX-2ST firmware v3.4.2 Build 16102416 és korábbi verziói;
- IE-SW-PL16MT-14TX-2ST firmware v3.4.2 Build 16102416 és korábbi verziói;
- IE-SW-PL18M-2GC-16TX firmware v3.4.4 Build 16102416 és korábbi verziói;
- IE-SW-PL18MT-2GC-16TX firmware v3.4.4 Build 16102416 és korábbi verziói;
- IE-SW-PL18M-2GC14TX2SC firmware v3.4.4 Build 16102416 és korábbi verziói;
- IE-SW-PL18MT-2GC14TX2SC firmware v3.4.4 Build 16102416 és korábbi verziói;
- IE-SW-PL18M-2GC14TX2ST firmware v3.4.4 Build 16102416 és korábbi verziói;
- IE-SW-PL18MT-2GC14TX2ST firmware v3.4.4 Build 16102416 és korábbi verziói;
- IE-SW-PL18M-2GC14TX2SCS firmware v3.4.4 Build 16102416 és korábbi verziói;
- IE-SW-PL18MT-2GC14TX2SCS firmware v3.4.4 Build 16102416 és korábbi verziói;
- IE-SW-PL09M-5GC-4GT firmware v3.3.4 Build 16102416 és korábbi verziói;
- IE-SW-PL09MT-5GC-4GT firmware v3.3.4 Build 16102416 és korábbi verziói.

A gyártó elérhetővé tette a hibákat javító firmware verziókat. A sérülékenységekkel kapcsolatban bővebb információkat az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-19-339-02

Sentinel LDK sérülékenység

Ryan Wincey, a Blizzard Entertainment Red team munkatársa egy sérülékenységet jelentett a Thales-nek, ami a SafeNet Sentinel LDK License Manager 7.101-nél korábbi verzióit érinti (csak a Windows operációs rendszerre telepített változatokat).

A gyártó a hibát a Sentinel LDK License Manager 7.101-es és újabb verzióiban javította. A sérülékenység részleteiről az ICS-CERT weboldalán érhetőek el információk: https://www.us-cert.gov/ics/advisories/icsa-19-339-01

Sérülékenységek Siemens EN100 Ethernet modulokban

A Siemens ProductCERT publikációja szerint három sérülékenységet találtak az EN100 Ethernet modulok alábbi változataiban:

EN100 Ethernet module IEC 61850 protokollhoz - minden, 4.37-nél korábbi verzió érintett;
EN100 Ethernet module PROFINET IO protokollhoz - minden verzió érintett;
EN100 Ethernet module Modbus TCP protokollhoz - minden verzió érintett;
EN100 Ethernet module DNP3 protokollhoz - minden verzió érintett;
EN100 Ethernet module IEC104 protokollhoz - minden verzió érintett.

A gyártó jelenleg is dolgozik a hibák javításán és kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységekről bővebben a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Sérülékenységek a Siemens S7 CPU termékcsaládban

A Siemens bejelentése szerint Eli Biham, Sara Bitan, Aviad Carmel és Alon Dankner, a Haifa-i Műszaki Főiskola, Uriel Malin és Avishai Wool, a Tel-Aviv-i Egyetem Villamosmérnöki Karáról és Artem Zinenko, a Kaspersky munkatársa két sérülékenységről közöltek információkat a Siemens-szel, amik az S7 CPU termékcsalád alábbi tagjait érintik:

- SIMATIC ET200SP Open Controller CPU 1515SP PC minden verziója (a SIPLUS változatok is érintettek);
- SIMATIC ET200SP Open Controller CPU 1515SP PC2 minden verziója (a SIPLUS változatok is érintettek);
- SIMATIC S7 PLCSIM Advanced v3.0 és korábbi verziói;
- SIMATIC S7-1200 CPU család v4.4 és korábbi verziói;
- SIMATIC S7-1500 CPU család v2.8.1-es és korábbi verziói, beleértve az ET200-as CPU-kat és a SIPLUS változatokat is. A 1518-4 PN/DP 1518 MFP CPU-k (valamint ezek SIPLUS változatai) nem érintettek;
- SIMATIC S7-1500 szoftveres vezérlők minden változata.

A gyártó egyes érintett termékekhez már kiadta a hibákat javító új verziókat, a többi esetén pedig jelenleg is dolgozik a javításokon. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-344-06

Siemens XHQ termékek sérülékenységei

A Siemens ProductCERT által nyilvánosságra hozott információk szerint három sérülékenységet találtak az XHQ Operation Intelligence rendszerek v6.0.0.2-nél korábbi verzióiban.

A gyártó a hibákat a v6.0.0.2-es és későbbi verziókban javította. A sérülékenységek részleteit a Siemens ProductCERT és az ICS-CERT weboldalain lehet elérni.

Sérülékenységek Siemens RUGGEDCOM termékekben

A Siemens ProductCERT publikációja szerint két sérülékenységet azonosítottak a RUGGEDCOM termékcsalád alábbi tagjaiban:

- RMC8388 minden verziója;
- RSG2488 minden verziója;
- RSG920P minden verziója;
- RSG9xx R/C minden verziója;
- RSL910 minden verziója;
- RST2228 minden verziója.

A hibákkal kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről részletesebben a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Siemens SIMATIC termékek sérülékenysége

Eli Biham, Sara Bitan, Aviad Carmel és Alon Dankner, a Haifa-i Műszaki Főiskoláról illetve Uriel Malin és Avishai Wool a Tel-Aviv-i Egyetem Villamosmérnöki Karáról egy sérülékenységet találtak a Siemens SIMATIC termékcsaládjának alábbi tagjaiban:

- SIMATIC CP 1626 minden verziója;
- SIMATIC HMI Panel minden verziója (a SIPLUS változatok is);
- SIMATIC NET PC Software minden verziója
- SIMATIC STEP 7 (TIA Portal) minden, v16-nál korábbi verziói;
- SIMATIC WinCC (TIA Portal) minden, v16-nál korábbi verziói;
- SIMATIC WinCC OA v3.15 és korábbi verziói;
- SIMATIC WinCC OA v3.16 patch 12 és korbbi verziói;
- SIMATIC WinCC Runtime Advanced minden verziója;
- SIMATIC WinCC Runtime Professional minden verziója;
- TIM 1531 IRC minden verziója (a SIPLUS változatok is).

A hibát javító verziók egy részét a gyártó már publikálta, a többin jelenleg is dolgoznak. A sérülékenységgel kapcsolatos részletes információk a Siemens ProductCERT és az ICS-CERT weboldalain érhetőek el.

Siemens SiNVR 3 sérülékenységek

Raphaël Rigo, az Airbus Security Lab munkatársa 7 sérülékenységet fedezett fel a Siemens SiNVR videó menedzsment megoldásában:

- SiNVR 3 Central Control Server (CCS) minden verziója;
- SiNVR 3 Video Server minden verziója;

A gyártó a hibák jelentette kockázatok csökkentésére több intézekedés bevezetését javasolja, de a hibákat javító új verziókról jelenleg nincs hír. A sérülékenységekről részletesebben a Siemens ProductCERT és az ICS-CERT bejelentéseben lehet olvasni.

Sérülékenység Siemens SCALANCE eszközökben

A Siemens ProductCERT publikációja szerint egy sérülékenységet találtak, ami a SCALANCE termékek közül az alábbiakat érintik:

- SCALANCE W700 6.3-as és korábbi verziói;
- SCALANCE W1700 1.0 és korábbi verziói.

A gyártó a hibát javító frissítéseket már elérhetővé tette. A sérülékenységről bővebb információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet elérni.

Sérülékenységek Siemens SPPA-T3000 rendszerekben

A Siemens ProductCERT bejelentése szerint ötvennél is több sérülékenységeket találtak az alábbi termékeikben:

- SPPA-T3000 Application Server minden verziója;
- SPPA-T3000 MS3000 Migration Server minden verziója;

A hibák egy részét a gyártó már javította a többivel kapcsolatban kockázatcsökkentő intézekedések alkalmazását javasolják. A sérülékenységek részleteit a Siemens ProductCERT oldalán lehet elérni: https://cert-portal.siemens.com/productcert/pdf/ssa-451445.pdf

Sérülékenységek Siemens SIMATIC CP és S7 CPU termékekben

A Siemens ProductCERT publikációja szerint az Inverse Path auditorai az Airbus ICT Industrial Security csoportjával együttműködve illetve Artem Zinenko, a Kaspersky Lab munkatársa két sérülékenységet találtak a Siemens alábbi termékeiben:

- SIMATIC CP 343-1 Advanced minden, V3.0.53-nál korábbi verziója (a SIPLUS NET változatok is);
- SIMATIC CP 443-1 Advanced minden, V3.2.17-nél korábbi verziója (a SIPLUS NET változatok is);
- SIMATIC S7-300 PN/DP CPU család minden verziója (a SIPLUS változatok is);
- SIMATIC S7-400 PN/DP CPU család minden verziója (a SIPLUS változatok is).

A gyártó a CP 343/443-as eszközökhöz kiadta a hibákat javító verziókat, a többi esetben kockázatcsökkentő intézekedések alkalmazására tettek javaslatot. A sérülékenységekről bővebben a Siemens ProductCERT weboldalán lehet olvansi: https://cert-portal.siemens.com/productcert/pdf/ssa-603476.pdf

Sérülékenység a Symantec Industrial Control System Protection végpontvédelmi rendszerében

A Symantec publikációja szerint egy sérülékenységet találtak az ipari rendszerekhez ajánlott végpontvédelmi megoldásának (Industrial Control System Protection) 6.1.1.123-nál korábbi verzióiban.

A gyártó a hibát a 6.1.1.123-as verzióban javította. A sérülékenységgel kapcsolatban részleteket a Symantec bejelentése tartalmaz: https://support.symantec.com/us/en/article.SYMSA1500.html

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr6415352340

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása