Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCXXXVIII

Sérülékenységek ABB, Siemens, Rockwell Automation, Johnson Controls, Kantech, Schneider Electric és Belden Hirschmann rendszerekben

2020. március 18. - icscybersec

Sérülékenység Rockwell Automation Allen-Bradley berendezésekben

A Cisco Systems munkatársai egy sérülékenységet jelentettek a Rockwell Automation-nek, ami az Allen-Bradley Stratix 5950-es termékcsalád alábbi tagjait érinti:

- 1783-SAD4T0SBK9;
- 1783-SAD4T0SPK9;
- 1783-SAD2T2SBK9;
- 1783-SAD2T2SPK9.

A gyártó a hibával kapcsolatban az FRN v6.4.0 firmware telepítését és kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenység részleteit az ICS-CERT publikációjában lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsa-20-072-03

ABB Asset Suite sérülékenység

Az ABB egy sérülékenységről közölt információkat a DHS CISA-val, ami az Asset Suite 9.6 és korábbi verzióit, kivéve a 9.4.2.6-os és 9.5.3.2-es verzióit érinti.

A gyártó a hibát a 9.6.1-es verzióban javította, a 9.4.2.6-os és 9.5.3.2-es verziók továbbra sem érintettek. A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-072-02

Sérülékenységek ABB eSOMS rendszerekben

Az ABB 13 sérülékenységet jelentett a DHS CISA-nak, amiket az eSOMS 6.02 és korábbi verzióiban találtak.

A gyártó a hibákat az eSOMS 6.0.3-as és 6.1-es verzióiban javította. A sérülékenységekkel kapcsolatban további információkat az ICS-CERT weboldalán lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsa-20-072-01

Rockwell Automation termékek sérülékenységei

Ilya Karpov és Evgeny Druzhinin, a ScadaX Security független biztonsági csoport tagjai és Dmitry Sklyarov, a Positive Technologies munkatársa, valamint Rongkuan Ma, Xin Che és Peng Cheng, a 307 Lab munkatársai 4 sérülékenységet találtak az ABB alábbi termékeiben:

- MicroLogix 1400-as vezérlők
- B sorozatának v21.001 és korábbi verziói;
- A sorozatának minden verziója;
- MicroLogix 1100-as vezérők minden verziója;
- RSLogix 500-as szoftverek v12.001 és korábbi verziói.

A gyártó a MicroLogix 1400 B sorozatú eszközeihez és az RSLogix 500-hoz kiadta a hibákat javító újabb verziókat. A sérülékenységről további részleteket az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-070-06

Sérülékenység Johnson Controls Metasys rendszerekben

Lukasz Rupala egy sérülékenységet fedezett fel a Johnson Controls Metasys termékcsalád alábbi verzióiban:

- Application and Data Server (ADS, ADS-Lite) 10.1 és korábbi verziói;
- Extended Application and Data Server (ADX) 10.1 és korábbi verziói;
- Open Data Server (ODS) 10.1 és korábbi verziói;
- Open Application Server (OAS) 10.1 és korábbi verziói;
- Network Automation Engine (csak a NAE55) 9.0.1, 9.0.2, 9.0.3, 9.0.5 és 9.0.6-os verziói;
- Network Integration Engine (NIE55/NIE59) 9.0.1, 9.0.2, 9.0.3, 9.0.5 és 9.0.6-os verziói;
- NAE85 and NIE85 10.1 és korábbi verziói;
- LonWorks Control Server (LCS) 10.1 és korábbi verziói;
- System Configuration Tool (SCT) 13.2 és korábbi verziói;
- Smoke Control Network Automation Engine (NAE55, UL 864 UUKL/ORD-C100-13 UUKLC 10. kiadás) 8.1-es verziója.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedésekre tesz javaslatot. A sérülékenységgel kapcsolatban bővebb információkat az ICS-CERT weboldalán lehet találni: https://www.us-cert.gov/ics/advisories/icsa-20-070-05

Kantech rendszerek sérülékenysége

Joachim Kerschbaumer egy sérülékenységet jelentett a Johnson Controls-nak, a Kantech anyavállalatának, ami a Kantech EntraPass alábbi változatait érinti:

- Corporate Edition v8.10-nél korábbi összes verziója;
- Global Edition v8.10-nél korábbi összes verziója.

A gyártó a hibát a v8.10-es verzióban javította, azoknak az ügyfeleinek pedig, akik valamilyen ok miatt nem tudnak frissíteni, kockázatcsökkentő intézkedéseket javasol. A sérülékenység részleteit az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-070-04

Schneider Electric IGSS sérülékenységek

A Schneider Electric publikációjában két sérülékenységről hozott nyilvánosságra információkat, amiket a ZDI jelenett nekik és amik az Interactive Graphical SCADA System (IGSS) nevű termékük 14-es és korábbi verziói közül azokat érinti, amelyekben használják az IGSSupdate szolgáltatást.

A gyártó a hibákat a 14.0.0.20009-es verzióban javította. A sérülékenységről további részleteket a Schneider Electric publikációjában lehet találni.

Sérülékenység Schneider Electric rendszerekben

A kínai IT biztonsági teszt központ (CNITSEC) egy sérülékenységet jelentett a Schneider Electricnek, ami az alábbi termékeiket érinti:

- A 140NOE771x1-es Quantum Ethernet Network modulok 7.0 és korábbi verziói;
- A 140CPU65xxxxx integrált Ethernet modullal rendelkező Quantum processzorok minden verziója;
- Az integrált Ethernet modullal rendelkező Premium processzorok minden verziója.

A gyártó a 140NOE771x1-es Quantum kontrollerekhez kiadta a hibát javító 7.1-es verziót. A további érintett típusok már elérték életciklusuk végét, így nem várható hozzájuk javítás. A sérülékenység részleteit a Schneider Electric weboldalán lehet elérni.

Schneider Electric ZigBee telepítőkészlet sérülékenység

Yongjun Liu, az nsfocus munkatársa egy sérülékenységet talált a Schneider Electric ZigBee telepítőkészletének 1.0.1-nél korábbi verzióiban.

A gyártó a hibát az 1.0.1-es verzióban javította. A sérülékenység részleteiről a Schneider Electric bejelentésében lehet olvasni.

Sérülékenységek Schneider Electric vezérlőkben

Niv Levy 3 sérülékenységet talált, amik a Schneider Electric Andover Continuum vezérlőinek minden verzióját érintik.

A gyártó a hibákhoz nem készít javítást, mivel az Andover Continuum termékcsalád támogatását már megszűntette, helyette az
EcoStruxure Building Operation termékre történő váltást javasolja. A sérülékenységekkel kapcsolatban további információkat a Schneider Electric publikációja tartalmaz.

Siemens Spectrum Power 5 sérülékenység

A Kudelski Security Pen-testing Team egy Cross-site Scripting sérülékenységet talált a Siemens Spectrum Power 5 SCADA rendszerének 5.50 HF02-nél korábbi verzióiban.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedésre tett javaslatot. A sérülékenységről részleteket a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Sérülékenység Siemens rendszerekben

Peter Cheng, az Elex Cybersecurity munkatársa és a CNCERT/CC egy sérülékenységről közöltek információkat a Siemens-szel, ami a gyártó alábbi termékeit érinti:

- SIMATIC S7-300 CPU család (beleértve az ET200-as CPU-kat és a SIPLUS változatokat is) minden, 3.X.17-nél korábbi verziója;
- SINUMERIK 840D sl minden verziója.

A gyártó a hibát a SIMATIC S7-300 CPU család esetén a 3.X.17-es verzióban javította, a SINUMERIK 840D sl eszközök esetén nincs hír javításról. A sérülékenységgel kapcsolatban további részleteket a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Siemens SiNVR 3 sérülékenységek

A Siemens 10 sérülékenységről közölt információkat a DHS CISA-val, amik a SiNVR 3 videómenedzsment megoldásuk alábbi elemeit érintik:

- SiNVR 3 Central Control Server (CCS) minden verziója;
- SiNVR 3 Video Server minden verziója.

A gyártó a sérülékenységgel kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről bővebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Sérülékenység Belden Hirschmann rendszerekben

Sebastian Krause és Toralf Gimpel, a GAI NetConsult GmbH munkatársai egy sérülékenységet találtak a Belden Hirschmann alábbi rendszereiben:

- HiOS RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED 07.0.02 és korábbi verziói;
- HiSecOS EAGLE20/30 03.2.00 és korábbi verziói.

A gyártó a hibát az érintett termékekhez kiadott újabb verzióban javította. A sérülékenység részleteit a Belden Hirschmann publikációja tartalmazza.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr9415523868

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása