Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCIL

Sérülékenységek Mitsubishi Electric, Advantech, Rockwell Automation, OSIsoft, Philips, Moxa, Schneider Electric és Siemens rendszerekben

2020. június 17. - icscybersec

Mitsubishi Electric rendszerek sérülékenysége

Yossi Reuven, a SCADAfence munkatársa egy sérülékenységet jelentett a Mitsubishi Electricnek, ami a MELSEC iQ-R sorozatú eszközeik alábbi változatait érinti:

- R04/08/16/32/120CPU, R04/08/16/32/120ENCPU 39-es és korábbi firmware-verziói;
- R00/01/02CPU 7-es és korábbi firmware-verziói;
- R08/16/32/120SFCPU 20-as és korábbi firmware-verziói;
- R08/16/32/120PCPU minden verziója;
- R08/16/32/120PSFCPU minden verziója;
- RJ71EN71 minden verziója.

A gyártó a hibával kapcsolatban tűzfalas hálózatszegmentálás kialakítását javasolja. A sérülékenységről további információkat az ICS-CERT publikációjában lehet találni: https://www.us-cert.gov/ics/advisories/icsa-20-161-02

Sérülékenység Advantech WebAccess rendszerekben

A Z0mb1E néven ismert biztonsági kutató, a ZDI-vel együttműködve egy sérülékenységet jelentett a DHS CISA-nak, ami az Advantech WebAccess Node 8.4.4-es és korábbi verzióit érinti.

A gyártó kiadta a Node 8.4.4-es verziójához a hibát javító patch-et. A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-161-01

Rockwell Automation FactoryTalk sérülékenységek

Sharon Brizinov és Amir Preminger, a Claroty munkatársai négy sérülékenységet jelentettek a Rockwell Automation-nek és a CISA-nak, amik a gyártó alábbi termékeit érintik:

- FactoryTalk Linx 6.00, 6.10 és 6.11-es verziói;
- RSLinx Classic v4.11.00 és korábbi verziói.

Fentiek mellett a sérülékenységek érintik az alábbi, FactoryTalk Linx szoftvert használó Rockwell Automation termékeket is:

- Connected Components Workbench 12-es és korábbi verziói;
- ControlFLASH 14-es és későbbi verziói;
- ControlFLASH Plus 1-es és későbbi verziói;
- FactoryTalk Asset Centre 9-es és későbbi verziói;
- FactoryTalk Linx CommDTM 1-es és későbbi verziói;
- Studio 5000 Launcher 31-es és későbbi verziói;
- Studio 5000 Logix Designer 32-es és későbbi verziói.

A gyártó a hibákat a legújabb verziókban javította. A sérülékenységekről további információkat az ICS-CERT weboldalán találhatóak: https://www.us-cert.gov/ics/advisories/icsa-20-163-02

OSISoft rendszerek sérülékenysége

Dor Yardeni és Eliad Mualem, az OTORIO munkatársai az OSISoft-tal együttműködve egy sérülékenységet jelentettek a DHS CISA-nak, ami a PI Web API 2019 Patch 1 (1.12.0.6346) és korábbi verzióit érinti.

A gyártó a hibát a PI Web API 2019 SP1-ben javította. A sérülékenység részleteiről az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-163-01

Sérülékenység Philips IntelliBridge rendszerekben

Az indianai egyetemi kórház egy sérülékenységről adott át információkat a Philips-nek, ami a gyártó ntelliBridge Enterprise (IBE) rendszereinek B.12 és korábbi verzióit érinti.

A gyártó a hibát javító IBE B.13-as verzió kiadását 2020. negyedik negyedévére tervezi. A sérülékenységről bővebb információkat az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsma-20-163-01

Moxa ipari videó szerverek sérülékenysége

Xinjie Ma, a Beijing Chaitin Future Technology Co. munkatársa egy sérülékenységet talált a Moxa VPort 461 sorozatú ipari videó szervereinek 3.4-es és korábbi firmware-verzióiban.

Az érintett termék elérte életciklusa végét, így a gyártó a Moxa műszaki támogatóközpontjához irányítja az érintett rendszereket használó ügyfeleit. A sérülékenységgel kapcsolatban további részleteket a Moxa weboldalán lehet találni.

Sérülékenység Schneider Electric Modicon vezérlőkben

A CNCERT egy sérülékenységet talált a Schneider Electric Modicon M218-as vezérlőinka 4.3-as és korábbi firmware-verzióiban.

A gyártó jelenleg a hibát javító patch-et még nem, de kockázatcsökkentő intézkedésekre vonatkozó javaslatokat kiadott. A sérülékenységről bővebben a Schneider Electric publikációjában lehet olvasni.

Sérülékenység Schneider Electric szoftverekben

Yang Dong, a DingXiang Dongjian Security Lab munkatársa egy sérülékenységet talált a Schneider Electric alábbi szoftvereiben:

- Unity Loader minden verziója;
- OS Loader minden verziója.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenység részleteit a Schneider Electric bejelentésében lehet elérni.

URGENT/11 sérülékenység Schneider Electric Modicon LMC078 vezérlőkben

A Schneider Electric bejelentése szerint a VxWorks-ben felfedezett URGENT/11 sérülékenység érinti a Modicon LMC078 vezérlők V1.51.15.05 és későbbi verzióit is.

A hibával kapcsolatban a gyártó kockzatcsökkentő intézkedésekre vonatkozó információkat publikált. A sérülékenységgel kapcsolatban bővebb információkat a Schneider Electric weboldalán lehet találni.

Sérülékenységek Schneider Electric Easergy T300 rendszerekben

Ilya Karpov és Evgeniy Druzhinin, a Rostelecom-Solar munkatársai 11 sérülékenységet találtak a Schneider Electric Easergy T300-as, középfeszültségű villamosenergia-hálózatok automatizálásához használt megoldásának 1.5.2-es és korábbi firmware-verzióiban.

A gyártó a hibákat a 2.7-es firmware-verzióban javította. A sérülékenységről további részleteket a Schneider Electric publikációjában lehet olvasni.

Sérülékenységek Schneider Electric Easergy Builder szoftverekben

Ilya Karpov és Evgeniy Druzhinin, a Rostelecom-Solar munkatársai 6 sérülékenységet találtak a Schneider Electric Easergy Builder 1.4.7.2-es és korábbi verzióiban.

A gyártó a hibákat az 1.6.3.0 verzióban javította. A sérülékenységekről további információkat a Schneider Electric bejelentésében lehet találni.

Sérülékenységek Siemens SINUMERIK rendszerekben

A Siemens 22 sérülékenységről közölt információkat a DHS CISA-val, amik az alábbi, SINUMERIK termékcsaládjukba tartozó rendszereket érintik:

- SINUMERIK Access MyMachine/P2P 4.8-nál korábbi verziói;
- SINUMERIK PCU base Win10 software/IPC 14.00-nál korábbi verziói;
- SINUMERIK PCU base Win7 software/IPC 12.01 HF4-nél korábbi verziói.

A gyártó a hibákat az érintett termékei legújabb verzióiban javította. A sérülékenységekről részletesen a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Siemens LOGO! sérülékenység

Alexander Perez-Palma, a Cisco Talos és Emanuel Almeida, a Cisco Systems munkatársai egy sérülékenységet találtak a Siemens LOGO!8 BM (beleértve a SIPLUS változatokat is) minden verziójában.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését ajánlja. A sérülékenység részletei a Siemens ProductCERT és az ICS-CERT bejelentéseiben találhatók.

Sérülékenységek Siemens SIMATIC és SINAMICS rendszerekben

Uri Katz, a Claroty munkatársa két sérülékenységet talált az alábbi Siemens rendszerekben:

- SIMATIC PCS 7 minden verziója;
- SIMATIC PDM minden verziója;
- SIMATIC STEP 7 v5.X minden 5.6 SP2 HF3-nál korábbi verziója;
- SINAMICS STARTER (a STEP 7 OEM verzió is) minden, 5.4 HF1-nél korábbi verziója.

A gyártó a SIMATIC STEP 7 és a SINAMICS STARTER termékekhez kiadta a hibákat javító új verziókat, a többi érintett termékét használó ügyfelének kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről bővebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Sérülékenység Siemens rendszerekben

Ander Martinez, a Titanium Industrial Security és az INCIBE egy sérülékenységet jelentettek a Siemens-nek, ami az alábbi termékeiket érinti:

- SIMATIC Automation Tool minden verziója;
- SIMATIC NET PC software minden, v16-nál későbbi és v16 Upd3-nál korábbi verziója;
- SIMATIC PCS 7 minden verziója;
- SIMATIC PCS neo minden verziója;
- SIMATIC ProSave minden verziója;
- SIMATIC S7-1500 Software Controller minden verziója;
- SIMATIC STEP 7 minden, v5.6 SP2 HF3-nál régebbi verziója;
- SIMATIC STEP 7 (TIA Portal) v13 minden verziója;
- SIMATIC STEP 7 (TIA Portal) v14 minden verziója;
- SIMATIC STEP 7 (TIA Portal) v15 minden verziója;
- SIMATIC STEP 7 (TIA Portal) v16 minden verziója;
- SIMATIC WinCC OA v3.16 minden, P018-nál régebbi verziója;
- SIMATIC WinCC OA v3.17 minden, P003-nál régebbi verziója;
- SIMATIC WinCC Runtime Professional v13 minden verziója;
- SIMATIC WinCC Runtime Professional v14 minden verziója;
- SIMATIC WinCC Runtime Professional v15 minden verziója;
- SIMATIC WinCC Runtime Professional v16 minden verziója;
- SIMATIC WinCC v7.4 minden, v7.4 SP1 Update 14-nél régebbi verziója;
- SIMATIC WinCC v7.5 minden, v7.5 SP1 Update 3-nál régebbi verziója;
- SINAMICS Startdrive minden verziója;
- SINEC NMS minden verziója;
- SINEMA Server minden verziója;
- SINUMERIK ONE virtual minden verziója;
- SINUMERIK Operate minden verziója.

A gyártó egyes érintett termékeihez kiadta a hibát javító újabb verziókat, a többi termék esetén kockázatcsökkentő intézkedések alkalmazását ajánlja. A sérülékenységgel kapcsolatos részletes információkat a Siemens ProductCERT és az ICS-CERT publikációiban lehet megtalálni.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr9515814000

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása