Sérülékenységek Cisco ipari hálózati eszközökben
A Cisco június elején 25 sérülékenységről közölt információkat, amik különböző, ipari hálózatokban használt hálózati eszközeikben azonosítottak.
A sérülékenységekről bővebb információt a Cisco publikációjában lehet megtalálni: https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-73388
Moxa berendezések sérülékenysége
Tal Keren, a Claroty munkatársa egy sérülékenységet talált a Moxa alábbi termékeiben:
- EDR-G902 sorozatú berendezések 5.4-es és korábbi firmware-verziói;
- EDR-G903 sorozatú berendezések 5.4-es és korábbi firmware-verziói.
A gyártó a hibát az érintett termékek legújabb firmware-verziójában javította. A sérülékenység részleteiről a Moxa bejelentésében lehet olvasni.
Sérülékenységek Treck TCP/IP stack-et használó ICS termékekben
Shlomi Oberman és Moshe Kol 19 sérülékenységet találtak a Treck TCP/IP stack-jében, amik az alábbi protokollokat érintik:
- IPv4;
- IPv6;
- UDP;
- DNS;
- DHCP;
- TCP;
- ICMPv4;
- ARP.
A sérülékenységek számos ICS terméket gyártó vállalat termékeit érintik, többek között a B.Braun, Baxter, Caterpillar, Green Hills Software, Rockwell és Schneider Electric által gyártott egyes rendszereket.
A hibákat a Treck TCP/IP stack 6.0.1.67-es verzióban javították. A sérülékenységekről, az érintett ICS termékekről és azok javításairól az ICS-CERT weboldalán és az innen elérhető gyártói weboldalakon lehet tájékozódni: https://www.us-cert.gov/ics/advisories/icsa-20-168-01
Rockwell Automation FactoryTalk sérülékenység
Az ICS-CERT publikációja egy, a Rockwell Automation FactoryTalk minden verzióját érintő sérülékenységről számol be. A sérülékenységről bővebb információkat a Rockwell Automation tudásbázis cikkében lehet találni (csak authentikáció után érhető el).
Sérülékenység ICONICS és Mitsubishi Electric rendszerekben
Tobias Scharnowski, Niklas Breitfeld, Ali Abbasi és Yehuda Anikster, a Claroty, Pedro Ribeiro és Radek Domanski, a Flashback, Ben McBride, az Oak Ridge National Laboratory valamint Steven Seeley és Chris Anastasio, az Incite munkatársai összesen öt sérülékenységet találtak ICONICS és Mitsubishi Electric rendszerekben:
Érintett ICONICS rendszerek:
- GENESIS64
- Hyper Historian
- AnalytiX
- MobileHMI
- GENESIS32
- BizViz
Érintett Mitsubishi Electric rendszerek:
- MC Works64 4.02C (10.95.208.31) és korábbi verziói;
- MC Works32 3.00A (9.50.255.02) verziója.
A gyártók a hibákat az érintett termékek legújabb verzióiban javította. A sérülékenységekkel kapcsolatban további részleteket az ICS-CERT bejelentéseiben lehet elérni:
https://www.us-cert.gov/ics/advisories/icsa-20-170-03
https://www.us-cert.gov/ics/advisories/icsa-20-170-02
Exacq Technologies rendszerek sérülékenysége
Michael Norris egy sérülékenységet jelentett a Johnson Controlsnak (az Exacq Technologies anyavállalatának), ami az exacqVision alábbi verzióit érinti:
- exacqVision Web Service v20.03.2.0 és korábbi verziói;
- exacqVision Enterprise Manager v20.03.2.0 és korábbi verziói.
A gyártó a hibát az érintett termékek v20.06.2.0 és későbbi verzióiban javította. A sérülékenységről bővebben az ICS-CERT weboldalán lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-170-01
Sérülékenység BD Alaris rendszerekben
A Becton, Dickinson and Company (BD) egy, a Linux Kernel v4.4.97 verziójában megtalálható Wireless Module WB40N sérülékenységről tájékoztatta a DHS CISA-t, ami a BD Alaris PC Unit 9.13-as, 9.19-es, 9.33-as és 12.1-es verzióit érinti.
A gyártó a sérülékenységgel kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről részleteket az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsma-20-170-06
BIOTRONIK orvostechnikai rendszerek sérülékenységei
Guillaume Bour, Anniken Wium Lie és Marie Moe összesen öt sérülékenységet jelentettek a DHS CISA-nak, amik a BIOTRONIK alábbi orvostechnikai rendszereit érintik:
- CardioMessenger II-S T-Line T4APP 2.20
- CardioMessenger II-S GSM T4APP 2.20
A hibával kapcsolatban a gyártó nem fog javítást kiadni, de kockázatcsökkentő intézkedésekre vonatkozó javaslatokat publikált. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet elérni: https://www.us-cert.gov/ics/advisories/icsma-20-170-05
Sérülékenységek Baxter Sigma Spectrum infúziós rendszerekben
A Baxter Healthcare hat sérülékenységről közölt információkat a DHS CISA-val, amik a Sigma Spectrum infúziós rendszereik alábbi változatait érintik:
- Sigma Spectrum v6.x model 35700BAX;
- Baxter Spectrum v8.x model 35700BAX2;
- Sigma Spectrum v6.x Wireless Battery Modules v9, v11, v13, v14, v15, v16, - v20D29, v20D30, v20D31 és v22D24;
- Baxter Spectrum v8.x with Wireless Battery Modules v17, v20D29, v20D30, v20D31 és v22D24;
- Baxter Spectrum Wireless Battery Modules v17, v20D29, v20D30, v20D31 és v22D24;
- Baxter Spectrum LVP v8.x with Wireless Battery Modules v17, v20D29, v20D30, v20D31 és v22D24.
A hibákkal kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységek részletes információit az ICS-CERT weboldalán lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsma-20-170-04
Baxter hemodialízis rendszerek sérülékenysége
A Baxter egy sérülékenységet jelentett a DHS CISA-nak, ami a Phoenix hemodialízis rendszerük SW 3.36-os és 3.40-es verzióit érinti.
A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések bevezetését ajánlja. A sérülékenységről bővebben az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsma-20-170-03
Sérülékenységek Baxter PrismaFlex és PrisMax rendszerekben
A Baxter három sérülékenységet jelentett a DHS CISA-nak, amik az alábbi termékeiket érintik:
- PrismaFlex minden verziója;
- PrisMax 3.x-nél régebbi verziója.
A hibákat a gyártó a termékek újabb verzióiban javította. A sérülékenységekről és a javításokat tartalmazó verziókról részleteket az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsma-20-170-02
Baxter ExactaMix rendszerek sérülékenységei
A Baxter Healthcare hét sérülékenységet jelentett a DHS CISA-nak az ExactaMix rendszerük alábbi verzióival kapcsolatban:
- ExactaMix EM2400 1.10, 1.11, 1.13 és 1.14-es verziók;
- ExactaMix EM1200 1.1, 1.2, 1.4 és 1.5-ös verziók.
A gyártó a hibákat az érintett termékek újabb verzióiban javította. A sérülékenységek részleteit az ICS-CERT weboldalán lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsma-20-170-01
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.