Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCLII

Sérülékenységek Mitsubishi Electric, Delta, ABB, Nortek és OpenClinic GA rendszerekben

2020. július 08. - icscybersec

Sérülékenységek Mitsubishi Electric rendszerekben

A Mitsubishi Electric két sérülékenységről közölt részleteket a DHS CISA-val, amik a Factory Automation szoftverük alábbi verzióit érintik:

- CPU Module Logging Configuration Tool 1.94Y és korábbi verziói;
- CW Configurator 1.010L és korábbi verziói;
- EM Software Development Kit (EM Configurator) 1.010L és korábbi verziói;
- GT Designer3(GOT2000) 1.221F és korábbi verziói;
- GX LogViewer 1.96A és korábbi verziói;
- GX Works2 1.586L és korábbi verziói;
- GX Works3 1.058L és korábbi verziói;
- M_CommDTM-HART 1.00A és korábbi verziói;
- M_CommDTM-IO-Link 1.02C és korábbi verziói;
- MELFA-Works 4.3 és korábbi verziói;
- MELSEC-L Flexible High-Speed I/O Control Module Configuration Tool 1.004E és korábbi verziói;
- MELSOFT FieldDeviceConfigurator 1.03D és korábbi verziói;
- MELSOFT iQ AppPortal 1.11M és korábbi verziói;
- MELSOFT Navigator 2.58L és korábbi verziói;
- MI Configurator 1.003D és korábbi verziói;
- Motion Control Setting 1.005F és korábbi verziói;
- MR Configurator2 1.72A és korábbi verziói;
- MT Works2 1.156N és korábbi verziói;
- RT ToolBox2 3.72A és korábbi verziói;
- RT ToolBox3 1.50C és korábbi verziói.

A gyártó a hibákat az érintett szoftverek újabb verzióiban javította. A sérülékenységekkel kapcsolatos részleteket az ICS-CERT publikációjában lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsa-20-182-02

Delta Electronics rendszerek sérülékenységei

Natnael Samson, a ZDI-vel együttműködve két sérülékenységet jelentett a DHS CISA-nak, amik a Delta Electronics DOPSoft nevű HMI szerkesztő szoftverének 4.00.08.15-ös és korábbi verzióit érintik.

A gyártó a hibákat javító 4.00.08.17-es verziót valamikor július hónap folyamán tervezi kiadni. A sérülékenységekről további részleteket az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-182-01

Sérülékenység ABB rendszerekben

William Knowles, az Applied Risk munkatársa egy sérülékenységet jelentett az ABB-nek, ami a gyártó alábbi rendszereit érinti:

- System 800xA Information Manager 5.1 Rev E/5.1 FP4 Rev E TC6-nál korábbi verziói;
- System 800xA Information Manager 6.0.3.3 RU1-nél korábbi verziói;
- System 800xA Information Manager 6.1 RU1-nél korábbi verziói.

A gyártó a hibát az újabb verziókban javította. A sérülékenységről bővebben az ICS-CERT weboldalán lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-184-02

Nortek Linear eMerge sérülékenységek

Gjoko, az Applied Risk munkatársa öt sérülékenységet jelentett a DHS CISA-nak a Nortek Linear eMerge 50P/5000P rendszerének 4.6.07 (revision 79330) és korábbi verzióival kapcsolatban.

A gyártó a hibákat a v32-09a verzióban javította. A sérülékenységek részletei az ICS-CERT publikációjában találhatóak: https://www.us-cert.gov/ics/advisories/icsa-20-184-01

Sérülékenységek OpenClinic GA rendszerekben

Brian D. Hysell 12 sérülékenységet talált a Source Forge-on elérhető, nyílt forráskódú OpenClinic GA rendszer alábbi verzióiban:

- OpenClinic GA 5.09.02;
- OpenClinic GA 5.89.05b.

A fejlesztő közösség a mostani hibákkal kapcsolatban még nem adott információkat, az ICS-CERT javaslata az elérhető összes hibajavítás telepítésére vonatkozik. A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsma-20-184-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr10015986934

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása