Allen-Bradley rendszerek sérülékenységei

A Cisco Talos kutatólaborjának munkatársa, Jared Rittle 5 sérülékenységet talált az Allen-Bradley Flex IO 1794-AENT/B 4.003 berendezéseiben.

A gyártó mostanáig nem adott ki javítást a hibákra. A sérülékenységek részleteit három Talos publikációban lehet megtalálni:

https://talosintelligence.com/vulnerability_reports/TALOS-2020-1005
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1006
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1007

Sérülékenység Fieldcomm rendszerekben

Reid Wightman, a Dragos munkatársa egy sérülékenységet fedezett fel a Fieldcomm alábbi rendszereiben:

- HART-IP Developer kit, Release 1.0.0.0;
- hipserver, Release 3.6.1.

A gyártó a hibával kapcsolatban a kockázatcsökkentő intézkedések fontosságát hangsúlyozta. A sérülékenységgel kapcsolatban további információkat az ICS-CERT bejelentésében lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-20-287-04

Flexera rendszerek sérülékenységei

Egy névtelenségbe burkolózó biztonsági kutató egy sérülékenységet azonosított a Flexera InstallShield 2015 SP1-es és korábbi verzióiban, amit számos más gyártó termékeibe építettek be.

A hibával kapcsolatban az érintett termékeket használó ügyfeleknek ajánlott felvenni a kapcsolatot a rendszereik gyártóival, akiktől további információkat kaphatnak a sérülékenységhez kapcsolódó teendőkről. A sérülékenység részleteiről az ICS-CERT weboldalán lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-20-287-03

Sérülékenység LCDS rendszerekben

Egy névtelen biztonsági kutató, a ZDI-vel együttműködve egy sérülékenységről közölt információkat a DHS CISA-val, ami az LCDS (Leão Consultoria e Desenvolvimento de Sistemas Ltda ME) SCADA rendszerének 4.3.1.870-esnél korábbi verzióit érinti.

A gyártó a hibát a 4.3.1.870 és újabb verziókban javította. A sérülékenységgel kapcsolatos bővebb információkat az ICS-CERT publikációjában lehet elolvasni: https://us-cert.cisa.gov/ics/advisories/icsa-20-287-02

Moxa NPort berendezések sérülékenységei

Evgeniy Druzhinin és Ilya Karpov, a Rostelecom-Solar munkatársai 6 sérülékenységet találtak a Moxa NPort IAW5000A-I/O típusú berendezéseinek 2.1-es és korábbi firmware-verzióiban.

A gyártó a hibákat a legújabb firmware-verzióban javította. A sérülékenységekről bővebb információkat az ICS-CERT bejelentésében lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-20-287-01

Sérülékenység Advantech WebAccess/SCADA rendszerekben

Sivathmican Sivakumaran, a Trend Micro ZDI munkatársa egy sérülékenységet fedezett fel az Advantech WebAccess/SCADA 9.0 és korábbi verzióiban.

A gyártó a hibát a 9.0.1-es és későbbi verziókban javította. A sérülékenység részleteiről az ICS-CERT bejelentéséből lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-20-289-01

Advantech R-SeeNet rendszerek sérülékenysége

rgod, a ZDI-vel együttműködve egy sérülékenységről közölt részleteket a DHS CISA-val, ami az Advantech R-SeeNet nevű megoldásának 1.5.1-től 2.4.10-ig terjedő verzióit érinti.

A gyártó a hibát az R-SeeNet 2.4.11-es és későbbi verzióiban javította. A sérülékenységgel kapcsolatos további információkat az ICS-CERT weboldalán lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-20-289-02

Sérülékenységek Siemens SIPORT MP rendszerekben

A Siemens ProductCERT egy sérülékenységet jelentett a DHS CISA-nak a SIPORT MP nevű termékük 3.2.1-nél korábbi verzióival kapcsolatban.

A gyártó a hibát a 3.2.1-es verzióban javította. A sérülékenységről bővebben a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Siemens Desigo Insight sérülékenységek

Davide De Rubeis, Damiano Proietti, Matteo Brutti, Stefano Scipioni és Massimiliano Brolli, a TIM Security Red Team Research munkatársai 3 sérülékenységet találtak a Siemens Desigo Insight nevű termékében. A sérülékenységek a Desigo Insight minden verzióját érintik.

A gyártó a hibákat a 6.0 SP5 Hotfix 2 és későbbi verziókban javította. A sérülékenységekről részletesebb információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenységek Schneider Electric SCADA rendszerekben

Michiel Evers és Niels Pirotte három sérülékenységet találtak a Schneider Electric alábbi termékeiben:

- EcoStruxure™ Power Monitoring Expert 9.0, 8.x és 7.x verziói;
- EcoStruxure™ Energy Expert 2.0;
- Power Manager 1.1, 1.2 és 1.3 verziói;
- StruxureWare™ PowerSCADA Expert with Advanced Reporting and Dashboards Module 8.x;
- EcoStruxure™ Power SCADA Operation with Advanced Reporting and Dashboards Module 9.0.

A sérülékenységek javításával kapcsolatos és egyéb további információkat a Schneider Electric weboldalán lehet megtalálni.

Schneider Electric termékek sérülékenysége

A Schneider Electric publikációja alapján egy sérülékenységet azonosítottak az alábbi termékeikben:

- Acti9 Smartlink SI D minden, 002.004.002-nél korábbi verziója;
- Acti9 Smartlink SI B minden, 002.004.002-nél korábbi verziója;
- Acti9 PowerTag Link / Link HD minden, 001.008.007-nél korábbi verziója;
- Acti9 Smartlink EL B minden, 1.2.1-nél korábbi verziója;
- Wiser Link minden, 1.5.0-nál korábbi verziója;
- Wiser Energy minden, 1.5.0-nál korábbi verziója.

A gyártó a hibát az érintett termékek legújabb verzióiban javította. A sérülékenységről bővebben a Schneider Electric publikációjában lehet olvasni.

Schneider Electric rendszereket is érint a Wibu-Systems CodeMeter sérülékenység

Néhány hete én is beszámoltam a Wibu-Systems CodeMeter licenc menedzser termékében talált sérülékenységekről. Ehhez kapcsolódik a Schneider Electric egyik új bejelentése, amely szerint az alábbi termékeiket is érintik az akkor talált sérülékenységek:

- EcoStruxure Machine Expert minden verziója;
- E+PLC400 minden verziója;
- E+PLC100 minden verziója;
- E+PLC_Setup minden verziója;
- EcoStruxure Machine SCADA Expert minden verziója.

A hiba javításáig a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről bővebb információkat a Schneider Electric bejelentése tartalmaz.

Schneider Electric Modicon berendezések sérülékenysége

Yang Dong, a DingXiang Dongjian Security Lab munkatársa egy sérülékenységet talált a Schneider Electric Modicon termékcsaládjának alábbi tagjaiban:

- az M340 CPU-k BMX P34x modelljeinek 3.20-as firmware-verziója;
- az M340 Ethernet kommunikációs modulok alábbi modelljei:
   - BMX NOE 0100 (H) 3.3-asnál korábbi verziói;
   - BMX NOE 0110 (H) 6.5-ösnél korábbi verziói;
   - BMX NOC 0401 2.10-esnél korábbi verziói;
- Premium processorok integrált Ethernet COPRO-val:
   - TSXP574634, TSXP575634 és TSXP576634 modelljeinek 6.1-es verziója;
- a Premium kommunikációs modulok:
   - TSXETY4103 modell 6.2-esnél korábbi verziói;
   - TSXETY5103 modell 6.4-esnél korábbi verziói;
- Quantum processorok integrált Ethernet COPRO-val:
   - 140CPU65xxxxx modell 6.1-esnél korábbi verziói;
- Quantum kommunikációs modulok:
   - 140NOE771x1 modell 7.1-esnél korábbi verziói;
   - 140NOC78x00 modell 1.74-esnél korábbi verziói;
   - 140NOC77101 modell 1.08-asnál korábbi verziói.

A gyártó a sérülékenységet az érintett termékekhez kiadott újabb verziókban javította. A sérülékenységgel kapcsolatosan részleteket a Schneider Electric weboldalán lehet találni.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.