Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCLXX

Sérülékenységek Siemens, Mitsubishi Electric, GE Healthcare, Host Engineering és Medtronic rendszerekben

2020. december 16. - icscybersec

Sérülékenységek beágyazott rendszerek TCP/IP stack-jeiben

A DHS CISA publikációja szerint az AMNESIA:33 néven ismertté vált sérülékenységek (összesen 33) számos, ipari környezetekben is használt megoldást érintenek. A poszt írásának pillanatában az alábbiak ismertek:

- uIP-Contiki-OS (EOL - a termék már elérte életciklusa végét, várhatóan nem fog hibajavítás megjelenni hozzá) 3.0 és korábbi verziói;
- uIP-Contiki-NG 4.5 és korábbi verziói;
- uIP (EOL) 1.0 és korábbi verziói;
- open-iscsi 2.1.12 és korábbi verziói;
- picoTCP-NG 1.7.0 és korábbi verziói;
- picoTCP (EOL) 1.7.0 és korábbi verziói;
- FNET 4.6.3 és korábbi verziói;
- Nut/Net 5.1 és korábbi verziói.

A fentieken túl az alábbi gyártók egyes termékei is érintettek:

- Devolo;
- EMU Electronic AG;
- FEIG;
- Genetec;
- Harting;
- Hensoldt;
- Microchip;
- Nanotec;
- NT-Ware;
- Tagmaster;
- Uniflow;
- Yanzi Networks.

A hibákkal kapcsolatban az egyes gyártók bejelentései mellett az ICS-CERT publikációja is további részleteket tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-20-343-01

Sérülékenység Siemens SiMATIC vezérlők webszervereiben

A Siemens ProductCERT publikációja szerint egy sérülékenységet találtak az alábbi SiMATIC vezérlők webszervereiben:

- SIMATIC ET 200SP Open Controller (beleértve a SIPLUS változatokat is) 20.8-as verziója;
- SIMATIC S7-1500 Software Controller 20.8-as verziója.

A gyártó a hibát az érintett termékek 21.8-as verziójában javította. A sérülékenység részleteiről a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Sérülékenységek Siemens SiMATIC termékekben

A Kaspersky még 2019 végén talált több sérülékenységet egyes Siemens SIMATIC termékekbe beépített TightVNC komponensben. Az érintett termékek és verzióik az alábbiak:

- SIMATIC HMI Comfort Outdoor Panelek 7 és 15 colos sorozatainak (beleértve a SIPLUS változatokat is) minden, 16 update 3-nál korábbi verziója;
- SIMATIC HMI Comfort Panel 4-től 22 colosig terjedő sorozatainak (beleértve a SIPLUS változatokat is) minden, 16 update 3-nál korábbi verziója;
- SIMATIC HMI KTP400F, KTP700, KTP700F, KTP900 és KTP900F típusú KTP mobil panelek minden, 16 update 3-nál korábbi verziója;
- SIMATIC ITC1500 v3.1 minden verziója;
- SIMATIC ITC1500 v3.1 PRO minden verziója;
- SIMATIC ITC1900 v3.1 minden verziója;
- SIMATIC ITC1900 v3.1 Pro minden verziója;
- SIMATIC ITC2200 v3.1 minden verziója;
- SIMATIC ITC2200 v3.1 PRO minden verziója;
- SIMATIC WinCC Runtime Advanced minden, 16 update 3-nál korábbi verziója;
- SIMATIC WinCC Runtime Professional minden, 16 update 3-nál korábbi verziója.

A gyártó kiadta a hibát javító újabb verziókat. A sérülékenységekkel kapcsolatban további információkat a Siemens ProductCERT és az ICS-CERT bejelentései tartalmaznak.

Siemens SICAM rendszerek sérülékenysége

Sam Hamra, a KTH Royal Institute of Technology munkatársa egy sérülékenységet fedezett fel a Siemens SICAM RTU-inak alábbi verzióiban:

- SICAM A8000 CP-8000 minden,16-osnál régebbi verziója;
- SICAM A8000 CP-8021 minden,16-osnál régebbi verziója;
- SICAM A8000 CP-8022 minden,16-osnál régebbi verziója.

A hibával kapcsolatban érintett RTU-kat használó ügyfeleinek a gyártó a 16-os verzióra történő frissítést javasolja. A sérülékenységről bővebb információkat a Siemens ProductCERT és az ICS-CERT weboldalain lehet találni.

Sérülékenységek Siemens XHQ Operations Intelligence rendszerekben

A Siemens 7 sérülékenységet talált az XHQ Operations Intelligence nevű termékük minden, 6.1-nél korábbi verzióiban.

A gyártó a hibával kapcsolatban a 6.1-es verzióra történő frissítést illetve az XHQ dokumentációban található, Internet Information Services (IIS) webszerverek biztonságos konfigurálásával kapcsolatos ajánlásainak alkalmazását javasolja. A sérülékenységek részleteit a Siemens ProductCERT és az ICS-CERT publikációiban lehet megtalálni.

Beágyazott TCP/IP stack sérülékenység (AMNESIA:33) Siemens termékekben

Daniel dos Santos, Stanislav Dashevskyi, Jos Wetzels és Amine Amri, a Forescout Research Labs munkatársai több, IoT rendszereket érintő sérülékenységet találtak, amelyek közül egy a Siemens egyes ipari rendszereit is érinti:

- SENTRON PAC3200 2.4.5-ös és korábbi verziók;
- SENTRON PAC4200 2.0.1-es és korábbi verziók;
- SIRIUS 3RW5 Modbus/TCP kommunikációs modulok minden verziója.

A gyártó a hibával kapcsolatban a SENTRON termékekhez frissítet verziókat, a SIRIUS kommunikációs modulokat használó ügyfeleinek pedig kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről további részletek a Siemens ProductCERT és az ICS-CERT bejelentéseiben érhetőek el

Mitsubishi Electric rendszerek sérülékenysége

A Mitsubishi Electric egy sérülékenységről közölt információkat a DHS CISA-val, ami az alábbi rendszereiket érinti:

- GOT2000 sorozat, GT21-es modelljének
- GT2107-WTBD változata, minden verzió;
- GT2107-WTSD változata, minden verzió;
- GT2104-RTBD változata, minden verzió;
- GT2104-PMBD változata, minden verzió;
- GT2103-PMBD változata, minden verzió;
- GOT SIMPLE sorozat, GS21-es modelljének
- GS2110-WTBD változata, minden verzió;
- GS2107-WTBD változata, minden verzió;
- Tension vezérlők
- LE7-40GU-L változatának minden verziója.

A gyártó a hiba javítását tartalmazó új verziók kiadását a közeli jövőre tervezi. A sérülékenység részleteiről az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-20-343-02

Sérülékenységek GE orvostechnikai eszközökben

Lior Bar Yosef és Elad Luz, a CyberMDX munkatársai 2 sérülékenységet találtak a GE alábbi orvostechnikai rendszereiben:

MR rendszerek:
- 3.0T Signa HDxt/3.0T Signa HDx, HD16 és HD23 verziók;
- 1.5T Brivo MR355/Optima MR360, SV20.1 és SV23.0 verziók;
- 1.5T Signa HDx/1.5T Signa HDx, Signa HDi/Signa VIBRANT, HD16 és HD23 verziók;

Ultrahang, általános képalkotó rendszerek:
- LOGIQ 5 [BT03];
- LOGIQ 7 (BT03, BT04, BT06];
- LOGIQ 9 [BT02, BT03, BT04, BT06];

Ultrahang, kardiovaszkuláris rendszerek:
- Vivid I [BT06];
- Vivid 7 {BT02-BT06];
- EchoPAC (Turnkey) [BT06];
- Image Vault (Turnkey) [4.3];

Ultrahang, nőgyógyászati rendszerek:
- Voluson 730 [BT05, BT08];

Fejlett vizualizációs megoldások:
- AW 4.0-tól 4.6-ig terjedő verziók;
- AWS2.0-tól 3.0-ig terjedő verziók;

Intervenciós rendszerek:
- Innova 2000, 3100, 4100, 2100-IQ, 3100-IQ, 4100-IQ, 212-IQ, 313-IQ verziók;
- Optima 320, CL320i, CL323i, CL320, 3100 verziók;
- Optima IGS 320, 330; Innova IGS 5x0, 6x0, 7x0 verziók;

Röntgen-megoldások:
- Brivo XR118, XR383, XR515, XR575;
- Definium 5000, 6000, 8000, AMX 700;
- Discovery XR650, XR656, XR656+;
- Optima XR640, XR646, XR220amx, XR200amx;
- Precision 500D, WDR1;

Mammográfiai megoldások:
- Seno 200D, DS, Essential;
- Senographe Pristina;

Computer tomográfiai rendszerek
- BrightSpeed Elite, Elite Select, Edge, Edge Select;
- Brivo CT385;
- Discovery CT590RT, CT750HD;
- LightSpeed VCT, Pro16, RT16;
- Optima Advance, CT520, CT540, CT660, CT580, CT580RT, CT580W, CT670, CT680 Quantum, Expert & Professional;
- Revolution EVO,HD,ACT, ACTs, CT, Discovery CT, Frontier, Frontier ES;

PET/CT rendszerek:
- Brivo NM 615;
- Discovery NM 630, NM 750b, NM D530c, NM/CT D570c, NM/CT 670;
- Infinia;
- Discovery NM830, NM/CT 860, NM/CT850, NM/CT 870, MI MI DR, IQ;
- Optima NM/CT 640;
- Ventri;
- Xeleris;
- PET Discovery IQ, IQ upgrade;
- PETrace 800.

A hibákkal kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről további részleteket az ICS-CERT publikációjában lehet találni: https://us-cert.cisa.gov/ics/advisories/icsma-20-343-01

Host Engineering rendszerek sérülékenysége

Uri Katz, a Claroty munkatársa egy sérülékenységet azonosított a Host Engineering ECOM100 típusú Ethernet kommunikációs modul (PLC rendszerekhez) alábbi verzióiban:

- H0-ECOM100 Modul:
- Hardware 6x és korábbi verziói 4.0.348 és korábbi firmware-verziókkal;
- Hardware 7x verziói 4.1.113 és korábbi firmware-verziókkal;
- Hardware 9x verziói 5.0.149 és korábbi firmware-verziókkal;
- H2-ECOM100 Modul:
- Hardware Versions 5x és korábbi verziói 4.0.2148 és korábbi firmware-verziókkal;
- Hardware Version 8x verziói 5.0.1043 és korábbi firmware-verziókkal;
- H4-ECOM100 Modulok 4.0.2148 és korábbi firmware-verziókkal.

A gyártó a hibával kapcsolatban a legújabb elérhető verziókra történő frissítést javasolja. A sérülékenységgel kapcsolatos további információkat az ICS-CERT bejelentésében lehet elérni:
https://us-cert.cisa.gov/ics/advisories/icsa-20-345-02

Sérülékenység Mitsubishi Electric eszközökben

A Mitsubishi Electric egy sérülékenységről közölt részleteket a DHS CISA-val, ami a MELSEC iQ-F sorozatú eszközeik FX5U(C) CPU modullal szerelt példányait érinti, ha azok az 1.060-as és korábbi firmware-verziót használják.

A gyártó a hibát az 1.061-es firmware-ben javította. A sérülékenység részletiről az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-20-345-01

Sérülékenységek Medtronic orvostechnikai rendszerekben

A Sternum nevű izraeli cég munkatársai, valamint kutatók (Eric Gustafson, Sara Rampazzi, Paul Grosen, Christopher Kruegel és Giovanni Vigna) a Kaliforniai Santa Barbara Egyetemről, a Floridai Egyetemről és a Michigan-i Egyetemről 3 sérülékenységet találtak a Medtronic Smart Model 25000 Patient Reader nevű megoldásában. A sérülékenység a rendszer összes verziójában megtalálható.

A gyártó a hibát javító újabb firmware-verziót már elérhetővé tette. A sérülékenységekről részletesebb információkat az ICS-CERT publikációja tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsma-20-345-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr716344096

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása