Sérülékenységek Advantech iView rendszerekben
rgod és egy névtelenségét őrző biztonsági kutató négy sérülékenységet találtak az Advantech iView nevű, eszközmenedzsmentre használt megoldásának v5.7.03.6112-t megelőző verzióiban.
A gyártó a hibákat az 5.7.03.6112-es verzióban javította. A sérülékenységekkel kapcsolatosan bővebb információkat az ICS-CERT publikációjában lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-040-02
Rockwell Automation rendszerek sérülékenysége
A Claroty és a Cognite munkatársai egy sérülékenységről közöltek információkat a Rockwell Automation-nel, ami a gyártó alábbi rendszereit érinti:
- DriveTools SP v5.13 és korábbi verziói;
- DriveExecutive v5.13 és korábbi verziói;
- Drives AOP v4.12 és korábbi verziói (amik a Logix Versions v16-tól v30-ig terjedő verzióit támogatják).
A gyártó a hibával kapcsolatban a legújabb elérhető verzióra történő frissítést javasolja. A sérülékenység részleteiről az ICS-CERT bejelentéséből lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-21-042-02
Sérülékenységek ICS rendszerekben használt beágyazott TCP/IP stack-ekben
Daniel dos Santos, Stanislav Dashevskyi, Jos Wetzels és Amine Amri, a Forescout Research Labs munkatársai összesen 9 sérülékenységet azonosítottak az alábbi gyártók termékeiben használt TCP/IP stack-ekben:
- Nut/Net 5.1 és korábbi verziói;
- CycloneTCP 1.9.6 és korábbi verziói;
- NDKTCPIP 2.25 és korábbi verziói;
- FNET 4.6.3 és korábbi verziói;
- uIP-Contiki-OS (end-of-life [EOL]) 3.0 és korábbi verziói;
- uC/TCP-IP (EOL) 3.6.0 és korábbi verziói;
- uIP-Contiki-NG 4. és korábbi verziói;
- uIP (EOL) 1.0 és korábbi verziói;
- picoTCP-NG 1.7.0 és korábbi verziói;
- picoTCP (EOL) 1.7.0 és korábbi verziói;
- MPLAB Net 3.6.1 és korábbi verziói;
- Nucleus NET minden, 5.2-nél korábbi verziója;
- Nucleus ReadyStart ARM, MIPS és PPC architektúrákra fejlesztett változataink minden 2012.12-nél korábbi verziója.
A hibákkal kapcsolatos frissítésekről szóló információkat és kockázatcsökkentő intézkedéseket az ICS-CERT weboldalán lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-042-01
Rockwell Automation Allen-Bradley vezérlők sérülékenysége
A Cisco Talos csapata egy sérülékenységet jelentett a Rockwell Automation-nek, ami Allen-Bradley MicroLogix 1100-as PLC-inek 1.0 revízióját érinti.
A gyártó a hibát az éintett PLC-khez kiadott v21.006-os és későbbi firmware-verziókban javította. A sérülékenységről bővebben az ICS-CERT publikációjában lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-047-02
Sérülékenységek Open Design Alliance fejlesztő eszközökben
Michael DePlante és rgod, a ZDI-vel együttműködve hat sérülékenységről közölt információkat a DHS CISA-val, amik az Open Design Alliance Drawings SDK nevű fejlesztő eszközének 2021.12-nél korábbi verzióit érintik.
A gyártó a hibát a v2021.12-es és későbbi verziókban javította. A sérülékenységekről további információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-047-01
Hamilton Medical rendszerek sérülékenységei
Julian Suleder, Raphael Pavlidis és Nils Emmerich, az ERNW Research GmbH, valamint Dr. Oliver Matula, az ERNW Enno Rey Netzwerke GmbH munkatársai három sérülékenységet fedeztek fel a Hamilton Medical T1 Ventilator nevű megoldásának 2.2.3-as és korábbi verzióiban.
A gyártó a hibákat a 2.2.3-asnál újabb verziókban javította. A sérülékenységgel kapcsolatban bővebb információkat az ICS-CERT weboldalán lehet találni: https://us-cert.cisa.gov/ics/advisories/icsma-21-047-01
Sérülékenységek Mitsubishi Electric rendszerekben
dliangfun két sérülékenységet jelentett a Mitsubishi Electric-nek, amik a gyártó FA mérnöki szoftverecsomagjának alábbi tagjait érintik:
- C Controller modul beállító és monitoring eszköz minden verziója;
- CPU Module Logging Configuration Tool minden verziója;
- CW Configurator minden verziója;
- Data Transfer minden verziója;
- EZSocket minden verziója;
- FR Configurator minden verziója;
- FR Configurator SW3 minden verziója;
- FR Configurator2 minden verziója;
- GT Designer3 Version1(GOT1000) minden verziója;
- GT Designer3 Version1(GOT2000) minden verziója;
- GT SoftGOT1000 Version3 minden verziója;
- GT SoftGOT2000 Version1 minden verziója;
- GX Configurator-DP 7.14Q és korábbi verziói;
- GX Configurator-QP minden verziója;
- GX Developer minden verziója;
- GX Explorer minden verziója;
- GX IEC Developer minden verziója;
- GX LogViewer minden verziója;
- GX RemoteService-I minden verziója;
- GX Works2, Versions 1.597X and prior
- GX Works3, Versions 1.070Y and prior
- M_CommDTM-HART minden verziója;
- M_CommDTM-IO-Link minden verziója;
- MELFA-Works minden verziója;
- MELSEC WinCPU Setting Utility minden verziója;
- MELSOFT EM Software Development Kit (EM Configurator) minden verziója;
- MELSOFT Navigator minden verziója;
- MH11 SettingTool Version2 minden verziója;
- MI Configurator minden verziója;
- MT Works2 minden verziója;
- MX Component minden verziója;
- Network Interface Board CC IE Control utility minden verziója;
- Network Interface Board CC IE Field Utility minden verziója;
- Network Interface Board CC-Link Ver.2 Utility minden verziója;
- Network Interface Board MNETH utility minden verziója;
- PX Developer minden verziója;
- RT ToolBox2 minden verziója;
- RT ToolBox3 minden verziója;
- C Controller modulhoz tartozó beállító és monitoring eszközök minden verziója;
- SLMP Data Collector minden verziója.
A gyártó a hibákat az egyes szoftverek újabb verzióiban javította. A sérülékenységekről további részleteket az ICS-CERT publikációjában lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-049-02
Johnson Controls rendszerek sérülékenysége
A TIM Security Red Team Research csapata egy sérülékenységről közölt információkat a Johnson Controls-szal, ami a Metasys Reporting Engine (MRE) Web Services 2.0 és 2.1-es verzióit érinti.
A gyártó a hibát az MRE v2.2-es és újabb verzióiban javította. A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-049-01
Sérülékenységek Schneider Electric PowerLogic rendszerekben
A Schneider Electric weboldalán publikált információk szerint három sérülékenységet azonosítottak az alábbi PowerLogic termékekben:
- ION7400 minden, V3.0.0-nál korábbi verziója;
- ION7650 minden verziója;
- ION7700/73xx minden verziója;
- ION83xx/84xx/85xx/8600 minden verziója;
- ION8650V 4.31.2-es és korábbi verziói;
- ION8800 minden verziója;
- ION9000 minden, V3.0.0-nál korábbi verziója;
- PM8000 minden, V3.0.0-nál korábbi verziója.
A gyártó a hibákat egyes érintett termékeiben javította, a többi esetén kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről bővebben a Schneider Electric weboldalán lehet olvasni.
Sudo sérülékenység Moxa termékekben
A Moxa publikációja alapján a nemrég a Unix/Linux operációs rendszerekben felfedezett sudo-sérülékenység érinti az alábbi termékeiket:
- ARM-alapú számítógépek:
- UC-2100 sorozatú számítógépek Moxa Industrial Linux v1.0 operációs rendszerei;
- UC-2100-W sorozatú számítógépek Moxa Industrial Linux v1.0 operációs rendszerei;
- UC-3100 sorozatú számítógépek Moxa Industrial Linux v1.0 operációs rendszerei;
- UC-5100 sorozatú számítógépek Moxa Industrial Linux v1.0 operációs rendszerei;
- UC-8100 sorozatú számítógépek Moxa Industrial Linux v1.0 operációs rendszerei;
- UC-8100A-ME-T sorozatú számítógépek Moxa Industrial Linux v1.0 operációs rendszerei;
- UC-8100-ME-T sorozatú számítógépek Debian 8.x verziójú operációs rendszerei;
- UC-8100-ME-T sorozatú számítógépek Moxa Industrial Linux v1.0 operációs rendszerei;
- UC-8200 sorozatú számítógépek Moxa Industrial Linux v1.0 operációs rendszerei;
- UC-8410A sorozatú számítógépek Debian 8.x verziójú operációs rendszerei;
- UC-8410A sorozatú számítógépek Moxa Industrial Linux v1.0 operációs rendszerei;
- UC-8540 sorozatú számítógépek Debian 8.x verziójú operációs rendszerei;
- UC-8580 sorozatú számítógépek Moxa Industrial Linux v1.0 operációs rendszerei;
- x86-alapú számítógépek:
- MC-1100 sorozatú számítógépek Debian 8.x verziójú operációs rendszerei;
- MC-1100 sorozatú számítógépek Debian 9.x verziójú operációs rendszerei;
- MC-1200 sorozatú számítógépek Debian 9.x verziójú operációs rendszerei;
- V2201 sorozatú számítógépek Debian 9.x verziójú operációs rendszerei;
- V2403 sorozatú számítógépek Debian 9.x verziójú operációs rendszerei;
- V2406A sorozatú számítógépek Debian 8.x verziójú operációs rendszerei;
- V2406C sorozatú számítógépek Debian 7.x verziójú operációs rendszerei;
- V2416A sorozatú számítógépek Debian 9.x verziójú operációs rendszerei;
- V2426A sorozatú számítógépek Debian 7.x verziójú operációs rendszerei;
- V2616A sorozatú számítógépek Debian 7.x verziójú operációs rendszerei;
- DA-681C sorozatú számítógépek Debian 7.x verziójú operációs rendszerei;
- DA-681A sorozatú számítógépek Debian 9.x verziójú operációs rendszerei;
- DA-682C sorozatú számítógépek Debian 8.x verziójú operációs rendszerei;
- DA-720 sorozatú számítógépek Debian 9.x verziójú operációs rendszerei;
- DA-820C sorozatú számítógépek Debian 8.x verziójú operációs rendszerei.
- Panel számítógépek és kijelzők:
- MPC-2070 sorozatú eszközök Debian 9.x verziójú operációs rendszerei;
- MPC-2101 sorozatú eszközök Debian 9.x verziójú operációs rendszerei;
- MPC-2120 sorozatú eszközök Debian 9.x verziójú operációs rendszerei;
- MPC-2121 sorozatú eszközök Debian 9.x verziójú operációs rendszerei.
- Vezérlő és I/O eszközök:
- ioThinx 4530 sorozatú berendezések 1.3 és korábbi firmware-verziói.
A hibával kapcsolatos javításokról illetve a sérülékenység további részleteiről a Moxa publikációjában lehet olvasni.
A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.
