Hitachi ABB Power Grids rendszerek sérülékenységei

A Hitachi ABB Power Grids két sérülékenységről közölt információkat a DHS CISA-val, ami az Ellipse Enterprise Asset Management nevű megoldásuk 9.0.25-ös és korábbi verzióit érinti.

A hibák egyikét a 9.0.23-as verzió, mindkettőt pedig a 9.0.26-os verzió javítja. A sérülékenységekről további információk az ICS-CERT publikációjában érhetőek el: https://us-cert.cisa.gov/ics/advisories/icsa-21-061-01

Sérülékenység Rockwell Automation CompactLogix vezérlőkben

Yeop Chang egy sérülékenységet jelentett a DHS CISA-nak a Rockwell Automation alábbi vezérlőivel kapcsolatban:

- Armor Compact GuardLogix 5370 vezérlők 33-as és korábbi firmware-verziói;
- Armor GuardLogix, Safety vezérlők 33-as és korábbi firmware-verziói;
- CompactLogix 5370 L1 vezérlők 33-as és korábbi firmware-verziói;
- CompactLogix 5370 L2 vezérlők 33-as és korábbi firmware-verziói;
- CompactLogix 5370 L3 vezérlők 33-as és korábbi firmware-verziói;
- Compact GuardLogix 5370 vezérlők 33-as és korábbi firmware-verziói;
- ControlLogix 5570 vezérlők 33-as és korábbi firmware-verziói.

A gyártó a hibát a 33.011-es és későbbi firmware-verziókban javította. A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-061-02

MB connect line rendszerek sérülékenységei

Az OTORIO munkatársai összesen 18 sérülékenységet azonosítottak az MB connect line alábbi termékeiben:

- mymbCONNECT24 v2.6.1 és korábbi verziói;
- mbCONNECT24 v2.6.1 és korábbi verziói.

A gyártó a hibák egy részét az érintett termékek 2.71-es és későbbi verzióiban javította, a többi esetében a javításon jelenleg is dolgozik. A sérülékenységekkel kapcsolatban további részleteket az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-061-03

Sérülékenységek Rockwell Automation kommunikációs modulokban

Adam Eliot, a Loon Security Team tagja két sérülékenységet jelentett a Rockwell Automation-nek, amik az 1734-AENTR típusú kommunikációs moduljaik alábbi példányait érintik:

- B-sorozatú eszközök 4.001-től 4.005-igy és 5.011-től 5.017-ig terjedő firmware-verziói;
- C-sorozatú eszközök 6.011-es és 6.012-es firmware-verziói.

A gyártó a hibákat a B-sorozatú eszközöknél az 5.018-as, a C-sorozatú eszközök esetén a 6.013-as firmware-verzióban javították. A sérülékenység részleteit az ICS-CERT publikációjában lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-063-01

Schneider Electric EcoStruxure Building Operation termékek sérülékenységei

Luis Vázquez, Francisco Palma és Diego León, a Zerolynx munkatársai, az INCIBE-bal együttműködve, valamint Alessandro Bosco, Luca Di Giuseppe, Alessandro Sabetta és Massimiliano Brolli, a TIM Security Red Team Research munkatársai 7 sérülékenységet fedezetek fel a Schneider Electric EcoStruxure Building Operation nevű termékcsaládjának alábbi tagjaiban:

- WebReports v1.9-től v3.1-ig terjedő verziói;
- WebStation v2.0-tól v3.1-ig terjedő verziói;
- Enterprise Server telepítő v1.9-től v3.1-ig terjedő verziói;
- Enterprise Central telepítő v2.0-tól v3.1-ig terjedő verziói.

A gyártó a hibákat az EcoStruxure Building Operation 3.2-es verziójában javította. A sérülékenységekkel kapcsolatban további információkat az ICS-CERT bejelentésében lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-063-02

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.