Sérülékenységek Moxa NPort készülékekben
Alexander Nochvay, a Kaspersky Lab ICS CERT részlegének munkatársa négy sérülékenységet fedezett fel a Moxa alábbi termékeiben:
- NPort IA5150A/IA5250A sorozatú berendezések 1.4-es és korábbi firmware-verziói;
- NPort IA5450A sorozetú eszközök 1.7-es és korábbi firmware-verziói.
A hibákkal kapcsolatban a gyártó javításokat és kockázatcsökkentő intézkedésekre vonatkozó javaslatokat adott ki. A sérülékenységek részleteiről a Moxa bejelentéséből lehet tájékozódni.
Johnson Controls exacqVision sérülékenység
A Johnson Controls egy sérülékenységről közölt információkat a DHS CISA-val, ami az Exacq Technologies nevű leányvállalatuk alábbi, Ubuntu-alapú rendszereit érinti:
- a Linux-alapú Z- és A-sorozatú termékeik;
- Q-sorozat;
- G-sorozat;
- Legacy LC-sorozat;
- Legacy ELP-sorozat;
- exacqVision Network Video Recorders (NVR);
- a Linux-alapú C-sorozatú munkaállomások;
- S-sorozatú storage szerverek.
A gyártó a hibával kapcsolatban a megfelelő Ubuntu biztonsági javítások telepítését javasolja. A sérülékenységről további információkat az ICS-CERT publikációja: https://us-cert.cisa.gov/ics/advisories/icsa-21-119-03
Sérülékenység Cassia Networks rendszerekben
Amir Preminger és Sharon Brizinov, a Claroty munkatársai egy sérülékenységet találtak a Cassia Networks Access Controllereinek 2.0.1-nél korábbi verzióiban.
A gyártó a hibát javító patch-et már elérhetővé tette. A sérülékenységgel kapcsolatos részleteket az ICS-CERT weboldalán lehet elolvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-119-02
Texas Instruments rendszerek sérülékenységei
David Atch és Omri Ben Bassat, a Microsoft munkatársai öt sérülékenységet azonosítottak a Texas Instruments alábbi termékeiben:
- SimpleLink MSP432E4 SDK v4.20.00.12 és korábbi verziói;
- SimpleLink CC32XX SDK v4.30.00.06 és korábbi verziói;
- SimpleLink CC13X0 SDK v4.10.03-nál korábbi verziói;
- SimpleLink CC13X2 SDK v4.40.00-nál korábbi verziói;
- SimpleLink CC26XX SDK v4.40.00-nál korábbi verziói;
- CC3200 SDK v1.5.0 és korábbi verziói;
- CC3100 SDK v1.3.0 és korábbi verziói.
A hibákat a gyártó az érintett termékek legújabb verzióiban javította. A sérülékenységekről bővebb információkat az ICS-CERT publikációja tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-119-01
Delta Electronics CNCSoft ScreenEditor sérülékenység
Kimiya, a ZDI-vel együttműködve egy sérülékenységről közölt információkat a DHS CISA-val, ami a Delta Electronics CNCSoft ScreenEditor nevű megoldásának v1.01.28-nál korábbi verzióit érinti.
A gyártó a hibát a v.1.01.30-as verzióban javította. A sérülékenységgel kapcsolatos további részleteket az ICS-CERT bejelentésében lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-124-02
Sérülékenység Advantech rendszerekben
Chizuru Toyama, a TXOne IoT/ICS Security Research Labs munkatársa a ZDI-vel közösen egy sérülékenységet jelentett a DHS CISA-nak, ami az Advantech WISE-PaaS/RMM 9.0.1-nél korábbi verzióit érinti.
A gyártó az érintett termék forgalmazását és támogatását megszüntette, így a hibához javítás sem várható. A sérülékenység részleteit az ICS-CERT weboldalán lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-124-01
Sérülékenységek valós idejű operációs rendszerekben (RTOS)
David Atch, Omri Ben Bassat és Tamir Ariel, a Microsoft Section 52 munkatársai, valamint az Azure Defender for IoT research group munkatársai összesen 23 sérülékenységről osztottak meg információkat a DHS CISA-val, amik az alábbi valós idejű operációs rendszereket (Real-Time Operating System, RTOS) érintik:
- Amazon FreeRTOS 10.4.1-es verziója;
- Apache Nuttx OS 9.1.0 verziója;
- ARM CMSIS-RTOS2 2.1.3-nál korábbi verziója;
- ARM Mbed OS 6.3.0 verziója;
- ARM mbed-uallaoc 1.3.0 verziója;
- Cesanta Software Mongoose OS v2.17.0 verziója;
- eCosCentric eCosPro RTOS 2.0.1-től 4.5.3-ig terjedő verziói;
- Google Cloud IoT Device SDK 1.0.2 verziója;
- Linux Zephyr RTOS 2.4.0-nál korábbi verziói;
- Media Tek LinkIt SDK 4.6.1-nél korábbi verziói;
- Micrium OS 5.10.1-es és korábbi verziói;
- Micrium uCOS II/uCOS III 1.39.0 és korábbi verziói;
- NXP MCUXpresso SDK 2.8.2-nél korábbi verziói;
- NXP MQX 5.1 és korábbi verziói;
- Redhat newlib 4.0.0-nál korábbi verziói;
- RIOT OS 2020.01.1 verziója;
- Samsung Tizen RT RTOS 3.0.GBB-nél korábbi verziói;
- TencentOS-tiny 3.1.0 verziója;
- Texas Instruments CC32XX 4.40.00.07-nél korábbi verziói;
- Texas Instruments SimpleLink MSP432E4XX
- Texas Instruments SimpleLink-CC13XX 4.40.00-nál korábbi verziói;
- Texas Instruments SimpleLink-CC26XX 4.40.00-nál korábbi verziói;
- Texas Instruments SimpleLink-CC32XX 4.10.03-nál korábbi verziói;
- Uclibc-NG 1.0.36-nál korábbi verziói;
- Windriver VxWorks 7.0-nál korábbi verziói.
A hibákra az egyes gyártók által kiadott javításokért és további részletekért az ICS-CERT publikációját érdemes átnézni: https://us-cert.cisa.gov/ics/advisories/icsa-21-119-04
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.