Sérülékenységek Automation Direct PLC-kben
Irfan Ahmed és Adeen Ayub, a Virginia Nemzetközösségi Egyetem és Hyunguk Yoo, a New Orleans-i Egyetem munkatársai 5 sérülékenységet jelentettek az Automation Direct-nek, amiket az alábbi termékeikben találtak:
- CLICK PLC CPU modulok C0-1x CPU-inak minden, v3.00-nál korábbi firmware-verziói.
A gyártó a hibákat a 3.00-ás firmware-verzióban javította. A sérülékenységekről további információkat az ICS-CERT publikációja tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-166-02
ThroughTek rendszerek sérülékenységei
A Nozomi Networks munkatársai egy sérülékenységet azonosítottak a ThroughTek P2P Software Development Kit alábbi verzióiban:
- 3.1.5 és korábbi verziók;
- nossl tag-gel rendelkező SDK verziók;
- azok a firmware-ek, amik nem használnak AuthKey-t az IOTC kapcsolatokhoz;
- azok a firmwarek-ek, amik az AVAPI modult DTLS nélkül használják;
- P2PTunnel-t vagy RDT modult használó firmware-ek.
A gyártó hibával kacsolatos ajánlásait és a sérülékenységgel kacsolatos további részleteket az ICS-CERT bejelentésében lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-166-01
Sérülékenységek Advantech WebAccess/SCADA rendszerekben
Chizuru Toyama, a TXOne IoT/ICS Security Research Labs munkatársa, a ZDI-vel együttműködve két sérülékenységet jelentett a DHS CISA-nak, amiket az Advantech WebAccess/SCADA 9.0.1 és korábbi verzióiban talált.
A gyártó jelenleg is dolgozik a hibákat javító újabb verzión. A sérülékenységekkel kapcsolatosan részletek az ICS-CERT weboldalán érhetőek el: https://us-cert.cisa.gov/ics/advisories/icsa-21-168-03
Softing SDK sérülékenység
Eran Jacob, az OTORIO munkatársa egy sérülékenységről tájékoztatta a DHS CISA-t, ami a Softing OPC UA C++ SDK 5.59-től 5.64-ig terjedő verzióit érinti.
A gyártó a hibát az 5.65-ös verzióban javította. A sérülékenység részleteiről az iCS-CERT publikációjában lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-168-02
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.
