Advantech WebAccess sérülékenységek
Kimiya, a ZDI-vel együttműködve három sérülékenységről közölt információkat a DHS CISA-val, amiket az Advantech WebAccess HMI Designer 2.1.9.95-ös és korábbi verzióiban talált.
A gyártó jelenleg is dolgozik a hibák javításán. A sérülékenységekről bővebben az ICS-CERT publikációjában lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-173-01
Sérülékenységek CODESYS V2 web szerver sérülékenységek
Vyacheslav Moskvin, Sergey Fedonin és Anton Dorfman, a Positive Technologies munkatársai 6 sérülékenységet fedeztek fel a CODESYS alábbi termékeiben:
- CODESYS V2 web szerver standalone telepítései;
- a CODESYS V2 web szerver azon telepítései, amik a CODESYS runtime system 1.1.9.20-asnál korábbi verzióinak részeként működik.
A gyártó a hibát az 1.1.9.20-as verzióban javította. A sérülékenységek részleteiről az ICS-CERT bejelentéséből lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-21-173-02
CODESYS rendszerek sérülékenységei
Sergey Fedonin, Denis Goryushev és Anton Dorfman, a Positive Technologies munkatársai, illetve tőlük függetlenül Yossi Reuven, a SCADAfence munkatársa 3 sérülékenységet azonosítottak a CODESYS alábbi megoldásaiban:
- CODESYS Runtime Toolkit 32-bit v2.4.7.55-nél korábbi verziói;
- CODESYS PLCWinNT v2.4.7.55-nél korábbi verziói.
A hibákat a gyártó az érintett termékek újabb verzióiban javította. A sérülékenységekkel kapcsolatosan bővebb információkat az ICS-CERT weboldalán lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-173-03
Sérülékenység CODESYS V2 Runtime Toolkit rendszerekben
Sergey Fedonin és Ivan Kurnak, a Positive Technologies munkatársai egy sérülékenységet jelentettek a CODESYS-nek a V2 Runtime Toolkit nevű megoldásuk 32-bites kiadásának 2.4.7.55-ösnél korábbi verzióiban.
A gyártó a hibát a 2.4.7.55-ös verzióban javította. A sérülékenység részleteit az ICS-CERT publikációja tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsa-21-173-04
FATEK WinProladder sérülékenységek
Michael Heinzl 3 sérülékenységet jelentett a DHS CISA-nak, amik a FATEK WinProladder nevű PLC-inek 3.30-as és korábbi verzióit érinti.
A gyártó jelenleg is dolgozik a hibák javításán. A sérülékenységekkel kapcsolatos bővebb információkat az ICS-CERT bejelenetésében lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-175-01
Sérülékenység Philips rendszerekben
A Philips egy sérülékenységről közölt információkat a DHS CISA-val, ami az Interoperability Solution XDS nevű rendszereük alábbi verzióit érinti:
- 2.5-től 3.11-ig terjedő verziók;
- 2018-1-től 2021-1-ig terjedő verziók.
A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről további részleteket az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsma-21-175-01
A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.