Sérülékenységek Swisslog Healthcare pneumatikus csőposta rendszerekben

Barak Hadad és Ben Seri, az Armis munkatársai összesen 8 sérülékenységet találtak a Swisslog Healthcare pneumatikus csőposta megoldásának Nexus Control Panel komponensének 7.2.5.7-esnél korábbi verzióiban.

A gyártó a hibákat (egy kivételével) a 7.2.5.7-es verzióban javította. A sérülékenységek részleteit az ICS-CERT publikációjában lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsma-21-215-01

Advantech WebAccess/SCADA rendszerek sérülékenységei

Chizuru Toyama, a TXOne IoT/ICS Security Research Labs munkatársa, a ZDI-vel együttműködve három sérülékenységet jelentett a DHS CISA-nak, amiket az Advantech alábbi rendszereiben fedezett fel:

- WebAccess/SCADA 8-as 8.4.5-nél korábbi verziói;
- WebAccess/SCADA 9-es 9.0.1-nél korábbi verziói.

A gyártó a hibákat javító újabb verziókat már elérhetővé tette. A sérülékenységekről bővebb információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-217-04

mySCADA myPRO sérülékenységek

Michael Heinzl 4 sérülékenységről közölt információkat a DHS CISA-val a mySCADA myPRO 8.20.0-nál korábbi verzióival kapcsolatban.

A gyártó a hibákat a v8.20.0 és újabb verziókban javította. A sérülékenységekkel kapcsolatban bővebb információkat az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-217-03

Sérülékenységek FATEK Automation rendszerekben

Egy névtelenségbe burkolózó biztonsági kutató, a ZDI-vel együttműködve 3 sérülékenységről közölt infromációkat a DHS CISA-val, amiket a FATEK Automation FvDesigner nevű, HMI termékeihez használható szoftverében talált.

A gyártó nem reagált a DHS CISA hibákkal kapcsolatos megkeresésére. A sérülékenységről bővebb információkat az ICS-CERT publikációjában lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-217-02

HCC Embedded InterNiche TCP/IP stack sérülékenységek

Amine Amri, Stanislav Dashevskyi és Daniel dos Santos, a Forescout valamint Asaf Karas és Shachar Menashe, a VDOO munkatársai összesen 14 sérülékenységet találtak a HCC Embedded alábbi TCP/IP stack-jeiben:

- InterNiche stack minden, v4.3-nál korábbi verziója;
- NicheLite minden, v4.3-nál korábbi verziója.

A sérülékenységek közül 4 (CVE-2020-35683, CVE-2020-35684, CVE-2020-35685 és CVE-2021-31401) a Siemens alábbi megoldásaiban is megtalálhatóak:

- SENTRON 3WA COM190-es minden, V2.0.0-nál korábbi verziója;
- SENTRON 3WL COM35-ös minden, V1.2.0-nál korábbi verziója;
- SENTRON 7KM PAC Switched Ethernet PROFINET Expansion Modul minden, V3.0.4-nél korábbi verziója.

A hibákat a HCC az érintett megoldásaik v4.3-as verziójában javította és a Siemens is kiadta a javításokat tartalmazó újabb verziókat. A sérülékenységek részleteiről az ICS-CERT és a Siemens ProductCERT bejelentéseiben lehet olvasni.

Sérülékenységek ARC Informatique rendszerekben

Az ARC Informatique bejelentése szerint 3 sérülékenységet találtak a PcVue nevű megoldásuk 8.10-esnél újabb, de 12.0.17-esnél korábbi verzióióban.

A sérülékenységekkel kapcsolatban további információkat a gyártó weboldalán lehet találni (authentikáció után).

Moxa ipari switch-ek sérülékenysége

A Moxa által publikált információk szerint Liu Jinyong, a Qi An Xin Group Inc. ipari folyamatirányítási biztonsági laborjának munkatársa egy sérülékenységet fedezett fel a Moxa EDS-405A sorozatú Ethernet switch-einek 3.8-as és korábbi firmware-verzióiban.

A gyártó a hibát a 3.10-es és újabb firmware-verziókban javította. A sérülékenységgel kapcsolatos további részleteket a Moxa weboldalán lehet megtalálni.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.