Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCC

Sérülékenységek Schneider Electric, Moxa, xArrow, Advantech, ThroughTek, AVEVA és Siemens rendszerekben

2021. augusztus 25. - icscybersec

Sérülékenység NTZ Mekhanotronika Rus. LLC vezérlő panelekben

A Schneider Electric publikációja szerint egy Windows 10 sérülékenység érinti az NTZ Mekhanotronika Rus. LLC alábbi vezérlő paneljeit:

- SHFK-MT-104 DIVG.424327.104-35-ös készülékek 3203-as sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-41-es készülékek 3520-as sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-36.01-es és SHFK-MT-104 DIVG.424327.104-36.20-as készülékek 3297-3316 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-36.21-es és SHFK-MT-104 DIVG.424327.104-36.25-ös készülékek 3368-3372 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-36.26-os és SHFK-MT-104 DIVG.424327.104-36.65-ös készülékek 3318-3357 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-36.66-os és SHFK-MT-104 DIVG.424327.104-36.70-es készülékek 3505-3509 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-36.71-es és SHFK-MT-104 DIVG.424327.104-36.80-as készülékek 3373-3382 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-36.81-es és SHFK-MT-104 DIVG.424327.104-37.11-es készülékek 3394-3423 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-37.12-es és SHFK-MT-104 DIVG.424327.104-37.21-es készülékek 3510-3519 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-37.22-es és SHFK-MT-104 DIVG.424327.104-37.81-es készülékek 3552-3611 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-37.82-es és SHFK-MT-104 DIVG.424327.104-38.01-es készülékek 3697-3715 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-38.02-es és SHFK-MT-104 DIVG.424327.104-38.38-as készülékek 3729-3765 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-38.39-es és SHFK-MT-104 DIVG.424327.104-38.58-as készülékek 3794-3813 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-38.59-es és SHFK-MT-104 DIVG.424327.104-38.78-as készülékek 3815-3834 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-38.79-es és SHFK-MT-104 DIVG.424327.104-39.13-as készülékek 3835-3867 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-40-es készülékek 3814-es sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-45-ös készülékek 3822-es sorozatszámú példányai.

A hibával kapcsolatban a CVE-2021-31166-os azonosító számú sérülékenységhez kiadott javítás telepítését javasolják. A sérülékenységről bővebben a Schneider Electric publikációjából lehet tájékozódni.

Windows 7 sérülékenység NTZ Mekhanotronika Rus. LLC vezérlő panelekben

A Schneider Electric bejelentése szerint az NTZ Mekhanotronika Rus. LLC alábbi, Windows 7-es operációs rendszerre épülő vezérlő paneljeit érinti két súlyos sérülékenység:

- SHAIIS-MT-111 DIVG.424327.111-02-es készülékek 2847 sorozatszámú példányai;
- SHAIIS-MT-111 DIVG.424327.111-04-es készülékek 2522 sorozatszámú példányai;
- SHAIIS-MT-111 DIVG.424327.111-06-os készülékek 2558 sorozatszámú példányai;
- SHAIIS-MT-111 DIVG.424327.111-08-as készülékek 2559 sorozatszámú példányai;
- SHAIIS-MT-111 DIVG.424327.111-11-es készülékek 2704 sorozatszámú példányai;
- SHAIIS-MT-111 DIVG.424327.111-12-es készülékek 2825-ös, 2828-as és 2831-es sorozatszámú példányai;
- SHAIIS-MT-111 DIVG.424327.111-14-es készülékek 2916 sorozatszámú példányai;
- SHAIIS-MT-111 DIVG.424327.111-16-os készülékek 3036 sorozatszámú példányai;
- SHAIIS-MT-111 DIVG.424327.111-19-es készülékek 3113 sorozatszámú példányai;
- SHAIIS-MT-111 DIVG.424327.111-20-as készülékek 3201 sorozatszámú példányai;
- SHASU-MT-107 DIVG.424327.107-01-es készülékek;
- SHASU-MT-107 DIVG.424327.107-02-es készülékek 2555 sorozatszámú példányai;
- SHASU-MT-107 DIVG.424327.107-08-as készülékek 3043 sorozatszámú példányai;
- SHFK-MT DIVG.424327.104-08-as készülékek 2686 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-09-es 2623 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-10-es 2846 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-14-es 2521 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-24-es 2712 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-25-ös 2823-as, 2826-os és 2829-es sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-27-es 2889 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-28-as 2915 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-30-as 3008 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-32-es 3035 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-33-as 3080 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-34-es 3112 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-35-ös 3203 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-36.01 SHFK-MT-104 DIVG.424327.104-36.20-as 3297-3316 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-36.21 SHFK-MT-104 DIVG.424327.104-36.25-ös 3368-3372 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-36.26 SHFK-MT-104 DIVG.424327.104-36.65-ös 3318-3357 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-36.66 SHFK-MT-104 DIVG.424327.104-36.70-es 3505-3509 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-36.71 SHFK-MT-104 DIVG.424327.104-36.80-as 3373-3382 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-36.81 SHFK-MT-104 DIVG.424327.104-37.11-es 3394-3423 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-37.12 SHFK-MT-104 DIVG.424327.104-37.21-es 3510-3519 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-37.22 SHFK-MT-104 DIVG.424327.104-37.81-es 3552-3611 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-37.82 SHFK-MT-104 DIVG.424327.104-38.01-es 3697-3715 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-38.02 SHFK-MT-104 DIVG.424327.104-38.38-as 3729-3765 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-38.39 SHFK-MT-104 DIVG.424327.104-38.58-as 3794-3813 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-38.59 SHFK-MT-104 DIVG.424327.104-38.78-as 3815-3834 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-38.79 SHFK-MT-104 DIVG.424327.104-39.13-as 3835-3867 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-40-es 3814 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-41-es 3520 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-43-as 3906 sorozatszámú példányai;
- SHFK-MT-104 DIVG.424327.104-45-ös 3822 sorozatszámú példányai.

A hibákat a Microsoft által kiadott Windows 7 frissítések telepítésével lehet javítani. A sérülékenységekről további részleteket a Schneider Electric bejelentése tartalmaz.

CODESYS sérülékenységek Schneider Electric PacDrive termékekben

A Schneider Electric weboldalán megjelent információk szerint 3, CODESYS V2 runtime-ban talált sérülékenység érinti a Programmable Automation Controller (PacDrive) M összes verzióját.

A hibát a gyártó a PacDrive M-ben már nem javítja, ehelyett a PacDrive 3-as verzióra történő váltást javasolják. A sérülékenységek részleteiről a Schneider Electric weboldalán lehet olvasni.

Schneider Electric AccuSine termékek sérülékenységei

A Schneider Electric által publikált információk alapján egy sérülékenységet azonosítottak az alábbi termékeikben:

- AccuSine PCS+/PFV+ V1.6.7-nél korábbi verziói;
- AccuSine PCSn V2.2.4-nél korábbi verziói.

A gyártó a hibát az érintett termékek újabb verzióiban javította. A sérülékenységgel kapcsolatos további részleteket a Schneider Electric publikációjában lehet megtalálni.

Sérülékenységek Schneider Electric termékekben

A Schneider Electric által közzétett bejelentés szerint 4 sérülékenységet találtak az alábbi termékeikben:

- Modicon M580 CPU (BMEP* és BMEH* sorozatú eszközök) minden verziója;
- Modicon M340 CPU (BMXP34* sorozatú eszközök) minden verziója;
- Modicon MC80 (BMKC80* sorozatú eszközök) minden verziója;
- Modicon Momentum Ethernet CPU (171CBU* sorozatú eszközök) minden verziója;
- PLC Simulator for EcoStruxure™ Control Expert, beleértve minden Unity Pro változatot is (korábbi nevén EcoStruxure™ Control Expert) minden verziója;
- PLC Simulator for EcoStruxure™ Process Expert beleértve minden HDCS változatot is (korábbi nevén EcoStruxure™ Process Expert) minden verziója;
- Modicon Quantum CPU (140CPU* sorozatú eszközök) minden verziója;
- Modicon Premium CPU (TSXP5* sorozatú eszközök) minden verziója.

A gyártó a hibákkal kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységek részleteiről a Schneider Electric bejelentéséből lehet tájékozódni

Schneider Electric Pro-face GP-Pro EX rendszerek sérülékenysége

A Schneider Electric által nyilvánosságra hozott információk szerint egy sérülékenységet azonosítottak a GP-Pro EX V4.09.250-es és korábbi verzióiban.

A gyártó a hibát a V4.09.300-as verzióban javította. A sérülékenységgel kapcsolatos bővebb információkat a Schneider Electric weboldalán kell keresni.

Sérülékenységek Schneider Electric termékekben

A Schneider Electric publikációja szerint a Cisco Talos által az AT&T Labs Compressor (XMilI) and Decompressor (XDemill) komponensekben talált 12 sérülékenység érinti az alábbi Schneider Electric termékeket is:

- EcoStruxure Control Expert minden verziója (beleértve a korábbi Unity Pro verziókat is);
- EcoStruxure Process Expert minden verziója (beleértve a korábbi HDCS verziókat is);
- SCADAPack RemoteConnect for x70.

A hibákkal kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységekről bővebb a Schneider Electric publikációja tartalmaz.

Schneider Electric Harmony/Magelis HMI-ok sérülékenysége

A Schneider Electric által 2021. augusztus 10-én nyilvánosságra hozott információk szerint az alábbi szoftvereikkel konfigurált Harmony/Magelis HMI termékekben található egy sérülékenység:

- A Vijeo Designer bármelyik, V6.2 SP11-nél korábbi verziójával konfigurált HMI-ok:
- Harmony/Magelis STO
- Harmony/Magelis STU
- Harmony/Magelis GTO
- Harmony/Magelis GTU
- Harmony/Magelis GTUX
- Harmony/Magelis GK
- Vijeo Designer Basic bármelyik, V1.2-nél korábbi verziójával konfigurált Harmony/Magelis GXU HMI-ok;
- EcoStruxure™ Machine Expert bármelyik, V2.0-nál korábbi verziójával konfigurált Harmony/Magelis SCU.

A gyártó a hibát az érintett konfiguráló szoftverek újabb verzióiban javította. A sérülékenységről további részleteket a Schneider Electric bejelentésében lehet elérni.

Sérülékenységek Moxa EDR-810 sorozatú routerekben

A Moxa bejelentése alapján az EDR-810-es sorozatú secure routereinek 5.9-es és korábbi firmware-verzióiban 4 sérülékenységet fedezett fel Danny Rigby és Alan Chang, a Modux munkatársai.

A hibákat javító biztonsági javításokat a Moxa Technical Support-on keresztül lehet elérni. A sérülékenységek részleteiről a Moxa weboldalán lehet tájékozódni.

xArrow SCADA rendszerek sérülékenységei

Sharon Brizinov, a Claroty munkatársa és Michael Heinzl 3 sérülékenységet jelentettek a DHS CISA-nak, amiket az xArrow SCADA/HMI rendszereinek 7.2-es és korábbi verzióiban találtak.

A hibák javításáról jelenleg nincs információ. A sérülékenységekről bővebben az ICS-CERT publikációjában lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-229-03

Sérülékenység Advantech WebAccess/NMS rendszerekben

Selim Enes Karaduman, a ZDI-vel együttműködve egy sérülékenységről közölt információkat a DHS CISA-val, ami az Advantech WebAccess/NMS hálózatmenedzsment megoldásának v3.0.3_Build6299-esnél korábbi verzióit érinti.

A gyártó a hibát a 3.0.3-as verzió újabb build-jeiben javította. A sérülékenységgel kapcsolatos további részleteket az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-229-02

ThroughTek megoldások sérülékenysége

Jake Valletta, Erik Barzdukas és Dillon Franke, a Mandiant munkatársai egy sérülékenységet fedeztek fel a ThroughTek alábbi megoldásaiban:

- Kalay P2P Software Development Kit (SDK) 3.1.5-ös és korábbi verziói;
- a nossl tag-gel ellátott SDK verziók;
- azok a firmware-verziók, amik nem használna AuthKey-t az IOTC kapcsolatokhoz;
- a DTLS mechanizmus nélküli AVAPI modult használó firmware-verziók;
- P2PTunnel-t vagy RDT modult használó firmware-verziók.

A hiba javítására a gyártó az SDK verzió frissítését és kockázatcsökkentő intézkedések alkalmazását ajánlja. A sérülékenységről bővebben az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-229-01

Sérülékenységek AVEVA SuiteLink Server-ekben

Sharon Brizinov, a Claroty munkatársa, 6 sérülékenységet jelentett az AVEVA-nak, amiket a gyártó alábbi termékeiben fedezett fel:

- AVEVA System Platform 2020 R2 P01-es és korábbi verziói;
- AVEVA InTouch 2020 R2 P01-es és korábbi verziói;
- AVEVA Historian 2020 R2 P01-es és korábbi verziói;
- AVEVA Communication Drivers Pack 2020 R2-es és korábbi verziói;
- AVEVA Operations Integration Core 3.0 és korábbi verziói;
- AVEVA Data Acquisition Servers minden verziója;
- AVEVA Batch Management 2020-as és korábbi verziói;
- AVEVA MES 2014 R2-es és korábbi verziói.

A gyártó a hibákat az egyes érintett termékek újabb verzióiban javította. A sérülékenységek részleteiről az ICS-CERT publikációjából lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-21-231-01

Siemens SINEMA Remote Connect Client sérülékenység

Amir Preminger, a Claroty munkatársa egy sérülékenységet jelentett a Siemens-nek, ami a gyártó alábbi termékeit érinti:

- SINEMA Remote Connect Client minden, V3.0 SP1-nél korábbi verziója.

A gyártó a hibát a V3.0 SP1-es és újabb verziókban javította. A sérülékenységről bővebb információk a Siemens ProductCERT bejelentésében érhetőek el.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr9516669526

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

logiman 2021.08.25. 11:42:02

Grt. a szép, kerek számhoz!

icscybersec 2021.08.25. 17:48:00

@logiman: Köszönöm. Igazság szerint, amikor elkezdtem írni ezt a blogot, nem igen hittem, hogy közel 6 évvel később még mindig lesz időm, energiám és késztetésem foglalkozni vele, de szerencsére még egyikből sem fogytam ki :)
süti beállítások módosítása