A héten egyéb okok miatt nem volt időm a szokásos módon összefoglalni az elmúlt napokban publikált ICS rendszerekkel kapcsolatos sérülékenységeket (sem időben élesíteni ezt a posztot), ezért egy kicsit tömörebb, új formátumot tesztelek. Majd meglátjuk, életképesnek bizonyul-e az új forma. Ha valakinek van ezzel kapcsolatban véleménye, a komment szekcióban bátran hangot adhat neki...
Gyártó: Trane
Érintett rendszer(ek): Trane SC épületautomatizálási megoldás v3.8-as és korábbi firmware-verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site scripting/súlyos
Javítás: elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-292-02
Gyártó: AUVESY
Érintett rendszer(ek): Versiondog minden, v8.0-nál korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control/kritikus
- Incorrect Permission Assignment for Critical Resource/súlyos
- Use of Hard-coded Cryptographic Key/súlyos
- Out-of-bounds Read/közepes
- Use After Free/súlyos
- Out-of-bounds Write/közepes
- Write-what-where Condition/kritikus
- Use of Potentially Dangerous Function/súlyos
- Unrestricted Upload of File with Dangerous Type/kritikus
- External Control of File Name or Path/kritikus
- External Control of System or Configuration Setting/kritikus
- Improper Input Validation/súlyos
- Uncontrolled Resource Consumption/súlyos
- Uncontrolled Search Path Element/kritikus
- Authentication Bypass by Capture-replay/súlyos
- SQL Injection/súlyos
- Uncontrolled Resource Consumption/súlyos
Javítás: elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-292-01
Gyártó: ICONICS, Mitsubishi Electric
Érintett rendszer(ek):
OPC Foundation modulok:
- GENESIS64 10.97 és korábbi verziók;
- Hyper Historian 10.97 és korábbi verziók;
- AnalytiX 10.97 és korábbi verziók;
- MobileHMI 10.97 és korábbi verziók;
- MC Works64 4.04E és korábbi verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Recursion/súlyos
Javítás: fejlesztése folyamatban
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-294-03
Gyártó: Delta Electronics
Érintett rendszer(ek): DIALink industrial automation server 1.2.4.0 és korábbi verziói
Sérülékenység(ek) neve/darabszáma/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information/súlyos
- Cross-site Scripting/közepes - 5 különböző
- Improper Neutralization of Formula Elements in a CSV File/közepes
- Cleartext Storage of Sensitive Information/high
- Uncontrolled Search Path Element/high
- Incorrect Default Permissions/high
Javítás: fejlesztése folyamatban
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-294-02
Gyártó: ICONICS, Mitsubishi Electric
Érintett rendszer(ek): az alábbi SCADA HMI-ok:
- GENESIS64 minden, 10.97-es és korábbi verziója;
- MC Works64 az MC Works64 4.04E és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read/súlyos
- Out-of-bounds Write/alacsony
Javítás: fejlesztése folyamatban
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-294-01
Gyártó: B. Braun Melsungen AG
Érintett rendszer(ek):
- Battery pack SP with WiFi 028U000061-es és korábbi szoftver-verziói (USA-ban és Kanadában forgalmazott termékek);
- SpaceStation with SpaceCom 2 012U000061-es és korábbi szoftver-verziói (USA-ban és Kanadában forgalmazott termékek);
- Battery Pack SP with Wi-Fi L81-es és korábbi verziói, amiket a Perfusor Space, Infusomat Space és Infusomat Space P megoldásokban alkalmaztak;
- SpaceStation with SpaceCom 2 minden, L81-es és korábbi verziói;
- Data module compactPlus minden A10-es és A11-es verziói, amiket a Perfusor compactPlus, Infusomat compactPlus és Infusomat P compactPlus eszközökben használtak;
Sérülékenység(ek) neve/darabszáma/CVSSv3 szerinti besorolása:
- Unrestricted Upload of File with Dangerous Type/közepes
- Cleartext Transmission of Sensitive Information/közepes
- Missing Authentication for Critical Function/közepes
- Insufficient Verification of Data Authenticity/kritikus
- Improper Input Validation/közepes
Javítás: elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsma-21-294-01
A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.