Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCX

Sérülékenységek AzeoTech, VISAM, Philips, OSIsoft, mySCADA, Siemens, Schneider Electric és WECON rendszerekben

Facebook Tumblr Tweet Pinterest Tetszik
0
2021. november 17. - icscybersec

Bejelentés dátuma: 2021.11.04.
Gyártó: AzeoTech
Érintett rendszer(ek): DAQFactory alkalmazásfejlesztési platform 18.1 Build 2347-es és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Inherently Dangerous Function/súlyos
- Deserialization of Untrusted Data/súlyos
- Cleartext Transmission of Sensitive Information/közepes
- Modification of Assumed-Immutable Data (MAID)/közepes
Javítás: A gyártó jelenleg is dolgozik rajta, várhatóan 2022 elején fog megjelenni.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-308-02

Bejelentés dátuma: 2021.11.04.
Gyártó: VISAM
Érintett rendszer(ek): VBASE Pro-RT/ Server-RT (Web Remote) 11.6.0.6-os verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control/súlyos
- Cross-site Scripting/közepes
- Improper Restriction of XML External Entity Reference/közepes
- Using Components with Known Vulnerabilities/közepes
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-308-01

Bejelentés dátuma: 2021.11.04.
Gyártó: Philips
Érintett rendszer(ek): Tasy EMR HTML5 3.06.1803-as és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2021-39375)/súlyos
- SQL Injection (CVE-2021-39376)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsma-21-308-01

Bejelentés dátuma: 2021.11.09.
Gyártó: OSIsoft
Érintett rendszer(ek): PI Web API 2019 SPI és minden korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting/közepes
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-313-06

Bejelentés dátuma: 2021.11.09.
Gyártó: OSIsoft
Érintett rendszer(ek): PI:Vision minden, 2021-es korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting/közepes
- Incorrect Authorization/alacsony
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-313-05

Bejelentés dátuma: 2021.11.09.
Gyártó: mySCADA
Érintett rendszer(ek): myDESIGNER 8.20.0 és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Relative Path Traversal/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-313-04

Bejelentés dátuma: 2021.11.09.
Gyártó: Siemens
Érintett rendszer(ek): Az alábbi, Nucleus RTOS-t használó rendszerek:
- Capital VSTAR minden verziója;
- Nucleus NET minden verziója;
- Nucleus ReadyStart v3 minden, v2017.02.4-esnél korábbi verziója;
- Nucleus ReadyStart v4 minden, v4.1.1-esnél korábbi verziója;
- Nucleus Source Code minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion/közepes
- Improper Validation of Specified Quantity in Input (CVE-2021-31345)/súlyos
- Improper Validation of Specified Quantity in Input (CVE-2021-31346)/súlyos
- Out-of-bounds Read/súlyos
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-31882)/közepes
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-31883)/súlyos
- Improper Null Termination (CVE-2021-31884)/súlyos
- Buffer Access with Incorrect Length Value/súlyos
- Improper Null Termination (CVE-2021-31886)/kritikus
- Improper Null Termination (CVE-2021-31887)/súlyos
- Improper Null Termination (CVE-2021-31888)/súlyos
- Integer Underflow/súlyos
- Improper Handling of Inconsistent Structural Elements/súlyos
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-044112.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-313-03

Bejelentés dátuma: 2021.11.09.
Gyártó: Schneider Electric
Érintett rendszer(ek): GUIcon 2.0 (Build 683.003) és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write/súlyos
- Use After Free/súlyos
- Out-of-bounds Read/közepes
Javítás: Nincs, az érintett rendszerek támogatása 2020-ban megszűnt
Link a publikációhoz (Schneider Electric): https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-07
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-313-02

Bejelentés dátuma: 2021.11.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
Az alábbi UPS termékek:
- NMC2-t (Network Management Card) tartalmazó, 1 fázisú UPS-ek, beleértve a Smart-UPS, Symmetra, és Galaxy 3500-as berendezések NMC2 AOS v6.9.8-as és korábbi verzióit;
- NMC2-t tartalmazó, 3 fázisú UPS-ek, beleértve a Symmetra PX 250/500 (SYPX NMC2 AOS v6.9.6-os és korábbi verzióit;
- NMC2-t tartalmazó, 3 fázisú UPS-ek, beleértve a Symmetra PX 48/96/100/160 kW UPS (PX2), Symmetra PX 20/40 kW UPS (SY3P), Gutor (SXW, GVX és a Galaxy (GVMTS, GVMSA, GVXTS, GVXSA, G7K, GFC, G9KCHU) berendezések NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC3-at (Network Management Card) tartalmazó, 1 fázisú UPS-ek, beleértve a Smart-UPS, Symmetra és a Galaxy 3500-as készülékek NMC3 AOS v1.4.2.1-es és korábbi vverziói;
Az alábbi APC termékek:
- NMC2-t használó APC Rack Power Distribution Units (PDU) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC3-t használó APC Rack Power Distribution Units (PDU) NMC3 AOS v1.4.0 és korábbi verziói;
- NMC2-t használó APC 3 fázisú Power Distribution Products NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó InfraStruxure 150 kVA PDU (X84P) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó InfraStruxure 40/60kVA PDU (XPDU) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó Modular 150/175kVA PDU (XRDP) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó 400 and 500 kVA (PMM) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó Modular PDU (XRDP2G) NMC2 AOS v6.9.6-os és korábbi verziói;
- Rack Automatic Transfer Switches (ATS) NMC2 AOS v6.9.6-os és korábbi verziói;
Valamint az alábbi termékek:
- Environmental Monitoring Unit beágyazott NMC2 (NB250) NetBotz NBRK0250 hálózati interfészek NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2 hálózati interfésszel szerelt hűtő berendezések (cooling products) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2 hálózati interfésszel szerelt AP9922 Battery Management System (BM4) NMC2 AOS v6.9.6-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting/közepes
- Cross-site Scripting/közepes
- Cross-site Scripting/közepes
- Cross-site Scripting/közepes
- Cross-site Scripting/közepes
- Exposure of Sensitive Information to an Unauthorized Actor/közepes
Javítás: Egyes érintett rendszerekhez elérhető
Link a publikációhoz (Schneider Electric): https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-03
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-313-01

Bejelentés dátuma: 2021.11.09.
Gyártó: Philips
Érintett rendszer(ek):
- MRI 1.5T 5.x.x verziói;
- MRI 3T 5.x.x verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control/közepes
- Incorrect Ownership Assignment/közepes
- Exposure of Sensitive Information to an Unauthorized Actor/közepes
Javítás: A gyártó a javításokat 2022. októberben tervezi kiadni.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsma-21-313-01

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek): SENTRON powermanager Version 3 minden verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource/súlyos
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-537983.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-10

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek): Climatix POL909 (AWM modul) minden, v11.34-nél korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Encryption of Sensitive Data/közepes
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-703715.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-09

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
- NX 1953-as sorozat minden, v1973.3700-nál korábbi verziója;
- NX 1980-as sorozat minden, v1988-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free/súlyos
- Access of Uninitialized Pointer/alacsony
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-328042.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-08

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek) az alábbi Nucleus RTOS-t (valósidejű operációs rendszert) használó berendezések:
- APOGEE MBC (PPC) (BACnet) minden verziója;
- APOGEE MBC (PPC) (P2 Ethernet) minden verziója;
- APOGEE MEC (PPC) (BACnet) minden verziója;
- APOGEE MEC (PPC) (P2 Ethernet) minden verziója;
- APOGEE PXC Compact (BACnet) minden verziója;
- APOGEE PXC Compact (P2 Ethernet) minden verziója;
- APOGEE PXC Modular (BACnet) minden verziója;
- APOGEE PXC Modular (P2 Ethernet) minden verziója;
- TALON TC Compact (BACnet) minden verziója;
- TALON TC Modular (BACnet) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion/közepes
- Improper Validation of Specified Quantity in Input (CVE-2021-31345)/súlyos
- Improper Validation of Specified Quantity in Input (CVE-2021-31346)/súlyos
- Out-of-bounds Read/súlyos
- Improper Restriction of Operations within the Bounds (CVE-2021-31882)/közepes
- Improper Restriction of Operations within the Bounds (CVE-2021-31883)/súlyos
- Improper Null Termination (CVE-2021-31884)/súlyos
- Buffer Access with Incorrect Length Value/súlyos
- Improper Null Termination (CVE-2021-31886)/kritikus
- Improper Null Termination (CVE-2021-31887)/kritikus
- Improper Null Termination (CVE-2021-31888)/kritikus
- Integer Underflow/súlyos
- Improper Handling of Inconsistent Structural Elements/súlyos
Javítás: Nincs információ javításról
a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-114589.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-07

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D minden, v8.7.1.3-nál korábbi verziója;
- SCALANCE W1750D 8.7.1.3 és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations Within the Bounds of a Memory Buffer/kritikus
- Command Injection (CVE-2021-37727)/súlyos
- Command Injection (CVE-2021-37730)/súlyos
- Command Injection (CVE-2021-37732)/súlyos
- Path Traversal (CVE-2021-37734)/közepes
- Path Traversal (CVE-2021-37735)/közepes
Javítás: A hibák egy részét a gyártó a v8.7.1.3-as és újabb verziókban javította.
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-917476.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-06

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
Mendix 8 v8.18.13-as és korábbi verzióit használó alkalmazások;
Mendix 9 v9.6.2-es és korábbi verzióit használó alkalmazások;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Authorization (CVE-2021-42025)/közepes
- Incorrect Authorization (CVE-2021-42026)/alacsony
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-779699.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-05

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7 v7.23.26-os és korábbi verzióit használó alkalmazások;
- Mendix 8 v8.18.12-es és korábbi verzióit használó alkalmazások;
- Mendix 9 v9.6.1-es és korábbi verzióit használó alkalmazások;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Web Browser Cache Containing Sensitive Information/közepes
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-338732.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-04

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS 7 v8.2 és korábbi verziójú rendszerek minden verziója;
- SIMATIC PCS 7 v9.0 és korábbi verziójú rendszerek minden verziója;
- SIMATIC PCS 7 v9.1 és korábbi verziójú rendszerek minden verziója;
- SIMATIC WinCC v7.4 és korábbi verziójú rendszerek minden verziója;
- SIMATIC WinCC v7.5 verzió minden, v7.5 SP2 Update 5-nél korábbi verziói;
- SIMATIC WinCC v15 és korábbi verziójú rendszerek minden verziója;
- SIMATIC WinCC v16 minden verziója;
- SIMATIC WinCC v17 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2021-40358)/kritikus
- Path Traversal (CVE-2021-40359)/súlyos
- Insertion of Sensitive Information into Log File/Közepes
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-840188.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-03

Bejelentés dátuma: 2021.11.11
Gyártók: Eclipse, eProsima, GurumNetworks, Object Computing, Inc. (OCI), Real-Time Innovations (RTI), TwinOaks Computing
Érintett rendszer(ek):
- Eclipse CycloneDDS minden, 0.8.0-nál korábbi verzió;
- eProsima Fast DDS minden, 2.4.0 (#2269)-nél korábbi verzió;
- GurumNetworks GurumDDS minden verziója;
- Object Computing, Inc. (OCI) OpenDDS minden, 3.18.1-nél korábbi verzió;
- Real-Time Innovations (RTI) Connext DDS Professional and Connext DDS Secure 4.2x-től 6.1.0-ig terjedő verziói;
- RTI Connext DDS Micro 3.0.0 és későbbi verziói;
- TwinOaks Computing CoreDX DDS minden, 5.9.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Write-what-where Condition/közepes
- Improper Handling of Syntactically Invalid Structure/közepes
- Network Amplification (CVE-2021-38425)/súlyos
- Incorrect Calculation of Buffer Size(CVE-2021-38423)/közepes
- Heap-based Buffer Overflow/súlyos
- Improper Handling of Length Parameter Inconsistency/súlyos
- Amplification/súlyos
- Network Amplification (CVE-2021-38429)/súlyos
- Stack-based Buffer Overflow (CVE-2021-38427)/közepes
- Stack-based Buffer Overflow (CVE-2021-38433)/közepes
- Incorrect Calculation of Buffer Size(CVE-2021-38435)/közepes
- Network Amplification (CVE-2021-38487)/súlyos
- Network Amplification (CVE-2021-43547)/súlyos
Javítás: Egyes érintett gyártók már elérhetővé tették a javításokat.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-315-02

Bejelentés dátuma: 2021.11.11
Gyártó: WECON
Érintett rendszer(ek): PLC Editor: 1.3.8-as és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow/súlyos
- Out-of-bounds Write/súlyos
Javítás: Nincs
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-315-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szólj hozzá!
Siemens Philips Schneider Electric OSIsoft ICS sérülékenység Siemens ProductCERT WECON AzeoTech mySCADA VISAM

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr8616757264

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása