Bejelentés dátuma: 2021.11.30.
Gyártó: Xylem
Érintett rendszer(ek): AADI GeoView Webservice webes adatmegjelenítő v2.1.3-nál korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-334-01

Bejelentés dátuma: 2021.11.30.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-R sorozat R00/01/02CPU típusú eszközeinek 24-es és korábbi firmware-verziói;
- MELSEC iQ-R sorozat R04/08/16/32/120(EN)CPU típusú eszközeinek 57-es és korábbi firmware-verziói;
- MELSEC iQ-R sorozat R08/16/32/120SFCPU típusú eszközök minden verziója;
- MELSEC iQ-R sorozat R08/16/32/120PCPU típusú eszközeinek 29-es és korábbi firmware-verziói;
- MELSEC iQ-R sorozat R08/16/32/120PSFCPU típusú eszközök minden verziója;
- MELSEC iQ-R sorozat R16/32/64MTCPU típusú eszközök minden verziója;
- MELSEC iQ-R sorozat R12CCPU-V típusú eszközök minden verziója;
- MELSEC Q sorozat Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU típusú eszközök minden verziója;
- MELSEC Q sorozat Q03/04/06/13/26UDVCPU típusú eszközök 23071-es és korábbi sorozatszámú eszközök közül az első 5 számjegy szerint;
- MELSEC Q sorozat Q04/06/13/26UDPVCPU típusú eszközök 23071-es és korábbi sorozatszámú eszközök közül az első 5 számjegy szerint;
- MELSEC Q sorozat Q12DCCPU-V, Q24DHCCPU-V(G), Q24/26DHCCPU-LS típusú eszközök minden verziója;
- MELSEC Q sorozat MR-MQ100 típusú eszközök minden verziója;
- MELSEC Q sorozat Q172/173DCPU-S1, Q172/172DSCPU típusú eszközök minden verziója;
- MELSEC Q sorozat Q170MCPU, Q170MSCPU(-S1) típusú eszközök minden verziója;
- MELSEC L sorozat L02/06/26CPU(-P), L26CPU-(P)BT típusú eszközök minden verziója;
- MELIPC sorozat MI5122-VW típusú eszközök minden verziója.
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption/súlyos
- Improper Handling of Length Parameter Inconsistency/súlyos
- Improper Input Validation/súlyos
Javítás: Részben már elérhető, részben a jövőben várható
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-334-02

Bejelentés dátuma: 2021.11.30.
Gyártó: Delta Electronics
Érintett rendszer(ek): CNCSoft szoftvermenedzsment platform 1.01.30-as és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-334-03

Bejelentés dátuma: 2021.11.30.
Gyártó: Johnson Controls
Érintett rendszer(ek): CEM Systems AC2000 minden 10.6-nál korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Off-by-one Error/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-334-04

Bejelentés dátuma: 2021.11.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Retail Operations 5.7.3-as és korábbi verziói;
- Counterparty Settlement and Billing (CSB) 5.7.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-334-05

Bejelentés dátuma: 2021.12.02.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric Software Update v2.3.0-tól v2.5.1-ig terjedő verziói, amit egyebek mellett az alábbi termékekben használnak:
- EcoStruxure Augmented Operator Advisor;
- EcoStruxure Control Expert (korábbi nevén Unity Pro);
- EcoStruxure Process Expert (korábbi nevén EcoStruxure Hybrid Distributed Control System);
- EcoStruxure Machine Expert (korábbi nevén SoMachine or SoMachine Motion);
- EcoStruxure Machine Expert Basic;
- EcoStruxure Operator Terminal Expert;
- EcoStruxure Plant Builder;
- EcoStruxure Power Design;
- EcoStruxure Automation Expert;
- EcoStruxure Automation Maintenance Expert;
- Eurotherm Data Reviewer;
- Eurotherm iTools;
- eXLhoist Configuration Software;
- Schneider Electric Floating License Manager;
- Schneider Electric License Manager;
- Harmony XB5SSoft;
- SoMove;
- Versatile Software BLUE;
- Vijeo Designer;
- OsiSense XX Configuration Software;
- Zelio Soft 2;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Entropy/alacsony
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-01

Bejelentés dátuma: 2021.12.02.
Gyártó: Johnson Controls
Érintett rendszer(ek): Entrapass minden, 8.40-esnél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-02

Bejelentés dátuma: 2021.12.02.
Gyártó: Distributed Data Systems
Érintett rendszer(ek): WebHMI SCADA rendszer 4.1-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Primary Weakness/kritikus
- Unrestricted Upload of File with Dangerous Type/kritikus
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-03

Bejelentés dátuma: 2021.12.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú CMU eszközök 12.0 minden firmware-verziója;
- RTU500 sorozatú CMU eszközök 12.2 minden firmware-verziója;
- RTU500 sorozatú CMU eszközök 12.4 minden firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-04

Bejelentés dátuma: 2021.12.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Relion 670/650 sorozatú eszközök 2.2.0 verziójának minden revíziója;
- Relion 670/650/SAM600-IO sorozatú eszközök 2.2.1 verziójának minden revíziója;
- Relion 670 series sorozatú eszközök 2.2.2 verziójának minden revíziója;
- Relion 670 series sorozatú eszközök 2.2.3-tól 2.2.3.3-ig terjedő verzióinak minden revíziója;
- Relion 670/650 sorozatú eszközök 2.2.4 verziójának minden revíziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insecure Default Initialization of Resource/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-05

Bejelentés dátuma: 2021.12.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- APM Edge Version 1.0
- APM Edge Version 2.0
- APM Edge Version 3.0
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Különböző harmadik féltől származó modulokból eredő sérülékenységek (összesen 29 sérülékenység, 1 kritikus, 10 súlyos, 17 közepes és egy alacsony besorolással)
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-06

Bejelentés dátuma: 2021.12.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek): PCM600 Update Manager következő verzió 2.1, 2.1.0.4, 2.2, 2.2.0.1, 2.2.0.2, 2.2.0.23, 2.3.0.60, 2.4.20041.1 és 2.4.20119.2
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Certificate Validation/közepes
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-07

Bejelentés dátuma: 2021.12.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú CMU eszközök 11.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 12.0.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 12.2.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 12.4.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 12.6.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 12.7.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 13.0.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 13.1.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 13.2.1 verziójú firmware-je;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Discrepancy/alacsony
- Buffer Over-read/közepes
- Out-of-bounds Read/súlyos
Javítás: Egyes érintett verziókhoz elérhető, a 12.0.* verziókhoz várhatóan 2022. februárban fogják kiadni a javítást. A 11.* verziókhoz javítás nem készül, mivel ez a főverzió már nem rendelkezik gyártói támogatással.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-08

Bejelentés dátuma: 2021.11.23.
Gyártó: Moxa
Érintett rendszer(ek): NPort IAW5000A-I/O sorozatú eszközök 1.2-es és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of a Hard-coded Cryptographic Key in Firmware/nem ismert
- Exposure of Sensitive Information to an Unauthorized Actor/nem ismert
- Use of Hard-coded Cryptographic Key in Program Module/nem ismert
- Use of Platform-dependent Third-party Components With vulnerabilities/nem ismert
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/nport-iaw5000a-io-serial-device-servers-vulnerabilities-(1)

Bejelentés dátuma: 2021.11.23.
Gyártó: Moxa
Érintett rendszer(ek):
ioLogik E2200 sorozatú eszközök 3.13-as és korábbi firmware-verziói;
ioAdmin Configuration Utility 3.19-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
ioLogik E2200 sorozatú eszközök:
- Improper Authentication/nem ismert
- Use of Client-side Authentication/nem ismert
- Use of Hard-coded Password/nem ismert
- Improper Access Control/nem ismert
- Stack-based Buffer Overflow/nem ismert
- Buffer Copy Without Checking Size of Input/nem ismert
- Stack-based Buffer Overflow/Improper Authorization/nem ismert
- Stack-based Buffer Overflow/Improper Authorization/nem ismert
- Stack-based Buffer Overflow/Improper Authorization/nem ismert
ioAdmin Configuration Utility:
- Weak Password Requirements/nem ismert
- Improper Restriction of Excessive Authentication Attempts/nem ismert
- Cleartext Storage of Sensitive Information in Memory/nem ismert
Javítás: Egyes sérülékenységeket javító újabb verziók már elérhetőek
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/iologik-e2200-ioadmin-configuration-utility-vulnerabilities

Bejelentés dátuma: 2021.11.23.
Gyártó: Moxa
Érintett rendszer(ek):
- ioPAC 8500-2-RJ45-IEC-T 1.4-es és korábbi firmware-verziói;
- ioPAC 8500-2-M12-IEC-T 1.4-es és korábbi firmware-verziói;
- ioPAC 8600-CPU30-M12-IEC-T 1.2-es és korábbi firmware-verziói;
- ioPAC 8600-CPU30-RJ45-IEC-T 1.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Relative path traversal/nem ismert
- Cleartext transmission of sensitive information/nem ismert
- Use of hard-coded cryptographic key/nem ismert
- Unprotected storage of credentials/nem ismert
Javítás: Jelenleg nem elérhető, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/iopac-8500-and-iopac-8600-series-iec-models-controllers-vulnerabilities

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.