Bejelentés dátuma: 2021.12.20.
Gyártó: Siemens
Érintett rendszer(ek):
- TraceAlertServerPLUS minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-44228)/kritikus
- Improper Input Validation (CVE-2021-45046)/kritikus
Javítás: Nincs információ
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-397453.pdf

Bejelentés dátuma: 2021.12.21.
Gyártó: Siemens
Érintett rendszer(ek):
- Sensformer / Sensgear Platform (6BK1602-0AA12-0TP0): All versions < V2.7.0
- Sensformer / Sensgear Platform (6BK1602-0AA22-0TP0): All versions < V2.7.0
- Sensformer / Sensgear Platform (6BK1602-0AA32-0TP0): All versions < V2.7.0
- Sensformer / Sensgear Platform (6BK1602-0AA42-0TP0): All versions < V2.7.0
- Sensformer / Sensgear Platform (6BK1602-0AA52-0TP0): All versions < V2.7.0
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-44228)/kritikus
- Improper Input Validation (CVE-2021-45046)/kritikus
- Uncontrolled Recursion (CVE-2021-45105/kritikus
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-479842.pdf

Bejelentés dátuma: 2021.12.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS Data Collector (dc.exe) V15.0.0.21320 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function/közepes
- Buffer Copy without Checking Size of Input/közepes
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-01

Bejelentés dátuma: 2021.12.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EVlink City EVC1S22P4/EVC1S7P4 minden, R8 V3.4.0.2-nál korábbi verziója;
- EVlink Parking EVW2/EVF2/EVP2PE minden, R8 V3.4.0.2-nál korábbi verziója;
- EVlink Smart Wallbox EVB1A minden, R8 V3.4.0.2-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Request Forgery (CVE-2021-22724)/súlyos
- Cross-Site Request Forgery (CVE-2021-22725)/súlyos
- Improper Restriction of Excessive Authentication Attempts (CVE-2021-22818)/súlyos
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-22819)/közepes
- Insufficient Session Expiration (CVE-2021-22820)/súlyos
- Server-Side Request Forgery (CVE-2021-22821)/kritikus
- Cross-Site Scripting (CVE-2021-22822)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-02

Bejelentés dátuma: 2021.12.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Monitoring Expert 9.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-22826)/közepes
- Improper Input Validation (CVE-2021-22827)/közepes
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-03

Bejelentés dátuma: 2021.12.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- AP7xxxx és AP8xxx típusú APC-k NMC2 moduljainak V6.9.6 és korábbi verziói;
- AP7xxx és AP8xxx típusú APC-k NMC3 moduljainak V1.1.0.3 és korábbi verziói;
- APDU9xxx típusú APC-k NMC3 moduljainak V1.0.0.28 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-22825)/közepes
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-04

Bejelentés dátuma: 2021.12.23.
Gyártó: Moxa
Érintett rendszer(ek):
- MGate MB3180-as sorozatú eszközök 2.2-es és korábbi firmware-verziói;
- MGate MB3280-as sorozatú eszközök 4.1-es és korábbi firmware-verziói;
- MGate MB3480-as sorozatú eszközök 3.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2021-4161)/kritikus
Javítás: Nincs elérhető információ, a gyártó kockázatcsökkentő intézkedés alkalmazását javasolja
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-357-01

Bejelentés dátuma: 2021.12.23.
Gyártó: Exacq Technologies (Johnson Controls leányvállalat)
Érintett rendszer(ek):
- xacq Enterprise Manager 21.12-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-44228)/kritikus
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-357-02

Bejelentés dátuma: 2021.12.23.
Gyártó:
Érintett rendszer(ek):
- A vD25-ös és korábbi verziójú infúziós pumpák Agilia Connect WiFi moduljai;
- Agilia Link+ v3.0 D15 és korábbi verziói;
- Vigilant Software Suite v1.0: Vigilant Centerium, Vigilant MasterMed és Vigilant Insight
- Agilia Partner karbantartó szoftver v3.3.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2021-23236)/súlyos
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2021-31562)/közepes
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2021-41835)/súlyos
- Insufficiently Protected Credentials (CVE-2021-23196)/súlyos
- Improper Access Control (CVE-2021-23233)/súlyos
- Plaintext Storage of a Password (CVE-2021-23207)/közepes
- Files or Directories Accessible to External Parties (CVE-2021-33843)/közepes
- Exposure of Information Through Directory Listing (CVE-2021-23195)/közepes
- Cross-site Scripting (CVE-2021-33848)/közepes
- Use of Hard-coded Credentials (CVE-2021-44464)/közepes
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2021-33846)/közepes
- Use of Client-side Authentication (CVE-2021-43355)/súlyos
- Use of Unmaintained Third-party Components (CVE-2020-35340)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-21-355-01

Bejelentés dátuma: 2021.12.21.
Gyártó: mySCADA
Érintett rendszer(ek):
- myPRO 8.20.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2021-43985)/kritikus
- Use of Password Hash with Insufficient Computational Effort (CVE-2021-43989)/súlyos
- Hidden Functionality (CVE-2021-43987)/kritikus
- OS Command Injection (CVE-2021-44453)/kritikus
- OS Command Injection (CVE-2021-22657)/kritikus
- OS Command Injection (CVE-2021-2319)/kritikus
- OS Command Injection (CVE-2021-43981)/kritikus
- OS Command Injection (CVE-2021-43984)/kritikus
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-355-01

Bejelentés dátuma: 2021.12.21.
Gyártó: Emerson
Érintett rendszer(ek):
- DeltaV Distributed Control System vezérlők és munkaállomások minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2021-26264)/közepes
- Uncontrolled Search Path Element (CVE-2021-44463)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-355-04

Bejelentés dátuma: 2021.12.21.
Gyártó: WECON
Érintett rendszer(ek):
- LeviStudioU 2019-09-21-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2021-23138)/súlyos
- Heap-based Buffer Overflow (CVE-2021-23157)/súlyos
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-355-03

Bejelentés dátuma: 2021.12.21.
Gyártó: Horner Automation
Érintett rendszer(ek):
- Cscape EnvisionRV v4.50.3.1-es és korábbi verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-44462)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-355-02

Bejelentés dátuma: 2021.12.14.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort W2150A/W2250A sorozatú berendezések 1.11-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command injection
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/nport-w2150a-w2250a-serial-device-servers-vulnerability

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.