Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCXVII

Sérülékenységek Moxa, Johnson Controls, Schneider Electric, Belden-Hirschmann, Siemens és Mitsubishi Electric rendszerekben

2022. január 19. - icscybersec

Bejelentés dátuma: 2022.01.11.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- ideoEdge 5.4.1-től 5.7.1-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Handling of Syntactically Invalid Structure (CVE-2021-36199)/közepes
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-011-01

Bejelentés dátuma: 2022.01.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 CPUs: BMXP34* minden verziója;
- Modicon Quantum 140CPU65* CPU-k integrált Ethernet interfésszel (Copro) minden verziója;
- Modicon Premium TSXP57* CPU-k integrált Ethernet interfésszel (Copro) minden verziója;
- BMXNOC0401, BMXNOE01* és BMXNOR0200H Modicon M340 ethernet modulok minden verziója;
- 140NOE77111, 140NOC78*00, TSXETY5103 és TSXETY4103 Modicon Quantum és Premium factory cast kommunikációs modulok minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-22724)/súlyos
- Cross-Site Request Forgery (CSRF) (CVE-2020-7534)/közepes
Javítás: Részben elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-01

Bejelentés dátuma: 2022.01.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy T300 V2.7.1 és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Copy without Checking Size of Input (CVE-2020-8597)/közepes
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-02

Bejelentés dátuma: 2022.01.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy P5 minden, V01.401.101-nél korábbi firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-22722)/súlyos
- Buffer Copy without Checking Size of Input (CVE-2022-22723)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-03

Bejelentés dátuma: 2022.01.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy P3 minden, V30.205-nél korábbi firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Copy without Checking Size of Input vulnerability (CVE-2022-22725)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-04

Bejelentés dátuma: 2022.01.11.
Gyártók: Belden-Hirschmann és Schneider Electric
Érintett rendszer(ek):
- Hirschmann Tofino Xenon TSA 03.2.02 és korábbi verziói;
- Hirschmann Tofino Argon minden verziója;
- Hirschmann EAGLE EAGLE 20 Tofino minden verziója;
- Schneider Electric ConneXium Tofino Firewall (TCSEFEA23F3F22-es sorozatszámú modellek) minden, v03.23-nál korábbi verziói;
- Schneider Electric ConneXium Tofino OPC-LSM (TCSEFM0000-ás sorozatszámú modellek) minden, v03.23-nál korábbi verziói;
- Schneider Electric ConneXium Tofino Firewall (TCSEFEA23F3F20/21-es sorozatszámú modellek) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Remote Code Execution (CVE-2021-30061)/közepes
- Authorization bypass (CVE-2021-30062)/közepes
- Denial-of-Service (CVE-2021-30063)/közepes
- Hard-coded Credentials (CVE-2021-30064)/súlyos
- Authorization bypass (CVE-2021-30065)/súlyos
- Signature verification bypass (CVE-2021-30066)/közepes
Javítás: Elérhető
Link a publikációhoz: Belden, Schneider Electric


Bejelentés dátuma: 2022.01.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- M241/M251 minden verziója;
- EcoStruxure Machine Expert minden verziója;
- Harmony/Magelis HMISTU, HMIGTO, HMIGTU, HMIGTUX, HMIGK, HMISCU sorozatú rendszerekhez használható Vijeo Designer V6.2 SP11 Hotfix 3 és korábbi verziói;
- Eurotherm E+PLC100 minden verziója;
- Eurotherm E+PLC400 minden verziója;
- Eurotherm E+PLC tools minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2021-33485)/kritikus
- Denial-of-Service (CVE-2021-29241)/súlyos
- Missing validation of packages before installation (CVE-2021-29240)/súlyos
- 3rd party component (Java) vulnerability (CVE-2021-2163 )/közepes
- 3rd party component (MySQL) vulnerability (CVE-2021-2164)/közepes
- CVE-2021-2165/nem ismert
- 3rd party component (MySQL) vulnerability (CVE-2021-2166)/közepes
- 3rd party component (Solaris) vulnerability (CVE-2021-2167)/súlyos
- CVE-2021-2168/nem ismert
- 3rd party component (MySQL) vulnerability (CVE-2021-2169)/közepes
Javítás: A gyártó jelenleg dolgozik a hibák javításán
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-06

Bejelentés dátuma: 2022.01.11.
Gyártó Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Power Monitoring Expert 2020-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-22726)/közepes
- Denial of Service (CVE-2019-8963)/súlyos
- Improper Input Validation (CVE-2022-22727)/súlyos
- Cross-site Scripting (CVE-2022-22804)/közepes
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-07

Bejelentés dátuma: 2022.01.13.
Gyártó: Moxa
Érintett rendszer(ek):
- VPort 06EC-2V sorozatú eszközök 1.1-es és korábbi verziói;
- VPort 461A sorozatú eszközök 1.4-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference/nem ismert;
- Integer Underflow/nem ismert;
- Out-of-Bounds Read/nem ismert;
- Memory Leak/nem ismert;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/vport-06ec-2v-vport-461a-ip-cameras-video-servers-vulnerabilities

Bejelentés dátuma: 2022.01.13.
Gyártó: Siemens
Érintett rendszer(ek):
- COMOS web minden, v10.4.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Basic XSS (CVE-2021-37195)/súlyos
- Relative Path Traversal (CVE-2021-37196)/közepes
- SQL Injection (CVE-2021-37197)/súlyos
- Cross-site Request Forgery (CVE-2021-37198)/közepes
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.01.13.
Gyártó: Siemens Energy
Érintett rendszer(ek):
- PLUSCONTROL 1st Gen minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion (CVE-2021-31344)/közepes
- Improper Validation of Specified Quantity in Input (CVE-2021-31345)/súlyos
- Improper Validation of Specified Quantity in Input (CVE-2021-31346)/súlyos
- Buffer Access with Incorrect Length Value (CVE-2021-31885)/súlyos
- Integer Underflow (CVE-2021-31889)/súlyos
- Improper Handling of Inconsistent Structural Elements (CVE-2021-31890)/súlyos
Javítás: Nincs információ
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.01.13.
Gyártó: Siemens
Érintett rendszer(ek):
- CP050, CP100 és CP300 hardver-változatú SIPROTEC 5 típusú eszközök;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-41769)/közepes
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.01.13.
Gyártó: Siemens
Érintett rendszer(ek): SICAM A8000 típusú RTU-k alábbi változatai
- CP-8000 MASTER MODULE WITH I/O - 25/+70°C (6MF2101-0AB10-0AA0) minden, v16.20-nál korábbi verziója;
- CP-8000 MASTER MODULE WITH I/O - 40/+70°C (6MF2101-1AB10-0AA0) minden, v16.20-nál korábbi verziója;
- CP-8021 MASTER MODULE (6MF2802-1AA00) minden, v16.20-nál korábbi verziója;
- CP-8022 MASTER MODULE WITH GPRS (6MF2802-2AA00) minden, v16.20-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2021-45033)/kritikus
- Improper Access Control (CVE-2021-45034)/súlyos
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.01.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM PQ Analyzer minden, v3.18-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Unquoted Search Path or Element (CVE-2021-45460)
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.01.13.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC-F sorozatú eszközök FX3U-ENET Ethernet-Internet blokkjának 1.14-es és korábbi firmware-verziói;
- MELSEC-F sorozatú eszközök FX3U-ENET-L Ethernet-Internet blokkjának 1.14-es és korábbi firmware-verziói;
- MELSEC-F sorozatú eszközök FX3U-ENET-P502 Ethernet-Internet blokkjának 1.14-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Lack of Administrator Control Over Security (CVE-2021-20612)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-013-01

Bejelentés dátuma: 2022.01.13.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC-F sorozatú eszközök FX3U-ENET Ethernet-Internet blokkjának 1.16-os és korábbi firmware-verziói;
- MELSEC-F sorozatú eszközök FX3U-ENET-L Ethernet-Internet blokkjának 1.16-os és korábbi firmware-verziói;
- MELSEC-F sorozatú eszközök FX3U-ENET-P502 Ethernet-Internet blokkjának 1.16-os és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Initialization (CVE-2021-20613)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-013-07

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr9816817814

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása