Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCXXII

Sérülékenységek Siemens, WIN-911, GE, Bently Nevada, Schneider Electric, Mitsubishi Electric, FATEK Automation, IPCOMM, BD és Power Line Communications rendszerekben

2022. március 09. - icscybersec

Bejelentés dátuma: 2022.02.22.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Field PG M5 minden verziója;
- SIMATIC Field PG M6 minden verziója;
- SIMATIC IPC127E minden verziója;
- SIMATIC IPC227G minden verziója;
- SIMATIC IPC277G minden verziója;
- SIMATIC IPC327G minden verziója;
- SIMATIC IPC377G minden verziója;
- SIMATIC IPC427E minden verziója;
- SIMATIC IPC477E minden verziója;
- SIMATIC IPC627E minden verziója;
- SIMATIC IPC647E minden verziója;
- SIMATIC IPC677E minden verziója;
- SIMATIC IPC847E minden verziója;
- SIMATIC ITP1000 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Untrusted Pointer Dereference (CVE-2020-5953)/súlyos;
- Improper Privilege Management (CVE-2020-27339)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-33625)/súlyos;
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2021-33626)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-33627)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-41837)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-41838)/súlyos;
- NULL Pointer Dereference (CVE-2021-41839)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2021-41840)/súlyos;
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2021-41841)/súlyos;
- Out-of-bounds Write (CVE-2021-42059)/közepes;
- Improper Input Validation (CVE-2021-42060)/súlyos;
- Improper Input Validation (CVE-2021-42113)/súlyos;
- Out-of-bounds Write (CVE-2021-42554)/kritikus;
- Improper Input Validation (CVE-2021-43323)/súlyos;
- Out-of-bounds Write (CVE-2021-43522)/súlyos;
- Out-of-bounds Write (CVE-2021-43615)/súlyos;
- Classic Buffer Overflow (CVE-2021-45969)/kritikus;
- Classic Buffer Overflow (CVE-2021-45970)/kritikus;
- Classic Buffer Overflow (CVE-2021-45971)/kritikus;
- Out-of-bounds Write (CVE-2022-24030)/kritikus;
- Out-of-bounds Write (CVE-2022-24031)/súlyos;
- Improper Input Validation (CVE-2022-24069)/súlyos;
Javítás: Nem elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-306654.pdf

Bejelentés dátuma: 2022.02.22.
Gyártó: WIN-911
Érintett rendszer(ek):
- WIN-911 2021 R1 – 5.21.10;
- WIN-911 2021 R2 – 5.21.17;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Default Permissions (CVE-2022-23922)/közepes;
- Incorrect Default Permissions (CVE-2022-23104)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-053-03

Bejelentés dátuma: 2022.02.22.
Gyártó: GE
Érintett rendszer(ek):
- Proficy CIMPLICITY minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-21798)/súlyos
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-053-02

Bejelentés dátuma: 2022.02.22.
Gyártó: GE
Érintett rendszer(ek):
- Proficy CIMPLICITIY v11.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2022-23921)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-053-01

Bejelentés dátuma: 2022.02.24.
Gyártó: Bently Nevada (Baker Hughes leányvállalat)
Érintett rendszer(ek):
- System 1 6.x, Part No. 3060/00, 6.98 és korábbi verziói (2020 decemberi kiadás);
- System 1, Part No. 3071/xx & 3072/xx, 21.1 HF1 és korábbi verziói (2021 júliusi kiadás);
- 3500 Rack Configuration, Part No. 129133-01, Versions 6.4 és korábbi verziói (2020 májusi kiadás);
- 3500/22M Firmware, Part No. 288055-01, 5.05-ös és korábbi verziói (2021 májusi kiadás);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Password Hash with Insufficient Computational Effort (CVE-2021-32997)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-231-02

Bejelentés dátuma: 2022.02.24.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy P5 minden, v01.401.101-nél korábbi firmware-verziója;
- Easergy P3 minden, v30.205-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-22722)/súlyos;
- Classic Buffer Overflow (CVE-2022-22723)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-055-03

Bejelentés dátuma: 2022.02.24.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- EcoWebServerIII MES3-255C-EN 3.0.0-tól 3.3.0-ig terjedő verziói;
- EcoWebServerIII MES3-255C-DM-EN 3.0.0-tól 3.3.0-ig terjedő verziói;
- EcoWebServerIII MES3-255C-CN 3.0.0-tól 3.3.0-ig terjedő verziói;
- EcoWebServerIII MES3-255C-DM-CN 3.0.0-tól 3.3.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2016-10735)/közepes;
- Cross-site Scripting (CVE-2018-14040)/közepes;
- Cross-site Scripting (CVE-2018-14042)/közepes;
- Cross-site Scripting (CVE-2018-20676)/közepes;
- Cross-site Scripting (CVE-2019-8331)/közepes;
- Cross-site Scripting (CVE-2020-11022)/közepes;
- Cross-site Scripting (CVE-2020-11023)/közepes;
- Uncontrolled Resource Consumption (CVE-2017-18214)/súlyos;
- Improperly Controlled Modification of Dynamically-Determined Object Attributes (CVE-2020-7746)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-055-02

Bejelentés dátuma: 2022.02.24.
Gyártó: FATEK Automation
Érintett rendszer(ek):
- FvDesigner 1.5.100-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-25170)/súlyos;
- Out-of-bounds Write (CVE-2022-23985)/súlyos;
- Out-of-bounds Read (CVE-2022-21209)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-055-01

Bejelentés dátuma: 2022.03.03.
Gyártó: IPCOMM
Érintett rendszer(ek):
- IPCOMM ipDIO 3.9 2016/04/18 / IPDIO SW 3.9-es firmware-verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-24432)/közepes;
- Cross-site Scripting (CVE-2022-21146)/közepes;
- Code Injection (CVE-2022-24915)/súlyos;
- Code Injection (CVE-2022-22985)/súlyos;
Javítás: Nem elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-062-01

Bejelentés dátuma: 2022.03.03.
Gyártó: Becton, Dickinson and Company (BD)
Érintett rendszer(ek):
- BD Viper LT system minden, 2.0 és későbbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-22765)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-062-02

Bejelentés dátuma: 2022.03.03.
Gyártó: Becton, Dickinson and Company (BD)
Érintett rendszer(ek):
- BD Pyxis Anesthesia Station ES;
- BD Pyxis Anesthesia Station 4000;
- BD Pyxis CATO;
- BD Pyxis CIISafe;
- BD Pyxis Inventory Connect;
- BD Pyxis IV Prep;
- BD Pyxis JITrBUD;
- BD Pyxis KanBan RF;
- BD Pyxis Logistics;
- BD Pyxis Med Link termékcsalád;
- BD Pyxis MedBank;
- BD Pyxis MedStation 4000;
- BD Pyxis MedStation ES;
- BD Pyxis MedStation ES Server;
- BD Pyxis ParAssist;
- BD Pyxis PharmoPack;
- BD Pyxis ProcedureStation (beleértve az EC változatokat is);
- BD Pyxis Rapid Rx;
- BD Pyxis StockStation;
- BD Pyxis SupplyCenter;
- BD Pyxis SupplyRoller;
- BD Pyxis SupplyStation (beleértve az RF, EC, CP változatokat is);
- BD Pyxis Track and Deliver;
- BD Rowa Pouch Packaging Systems;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-22766)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-062-01

Bejelentés dátuma: 2022.03.04.
Gyártó: Power Line Communications
Érintett rendszer(ek):
- Power Line Communications (PLC) J2497-es kétirányú, soros kommunikációs kapcsolat;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-25922)/közepes;
- Improper Protection against Electromagnetic Fault Injection (CVE-2022-26131)/kritikus;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-063-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr7617774878

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása