Bejelentés dátuma: 2022.03.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Ritto Wiser Door minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Information Exposure (CVE-2021-22783)/súlyos;
Javítás: Nem elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-03

Bejelentés dátuma: 2022.03.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Smart-UPS termékcsalád alábbi tagjai:
- SMT sorozatú eszközök, ID=18: UPS 09.8 és korábbi verziói;
- SMT sorozatú eszközök, ID=1040: UPS 01.2 és korábbi verziói;
- SMT sorozatú eszközök, ID=1031: UPS 03.1 és korábbi verziói;
- SMC sorozatú eszközök, ID=1005: UPS 14.1 és korábbi verziói;
- SMC sorozatú eszközök, ID=1007: UPS 11.0 és korábbi verziói;
- SMC sorozatú eszközök, ID=1041: UPS 01.1 és korábbi verziói;
- SCL sorozatú eszközök, ID=1030: UPS 02.5 és korábbi verziói;
- SCL sorozatú eszközök, ID=1036: UPS 02.5 és korábbi verziói;
- SMX sorozatú eszközök, ID=20: UPS 10.2 és korábbi verziói;
- SMX sorozatú eszközök, ID=23: UPS 07.0 és korábbi verziói;
- SRT sorozatú eszközök, ID=1010/1019/1025: UPS 08.3 és korábbi verziói;
- SRT sorozatú eszközök, ID=1020: UPS 10.4 és korábbi verziói;
- SRT sorozatú eszközök, ID=1021: UPS 12.2 és korábbi verziói;
- SRT sorozatú eszközök, ID=1001/1013: UPS 05.1 és korábbi verziói;
- SRT sorozatú eszközök, ID=1002/1014: UPSa05.2 és korábbi verziói;
- SRTL1000RMXLI, SRTL1000RMXLI-NC, SRTL1500RMXLI, SRTL1500RMXLI-NC, SRTL2200RMXLI, SRTL2200RMXLI-NC, SRTL3000RMXLI, SRTL3000RMXLI-NC típusú, SRT sorozatú eszközök ID=1024: UPS 01.0 és korábbi verziói;
- SmartConnect termékcsalád alábbi tagjai:
- SMT sorozatú eszközök, ID=1015: UPS 04.5 és korábbi verziói;
- SMC sorozatú eszközök, ID=1018: UPS 04.2 és korábbi verziói;
- SMTL sorozatú eszközök, ID=1026: UPS 02.9 és korábbi verziói;
- SCL sorozatú eszközök, ID=1029: UPS 02.5 és korábbi verziói;
- SCL sorozatú eszközök, ID=1030: UPS 02.5 és korábbi verziói;
- SCL sorozatú eszközök, ID=1036: UPS 02.5 és korábbi verziói;
- SCL sorozatú eszközök, ID=1037: UPS 03.1 és korábbi verziói;
- SMX sorozatú eszközök, ID=1031: UPS 03.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2022-22805)/kritikus;
- Authentication Bypass by Capture-replay (CVE-2022-22806)/kritikus;
- Improper Authentication (CVE-2022-0715)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-02

Bejelentés dátuma: 2022.03.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Control Expert V15.0 SP1 és korábbi verziói;
- EcoStruxure™ Process Expert V2021 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-24322)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2022-24323)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-01

Bejelentés dátuma: 2022.03.09.
Gyártó: Moxa
Érintett rendszer(ek):
- UC-2100 sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- UC-2100-W sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- UC-3100 sorozatú berendezések 1.1-es és korábbi firmware-verziói;
- UC-5100 sorozatú berendezések 1.3-as és korábbi firmware-verziói;
- UC-8100A-ME-T sorozatú berendezések 1.5-ös és korábbi firmware-verziói;
- V2406C sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- V2403C sorozatú berendezések 1.0 és korábbi firmware-verziói;
- MC-1220 sorozatú berendezések 1.4-es és korábbi firmware-verziói;
- DA-681C sorozatú berendezések 1.1-es és korábbi firmware-verziói;
- DA-682C sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- DA-820C sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- AIG-501 sorozatú berendezések 1.1-es és korábbi firmware-verziói;
- MPC-2070 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2101 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2120 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2121 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2190 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2240 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- EXPC-1519 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Local Privilege Escalation (CVE-2021-4034)/súlyos;
Javítás: Nincs, kockázatcsökkentő intézkedések érhetőek el
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/moxas-response-regarding-the-pwnkit-vulnerability

Bejelentés dátuma: 2022.03.14.
Gyártó: Belden
Érintett rendszer(ek):
- HiLCOS OpenBAT, WLC, BAT450 minden, 9.1x-nél korábbi verziója, valamint a 10.12-REL, 10.12-RU1, 10.12-RU2, 10.12-RU3, 10.12-RU4, 10.12-RU5 verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- CVE-2020-24588/alacsony;
- CVE-2020-26144/közepes;
- CVE-2020-26146/közepes;
- CVE-2020-26147/közepes;
Javítás: Elérhető
Link a publikációhoz: https://dam.belden.com/dmm3bwsv3/assetstream.aspx?assetid=14146&mediaformatid=50063&destinationid=10016

Bejelentés dátuma: 2022.03.24.
Gyártó: mySCADA
Érintett rendszer(ek):
- myPRO Versions 8.25.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-0999)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-083-02

Bejelentés dátuma: 2022.03.24.
Gyártó: Yokogawa
Érintett rendszer(ek):
- CENTUM CS 3000 (beleértve a CENTUM CS 3000 Entry Class berendezéseket is) R3.08.10-től R3.09.00-ig terjedő verziói;
- CENTUM VP (beleértve a CENTUM VP Entry Class berendezéseket is) R4.01.00-től R4.03.00-ig, R5.01.00-tól R5.04.20-ig, valamint R6.01.00-től R6.08.00-ig terjedő verziói;
- Exaopc R3.72.00-tól R3.79.00-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-21194)/súlyos;
- Use of Hard-coded Credentials (CVE-2022-23402)/súlyos;
- Relative Path Traversal (CVE-2022-21808)/súlyos;
- Relative Path Traversal (CVE-2022-22729)/súlyos;
- Improper Output Neutralization for Logs (CVE-2022-22151)/közepes;
- Improper Output Neutralization for Logs (CVE-2022-21177)/közepes;
- Improper Output Neutralization for Logs (CVE-2022-22145)/közepes;
- OS Command Injection (CVE-2022-22148)/súlyos;
- Permissions, Privileges, and Access Controls (CVE-2022-22141)/közepes;
- Uncontrolled Search Path Element (CVE-2022-23401)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-083-01

Bejelentés dátuma: 2022.03.29.
Gyártó: Modbus Tools
Érintett rendszer(ek):
- Modbus Slave 7.4.2 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-1068)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-04

Bejelentés dátuma: 2022.03.29.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- LinkOne WebView v3.20
- LinkOne WebView v3.22
- LinkOne WebView v3.23
- LinkOne WebView v3.24
- LinkOne WebView v3.25
- LinkOne WebView v3.26
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-40337)/közepes;
- Generation of Error Message Containing Sensitive Information (CVE-2021-40338)/alacsony;
- Configuration (CVE-2021-40339)/alacsony;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-40340)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-03

Bejelentés dátuma: 2022.03.29.
Gyártó: Omron
Érintett rendszer(ek):
- CX-Position 2.5.3 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-26419)/súlyos;
- Improper Restriction of Operations Within the Bounds of a Memory Buffer (CVE-2022-25959)/súlyos;
- Use After Free (CVE-2022-26417)/súlyos;
- Out-of-bounds Write (CVE-2022-26022)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-02

Bejelentés dátuma: 2022.03.29.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Connected Component Workbench v12.00 és korábbi verziói;
- ISaGRAF Workbench v6.6.9 és korábbi verziói;
- Safety Instrumented Systems Workstation v1.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-1018)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-01

Bejelentés dátuma: 2022.03.29.
Gyártó: Philips
Érintett rendszer(ek):
- e-Alert Version 2.7 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-0922)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-088-01

Bejelentés dátuma: 2022.03.31.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Studio 5000 Logix Designer ControlLogix 5580 vezérlők;
- Studio 5000 Logix Designer GuardLogix 5580 vezérlők;
- Studio 5000 Logix Designer CompactLogix 5380 vezérlők;
- Studio 5000 Logix Designer CompactLogix 5480 vezérlők;
- Studio 5000 Logix Designer Compact GuardLogix 5380 vezérlők;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2022-1159)/súlyos;
Javítás: Nem elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-07

Bejelentés dátuma: 2022.03.31.
Gyártó: General Electric Renewable Energy
Érintett rendszer(ek):
- iNET/iNET II sorozatú rádiók 8.3.0-nál korábbi firmware-verziói;
- SD sorozatú rádiók 6.4.7-nél korábbi firmware-verziói;
- TD220X sorozatú rádiók 2.0.16-nál korábbi firmware-verziói;
- TD220MAX sorozatú rádiók 1.2.6-nál korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2017-17562)/kritikus;
- Hidden Functionality (CVE-2022-24119)/kritikus;
- Inadequate Encryption Strength (CVE-2022-24116)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-24118)/közepes;
- Plaintext Storage of a Password (CVE-2022-24120)/közepes;
- Download of Code Without Integrity Check (CVE-2022-24117)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-06

Bejelentés dátuma: 2022.03.31.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1768 CompactLogix vezérlők;
- 1769 CompactLogix vezérlők;
- CompactLogix 5370 vezérlők;
- CompactLogix 5380 vezérlők;
- CompactLogix 5480 vezérlők;
- Compact GuardLogix 5370 vezérlők;
- Compact GuardLogix 5380 vezérlők;
- ControlLogix 5550 vezérlők;
- ControlLogix 5560 vezérlők;
- ControlLogix 5570 vezérlők;
- ControlLogix 5580 vezérlők;
- GuardLogix 5560 vezérlők;
- GuardLogix 5570 vezérlők;
- GuardLogix 5580 vezérlők;
- FlexLogix 1794-L34 vezérlők;
- DriveLogix 5730 vezérlők;
- SoftLogix 5800 vezérlők;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2022-1161)/kritikus;
Javítás: Nem elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-05

Bejelentés dátuma: 2022.03.31.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-F sorozatok FX5U(C) CPU modul minden modelljének összes verziója;
- MELSEC iQ-F sorozatok FX5UJ CPU modul minden modelljének összes verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Password Hash Instead of Password for Authentication (CVE-2022-25155)/közepes;
- Use of Weak Hash (CVE-2022-25156)/közepes;
- Use of Password Hash Instead of Password for Authentication (CVE-2022-25157)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2022-25158)/súlyos;
- Authentication Bypass by Capture-replay (CVE-2022-25159)/közepes;
- Cleartext Storage of Sensitive Information (CVE-2022-25160)/közepes;
Javítás: Nem elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-04

Bejelentés dátuma: 2022.03.31.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Alpha5 szervo drive rendszer 4.3-asnál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Access of Uninitialized Pointer (CVE-2022-21168)/alacsony;
- Out-of-bound Read (CVE-2022-21202)/alacsony;
- Out-of-bound Read (CVE-2022-24383)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-21228)/súlyos;
- Heap-based Buffer Overflow (CVE-2022-21214)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-03

Bejelentés dátuma: 2022.03.31.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- e-mesh EMS 1.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations Within the Bounds of a Memory Buffer (CVE-2020-8174)/közepes;
- Use After Free (CVE-2020-8265)/közepes;
- Uncontrolled Resource Consumption (CVE-2020-11080)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-22883)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-02

Bejelentés dátuma: 2022.03.31.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- SCADAPack Workbench 6.6.8a és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-0221)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.