Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCXXIV

Sérülékenységek Belden, Moxa, Schneider Electric, mySCADA, Yokogawa, Modbus Tools, Hitachi Energy, Omron, Rockwell Automation, Philips, General Electric Renewable Energy, Mitsubishi Electric és Fuji Electric rendszerekben

2022. április 07. - icscybersec

Bejelentés dátuma: 2022.03.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Ritto Wiser Door minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Information Exposure (CVE-2021-22783)/súlyos;
Javítás: Nem elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-03

Bejelentés dátuma: 2022.03.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Smart-UPS termékcsalád alábbi tagjai:
- SMT sorozatú eszközök, ID=18: UPS 09.8 és korábbi verziói;
- SMT sorozatú eszközök, ID=1040: UPS 01.2 és korábbi verziói;
- SMT sorozatú eszközök, ID=1031: UPS 03.1 és korábbi verziói;
- SMC sorozatú eszközök, ID=1005: UPS 14.1 és korábbi verziói;
- SMC sorozatú eszközök, ID=1007: UPS 11.0 és korábbi verziói;
- SMC sorozatú eszközök, ID=1041: UPS 01.1 és korábbi verziói;
- SCL sorozatú eszközök, ID=1030: UPS 02.5 és korábbi verziói;
- SCL sorozatú eszközök, ID=1036: UPS 02.5 és korábbi verziói;
- SMX sorozatú eszközök, ID=20: UPS 10.2 és korábbi verziói;
- SMX sorozatú eszközök, ID=23: UPS 07.0 és korábbi verziói;
- SRT sorozatú eszközök, ID=1010/1019/1025: UPS 08.3 és korábbi verziói;
- SRT sorozatú eszközök, ID=1020: UPS 10.4 és korábbi verziói;
- SRT sorozatú eszközök, ID=1021: UPS 12.2 és korábbi verziói;
- SRT sorozatú eszközök, ID=1001/1013: UPS 05.1 és korábbi verziói;
- SRT sorozatú eszközök, ID=1002/1014: UPSa05.2 és korábbi verziói;
- SRTL1000RMXLI, SRTL1000RMXLI-NC, SRTL1500RMXLI, SRTL1500RMXLI-NC, SRTL2200RMXLI, SRTL2200RMXLI-NC, SRTL3000RMXLI, SRTL3000RMXLI-NC típusú, SRT sorozatú eszközök ID=1024: UPS 01.0 és korábbi verziói;
- SmartConnect termékcsalád alábbi tagjai:
- SMT sorozatú eszközök, ID=1015: UPS 04.5 és korábbi verziói;
- SMC sorozatú eszközök, ID=1018: UPS 04.2 és korábbi verziói;
- SMTL sorozatú eszközök, ID=1026: UPS 02.9 és korábbi verziói;
- SCL sorozatú eszközök, ID=1029: UPS 02.5 és korábbi verziói;
- SCL sorozatú eszközök, ID=1030: UPS 02.5 és korábbi verziói;
- SCL sorozatú eszközök, ID=1036: UPS 02.5 és korábbi verziói;
- SCL sorozatú eszközök, ID=1037: UPS 03.1 és korábbi verziói;
- SMX sorozatú eszközök, ID=1031: UPS 03.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2022-22805)/kritikus;
- Authentication Bypass by Capture-replay (CVE-2022-22806)/kritikus;
- Improper Authentication (CVE-2022-0715)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-02

Bejelentés dátuma: 2022.03.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Control Expert V15.0 SP1 és korábbi verziói;
- EcoStruxure™ Process Expert V2021 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-24322)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2022-24323)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-01

Bejelentés dátuma: 2022.03.09.
Gyártó: Moxa
Érintett rendszer(ek):
- UC-2100 sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- UC-2100-W sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- UC-3100 sorozatú berendezések 1.1-es és korábbi firmware-verziói;
- UC-5100 sorozatú berendezések 1.3-as és korábbi firmware-verziói;
- UC-8100A-ME-T sorozatú berendezések 1.5-ös és korábbi firmware-verziói;
- V2406C sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- V2403C sorozatú berendezések 1.0 és korábbi firmware-verziói;
- MC-1220 sorozatú berendezések 1.4-es és korábbi firmware-verziói;
- DA-681C sorozatú berendezések 1.1-es és korábbi firmware-verziói;
- DA-682C sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- DA-820C sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- AIG-501 sorozatú berendezések 1.1-es és korábbi firmware-verziói;
- MPC-2070 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2101 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2120 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2121 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2190 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2240 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- EXPC-1519 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Local Privilege Escalation (CVE-2021-4034)/súlyos;
Javítás: Nincs, kockázatcsökkentő intézkedések érhetőek el
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/moxas-response-regarding-the-pwnkit-vulnerability

Bejelentés dátuma: 2022.03.14.
Gyártó: Belden
Érintett rendszer(ek):
- HiLCOS OpenBAT, WLC, BAT450 minden, 9.1x-nél korábbi verziója, valamint a 10.12-REL, 10.12-RU1, 10.12-RU2, 10.12-RU3, 10.12-RU4, 10.12-RU5 verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- CVE-2020-24588/alacsony;
- CVE-2020-26144/közepes;
- CVE-2020-26146/közepes;
- CVE-2020-26147/közepes;
Javítás: Elérhető
Link a publikációhoz: https://dam.belden.com/dmm3bwsv3/assetstream.aspx?assetid=14146&mediaformatid=50063&destinationid=10016

Bejelentés dátuma: 2022.03.24.
Gyártó: mySCADA
Érintett rendszer(ek):
- myPRO Versions 8.25.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-0999)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-083-02

Bejelentés dátuma: 2022.03.24.
Gyártó: Yokogawa
Érintett rendszer(ek):
- CENTUM CS 3000 (beleértve a CENTUM CS 3000 Entry Class berendezéseket is) R3.08.10-től R3.09.00-ig terjedő verziói;
- CENTUM VP (beleértve a CENTUM VP Entry Class berendezéseket is) R4.01.00-től R4.03.00-ig, R5.01.00-tól R5.04.20-ig, valamint R6.01.00-től R6.08.00-ig terjedő verziói;
- Exaopc R3.72.00-tól R3.79.00-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-21194)/súlyos;
- Use of Hard-coded Credentials (CVE-2022-23402)/súlyos;
- Relative Path Traversal (CVE-2022-21808)/súlyos;
- Relative Path Traversal (CVE-2022-22729)/súlyos;
- Improper Output Neutralization for Logs (CVE-2022-22151)/közepes;
- Improper Output Neutralization for Logs (CVE-2022-21177)/közepes;
- Improper Output Neutralization for Logs (CVE-2022-22145)/közepes;
- OS Command Injection (CVE-2022-22148)/súlyos;
- Permissions, Privileges, and Access Controls (CVE-2022-22141)/közepes;
- Uncontrolled Search Path Element (CVE-2022-23401)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-083-01

Bejelentés dátuma: 2022.03.29.
Gyártó: Modbus Tools
Érintett rendszer(ek):
- Modbus Slave 7.4.2 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-1068)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-04

Bejelentés dátuma: 2022.03.29.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- LinkOne WebView v3.20
- LinkOne WebView v3.22
- LinkOne WebView v3.23
- LinkOne WebView v3.24
- LinkOne WebView v3.25
- LinkOne WebView v3.26
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-40337)/közepes;
- Generation of Error Message Containing Sensitive Information (CVE-2021-40338)/alacsony;
- Configuration (CVE-2021-40339)/alacsony;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-40340)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-03

Bejelentés dátuma: 2022.03.29.
Gyártó: Omron
Érintett rendszer(ek):
- CX-Position 2.5.3 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-26419)/súlyos;
- Improper Restriction of Operations Within the Bounds of a Memory Buffer (CVE-2022-25959)/súlyos;
- Use After Free (CVE-2022-26417)/súlyos;
- Out-of-bounds Write (CVE-2022-26022)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-02

Bejelentés dátuma: 2022.03.29.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Connected Component Workbench v12.00 és korábbi verziói;
- ISaGRAF Workbench v6.6.9 és korábbi verziói;
- Safety Instrumented Systems Workstation v1.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-1018)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-01

Bejelentés dátuma: 2022.03.29.
Gyártó: Philips
Érintett rendszer(ek):
- e-Alert Version 2.7 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-0922)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-088-01

Bejelentés dátuma: 2022.03.31.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Studio 5000 Logix Designer ControlLogix 5580 vezérlők;
- Studio 5000 Logix Designer GuardLogix 5580 vezérlők;
- Studio 5000 Logix Designer CompactLogix 5380 vezérlők;
- Studio 5000 Logix Designer CompactLogix 5480 vezérlők;
- Studio 5000 Logix Designer Compact GuardLogix 5380 vezérlők;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2022-1159)/súlyos;
Javítás: Nem elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-07

Bejelentés dátuma: 2022.03.31.
Gyártó: General Electric Renewable Energy
Érintett rendszer(ek):
- iNET/iNET II sorozatú rádiók 8.3.0-nál korábbi firmware-verziói;
- SD sorozatú rádiók 6.4.7-nél korábbi firmware-verziói;
- TD220X sorozatú rádiók 2.0.16-nál korábbi firmware-verziói;
- TD220MAX sorozatú rádiók 1.2.6-nál korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2017-17562)/kritikus;
- Hidden Functionality (CVE-2022-24119)/kritikus;
- Inadequate Encryption Strength (CVE-2022-24116)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-24118)/közepes;
- Plaintext Storage of a Password (CVE-2022-24120)/közepes;
- Download of Code Without Integrity Check (CVE-2022-24117)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-06

Bejelentés dátuma: 2022.03.31.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1768 CompactLogix vezérlők;
- 1769 CompactLogix vezérlők;
- CompactLogix 5370 vezérlők;
- CompactLogix 5380 vezérlők;
- CompactLogix 5480 vezérlők;
- Compact GuardLogix 5370 vezérlők;
- Compact GuardLogix 5380 vezérlők;
- ControlLogix 5550 vezérlők;
- ControlLogix 5560 vezérlők;
- ControlLogix 5570 vezérlők;
- ControlLogix 5580 vezérlők;
- GuardLogix 5560 vezérlők;
- GuardLogix 5570 vezérlők;
- GuardLogix 5580 vezérlők;
- FlexLogix 1794-L34 vezérlők;
- DriveLogix 5730 vezérlők;
- SoftLogix 5800 vezérlők;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2022-1161)/kritikus;
Javítás: Nem elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-05

Bejelentés dátuma: 2022.03.31.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-F sorozatok FX5U(C) CPU modul minden modelljének összes verziója;
- MELSEC iQ-F sorozatok FX5UJ CPU modul minden modelljének összes verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Password Hash Instead of Password for Authentication (CVE-2022-25155)/közepes;
- Use of Weak Hash (CVE-2022-25156)/közepes;
- Use of Password Hash Instead of Password for Authentication (CVE-2022-25157)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2022-25158)/súlyos;
- Authentication Bypass by Capture-replay (CVE-2022-25159)/közepes;
- Cleartext Storage of Sensitive Information (CVE-2022-25160)/közepes;
Javítás: Nem elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-04

Bejelentés dátuma: 2022.03.31.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Alpha5 szervo drive rendszer 4.3-asnál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Access of Uninitialized Pointer (CVE-2022-21168)/alacsony;
- Out-of-bound Read (CVE-2022-21202)/alacsony;
- Out-of-bound Read (CVE-2022-24383)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-21228)/súlyos;
- Heap-based Buffer Overflow (CVE-2022-21214)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-03

Bejelentés dátuma: 2022.03.31.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- e-mesh EMS 1.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations Within the Bounds of a Memory Buffer (CVE-2020-8174)/közepes;
- Use After Free (CVE-2020-8265)/közepes;
- Uncontrolled Resource Consumption (CVE-2020-11080)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-22883)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-02

Bejelentés dátuma: 2022.03.31.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- SCADAPack Workbench 6.6.8a és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-0221)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr517799229

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása