Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCXXVI

Sérülékenységek Schneider Electric, Siemens, Mitsubishi Electric, Aethon, Inductive Automation, Valmet, Red Lion, Johnson Controls, Delta Electronics, Elcomplus, FANUC Corporation, Automated Logic és Interlogix rendszerekben

Facebook Tumblr Tweet Pinterest Tetszik
0
2022. április 20. - icscybersec

Bejelentés dátuma: 2022.04.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 CPUs BMXP34* V3.40-nél korábbi verziói;
- Modicon M340 X80 Ethernet kommunikációs modulok:
- BMXNOE0100 (H) minden verziója;
- BMXNOE0110 (H) minden verziója;
- BMXNOR0200H RTU minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2022-0222)/súlyos;
Javítás: Modicon M340-es berendezésekhez elérhető.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.04.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS Data Server (IGSSdataServer.exe) V15.0.0.22073 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Copy without Checking Size of Input (CVE-2022-24324)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.04.12.
Gyártó: Aethon (az ST Engineering leányvállalata)
Érintett rendszer(ek):
- TUG Home Base Server minden, 24-es korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authorization (CVE-2022-1066)/súlyos;
- Missing Authorization (CVE-2022-26423)/súlyos;
- Channel Accessible by Non-endpoint (CVE-2022-1070)/kritikus;
- Cross-site Scripting (CVE-2022-27494)/súlyos;
- Cross-site Scripting (CVE-2022-1059)/súlyos;
Javítás: A gyártó felkeresése javasolt.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-102-05

Bejelentés dátuma: 2022.04.12.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- A GOT2000 sorozatú GT25-ös és GT27-es eszközökbe épített GT25-WLAN kommunikációs eszközök minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Removal of Sensitive Information Before Storage or Transfer (CVE-2020-24586)/alacsony;
- Inadequate Encryption Strength (CVE-2020-24587)/alacsony;
- Missing Authentication for Critical Function (CVE-2020-24588)/alancsony;
- Injection (CVE-2020-26140)/közepes;
- Improper Input Validation (CVE-2020-26143)/közepes;
- Improper Input Validation (CVE-2020-26144)/közepes;
- Improper Input Validation (CVE-2020-26146)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedéseket javasol.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-102-04

Bejelentés dátuma: 2022.04.12.
Gyártó: Inductive Automation
Érintett rendszer(ek):
- Inductive Automation Ignition minden, 8.0.4-nél későbbi verzió a 8.0 főverzióból;
- Inductive Automation Ignition minden, 8.1.10-nél korábbi verzió a 8.1-es főverzióból;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-1264)/közepes;
Javítás: A 8.1-es főverzióhoz elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-102-03

Bejelentés dátuma: 2022.04.12.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- Wind River VxWorks 6.4-es verziót használó MELSEC-Q C sorozatú vezérlő modulok Q12DCCPU-V 24031-es és korábbi sorozatszámú verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2021-29998)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-102-02

Bejelentés dátuma: 2022.04.12.
Gyártó: Valmet
Érintett rendszer(ek):
- Valmet DNA DCS Collection 2012-től Collection 2021-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2021-26726)/súlyos;
Javítás: Elérhető a gyártónál.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-102-01

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC STEP 7 (TIA Portal) v15 minden verziója;
- SIMATIC STEP 7 (TIA Portal) v16 minden, v16 Update 5-nél korábbi verziója;
- SIMATIC STEP 7 (TIA Portal) v17 minden, v17 Update 2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2021-42029)/közepes;
Javítás: v16 és v17 főverziókhoz elérhetőek.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, v2022.1.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-28661)/súlyos;
- Out-of-bounds Write (CVE-2022-28662)/alacsony;
- Out-of-bounds Write (CVE-2022-28663)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7-et használó Mendix alkalmazások minden, V7.23.27-nél korábbi verziója;
- Mendix 8-at használó Mendix alkalmazások minden, V8.18.14-nél korábbi verziója;
- Mendix 9-et használó Mendix alkalmazások minden, V9.12.0-nál korábbi verziója;
- Mendix 9-et (V9.6)használó Mendix alkalmazások minden, V9.6.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-25650)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-870917.pdf

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7-et használó Mendix alkalmazások minden verziója;
- Mendix 8-at használó Mendix alkalmazások minden verziója;
- Mendix 9-et használó Mendix alkalmazások minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-27241)/közepes;
Javítás: Mendix 9-hez elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE X302-7 EEC minden, v4.1.4-nél korábbi verziója;
- SCALANCE X304-2FE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X306-1LD FE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X307-2 EEC minden, v4.1.4-nél korábbi verziója;
- SCALANCE X307-3 minden, v4.1.4-nél korábbi verziója;
- SCALANCE X307-3LD minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2 minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2LD minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2LH minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2LH+ minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2M minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2M POE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2M TS minden, v4.1.4-nél korábbi verziója;
- SCALANCE X310 minden, v4.1.4-nél korábbi verziója;
- SCALANCE X310FE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X320-1 FE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X320-1-2LD FE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X408-2 minden, v4.1.4-nél korábbi verziója;
- SCALANCE XR324-4M EEC minden, v4.1.4-nél korábbi verziója;
- SCALANCE XR324-4M PoE minden, v4.1.4-nél korábbi verziója;
- SCALANCE XR324-4M PoE TS minden, v4.1.4-nél korábbi verziója;
- SCALANCE XR324-12M minden, v4.1.4-nél korábbi verziója;
- SCALANCE XR324-12M TS minden, v4.1.4-nél korábbi verziója;
- SIPLUS NET SCALANCE X308-2 minden, v4.1.4-nél korábbi verziója;
- Smart Security Manager 1.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-25751 )/súlyos;
- Use of Insufficiently Random Values (CVE-2022-25752)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-25753)/súlyos;
- Cross-site Request Forgery (CVE-2022-25754)/súlyos;
- Improper Access Control (CVE-2022-25755)/alacsony;
- Basic XSS (CVE-2022-25756)/súlyos;
- Classic Buffer Overflow (CVE-2022-26334)/súlyos;
- Classic Buffer Overflow (CVE-2022-26335)/kritikus;
- Out-of-bounds Read (CVE-2022-26380)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-400 HV6 CPU család (beleértve a SIPLUS változatokat is) minden, v6.0.10-nél korábbi verziója;
- SIMATIC S7-400 PN/DP V7 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-410 V8 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-410 V10 CPU család (beleértve a SIPLUS változatokat is) minden, v10.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-40368)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM A8000 CP-8031 minden, v4.80-nál korábbi verziója;
- SICAM A8000 CP-8050 minden, v4.80-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-27480)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Energy Manager Basic minden, v7.3 Update 1-nél korábbi verziója;
- SIMATIC Energy Manager PRO minden, v7.3 Update 1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2022-23448)/súlyos;
- Uncontrolled Search Path Element (CVE-2022-23449)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-23450)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CFU DIQ (6ES7655-5PX31-1XX0) minden verziója;
- SIMATIC CFU PA (6ES7655-5PX11-0XX0) minden verziója;
- SIMATIC S7-300 CPU család (beleértve az ET200 CPU-kat és a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-400 H V6 CPU család (beleértve a SIPLUS változatokat is) minden, v6.0.10-nél korábbi verziója;
- SIMATIC S7-400 PN/DP V7 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-410 V8 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-410 V10 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1500 CPU család (beleértve az ET200 CPU-kat és a SIPLUS változatokat is) minden, v2.0.0-nál korábbi verziója;
- SIMATIC TDC CP51M1 minden verziója;
- SIMATIC TDC CPU555 minden verziója;
- SIMATIC WinAC RTX minden verziója;
- SIMIT Simulation Platform minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-25622)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SCLANCE W1788-1 M12 minden, 3.0.0-nál korábbi verziója;
- SCALANCE W1788-2 ECC M12 minden, 3.0.0-nál korábbi verziója;
- SCALANCE W1788-2 M12 minden, 3.0.0-nál korábbi verziója;
- SCALANCE W1788-2IA M12 minden, 3.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Race Condition (CVE-2022-27481)/súlyos;
- Improper Input Validation (CVE-2022-28328)/súlyos;
- Improper Input Validation (CVE-2022-28329)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS neo (Administration Console) minden, V3.1 SP1-nél korábbi verziója;
- SINETPLAN minden verziója;
- TIA Portal V15, V15.1, V16 és V17-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-27194)/súlyos;
Javítás: A SIMATIC PCS neo (Administration Console) esetén elérhető.
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-711829.pdf

Bejelentés dátuma: 2022.04.14.
Gyártó: Red Lion
Érintett rendszer(ek):
- DA50N hálózati átjárók minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-26516)/súlyos;
- Weak Password Requirements (CVE-2022-1039)/kritikus;
- Use of Unmaintained Third-Party Components (nem ismert)/nem ismert;
- Insufficiently Protected Credentials (CVE-2022-27179)/közepes;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-104-03

Bejelentés dátuma: 2022.04.14.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Metasys ADS/ADX/OAS szerverek 10-es és 11-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incomplete Cleanup (CVE-2021-36205)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-104-02

Bejelentés dátuma: 2022.04.14.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DMARS minden, v2.1.10.24-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-1331)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-104-01

Bejelentés dátuma: 2022.04.19.
Gyártó: Elcomplus
Érintett rendszer(ek):
- SmartPPT SCADA Server v1.4;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-43932)/kritikus;
- Unauthorized Exposure to Sensitive Information (CVE-2021-43938)/súlyos;
- Unrestricted Upload of File with Dangerous Type (CVE-2021-43934)/kritikus;
- Path Traversal (CVE-2021-43930)/kritikus;
- Cross-site Request Forgery (CVE-2021-43937)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-109-05

Bejelentés dátuma: 2022.04.19.
Gyártó: Elcomplus
Érintett rendszer(ek):
- SmartPPT SCADA Server v1.1;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2021-43932)/kritikus;
- Unrestricted Upload of File with Dangerous Type (CVE-2021-43939)/súlyos;
- Improper Authorization (CVE-2021-43934)/kritikus;
- Cross-site Scripting (CVE-2021-43930)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-109-04

Bejelentés dátuma: 2022.04.19.
Gyártó: FANUC Corporation
Érintett rendszer(ek):
- ROBOGUIDE v9.40083.00.05 (Rev T) és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2021-38483)/közepes;
- Improper Access Control (CVE-2021-43986)/közepes;
- Path Traversal (CVE-2021-43988)/közepes;
- Improper Restriction of XML External Entity Reference (CVE-2021-43990)/közepes;
- Uncontrolled Resource Consumption (CVE-2021-43933)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-109-03

Bejelentés dátuma: 2022.04.19.
Gyártó: Automated Logic (a Carrier Global Corporation leányvállalata)
Érintett rendszer(ek):
- WebCtrl Server minden, 7.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Open Redirect (CVE-2022-1019)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-109-02

Bejelentés dátuma: 2022.04.19.
Gyártó: Interlogix (a Carrier Global Corporation leányvállalata)
Érintett rendszer(ek):
- Hills ComNav 3002-19-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-26519)/közepes;
- Inadequate Encryption Strength (CVE-2022-1318)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-109-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szólj hozzá!
Siemens Schneider Electric ICS sérülékenység Siemens ProductCERT Mitsubishi Electric Delta Electronics Red Lion Controls Johnson Controls Interlogix Inductive Automation Aethon Valmet Elcomplus FANUC Corporation Automated Logic

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr1417811677

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása