Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS Data Server 15.0.0.22139-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Copy without Checking Size of Input (CVE-2022-32522)/kritikus;
- Buffer Copy without Checking Size of Input (CVE-2022-32523)/kritikus;
- Buffer Copy without Checking Size of Input (CVE-2022-32524)/kritikus;
- Buffer Copy without Checking Size of Input (CVE-2022-32525)/kritikus;
- Buffer Copy without Checking Size of Input (CVE-2022-32526)/kritikus;
- Buffer Copy without Checking Size of Input (CVE-2022-32527)/kritikus;
- Missing Authentication for Critical Function (CVE-2022-32528)/súlyos;
- Buffer Copy without Checking Size of Input (CVE-2022-32529)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Geo SCADA Mobile 222-es és korábbi build-jei;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2022-32530)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Conext™ ComBox minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-32515)/súlyos;
- Cross-Site Request Forgery (CVE-2022-32516)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2022-32517)/közepes;
Javítás: Nincs
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Power Commission V2.22-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-0223)/közepes;
- Path Traversal (CVE-2022-22731)/közepes;
- Exposure of Resource to Wrong Sphere (CVE-2022-22732)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric C-Bus Network Automation Controller, LSS5500NAC V1.10.0 és korábbi verziói;
- Schneider Electric Wiser for C-Bus Automation Controller, LSS5500SHAC V1.10.0 és korábbi verziói;
- Clipsal C-Bus Network Automation Controller, 5500NAC V1.10.0 és korábbi verziói;
- Clipsal Wiser for C-Bus Automation Controller, 5500SHAC V1.10.0 és korábbi verziói;
- SpaceLogic C-Bus Network Automation Controller, 5500NAC2 V1.10.0 és korábbi verziói;
- SpaceLogic C-Bus Application Controller, 5500AC2 V1.10.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Weak Password Requirements (CVE-2022-32513)/kritikus;
- Improper Authentication (CVE-2022-32514)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- CanBRASS V7.5.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-32512)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Cybersecurity Admin Expert (CAE) 2.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Spoofing (CVE-2022-32747)/súlyos;
- Improper Certificate Validation (CVE-2022-32748)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.21.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek): MELSEC Q és L-sorozatú készülékek alábbi CPU-sorozatokkal szerelt példányai:
- Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU minden verziója;
- Q03/04/06/13/26UDVCPU 24051 és korábbi sorozatszámú verziók;
- Q04/06/13/26UDPVCPU 24051 és korábbi sorozatszámú verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Resource Locking (CVE-2022-24946)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-172-01

Bejelentés dátuma: 2022.06.21.
Gyártó: Phoenix Contact
Érintett rendszer(ek):
- ILC 1x0 minden változata;
- ILC 1x1 minden változata;
- ILC 3xx minden változata;
- AXC 1050 2700988-as cikkszámú változata;
- AXC 1050XC 2701295-ös cikkszámú változata;
- AXC 3050 2700989-es cikkszámú változata;
- RFC 480S 2404577-es cikkszámú változata;
- RFC 470S 2916794-es cikkszámú változata;
- RFC 460R 2700784-es cikkszámú változata;
- RFC 430 ETH 2730190-es cikkszámú változata;
- RFC 450 ETH 2730200-as cikkszámú változata;
- PC WORX SRT 2701680-as cikkszámú változata;
- PC WORX RT BASIC 2700291-es cikkszámú változata;
- FC 350 PCI ETH 2730844-es cikkszámú változata;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2019-9201)/kritikus;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-172-05

Bejelentés dátuma: 2022.06.23.
Gyártó: Elcomplus
Érintett rendszer(ek):
- SmartICS webes HMI v2.3.4.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-2140)/súlyos;
- Relative Path Traversal (CVE-2022-2106)/alacsony;
- Cross-site Scripting (CVE-2022-2088)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-05

Bejelentés dátuma: 2022.06.23.
Gyártó: Pyramid Solutions
Érintett rendszer(ek):
- EtherNet/IP Adapter Development Kit (EADK) 4.4.0-es és korábbi verziói;
- EtherNet/IP Adapter DLL Kit (EIPA) 4.4.0-es és korábbi verziói;
- EtherNet/IP Scanner Development Kit (EDKS) 4.4.0-es és korábbi verziói;
- EtherNet/IP Scanner DLL Kit (EIPS) 4.4.0-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-1737)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-04

Bejelentés dátuma: 2022.06.23.
Gyártó: Secheron
Érintett rendszer(ek):
- SEPCOS Single Package firmware (1.23.xx funkció szint) minden, 1.23.21-nél korábbi verziója;
- SEPCOS Single Package firmware (1.24.xx funkció szint) minden, 1.24.8-nál korábbi verziója;
- SEPCOS Single Package firmware (1.25.xx funkció szint) minden, 1.25.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Enforcement of Behavioral Workflow (CVE-2022-2105)/kritikus;
- Improper Enforcement of Behavioral Workflow (CVE-2022-1667)/súlyos;
- Improper Enforcement of Behavioral Workflow (CVE-2022-2102)/kritikus;
- Weak Password Requirements (CVE-2022-1668)/kritikus;
- Improper Access Control (CVE-2022-2103)/kritikus;
- Improper Privilege Management (CVE-2022-2104)/kritikus;
- Insufficiently Protected Credentials (CVE-2022-1666)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-03

Bejelentés dátuma: 2022.06.23.
Gyártó: Yokogawa
Érintett rendszer(ek):
- CENTUM CS 3000 (beleértve a CENTUM CS 3000 belépő szintű eszközöket is) R3.08.10-től R3.09.00-ig terjedő verziói, ha az LHS4800 (CAMS for HIS) telepítve van;
- CENTUM VP (beleértve a CENTUM VP belépő szintű eszközöket is) Versions R4.01.00-tól R4.03.00-ig terjedő verziói (ha a CAMS funkció használatban van) és az R5.01.00-tól R5.04.20-ig, valamint az R6.01.00-tól R6.09.00-ig terjedő verziói;
- Exaopc R3.72.00-tól R3.80.00-ig terjedő verziói (ha az NTPF100-S6 "For CENTUM VP Support CAMS for HIS" telepítve van);
- B/M9000CS R5.04.01-től R5.05.01-ig terjedő verziói;
- B/M9000 VP R6.01.01-től R8.03.01-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Violation of Secure Design Principles (CVE-2022-30707)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-02

Bejelentés dátuma: 2022.06.23.
Gyártó: OFFIS
Érintett rendszer(ek):
- DCMTK minden, 3.6.7-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-2119)/súlyos;
- Relative Path Traversal (CVE-2022-2120)/súlyos;
- NULL Pointer Dereference (CVE-2022-2121)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-174-01

OT:ICEFALL sérülékenységek
A Forescout kutatói több sérülékenységet azonosítottak az alábbi gyártók megjelölt termékeiben:

Bejelentés dátuma: 2022.06.21.
Gyártó: Phoenix Contact
Érintett rendszer(ek):
- ProConOS minden verziója;
- ProConOS eCLR minden verziója;
- MULTIPROG minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-31801)/kritikus;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-172-04

Bejelentés dátuma: 2022.06.21.
Gyártó: Phoenix Contact
Érintett rendszer(ek):
- ILC 1x0 minden változata;
- ILC 1x1 minden változata;
- ILC 1x1 GSM/GPRS 2700977-es változata;
- ILC 3xx minden változata;
- AXC 1050 2700988-as változata;
- AXC 1050 XC 2701295-ös változata;
- AXC 3050 2700989-es változata;
- RFC 480S PN 4TX 2404577-es változata;
- RFC 470 PN 3TX 2916600-as változata;
- RFC 470S PN 3TX 2916794-es változata;
- RFC 460R PN 3TX 2700784-es változata;
- RFC 460R PN 3TX-S 1096407-es változata;
- RFC 430 ETH-IB 2730190-es változata;
- RFC 450 ETH-IB 2730200-as változata;
- PC WORX SRT 2701680-as változata;
- PC WORX RT BASIC 2700291-es változata;
- FC 350 PCI ETH 2730844-es változata;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-31801)/kritikus;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-172-03

Bejelentés dátuma: 2022.06.21.
Gyártó: JTEKT
Érintett rendszer(ek):
- PC10G-CPU Type=TCC-6353 minden verziója;
- PC10GE Type=TCC-6464 minden verziója;
- PC10P Type=TCC-6372 minden verziója;
- PC10P-DP Type=TCC-6726 minden verziója;
- PC10P-DP-IO Type=TCC-6752 minden verziója;
- PC10B-P Type=TCC-6373 minden verziója;
- PC10B Type=TCC-1021 minden verziója;
- PC10E Type=TCC-4737 minden verziója;
- PC10EL Type=TCC-4747 minden verziója;
- Plus CPU Type=TCC-6740 minden verziója;
- PC3JX Type=TCC-6901 minden verziója;
- PC3JX-D Type=TCC-6902 minden verziója;
- PC10PE Type=TCC-1101 minden verziója;
- PC10PE-1616P Type=TCC-1102 minden verziója;
- PCDL Type=TKC-6688 minden verziója;
- Nano 10GX Type=TUC-1157 minden verziója;
- Nano CPU Type=TUC-6941 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-29951)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2022-29958)/súlyos;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-172-02

Bejelentés dátuma: 2022.06.23.
Gyártó: Yokogawa
Érintett rendszer(ek):
- STARDOM FCN/FCJ R1.01-től R4.31-ig terjedő verziói;
- STARDOM FCN/FCJ dual CPU moduljainak R4.10-től R4.31-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-29519)/közepes;
- Use of Hard-coded Credentials (CVE-2022-30997)/közepes;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-01

Bejelentés dátuma: 2022.06.21.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC WinCC OA v3.16 minden verziója;
- SIMATIC WinCC OA v3.17 minden verziója;
- SIMATIC WinCC OA v3.18 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Client-side Authentication (CVE-2022-33139)/kritikus;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.