Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCXXXIV

Sérülékenységek Schneider Electric, Mitsubishi Electric, Elcomplus, Pyramid Solutions, Secheron, Yokogawa, OFFIS, Phoenix Contact, JTEKT és Siemens rendszerekben

2022. június 29. - icscybersec

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS Data Server 15.0.0.22139-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Copy without Checking Size of Input (CVE-2022-32522)/kritikus;
- Buffer Copy without Checking Size of Input (CVE-2022-32523)/kritikus;
- Buffer Copy without Checking Size of Input (CVE-2022-32524)/kritikus;
- Buffer Copy without Checking Size of Input (CVE-2022-32525)/kritikus;
- Buffer Copy without Checking Size of Input (CVE-2022-32526)/kritikus;
- Buffer Copy without Checking Size of Input (CVE-2022-32527)/kritikus;
- Missing Authentication for Critical Function (CVE-2022-32528)/súlyos;
- Buffer Copy without Checking Size of Input (CVE-2022-32529)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Geo SCADA Mobile 222-es és korábbi build-jei;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2022-32530)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Conext™ ComBox minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-32515)/súlyos;
- Cross-Site Request Forgery (CVE-2022-32516)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2022-32517)/közepes;
Javítás: Nincs
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Power Commission V2.22-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-0223)/közepes;
- Path Traversal (CVE-2022-22731)/közepes;
- Exposure of Resource to Wrong Sphere (CVE-2022-22732)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric C-Bus Network Automation Controller, LSS5500NAC V1.10.0 és korábbi verziói;
- Schneider Electric Wiser for C-Bus Automation Controller, LSS5500SHAC V1.10.0 és korábbi verziói;
- Clipsal C-Bus Network Automation Controller, 5500NAC V1.10.0 és korábbi verziói;
- Clipsal Wiser for C-Bus Automation Controller, 5500SHAC V1.10.0 és korábbi verziói;
- SpaceLogic C-Bus Network Automation Controller, 5500NAC2 V1.10.0 és korábbi verziói;
- SpaceLogic C-Bus Application Controller, 5500AC2 V1.10.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Weak Password Requirements (CVE-2022-32513)/kritikus;
- Improper Authentication (CVE-2022-32514)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- CanBRASS V7.5.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-32512)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Cybersecurity Admin Expert (CAE) 2.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Spoofing (CVE-2022-32747)/súlyos;
- Improper Certificate Validation (CVE-2022-32748)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.21.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek): MELSEC Q és L-sorozatú készülékek alábbi CPU-sorozatokkal szerelt példányai:
- Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU minden verziója;
- Q03/04/06/13/26UDVCPU 24051 és korábbi sorozatszámú verziók;
- Q04/06/13/26UDPVCPU 24051 és korábbi sorozatszámú verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Resource Locking (CVE-2022-24946)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-172-01

Bejelentés dátuma: 2022.06.21.
Gyártó: Phoenix Contact
Érintett rendszer(ek):
- ILC 1x0 minden változata;
- ILC 1x1 minden változata;
- ILC 3xx minden változata;
- AXC 1050 2700988-as cikkszámú változata;
- AXC 1050XC 2701295-ös cikkszámú változata;
- AXC 3050 2700989-es cikkszámú változata;
- RFC 480S 2404577-es cikkszámú változata;
- RFC 470S 2916794-es cikkszámú változata;
- RFC 460R 2700784-es cikkszámú változata;
- RFC 430 ETH 2730190-es cikkszámú változata;
- RFC 450 ETH 2730200-as cikkszámú változata;
- PC WORX SRT 2701680-as cikkszámú változata;
- PC WORX RT BASIC 2700291-es cikkszámú változata;
- FC 350 PCI ETH 2730844-es cikkszámú változata;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2019-9201)/kritikus;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-172-05

Bejelentés dátuma: 2022.06.23.
Gyártó: Elcomplus
Érintett rendszer(ek):
- SmartICS webes HMI v2.3.4.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-2140)/súlyos;
- Relative Path Traversal (CVE-2022-2106)/alacsony;
- Cross-site Scripting (CVE-2022-2088)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-05

Bejelentés dátuma: 2022.06.23.
Gyártó: Pyramid Solutions
Érintett rendszer(ek):
- EtherNet/IP Adapter Development Kit (EADK) 4.4.0-es és korábbi verziói;
- EtherNet/IP Adapter DLL Kit (EIPA) 4.4.0-es és korábbi verziói;
- EtherNet/IP Scanner Development Kit (EDKS) 4.4.0-es és korábbi verziói;
- EtherNet/IP Scanner DLL Kit (EIPS) 4.4.0-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-1737)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-04

Bejelentés dátuma: 2022.06.23.
Gyártó: Secheron
Érintett rendszer(ek):
- SEPCOS Single Package firmware (1.23.xx funkció szint) minden, 1.23.21-nél korábbi verziója;
- SEPCOS Single Package firmware (1.24.xx funkció szint) minden, 1.24.8-nál korábbi verziója;
- SEPCOS Single Package firmware (1.25.xx funkció szint) minden, 1.25.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Enforcement of Behavioral Workflow (CVE-2022-2105)/kritikus;
- Improper Enforcement of Behavioral Workflow (CVE-2022-1667)/súlyos;
- Improper Enforcement of Behavioral Workflow (CVE-2022-2102)/kritikus;
- Weak Password Requirements (CVE-2022-1668)/kritikus;
- Improper Access Control (CVE-2022-2103)/kritikus;
- Improper Privilege Management (CVE-2022-2104)/kritikus;
- Insufficiently Protected Credentials (CVE-2022-1666)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-03

Bejelentés dátuma: 2022.06.23.
Gyártó: Yokogawa
Érintett rendszer(ek):
- CENTUM CS 3000 (beleértve a CENTUM CS 3000 belépő szintű eszközöket is) R3.08.10-től R3.09.00-ig terjedő verziói, ha az LHS4800 (CAMS for HIS) telepítve van;
- CENTUM VP (beleértve a CENTUM VP belépő szintű eszközöket is) Versions R4.01.00-tól R4.03.00-ig terjedő verziói (ha a CAMS funkció használatban van) és az R5.01.00-tól R5.04.20-ig, valamint az R6.01.00-tól R6.09.00-ig terjedő verziói;
- Exaopc R3.72.00-tól R3.80.00-ig terjedő verziói (ha az NTPF100-S6 "For CENTUM VP Support CAMS for HIS" telepítve van);
- B/M9000CS R5.04.01-től R5.05.01-ig terjedő verziói;
- B/M9000 VP R6.01.01-től R8.03.01-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Violation of Secure Design Principles (CVE-2022-30707)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-02

Bejelentés dátuma: 2022.06.23.
Gyártó: OFFIS
Érintett rendszer(ek):
- DCMTK minden, 3.6.7-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-2119)/súlyos;
- Relative Path Traversal (CVE-2022-2120)/súlyos;
- NULL Pointer Dereference (CVE-2022-2121)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-174-01

OT:ICEFALL sérülékenységek
A Forescout kutatói több sérülékenységet azonosítottak az alábbi gyártók megjelölt termékeiben:

Bejelentés dátuma: 2022.06.21.
Gyártó: Phoenix Contact
Érintett rendszer(ek):
- ProConOS minden verziója;
- ProConOS eCLR minden verziója;
- MULTIPROG minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-31801)/kritikus;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-172-04

Bejelentés dátuma: 2022.06.21.
Gyártó: Phoenix Contact
Érintett rendszer(ek):
- ILC 1x0 minden változata;
- ILC 1x1 minden változata;
- ILC 1x1 GSM/GPRS 2700977-es változata;
- ILC 3xx minden változata;
- AXC 1050 2700988-as változata;
- AXC 1050 XC 2701295-ös változata;
- AXC 3050 2700989-es változata;
- RFC 480S PN 4TX 2404577-es változata;
- RFC 470 PN 3TX 2916600-as változata;
- RFC 470S PN 3TX 2916794-es változata;
- RFC 460R PN 3TX 2700784-es változata;
- RFC 460R PN 3TX-S 1096407-es változata;
- RFC 430 ETH-IB 2730190-es változata;
- RFC 450 ETH-IB 2730200-as változata;
- PC WORX SRT 2701680-as változata;
- PC WORX RT BASIC 2700291-es változata;
- FC 350 PCI ETH 2730844-es változata;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-31801)/kritikus;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-172-03

Bejelentés dátuma: 2022.06.21.
Gyártó: JTEKT
Érintett rendszer(ek):
- PC10G-CPU Type=TCC-6353 minden verziója;
- PC10GE Type=TCC-6464 minden verziója;
- PC10P Type=TCC-6372 minden verziója;
- PC10P-DP Type=TCC-6726 minden verziója;
- PC10P-DP-IO Type=TCC-6752 minden verziója;
- PC10B-P Type=TCC-6373 minden verziója;
- PC10B Type=TCC-1021 minden verziója;
- PC10E Type=TCC-4737 minden verziója;
- PC10EL Type=TCC-4747 minden verziója;
- Plus CPU Type=TCC-6740 minden verziója;
- PC3JX Type=TCC-6901 minden verziója;
- PC3JX-D Type=TCC-6902 minden verziója;
- PC10PE Type=TCC-1101 minden verziója;
- PC10PE-1616P Type=TCC-1102 minden verziója;
- PCDL Type=TKC-6688 minden verziója;
- Nano 10GX Type=TUC-1157 minden verziója;
- Nano CPU Type=TUC-6941 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-29951)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2022-29958)/súlyos;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-172-02

Bejelentés dátuma: 2022.06.23.
Gyártó: Yokogawa
Érintett rendszer(ek):
- STARDOM FCN/FCJ R1.01-től R4.31-ig terjedő verziói;
- STARDOM FCN/FCJ dual CPU moduljainak R4.10-től R4.31-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-29519)/közepes;
- Use of Hard-coded Credentials (CVE-2022-30997)/közepes;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-01

Bejelentés dátuma: 2022.06.21.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC WinCC OA v3.16 minden verziója;
- SIMATIC WinCC OA v3.17 minden verziója;
- SIMATIC WinCC OA v3.18 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Client-side Authentication (CVE-2022-33139)/kritikus;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERTICS-CERT

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr6517869773

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása