Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCXLII

Sérülékenységek Omron, Honeywell, Fuji Electric, Hitachi Energy, Delta Electronics, Contec Health, Cognex, AVEVA, Triangle Microworks, MZ Automation, Baxter és PTC rendszerekben

Facebook Tumblr Tweet Pinterest Tetszik
0
2022. szeptember 14. - icscybersec

Bejelentés dátuma: 2022.08.30.
Gyártó: Omron
Érintett rendszer(ek):
- Omron CX-Programmer minden, v9.78-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free (CVE-2022-2979)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-09

Bejelentés dátuma: 2022.08.30.
Gyártó: Honeywell
Érintett rendszer(ek):
- Inter-Controller (IC) protokollt használó IQ sorozatú vezérlők minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-30312)/súlyos;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-08

Bejelentés dátuma: 2022.08.30.
Gyártó: Honeywell
Érintett rendszer(ek):
- Experion LX minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-30317)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-07

Bejelentés dátuma: 2022.08.30.
Gyártó: Honeywell
Érintett rendszer(ek):
- ControlEdge minden, 151.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of hard-coded credentials (CVE-2022-30318)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-06

Bejelentés dátuma: 2022.08.30.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- D300win 3.7.1.17-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-1738)/súlyos;
- Write-what-where Condition (CVE-2022-1523)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-05

Bejelentés dátuma: 2022.08.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú eszközök 12.0.* CMU Firmware verziói;
- RTU500 sorozatú eszközök 12.2.* CMU Firmware verziói;
- RTU500 sorozatú eszközök 12.4.* CMU Firmware verziói;
- RTU500 sorozatú eszközök 12.6.* CMU Firmware verziói;
- RTU500 sorozatú eszközök 12.7.* CMU Firmware verziói;
- RTU500 sorozatú eszközök 13.2.* CMU Firmware verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-28613)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-04

Bejelentés dátuma: 2022.08.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MSM 2.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Reliance on Uncontrolled Components:
- CVE-2015-6584/n/a;
- CVE-2016-7103/közepes;
- CVE-2011-4273/n/a;
- CVE-2018-16842/kritikus;
- CVE-2016-9586/súlyos;
- CVE-2016-8617/súlyos;
- CVE-2016-8618/kritikus;
- CVE-2016-8619/kritikus;
- CVE-2016-8621/súlyos;
- CVE-2016-7167/kritikus;
- CVE-2014-3707/n/a;
- CVE-2013-2174/n/a;
- CVE-2014-0138/n/a;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-03

Bejelentés dátuma: 2022.08.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- GWS 2.0.0.0 és korábbi verziói;
- GWS 2.1.0.0 verziója;
- GWS 2.2.0.0 verziója;
- GWS 2.3.0.0 verziója;
- GWS 2.4.0.0 verziója;
- GWS 3.0.0.0 verziója;
- GWS 3.1.0.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- CVE-2020-1968/alacsony;
- CVE-2020-8174/súlyos;
- CVE-2020-8201/súlyos;
- CVE-2020-8252/súlyos;
- CVE-2020-8265/súlyos;
- CVE-2020-8287/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-02

Bejelentés dátuma: 2022.08.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- FACTS Control Platform 1.1.0 - 1.3.0-ig terjedő verziói;
- FACTS Control Platform 2.1.0 - 2.3.0-ig terjedő verziói;
- FACTS Control Platform 3.0.0 - 3.12.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Reliance on Uncontrolled Components:
- CVE-2020-1968/alacsony;
- CVE-2020-8172/súlyos;
- CVE-2020-8174/súlyos;
- CVE-2020-8201/súlyos;
- CVE-2020-8252/súlyos;
- CVE-2020-8265/súlyos;
- CVE-2020-8287/közepes;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-01

Bejelentés dátuma: 2022.09.01.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DOPSoft minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-2966)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-244-01

Bejelentés dátuma: 2022.09.01.
Gyártó: Contec Health
Érintett rendszer(ek):
- Contec Health CMS8000 CONTEC ICU CCU Vital Signs Patient Monitor
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-36385)/közepes;
- Uncontrolled Resource Consumption (CVE-2022-38100)/súlyos;
- Use of Hard-Coded Credentials (CVE-2022-38069)/alacsony;
- Active Debug Code (CVE-2022-38453)/alacsony;
- Improper Access Control (CVE-2022-3027)/közepes;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-244-01

Bejelentés dátuma: 2022.09.06.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- TXpert Hub CoreTec 4 2.0.0 és 2.0.1 verziói;
- TXpert Hub CoreTec 4 2.1.0, 2.1.1, 2.1.2 és 2.1.3 verziói;
- TXpert Hub CoreTec 4 2.2.0 és 2.2.1 verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2021-35530)/közepes;
- Improper Input Validation (CVE-2021-35531)/közepes;
- Download of Code Without Integrity Check (CVE-2021-35532)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-249-04

Bejelentés dátuma: 2022.09.06.
Gyártó: Cognex
Érintett rendszer(ek):
- Cognex 3D-A1000 Dimensioning System 1.0.3 (3354) és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-1368)/kritikus;
- Improper Output Neutralization for Logs (CVE-2022-1522)/közepes;
- Client-side Enforcement of Server-side Security (CVE-2022-1525)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-249-03

Bejelentés dátuma: 2022.09.06.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA Edge 2020 R2 SP1 és minden korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient UI Warning of Dangerous Operations (CVE-2022-36970)/súlyos;
- Uncontrolled Search Path Element (CVE-2022-28686)/súlyos;
- Uncontrolled Search Path Element (CVE-2022-28687)/súlyos;
- Uncontrolled Search Path Element (CVE-2022-28688)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-28685)/súlyos;
- Improper Restriction of XML External Entity Reference (CVE-2022-36969)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-249-02

Bejelentés dátuma: 2022.09.06.
Gyártó: Triangle Microworks
Érintett rendszer(ek):
- TMW Library: IEC 61850-es protokollt használó változatának
- minden kliens és szerver komponenese, ami 11.2.0 és korábbi C programozási nyelvű programkönyvtárat használ;
- minden kliens és szerver komponenese, ami 5.0.1-es vagy korábbi C++, C# vagy Java programozási nyelvű programkönyvtárakat használ;
- TMW Library: IEC 60870-6 (ICCP/Tase.2) protokollt használó változatának
- minden kliens és szerver komponense, ami 4.4.3-as vagy korábbi C++ programozási nyelvű programkönyvtárat használ;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Access of Uninitialized Pointer (CVE-2022-38138)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-249-01

Bejelentés dátuma: 2022.09.08.
Gyártó: MZ Automation GmbH
Érintett rendszer(ek):
- libIEC61850 IEC 61850 implementációs szoftver 1.4-es és korábbi verziói;
- libIEC61850 IEC 61850 implementációs szoftver 1.5-ös verziójának a3b04b7bc4872a5a39e5de3fdc5fbde52c09e10e-nél korábbi commitjai;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-2970)/kritikus;
- Stack-based Buffer Overflow (CVE-2022-2972)/kritikus;
- Access of Resource Using Incompatible Type (CVE-2022-2971)/súlyos;
- NULL Pointer Dereference (CVE-2022-2973)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-251-01

Bejelentés dátuma: 2022.09.08.
Gyártó: Baxter
Érintett rendszer(ek):
- Sigma Spectrum v6.x 35700BAX modellje;
- Sigma Spectrum v8.x 35700BAX2 modellje;
- Baxter Spectrum IQ (v9.x) 35700BAX3 modellje
- Sigma Spectrum LVP v6.x Wireless Battery Modulok v16, v16D38, v17, v17D19-es, v20D29-től v20D32-ig terjedő és v22D24-től v22D28-ig terjedő verziói;
- Sigma Spectrum LVP v8.x Wireless Battery Modulok v17, v17D19-es, v20D29-től v20D32-ig terjedő és v22D24-től v22D28-ig terjedő verziói;
- Baxter Spectrum IQ LVP (v9.x) Wireless Battery Modulok v22D19-től v22D28-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Encryption of Sensitive Data (CVE-2022-26390)/közepes;
- Use of Externally Controlled Format String (CVE-2022-26392)/alacsony;
- Use of Externally Controlled Format String (CVE-2022-26393)/közepes;
- Missing Authentication for Critical Function (CVE-2022-26394)/közepes;
Javítás: Részben már elérhető, részben a gyártó jelenleg is dolgozik a javításon.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-251-01

Bejelentés dátuma: 2022.09.08.
Gyártó: PTC
Érintett rendszer(ek):
Az alábbi PTC termékeket érinti a Kepware KEPServerEX platform sérülékenysége:
- Kepware KEPServerEX 6.12-es és korábbi verziói;
- ThingWorkx Kepware Server 6.12-es és korábbi verziói;
- ThingWorkx Industrial Connectivity minden verziója;
- OPC-Aggregator 6.12-es és korábbi verziói;
- ThingWorkx Kepware Edge 1.4-es és korábbi verziói;
Az alábbi termékek szintén érintettek:
- Rockwell Automation KEPServer Enterprise v6.12-esnél korábbi verziói;
- GE Digital Industrial Gateway Server v7.612-esnél korábbi verziói;
- Software Toolbox TOP Server v6.12-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2022-2848)/kritikus;
- Stack-based Buffer Overflow (CVE-2022-2825)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-10

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szólj hozzá!
PTC Baxter ICS sérülékenység Delta Electronics Fuji Electric Omron AVEVA Triangle MicroWorks Cognex Hitachi Energy Contec Health MZ Automation

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr4317928567

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása