Bejelentés dátuma: 2022.09.13.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- TXpert Hub CoreTec 4 2.0.0 és 2.0.1-es verziói;
- TXpert Hub CoreTec 4 2.1.0, 2.1.1, 2.1.2 és 2.1.3-as verziói;
- TXpert Hub CoreTec 4 2.2.0 és 2.2.1-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Off-by-one Error (CVE-2021-3156)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-256-01
Bejelentés dátuma: 2022.09.13.
Gyártó: Honeywell
Érintett rendszer(ek):
- SoftMaster 4.51;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2022-2333)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2022-2332)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-256-02
Bejelentés dátuma: 2022.09.13.
Gyártó: Kingspan
Érintett rendszer(ek):
- Kingspan TMS300 CS minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2022-2757)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-256-04
Bejelentés dátuma: 2022.09.13.
Gyártó: Delta Industrial Automation
Érintett rendszer(ek):
- DIAEnergie 1.8.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-3214)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-256-03
Bejelentés dátuma: 2022.09.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SINEC INS V1.0 SP2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2020-7793)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-12762)/súlyos;
- Server-Side Request Forgery (CVE-2020-28168)/közepes;
- Improper Input Validation (CVE-2020-28500)/közepes;
- Uncontrolled Resource Consumption (CVE-2021-3749)/súlyos;
- Improper Input Validation (CVE-2021-4160)/közepes;
- Command Injection (CVE-2021-23337)/súlyos;
- Inadequate Encryption Strength (CVE-2021-23839)/alacsony;
- Missing Encryption of Sensitive Data (CVE-2021-23841)/közepes;
- Improper Input Validation (CVE-2021-25220)/súlyos;
- Improper Restriction of Operations Within the Bounds of a Memory Buffer (CVE-2021-25217)/közepes;
- Exposure of Private Personal Information to an Unauthorized Actor (CVE-2022-0155)/közepes;
- Open Redirect (CVE-2022-0235)/közepes;
- Improper Resource Shutdown or Release (CVE-2022-0396)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2022.09.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7 kompatibilies Mendix SAML Modulok minden, V1.17.0-nál korábbi verziója;
- Mendix 8 kompatibilies Mendix SAML Modulok minden, V2.3.0-nál korábbi verziója;
- Mendix 9 kompatibilies Mendix SAML Modulok minden, V3.3.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Capture-replay (CVE-2022-37011)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2022.09.13.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROS RMC8388 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS416Pv2 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS416v2 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900 (32M) minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900G (32M) minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG907R minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG908C minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG909R minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG910C minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG920P minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100 (32M) minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2288 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2300 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2300P minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2488 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSL910 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST916C minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST916P minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST2228 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST2228P minden, V5.6.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-39158)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2022.09.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid, a 3D geometric modeling tool All versions prior V35.0.164
- Simcenter Femap, a modeling and simulation software V2022.1 All versions prior to V2022.1.3
- Simcenter Femap, a modeling and simulation software V2022.2 All versions prior to V2022.2.2
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-Bounds Read (CVE-2022-39137)/alacsony;
- Out-of-Bounds Write (CVE-2022-39138)/súlyos;
- Out-of-Bounds Write (CVE-2022-39139)/súlyos;
- Out-of-Bounds Write (CVE-2022-39140)/súlyos;
- Out-of-Bounds Read (CVE-2022-39141)/alacsony;
- Out-of-Bounds Write (CVE-2022-39142)/súlyos;
- Out-of-Bounds Write (CVE-2022-39143)súlyos;
- Out-of-Bounds Write (CVE-2022-39144)/súlyos;
- Out-of-Bounds Read (CVE-2022-39145)/súlyos;
- Access of Uninitialized Pointer (CVE-2022-39146)/súlyos;
- Access of Uninitialized Pointer (CVE-2022-39147)/súlyos;
- Out-of-Bounds Write (CVE-2022-39148)/súlyos;
- Out-of-Bounds Write (CVE-2022-39149)/súlyos;
- Out-of-Bounds Write (CVE-2022-39150)/súlyos;
- Out-of-Bounds Write (CVE-2022-39151)/súlyos;
- Out-of-Bounds Write (CVE-2022-39152)/súlyos;
- Out-of-Bounds Read (CVE-2022-39153)/súlyos;
- Out-of-Bounds Write (CVE-2022-39154)/súlyos;
- Out-of-Bounds Write (CVE-2022-39155)/súlyos;
- Out-of-Bounds Read (CVE-2022-39156 )/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2022.09.13.
Gyártó: Siemens Mobility
Érintett rendszer(ek):
- CoreShield OWG Software minden, 2.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-38466)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2022.09.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Machine SCADA Expert 2020 Service Pack 2 V20.0.2-es és korábbi verziói;
- BLUE Open Studio 2020 Service Pack 2 V20.0.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric
A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.