Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCXLVI

Sérülékenységek Delta Electronics, CKS, Hitachi Energy, Siemens, HEIDENHAIN, Haas Automation, AliveCor, Rockmwell Automation, SAUTER Controls és Trihedral rendszerekben

2022. november 02. - icscybersec

Bejelentés dátuma: 2022.10.25.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- InfraSuite Device Master 00.00.01a és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2022-41778)/kritikus;
- Deserialization of Untrusted Data (CVE-2022-38142)/kritikus;
- Deserialization of Untrusted Data (CVE-2022-41779)/súlyos;
- Path Traversal (CVE-2022-41657)/kritikus;
- Path Traversal (CVE-2022-41772)/kritikus;
- Missing Authentication for Critical Function (CVE-2022-40202)/kritikus;
- Missing Authentication for Critical Function (CVE-2022-41688)/kritikus;
- Missing Authentication for Critical Function (CVE-2022-41644)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-41776)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-41629)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-298-07

Bejelentés dátuma: 2022.10.25.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DIAEnergie v1.9.01.002-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-41701)/súlyos;
- Cross-site Scripting (CVE-2022-40965)/súlyos;
- Cross-site Scripting (CVE-2022-41555)/súlyos;
- Cross-site Scripting (CVE-2022-41702)/súlyos;
- Cross-site Scripting (CVE-2022-41651)/súlyos;
- SQL Injection (CVE-2022-40965)/súlyos;
- SQL Injection (CVE-2022-41133)/súlyos;
- SQL Injection (CVE-2022-41773)/súlyos;
Javítás: Elérhető a gyártó ügyfélszolgálatánál.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-298-06

Bejelentés dátuma: 2022.10.25.
Gyártó: CKS (Johnson Controls leányvállalat)
Érintett rendszer(ek):
- CEVAS 1.01.46-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-36206)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-298-05

Bejelentés dátuma: 2022.10.25.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MicroSCADA X-szel integrált DMS600 4.5-ös verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Reliance on Uncontrolled Component (CVE-2021-32027)/súlyos;
- Reliance on Uncontrolled Component (CVE-2021-32028)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-298-04

Bejelentés dátuma: 2022.10.25.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Siveillance Video V22.2a(80)-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Weak Authentication (Weak Authentication)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-298-03

Bejelentés dátuma: 2022.10.25.
Gyártó: HEIDENHAIN
Érintett rendszer(ek):
- HEIDENHAIN Controller TNC 640 340590 07 SP5, ami HEROS 5.08.3-as verziót futtat, ha HARTFORD 5A-65E CNC gépet vezérel;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2022-41648)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a javításon.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-298-02

Bejelentés dátuma: 2022.10.25.
Gyártó: Haas Automation
Érintett rendszer(ek):
- Haas Controller 100.20.000.1110-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-2474)/kritikus;
- Insufficient Granularity of Access Control (CVE-2022-2475)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2022-41636)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-298-01

Bejelentés dátuma: 2022.10.25.
Gyártó: AliveCor
Érintett rendszer(ek):
- Kardia App Android alkalmazás 5.17.1-754993421-es és korábbi verziói;
- KardiaMobile IoT eszköz minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Assumed-immutable Data (CVE-2022-40703)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-41627)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-298-01

Bejelentés dátuma: 2022.10.27.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Alarm and Events Server minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-38744)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-300-01

Bejelentés dátuma: 2022.10.27.
Gyártó: SAUTER Controls
Érintett rendszer(ek):
- SAUTER moduWeb 2.7.1-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-40190)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-300-02

Bejelentés dátuma: 2022.10.27.
Gyártó: Rockwell Automation
Érintett rendszer(ek): Cisco IOS XE és Cisco IOS szoftverek az alábbi berendezésekben:
- Stratix 5800 switch-ek minden, v16.12.01-nél korábbi verziója;
- Stratix 5400/5410 switch-ek minden, v15.2(7)E2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Authorization (CVE-2020-3229)/súlyos;
- Improper Input Validation (CVE-2020-3219)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2021-1446)/súlyos;
- Interpretation Conflict (CVE-2020-3200)/súlyos;
- OS Command Injection (CVE-2020-3211)/súlyos;
- Improper Input Validation (CVE-2020-3218)/súlyos;
- Improper Verification of Cryptographic Signature (CVE-2020-3209)/közepes;
- Path Traversal (CVE-2021-1385)/közepes;
- Improper Input Validation (CVE-2020-3516)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-300-03

Bejelentés dátuma: 2022.10.27.
Gyártó: Trihedral
Érintett rendszer(ek):
- VTScada 12.0.38-as verziója, amennyiben úgy konfigurálták őket, hogy fogadják a http/https kapcsolatokat;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-3181)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-300-04

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr4317966478

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása