Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCXLVIII

Sérülékenységek Belden, Schneider Electric, Siemens, Omron és Moxa rendszerekben

2022. november 16. - icscybersec

Bejelentés dátuma: 2022.10.24.
Gyártó: Belden
Érintett rendszer(ek):
- Belden Provize Basic 01.1.01;
- Hirschmann Network Management Industrial HiVision 08.2.00 és korábbi verziói;
- Hirschmann Network Management HiFusion 04.2.00 és korábbi verziói;
- Hirschmann Network Management HiView 04.2.00 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Java SE vulnerability (CVE-2022-21449)/súlyos;
- Java SE vulnerability (CVE-2022-21476)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://dam.belden.com/dmm3bwsv3/assetstream.aspx?assetid=14996&mediaformatid=50063&destinationid=10016

Bejelentés dátuma: 2022.11.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- NetBotz 4 - 355/450/455/550/570 V4.7.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-43376)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-43377)/közepes;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2022-43378)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SINEC NMS v1.0.3-nál korábbi összes verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2021-42550)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) minden verziója;
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) minden verziója;
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2002-20001)/súlyos;
- Classic Buffer Overflow (CVE-2022-37885)/kritikus;
- Classic Buffer Overflow (CVE-2022-37886)/kritikus;
- Classic Buffer Overflow (CVE-2022-37887)/kritikus;
- Classic Buffer Overflow (CVE-2022-37888)/kritikus;
- Classic Buffer Overflow (CVE-2022-37889)/kritikus;
- Classic Buffer Overflow (CVE-2022-37890)/kritikus;
- Classic Buffer Overflow (CVE-2022-37891)/kritikus;
- Cross-site Scripting (CVE-2022-37892)/kritikus;
- Cross-site Scripting (CVE-2022-37896)/kritikus;
- Command Injection (CVE-2022-37893)/kritikus;
- Improper Input Validation (CVE-2022-37894)/kritikus;
- Improper Input Validation (CVE-2022-37895)/kritikus;
Javítás: Nincs információ
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden, V14.1.0.4-nél korábbi verziója;
- Teamcenter Visualization V13.3 minden verziója;
- Teamcenter Visualization V13.3 minden, V13.3.0.7-nél korábbi verziója;
- Teamcenter Visualization V14.0 minden, V14.0.0.3-nál korábbi verziója;
- Teamcenter Visualization V14.1 minden, V14.1.0.4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2022-39136)/súlyos;
- Out-of-bounds Write (CVE-2022-41660)/súlyos;
- Out-of-bounds Read (CVE-2022-41661)/súlyos;
- Out-of-bounds Read (CVE-2022-41662)/súlyos;
- Use After Free (CVE-2022-41663)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-41664)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens QMS Automotive minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information in Memory (CVE-2022-43958)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROS i800 V4.X minden verziója;
- RUGGEDCOM ROS i801 V4.X minden verziója;
- RUGGEDCOM ROS i802 V4.X minden verziója;
- RUGGEDCOM ROS i803 V4.X minden verziója;
- RUGGEDCOM ROS RMC30 V4.X minden verziója;
- RUGGEDCOM ROS RMC8388 V4.X minden verziója;
- RUGGEDCOM ROS RP110 V4.X minden verziója;
- RUGGEDCOM ROS RS1600 V4.X minden verziója;
- RUGGEDCOM ROS RS1600F V4.X minden verziója;
- RUGGEDCOM ROS RS1600T V4.X minden verziója;
- RUGGEDCOM ROS RS400 V4.X minden verziója;
- RUGGEDCOM ROS RS401 V4.X minden verziója;
- RUGGEDCOM ROS RS416Pv2 V4.X minden verziója;
- RUGGEDCOM ROS RS416v2 V4.X minden verziója;
- RUGGEDCOM ROS RS8000 V4.X minden verziója;
- RUGGEDCOM ROS RS8000A V4.X minden verziója;
- RUGGEDCOM ROS RS8000H V4.X minden verziója;
- RUGGEDCOM ROS RS8000T V4.X minden verziója;
- RUGGEDCOM ROS RS900 (32M) V4.X minden verziója;
- RUGGEDCOM ROS RS900 V4.X minden verziója;
- RUGGEDCOM ROS RS900G (32M) V4.X minden verziója;
- RUGGEDCOM ROS RS900G V4.X minden verziója;
- RUGGEDCOM ROS RS900GP V4.X minden verziója;
- RUGGEDCOM ROS RS900L V4.X minden verziója;
- RUGGEDCOM ROS RS900M V4.X minden verziója;
- RUGGEDCOM ROS RS900W V4.X minden verziója;
- RUGGEDCOM ROS RS910 V4.X minden verziója;
- RUGGEDCOM ROS RS910L V4.X minden verziója;
- RUGGEDCOM ROS RS910W V4.X minden verziója;
- RUGGEDCOM ROS RS920L V4.X minden verziója;
- RUGGEDCOM ROS RS920W V4.X minden verziója;
- RUGGEDCOM ROS RS930L V4.X minden verziója;
- RUGGEDCOM ROS RS930W V4.X minden verziója;
- RUGGEDCOM ROS RS940G V4.X minden verziója;
- RUGGEDCOM ROS RSG2100 (32M) V4.X minden verziója;
- RUGGEDCOM ROS RSG2100 V4.X minden verziója;
- RUGGEDCOM ROS RSG2100P V4.X minden verziója;
- RUGGEDCOM ROS RSG2200 V4.X minden verziója;
- RUGGEDCOM ROS RSG2288 V4.X minden verziója;
- RUGGEDCOM ROS RSG2300 V4.X minden verziója;
- RUGGEDCOM ROS RSG2300P V4.X minden verziója;
- RUGGEDCOM ROS RSG2488 V4.X minden verziója;
- RUGGEDCOM ROS RSG920P V4.X minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-39158)/közepes;
Javítás: Nincs információ
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- SINUMERIK ONE minden verziója;
- SINUMERIK MC minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2022-38465)/kritikus
Javítás: Nincs információ
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Drive Controller család minden verziója;
- SIMATIC ET 200pro IM154-8 PN/DP CPU (6ES7154-8AB01-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC ET 200pro IM154-8F PN/DP CPU (6ES7154-8FB01-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC ET 200pro IM154-8FX PN/DP CPU (6ES7154-8FX00-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC ET 200S IM151-8 PN/DP CPU (6ES7151-8AB01-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC ET 200S IM151-8F PN/DP CPU (6ES7151-8FB01-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC PC Station minden, V2.1-es és későbbi verziója;
- SIMATIC S7-300 CPU 314C-2 PN/DP (6ES7314-6EH04-0AB0) minden, V3.3.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 315-2 PN/DP (6ES7315-2EH14-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 315F-2 PN/DP (6ES7315-2FJ14-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 315T-3 PN/DP (6ES7315-7TJ10-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 317-2 PN/DP (6ES7317-2EK14-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 317F-2 PN/DP (6ES7317-2FK14-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 317T-3 PN/DP (6ES7317-7TK10-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 317TF-3 PN/DP (6ES7317-7UL10-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 319-3 PN/DP (6ES7318-3EL01-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 319F-3 PN/DP (6ES7318-3FL01-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-400 PN/DP V6 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-400 PN/DP V7 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1200 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1500 CPU family (beleértve az ET 200-as CPU-kat és a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1500 Software Controller minden verziója;
- SIMATIC S7-PLCSIM Advanced minden verziója;
- SIMATIC WinCC Runtime Advanced minden verziója;
- SINUMERIK ONE minden verziója;
- SIPLUS ET 200S IM151-8 PN/DP CPU (6AG1151-8AB01-7AB0) minden, V3.2.19-nél korábbi verziója;
- SIPLUS ET 200S IM151-8F PN/DP CPU (6AG1151-8FB01-2AB0) minden, V3.2.19-nél korábbi verziója;
- SIPLUS S7-300 CPU 314C-2 PN/DP (6AG1314-6EH04-7AB0) minden, V3.3.19-nél korábbi verziója;
- SIPLUS S7-300 CPU 315-2 PN/DP (6AG1315-2EH14-7AB0) minden, V3.2.19-nél korábbi verziója;
- SIPLUS S7-300 CPU 315F-2 PN/DP (6AG1315-2FJ14-2AB0) minden, V3.2.19-nél korábbi verziója;
- SIPLUS S7-300 CPU 317-2 PN/DP (6AG1317-2EK14-7AB0) minden, V3.2.19-nél korábbi verziója;
- SIPLUS S7-300 CPU 317F-2 PN/DP (6AG1317-2FK14-2AB0) minden, V3.2.19-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Request Forgery (CSRF) (CVE-2022-30694)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid V34.0 minden, V34.0.252-nél korábbi változata;
- Parasolid V34.0 minden, V34.0.254-nél korábbi változata;
- Parasolid V34.1 minden, V34.1.242-nél korábbi változata;
- Parasolid V34.1 minden, V34.1.244-nél korábbi változata;
- Parasolid V35.0 minden, V35.0.184-nél korábbi változata;
- Parasolid V35.0 minden, V35.0.170-nél korábbi változata;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-39157)/súlyos;
- Out-of-bounds Write (CVE-2022-43397)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- POWER METER SICAM Q100 (7KG9501-0AA01-2AA1) minden, V2.50-nél korábbi verziója;
- POWER METER SICAM Q100 (7KG9501-0AA31-2AA1) minden, V2.50-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Session Fixation (CVE-2022-43398)/súlyos;
- Improper Input Validation (CVE-2022-43439)/kritikus;
- Improper Input Validation (CVE-2022-43545)/kritikus;
- Improper Input Validation (CVE-2022-43546)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2022.11.10.
Gyártó: Omron
Érintett rendszer(ek):
- NX7-sorozatú Machine Automation Controller (minden modell) 1.28-as és korábbi verziói;
- NX1-sorozatú Machine Automation Controller (minden modell) 1.48-as és korábbi verziói;
- NJ-sorozatú Machine Automation Controller (minden modell) 1.48-as és korábbi verziói;
- Automation Software Sysmac Studio (minden modell) 1.49-es és korábbi verziói;
- NA-sorozatú programozható terminálok (NA5-15W, NA5-12W, NA5-9W, NA5-7W) 1.15-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Hard-coded Credentials (CVE-2022-34151)/kritikus;
- Authentication Bypass by Capture-replay (CVE-2022-33208)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-314-08

Bejelentés dátuma: 2022.11.10.
Gyártó: Omron
Érintett rendszer(ek):
- NX7-sorozatú Machine Automation Controller (minden modell) 1.28-as és korábbi verziói;
- NX1-sorozatú Machine Automation Controller (minden modell) 1.48-as és korábbi verziói;
- NJ-sorozatú Machine Automation Controller (minden modell) 1.48-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Active Debug Code (CVE-2022-33971)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-314-07

Bejelentés dátuma: 2022.11.11.
Gyártó: Moxa
Érintett rendszer(ek):
- VPort P16-1MP-M12 v1.3-as és korábbi firmware-verziói;
- VPort P16-1MP-M12-IR v1.4-es és korábbi firmware-verziói;
- VPort P06-1MP-M12 v2.6-os és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Multiple Format String (CVE-2022-38157)/n/a
- Multiple Buffer Overflows (CVE-2022-31858)/n/a
- NULL Pointer Dereference (CVE-2022-38159)/n/a
Javítás: Elérhető a Moxa Technical Support-nál.
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/moxa-vport-series-improper-input-validation-vulnerability

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr5917979608

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása