Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCL

Sérülékenységek Moxa, Belden-Hirschmann, GE, Phoenix Contact, Digital Alert Systems, AVEVA, Omron, Hitachi Energy, Mitsubishi Electric, Horner Automation és Becton, Dickinson and Company (BD) rendszerekben

2022. december 07. - icscybersec

Bejelentés dátuma: 2022.11.22.
Gyártó: Moxa
Érintett rendszer(ek):
- UC-8100A-ME-T System Image v1.0-tól v1.6-ig terjedő verziói;
- UC-2100 System Image Versions v1.0-tól v1.12-ig terjedő verziói;
- UC-2100-W System Image Versions v1.0-tól v 1.12-ig terjedő verziói;
- UC-3100 System Image Versions v1.0-tól v1.6-ig terjedő verziói;
- UC-5100 System Image Versions v1.0-tól v1.4-ig terjedő verziói;
- UC-8100 System Image Versions v3.0-tól v3.5-ig terjedő verziói;
- UC-8100-ME-T System Image Versions v3.0 és v3.1 verziói;
- UC-8200 System Image v1.0-tól v1.5-ig terjedő verziói;
- AIG-300 System Image v1.0-tól v1.4-ig terjedő verziói;
- UC-8410A Debian 9 System Image Versions v4.0.2 és v4.1.2 verziói;
- UC-8580 Debian 9 System Image Versions v2.0 és v2.1 verziói;
- UC-8540 Debian 9 System Image Versions v2.0 és v2.1 verziói;
- DA-662C-16-LX (GLB) System Image Versions v1.0.2-től v1.1.2-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Privilege Escalation (CVE-2022-3088)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-326-05

Bejelentés dátuma: 2022.11.22.
Gyártó: GE
Érintett rendszer(ek):
- CIMPLICITY 2022-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Access of Uninitialized Pointer (CVE-2022-3084)/súlyos;
- Access of Uninitialized Pointer (CVE-2022-2952)/súlyos;
- Heap-based Buffer Overflow (CVE-2022-2948)/súlyos;
- Untrusted Pointer Dereference (CVE-2022-2002)/súlyos;
- Out-of-bounds Write (CVE-2022-3092)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-326-04

Bejelentés dátuma: 2022.11.22.
Gyártó: Phoenix Contact 
Érintett rendszer(ek):
- Automation Worx Software Suite Config+ 1.89-es és korábbi verziói;
- Automation Worx Software Suite PC Worx 1.89-es és korábbi verziói;
- Automation Worx Software Suite PC Worx Express 1.89-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3461)/súlyos;
- Out-of-bounds Read (CVE-2022-3737)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-326-03

Bejelentés dátuma: 2022.11.22.
Gyártó: Digital Alert Systems
Érintett rendszer(ek):
- A DASDEC vészhelyzeti kommunikációs rendszer minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2019-18265)/közepes;
- Cross-site Scripting (CVE-2022-40204 )/közepes;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-326-02

Bejelentés dátuma: 2022.11.22.
Gyártó: AVEVA 
Érintett rendszer(ek):
- AVEVA Edge 2020 R2 SP1
- AVEVA Edge 2020 R2 SP1 w/ HF 2020.2.00.40
- AVEVA Edge 2020 R2 és minden korábbi verziója (korábbi nevén InduSoft Web Studio)
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2016-2542)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-42794)/közepes;
- Improper Access Control (CVE-2021-42796)/kritikus;
- Path Traversal (CVE-2021-42797)súlyos;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-326-01

Bejelentés dátuma: 2022.11.23.
Gyártó: Belden-Hirschmann
Érintett rendszer(ek):
- Hirschmann HiLCOS OpenBAT, WLC, BAT450, BAT867, BATOne, BAT-Controler Virtual 8.60 és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Infinite loop (CVE-2021-42260)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.belden.com/dfsmedia/f1e38517e0cd4caa8b1acb6619890f5e/15089-source

Bejelentés dátuma: 2022.11.23.
Gyártó: Belden-Hirschmann
Érintett rendszer(ek):
- Hirschmann BAT-C2 09.12.01.00R01 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-40282)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.belden.com/dfsmedia/f1e38517e0cd4caa8b1acb6619890f5e/15088-source/

Bejelentés dátuma: 2022.11.23.
Gyártó: Belden-Hirschmann
Érintett rendszer(ek):
- Hirschmann BAT-C2 08.08.01.00R08 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command injection (CVE-2021-21872)/kritikus;
- Arbitrary Command Execution (CVE-2021-21873)/kritikus;
- Arbitrary Command Execution (CVE-2021-21875)/kritikus;
- Arbitrary Command Execution (CVE-2021-21876)/kritikus;
- Arbitrary Command Execution (CVE-2021-21877)/kritikus;
- Local File Inclusion (CVE-2021-21878)/közepes;
- Directory Traversal (CVE-2021-21879)/súlyos;
- Directory Traversal (CVE-2021-21880)/súlyos;
- OS Command injection (CVE-2021-21881)/kritikus;
- OS Command injection (CVE-2021-21882)/súlyos;
- OS Command injection (CVE-2021-21883)/kritikus;
- OS Command injection (CVE-2021-21884)/kritikus;
- Directory Traversal (CVE-2021-21885)/súlyos;
- Directory Traversal (CVE-2021-21886)/közepes;
- Stack-based Buffer Overflow (CVE-2021-21887)/kritikus;
- OS Command injection (CVE-2021-21888)/kritikus;
- Stack-based Buffer Overflow (CVE-2021-21889)/kritikus;
- Stack-based Buffer Overflow (CVE-2021-21890)/kritikus;
- Stack-based Buffer Overflow (CVE-2021-21891)/kritikus;
- Stack-based Buffer Overflow (CVE-2021-21892)/kritikus;
- Directory Traversal (CVE-2021-21894)/kritikus;
- Directory Traversal (CVE-2021-21895)/súlyos;
- Directory Traversal (CVE-2021-21896)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.belden.com/dfsmedia/f1e38517e0cd4caa8b1acb6619890f5e/15087-source/

Bejelentés dátuma: 2022.11.24.
Gyártó: Moxa
Érintett rendszer(ek):
- TN-5916 sorozatú eszközök v3.2-es és korábbi firmware-verziói;
- EDR-810 sorozatú eszközök v5.12 és korábbi firmware-verziói;
- EDR-G902 sorozatú eszközök v5.7 és korábbi firmware-verziói;
- EDR-G903 sorozatú eszközök v5.7 és korábbi firmware-verziói;
- TN-4900 sorozatú eszközök v1.0-s firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2022-41758)/n/a;
- Improper Input Validation (CVE-2022-41759)/n/a;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/multiple-routers-improper-input-validation-vulnerabilities

Bejelentés dátuma: 2022.11.25.
Gyártó: Moxa
Érintett rendszer(ek):
- TN-5916 sorozatú eszközök v3.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cookie Modification Privilege Escalation (n/a)/n/a
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/tn-5916-series-privilege-escalation-vulnerability

Bejelentés dátuma: 2022.11.25.
Gyártó: Omron
Érintett rendszer(ek):
- CX-Programmer v.9.77-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use-after-free (CVE-2022-43508)/súlyos;
- Out-of-bounds Write (CVE-2022-43509)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-43667)/súlyos;
Javítás: Elérhető
Link a publikációhoz: http://jvn.jp/en/vu/JVNVU92877622/index.html

Bejelentés dátuma: 2022.11.29.
Gyártó: Hitachi Energy 
Érintett rendszer(ek):
- PCM600 v2.11-es és korábbi verziói;
- 670 Connectivity Package 3.0-tól 3.4.1-ig terjedő verziói;
- 650 Connectivity Package 1.3-tól 2.4.1-ig terjedő verziói;
- SAM600-IO Connectivity Package 1.0-tól 1.2-ig terjedő verziói;
- GMS600 Connectivity Package 1.3-tól 1.3.1-ig terjedő verziói;
- PWC600 Connectivity Package 1.1-től 1.3-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2022-2513)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-333-02

Bejelentés dátuma: 2022.11.29.
Gyártó: Mitsubishi Electric 
Érintett rendszer(ek):
- GT27-es modell FTP szerverének 01.39.000 és korábbi verziói;
- GT25-ös modell FTP szerverének 01.39.000 és korábbi verziói;
- GT23-as modell FTP szerverének 01.39.000 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-40266)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-333-01

Bejelentés dátuma: 2022.11.29.
Gyártó: Mitsubishi Electric 
Érintett rendszer(ek):
- GX Works3 mérnöki szoftver 1.000A-tól 1.011M-ig terjedő verziói;
- GX Works3 mérnöki szoftver 1.015R-től 1.086Q-ig terjedő verziói;
- GX Works3 mérnöki szoftver 1.087R és későbbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2022-25164)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2022-29826)/közepes;
- Use of Hard-coded Password (CVE-2022-29825)/közepes;
- Use of Hard-coded Password (CVE-2022-29831)/súlyos;
- Insufficiently Protected Credentials (CVE-2022-29833)/közepes;
- Use of Hard-coded Cryptographic Key (CVE-2022-29827)/közepes;
- Use of Hard-coded Cryptographic Key (CVE-2022-29828)/közepes;
- Use of Hard-coded Cryptographic Key (CVE-2022-29829)/közepes;
- Use of Hard-coded Cryptographic Key (CVE-2022-29830)/kritikus;
- Cleartext Storage of Sensitive Information in Memory (CVE-2022-29832)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-333-05

Bejelentés dátuma: 2022.11.29.
Gyártó: Moxa
Érintett rendszer(ek):
- UC-8580 sorozatú IIoT átjáró V1.1-es verziója;
- UC-8540 sorozatú IIoT átjáró V1.0-tól V1.2-ig terjedő verziói;
- UC-8410A sorozatú IIoT átjáró V2.2-es verziója;
- UC-8200 sorozatú IIoT átjáró V1.0-tól V2.4-ig terjedő verziói;
- UC-8100A-ME-T sorozatú IIoT átjáró V1.0-tól V1.1-ig terjedő verziói;
- UC-8100 sorozatú IIoT átjáró V1.2-től V1.3-ig terjedő verziói;
- UC-5100 sorozatú IIoT átjáró V1.2-es verziója; 
- UC-3100 sorozatú IIoT átjáró V1.2-től V2.0-ig terjedő verziói;
- UC-2100 sorozatú IIoT átjáró V1.3-tól V1.5-ig terjedő verziói;
- UC-2100-W sorozatú IIoT átjáró V1.3-tól V1.5-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Physical Access Control (CVE-2022-3086)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-333-04

Bejelentés dátuma: 2022.11.29.
Gyártó: Hitachi Energy 
Érintett rendszer(ek):
- MicroSCADA Pro/X SYS600 10.4-es és korábbi verziói;
- MicroSCADA Pro/X SYS600 9.4 FP2 Hotfix 4-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-3388)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-333-03

Bejelentés dátuma: 2022.12.01.
Gyártó: Horner Automation
Érintett rendszer(ek):
- Remote Compact Controller (RCC) 972 15.40-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-2640)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2022-2641)/kritikus;
- Excessive Reliance on Global Variables (CVE-2022-2642)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-335-02

Bejelentés dátuma: 2022.12.01.
Gyártó: Mitsubishi Electric 
Érintett rendszer(ek):
- Mitsubishi Electric MELSEC iQ-R sorozat RJ71EN71 modelljének "65"-ös és korábbi firmware-verziói;
- R04/08/16/32/120ENCPU hálózati részegységének "65"-ös és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-40265)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-335-01

Bejelentés dátuma: 2022.12.01.
Gyártó: Becton, Dickinson and Company (BD) 
Érintett rendszer(ek):
- BD BodyGuard;
- CME BodyGuard 323 (2. kiadás);
- CME BodyGuard 323 Color Vision (2. kiadás);
- CME BodyGuard 323 Color Vision (3. kiadás);
- CME BodyGuard Twins (2. kiadás);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Protection Mechanism for Alternate Hardware Interface (CVE-2022-43557)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-335-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr6817995446

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása