Bejelentés dátuma: 2023.01.31.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DOPSoft (HMI szerkesztő szoftver) 4.00.16.22-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-0123)/súlyos;
- Out-of-bounds Write (CVE-2023-0124)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-031-01
Bejelentés dátuma: 2023.02.02.
Gyártó:
Érintett rendszer(ek):
Az alábbi Cisco IOS XE szoftvert futtató eszközök, ha engedélyezve van a Cisco IOx funkció:
- 800-as sorozatú ipari routerek;
- CGR1000 típusú eszközök;
- IC3000-es ipari átjárók 1.2.1-es és későbbi firmware-verziói;
- IR510 WPAN ipari routerek;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Remote Code Execution (CVE-2023-20076)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iox-8whGn5dL
Bejelentés dátuma: 2023.02.02.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DIAScreen 1.2.1.23-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-0250)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-0251)/súlyos;
- Out-of-bounds Write (CVE-2023-0249)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-033-01
Bejelentés dátuma: 2023.02.02.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GOT2000 sorozatú eszközök
- GT27 modell GOT Mobile 01.14.000–től 01.47.000-ig terjedő verziói;
- GT25 modell GOT Mobile 01.14.000–től 01.47.000-ig terjedő verziói;
- GT SoftGOT2000 1.265B–től 1.285X-ig terjedő szoftver verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Spoofing (CVE-2022-40269)/közepes;
- Improper Restriction of Rendered UI Layers or Frames/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-033-02
Bejelentés dátuma: 2023.02.02.
Gyártó: Baicells Technologies
Érintett rendszer(ek):
Az alábbi, RTS/RTD 3.6.6-os firmware-verziót futtató Nova LTE TDD eNodeB eszközök:
- Nova 227;
- Nova 233;
- Nova 243;
- Nova 246;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-24508)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-033-03
Bejelentés dátuma: 2023.02.02.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DVW-W02W2-E2 típusú ipari Ethernet router 2.42-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-42139)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-033-04
Bejelentés dátuma: 2023.02.02.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DX-2100-L1-CN típusú ipari Ethernet router 1.5.0.10-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-42140)/súlyos;
- Cross-site Scripting (CVE-2023-0432)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-033-05
Bejelentés dátuma: 2023.02.02.
Gyártó: Moxa
Érintett rendszer(ek):
- SDS-3008-as sorozatú eszközök 2.1-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-40693)/n/a;
- Insufficient Resource Pool (CVE-2022-40224)/n/a;
- Improper Neutralization of Input During Web Page Generation (CVE-2022-41311)/n/a;
- Improper Neutralization of Input During Web Page Generation (CVE-2022-41312)/n/a;
- Improper Neutralization of Input During Web Page Generation (CVE-2022-41313)/n/a;
- Information Exposure (CVE-2022-40691)/n/a;
Javítás: Elérhető a gyártó támogatási központján keresztül.
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/sds-3008-series-multiple-web-vulnerabilities
A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.
