Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCLIX

Sérülékenységek Belden, EnOcean Edge, Control By Web, LS ELECTRIC, Johnson Controls és Horner Automation rendszerekben

Facebook Tumblr Tweet Pinterest Tetszik
0
2023. február 15. - icscybersec

Bejelentés dátuma: 2023.01.30.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann HiSecOS EAGLE 03.4.00-tól 04.0.xx-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Privilege escalation (n/a)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://dam.belden.com/dmm3bwsv3/assetstream.aspx?assetid=15437&mediaformatid=50063&destinationid=10016

Bejelentés dátuma: 2023.02.07.
Gyártó: EnOcean Edge Inc
Érintett rendszer(ek):
- i.LON Vision v2.2 SR8/SP8 (4.12.006) verzióval használt EnOcean SmartServer v2.2 SR8/SP8 (4.12.006)
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-3089)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-037-01

Bejelentés dátuma: 2023.02.09.
Gyártó: Control By Web
Érintett rendszer(ek):
- X-400 webes I/O vezérlő minden, 2.8-nál korábbi firmware-verziója;
- X-600M webes I/O vezérlő minden, 1.16.00-nál korábbi firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Scripting (CVE-2023-23553)/közepes;
- Code Injection (CVE-2023-23551)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-040-01

Bejelentés dátuma: 2023.02.09.
Gyártó: LS ELECTRIC
Érintett rendszer(ek):
- XBC-DN32U típusú PLC teljesítmény modulok 01.80-as operációs rendszer verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-22803)/súlyos;
- Missing Authentication for Critical Function (CVE-2023-22804)/kritikus;
- Improper Access Control (CVE-2023-22805)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2023-22806)/súlyos;
- Improper Access Control (CVE-2023-22807)/kritikus;
- Missing Authentication for Critical Function (CVE-2023-0102)/kritikus;
- Access of Memory Location After End of Buffer (CVE-2023-0103)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hibák javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-040-02

Bejelentés dátuma: 2023.02.09.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- System Configuration Tool (SCT) 14-es verziójának 14.2.3-nál korábbi alverziói;
- System Configuration Tool (SCT) 15-ös verziójának 15.0.3-nál korábbi alverziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Sensitive Cookie Without ‘HttpOnly’ Flag (CVE-2022-21939)/súlyos;
- Sensitive Cookie in HTTPS Session Without 'Secure' Attribute (CVE-2022-21940)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-040-03

Bejelentés dátuma: 2023.02.09.
Gyártó: Horner Automation
Érintett rendszer(ek):
- Cscape Envision RV 4.60-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-0621)/súlyos;
- Out-of-bounds Write (CVE-2023-0623)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-040-04

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szólj hozzá!
Belden ICS sérülékenység Johnson Controls Horner Automation EnOcean Edge Control By Web LS ELECTRIC

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr818046434

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása