Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCLXIII

Sérülékenységek AVEVA, GE Digital, Autodesk, Rockwell Automation, Honeywell, Siemens és Omron rendszerekben

2023. március 22. - icscybersec

Bejelentés dátuma: 2023.03.14.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA Plant SCADA 2023, AVEVA Plant SCADA 2020R2 Update 10-es és minden korábbi verziója;
- AVEVA Telemetry Server 2020 R2 SP1-es és minden korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2023-1256)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-04

Bejelentés dátuma: 2023.03.14.
Gyártó: GE Digital
Érintett rendszer(ek):
- GE Digital Proficy iFIX 2022;
- GE Digital Proficy iFIX v6.1;
- GE Digital Proficy iFIX v6.5;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-0598)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-03

Bejelentés dátuma: 2023.03.14.
Gyártó: Autodesk
Érintett rendszer(ek):
- Autodesk FBX SDK versions 2020-as és korábbi verziói;
- Luxion KeyShot version 11.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-41302)/súlyos;
- Use After Free (CVE-2022-41303)/súlyos;
- Out-of-bounds Write (CVE-2022-41304)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-02

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) minden verziója;
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) minden verziója;
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézekdések bevezetését javasolja.
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7 kompatibilis Mendix SAML 1.16.4-től 1.17.2-ig terjedő verziói;
- Mendix 8 kompatibilis Mendix SAML 2.2.0-tól 2.2.3-ig terjedő verziói;
- Mendix 9 (New Track) kompatibilis Mendix SAML 3.1.9-től 3.2.5-ig terjedő verziói;
- Mendix 9 (Upgrade Track) kompatibilis Mendix SAML 3.1.9-től 3.2.5-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Implementation of Authentication Algorithm (CVE-2023-25957)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM CROSSBOW minden, V5.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authorization (CVE-2023-27462)/alacsony;
- SQL Injection (CVE-2023-27463)/magas;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) minden, v7.2-nél korábbi verziója;
- RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M804PB (6GK5804-0AP00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M812-1 ADSL-Router (Annex A) (6GK5812-1AA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M812-1 ADSL-Router (Annex B) (6GK5812-1BA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M816-1 ADSL-Router (Annex A) (6GK5816-1AA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M816-1 ADSL-Router (Annex B) (6GK5816-1BA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) minden, v7.2-nél korábbi verziója;
- SCALANCE M874-2 (6GK5874-2AA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M874-3 (6GK5874-3AA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M876-3 (EVDO) (6GK5876-3AA02-2BA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M876-4 (6GK5876-4AA10-2BA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) minden, v7.2-nél korábbi verziója;
- SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) minden, v7.2-nél korábbi verziója;
- SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) minden, v7.2-nél korábbi verziója;
- SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) minden, v7.2-nél korábbi verziója;
- SCALANCE S615 (6GK5615-0AA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE S615 EEC (6GK5615-0AA01-2AA2) minden, v7.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2018-25032)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2019-1125)/közepes;
- Out-of-bounds Write (CVE-2021-4034)/súlyos;
- Improper Locking (CVE-2021-4149)/közepes;
- Improper Input Validation (CVE-2021-26401)/közepes;
- NULL Pointer Dereference (CVE-2021-42373)/közepes;
- Out-of-bounds Read (CVE-2021-42374)/közepes;
- Improper Input Validation (CVE-2021-42375)/közepes;
- NULL Pointer Dereference (CVE-2021-42376)/közepes;
- Release of Invalid Pointer or Reference (CVE-2021-42377)/közeps;
- Use After Free (CVE-2021-42378)/közepes;
- Use After Free (CVE-2021-42379)/közepes;
- Use After Free (CVE-2021-42380)/közepes;
- Use After Free (CVE-2021-42381)/közepes;
- Use After Free (CVE-2021-42382)/közepes;
- Use After Free (CVE-2021-42383)/közepes;
- Use After Free (CVE-2021-42384)/közepes;
- Use After Free (CVE-2021-42385)/közepes;
- Use After Free (CVE-2021-42386)/közepes;
- Improper Input Validation (CVE-2022-0001)/közepes;
- Improper Input Validation (CVE-2022-0002)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-0494)/közepes;
- Improper Authentication (CVE-2022-0547)/kritikus;
- Use After Free (CVE-2022-1011)/súlyos;
- Use After Free (CVE-2022-1016)/közepes;
- Use After Free (CVE-2022-1198)/közepes;
- Use After Free (CVE-2022-1199)/súlyos;
- OS Command Injection (CVE-2022-1292)/kritikus;
- Out-of-bounds Write (CVE-2022-1304)/súlyos;
- Improper Certificate Validation (CVE-2022-1343)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-1353)/súlyos;
- Improper Resource Shutdown or Release (CVE-2022-1473)/súlyos;
- Use After Free (CVE-2022-1516)/közepes;
- Use After Free (CVE-2022-1652)/súlyos;
- Race Condition (CVE-2022-1729)/súlyos;
- Use After Free (CVE-2022-1734)/súlyos;
- Use After Free (CVE-2022-1974)/közepes;
- Uncaught Exception (CVE-2022-1975)/közepes;
- Out-of-bounds Write (CVE-2022-2380)/közepes;
- Improper Input Validation (CVE-2022-2588)/súlyos;
- Integer Underflow (Wrap or Wraparound) (CVE-2022-2639)/súlyos;
- Use After Free (CVE-2022-20158)/közepes;
- Race Condition (CVE-2022-23036)/súlyos;
- Race Condition (CVE-2022-23037)/súlyos;
- Race Condition (CVE-2022-23038)/súlyos;
- Race Condition (CVE-2022-23039)/súlyos;
- Race Condition (CVE-2022-23040)/súlyos;
- Race Condition (CVE-2022-23041)/súlyos;
- Race Condition (CVE-2022-23042)/súlyos;
- Use After Free (CVE-2022-23308)/súlyos;
- Classic Buffer Overflow (CVE-2022-26490)/súlyos;
- Improper Input Validation (CVE-2022-28356)/közepes;
- Double Free (CVE-2022-28390)/súlyos;
- Use After Free (CVE-2022-30065)/súlyos;
- Incorrect Authorization (CVE-2022-30594)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32205)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32206)/közepes;
- Incorrect Default Permission (CVE-2022-32207)/kritikus;
- Out-of-bounds Write (CVE-2022-32208)/közepes;
- Observable Discrepancy (CVE-2022-32296)/alacsony;
- Classic Buffer Overflow (CVE-2022-32981)/súlyos;
- Use After Free (CVE-2022-33981)/alacsony;
- Improper Validation of Syntactic Correctness of Input (CVE-2022-35252)/súlyos;
- Improper Input Validation (CVE-2022-36879)/közepes;
- Improper Input Validation (CVE-2022-36946)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Omron
Érintett rendszer(ek) az Omron CJ1M PLC-k alábbi komponensei:
- SYSMAC CJ-sorozatú eszközök
- CJ2H-CPU6 EIP minden verziója;
- CJ2H-CPU6 minden verziója;
- CJ2M-CPU minden verziója;
- CJ1G-CPU P minden verziója;
- SYSMAC CS-sorozatú eszközök
- CS1H-CPU H minden verziója;
- CS1G-CPU H minden verziója;
- CS1D-CPU HA minden verziója;
- CS1D-CPU H minden verziója;
- CS1D-CPU SA minden verziója;
- CS1D-CPU S minden verziója;
- CS1D-CPU P minden verziója;
- SYSMAC CP-sorozatú eszközök
- CP2E-E D minden verziója;
- CP2E-S D minden verziója;
- CP2E-N D minden verziója;
- CP1H-X40D minden verziója;
- CP1H-XA40D minden verziója;
- CP1H-Y20DT-D minden verziója;
- CP1L-EL20D minden verziója;
- CP1L-EM D minden verziója;
- CP1L-L D minden verziója;
- CP1L-M D minden verziója;
- CP1E-E D minden verziója;
- CP1E-NA D minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-0811)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézekdések bevezetését javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-01

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM CROSSBOW minden, V5.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authorization (CVE-2023-27309)/közepes;
- Missing Authorization (CVE-2023-27310)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE WAM763-1 (6GK5763-1AL00-7DA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WAM766-1 (EU) (6GK5766-1GE00-7DA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WAM766-1 (US) (6GK5766-1GE00-7DB0) minden, V2.0-nál korábbi verziója;
- SCALANCE WAM766-1 EEC (EU) (6GK5766-1GE00-7TA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WAM766-1 EEC (US) (6GK5766-1GE00-7TB0) minden, V2.0-nál korábbi verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3AA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3DA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WUM766-1 (EU) (6GK5766-1GE00-3DA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WUM766-1 (US) (6GK5766-1GE00-3DB0) minden, V2.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Generation of Error Message Containing Sensitive Information (CVE-2018-12886)/súlyos;
- Out-of-bounds Write (CVE-2018-25032)/súlyos;
- NULL Pointer Dereference (CVE-2021-42373)/közepes;
- Out-of-bounds Read (CVE-2021-42374)/közepes;
- Improper Input Validation (CVE-2021-42375)/közepes;
- NULL Pointer Dereference (CVE-2021-42376)/közepes;
- Release of Invalid Pointer or Reference (CVE-2021-42377)/közepes;
- Use After Free (CVE-2021-42378)/közepes;
- Use After Free (CVE-2021-42379)/közepes;
- Use After Free (CVE-2021-42380)/közepes;
- Use After Free (CVE-2021-42381)/közepes;
- Use After Free (CVE-2021-42382)/közepes;
- Use After Free (CVE-2021-42383)/közepes;
- Use After Free (CVE-2021-42384)/közepes;
- Use After Free (CVE-2021-42385)/közepes;
- Use After Free (CVE-2021-42386)/közepes;
- Improperly Controlled Modification of Object Prototype Attributes (Prototype Pollution) (CVE-2022-23395)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.03.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Modbus TCP Server AOI 2.00 és 2.03-as verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-0027)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-075-07

Bejelentés dátuma: 2023.03.16.
Gyártó: Honeywell
Érintett rendszer(ek):
- OneWireless WDM R322.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-46361)/kritikus;
- Use of Insufficiently Random Values (CVE-2022-43485)/közepes;
- Missing Authentication for Critical Function (CVE-2022-4240)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-075-06

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr5318077290

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása