Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCLXIX

Sérülékenységek Omron, Belden, Hitachi Energy, Keysight, Scada-LTS, Bosch, Illumina, Mitsubishi Electric, Siemens és Schneider Electric rendszerekben

2023. május 10. - icscybersec

Bejelentés dátuma: 2023.04.24.
Gyártó: Omron
Érintett rendszer(ek):
- CX-Drive minden, V3.01-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-27585)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: http://jvn.jp/en/vu/JVNVU97372625/index.html

Bejelentés dátuma: 2023.04.25.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann HiOS BRS, RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED 09.1.XX és korábbi verziói;
- Hirschmann HiOS BRS, RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED 09.0.05 és korábbi verziói;
- Hirschmann HiOS BRS, RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED 07.1.07 és korábbi verziói;
- Hirschmann Classic RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS, OCTOPUS 09.1.07 és korábbi verziói;
- HiSecOS EAGLE 04.3.XX és korábbi verziói;
- Wireless BAT-C2 BAT-C2 9.14.1.0R2 és korábbi verziói;
- Lite Managed GECKO 2.3.2 és korábbi verziói;
- Edge OpEdge-8D 01.0.00;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use-after-free (CVE-2022-40674)/kritikus;
- Use-after-free (CVE-2022-43680)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://assets.belden.com/m/6f2d4e1f6bbaeb54/original/BSECV-2022-26.pdf

Bejelentés dátuma: 2023.04.25.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú CMU Firmware-ek minden verziója;
- RTU500 sorozatú CMU Firmware-ek 12.0.1 – 12.0.14 verziói;
- RTU500 sorozatú CMU Firmware-ek 12.2.1 – 12.2.11 verziói;
- RTU500 sorozatú CMU Firmware-ek 12.4.1 – 12.4.11 verziói;
- RTU500 sorozatú CMU Firmware-ek 12.6.1 – 12.6.8 verziói;
- RTU500 sorozatú CMU Firmware-ek 12.7.1 – 12.7.5 verziói;
- RTU500 sorozatú CMU Firmware-ek 13.2.1 – 13.2.5 verziói;
- RTU500 sorozatú CMU Firmware-ek 13.3.1 – 13.3.3 verziói;
- RTU500 sorozatú CMU Firmware-ek 13.4.1 verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-23937)/súlyos;
- Infinite Loop (CVE-2022-0778)/súlyos;
- Classic Buffer Overflow (CVE-2021-3711)/kritikus;
- Out-of-bounds Read (CVE-2021-3712)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.04.25.
Gyártó: Keysight
Érintett rendszer(ek):
- N8844A Data Analytics Web Service 2.1.7351 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-1967)/kritikus;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-115-01

Bejelentés dátuma: 2023.04.25.
Gyártó: Scada-LTS
Érintett rendszer(ek):
- Scada-LTS 2.7.4-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2015-1179)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-115-02

Bejelentés dátuma: 2023.04.26.
Gyártó: Bosch
Érintett rendszer(ek):
- Bosch B420 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-47648)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://psirt.bosch.com/security-advisories/bosch-sa-341298-bt.html

Bejelentés dátuma: 2023.04.27.
Gyártó: Illumina
Érintett rendszer(ek):
- iScan Control Software v4.0.0 verziója;
- iScan Control Software v4.0.5 verziója;
- iSeq 100 minden verziója;
- MiniSeq Control Software v2.0 és újabb verziói;
- MiSeq Control Software v4.0 (RUO Mode) verziója;
- MiSeqDx Operating Software v4.0.1 és újabb verziói;
- NextSeq 500/550 Control Software v4.0 verziója;
- NextSeq 550Dx Control Software v4.0 (RUO Mode) verziója;
- NextSeq 550Dx Operating Software v1.0.0-tól 1.3.1-ig terjedő verziói;
- NextSeq 550Dx Operating Software v1.3.3 és újabb verziói;
- NextSeq 1000/2000 Control Software v1.4.1 és újabb verziói;
- NovaSeq 6000 Control Software v1.7 és újabb verziói;
- NovaSeq Control Software v1.8 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Binding to an Unrestricted IP Address (CVE-2023-1968)/kritikus;
- Execution with Unnecessary Privileges (CVE-2023-1966)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-23-117-01

Bejelentés dátuma: 2023.05.02.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELIPC sorozat MI5122-VM modelljének minden verziója;
- MELIPC sorozat MI1002-W modelljének minden verziója;
- MELIPC sorozat MI2012-W modelljének minden verziója;
- MELIPC sorozat MI3321G-W modelljének minden verziója;
- MELIPC sorozat MI3315G-W modelljének minden verziója;
- MELSEC iQ-R sorozat R102WCPU-W modelljének minden verziója;
- MELSEC Q sorozat Q24DHCCPU-V modelljének minden verziója;
- MELSEC Q sorozat Q24DHCCPU-VG modelljének minden verziója;
- MELSEC Q sorozat Q24DHCCPU-LS modelljének minden verziója;
- MELSEC Q sorozat Q26DHCCPU-LS modelljének minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Dependency on Vulnerable Third-Party Component (CVE-2020-8670)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2020-24489)/súlyos;
- Dependency on Vulnerable Third-Party Component (CVE-2020-24512)/alacsony;
- Dependency on Vulnerable Third-Party Component (CVE-2021-0127)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2021-0146)közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2021-0086)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2021-0089)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2021-33150)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2022-0002)/közepes;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-122-01

Bejelentés dátuma: 2023.05.09.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Modular Switchgear Monitoring 2.2.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2021-43298)/kritikus;
- Authentication Bypass by Capture-replay (CVE-2020-15688)/súlyos;
- Code Injection (CVE-2019-16645)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2019-12822)/súlyos;
- NULL Pointer Dereference (CVE-2018-15504)/súlyos;
- NULL Pointer Dereference (CVE-2018-15505)/súlyos;
- Insufficient Entropy (CVE-2021-41615)/kritikus;
- Insufficient Entropy (CVE-2023-23916)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-129-02

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE LPE9403 (6GK5998-3GS00-2AC2) minden, V2.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-27407)/kritikus;
- Creation of Temporary File With Insecure Permissions (CVE-2023-27408)/alacsony;
- Path Traversal (CVE-2023-27409)/alacsony;
- Heap-based Buffer Overflow (CVE-2023-27410)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-325383.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) minden verziója;
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) minden verziója;
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-47522)/súlyos;
Javítás: Nincs
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-516174.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Cloud Connect 7 CC712 (6GK1411-1AC00) minden, V2.0 és újabb, de V2.1-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC712 (6GK1411-1AC00) minden, V2.1-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC716 (6GK1411-5AC00) minden, V2.0 és újabb, de V2.1-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC716 (6GK1411-5AC00) minden, V2.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-28832)/súlyos;
- Use of Hard-coded Password (CVE-2023-29103)/közepes;
- Path Traversal (CVE-2023-29104)/közepes;
- Missing Standardized Error Handling Mechanism (CVE-2023-29105)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-29106)/közepes;
- Files or Directories Accessible to External Parties (CVE-2023-29107)/közepes;
- Path Traversal (CVE-2023-29128)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-555292.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siveillance Video 2020 R2 minden, V20.2 HotfixRev14-nél korábbi verziója;
- Siveillance Video 2020 R3 minden, V20.3 HotfixRev12-nél korábbi verziója;
- Siveillance Video 2021 R1 minden, V21.1 HotfixRev12-nél korábbi verziója;
- Siveillance Video 2021 R2 minden, V21.2 HotfixRev8-nél korábbi verziója;
- Siveillance Video 2022 R1 minden, V22.1 HotfixRev7-nél korábbi verziója;
- Siveillance Video 2022 R2 minden, V22.2 HotfixRev5-nél korábbi verziója;
- Siveillance Video 2022 R3 minden, V22.3 HotfixRev2-nél korábbi verziója;
- Siveillance Video 2023 R1 minden, V23.1 HotfixRev1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-30898)/kritikus;
- Deserialization of Untrusted Data (CVE-2023-30899)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-789345.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS minden, V1.0.3.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Expected Behavior Violation (CVE-2022-32221)/súlyos;
- Improper Validation of Syntactic Correctness of Input (CVE-2022-35252)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-35260)/súlyos;
- Use After Free (CVE-2022-40674)/kritikus;
- Double Free (CVE-2022-42915)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2022-42916)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2022-43551)/súlyos;
- Use After Free (CVE-2022-43552)/közepes;
- Use After Free (CVE-2022-43680)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-892048.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge SE2023 minden, VX.223.0 Update 3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2023-0973)/alacsony;
- Out-of-bounds Read (CVE-2023-30985)/alacsony;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-30986)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-932528.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- OPC Factory Server (OFS) V3.63SP2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- mproper Restriction of XML External Entity Reference (CVE-2023-2161)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.05.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Operation 2022-es verziója;
- EcoStruxure™ Power Operation 2021 CU3 és korábbi verziói;
- EcoStruxure™ Power SCADA Operation Versions 2020 R2 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2023-1256)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.05.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PowerLogic ION9000 4.0.0-nál korábbi verziója;
- PowerLogic ION7400 4.0.0-nál korábbi verziója;
- PowerLogic PM8000 4.0.0-nál korábbi verziója;
- PowerLogic ION8650 minden verziója;
- PowerLogic ION8800 minden verziója;
- Legacy ION products minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext transmission of sensitive information (CVE-2022-46680)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.05.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure TM Power Operation Power SCADA Anywhere-rel telepítve;
- EcoStruxure TM Power SCADA Operation Power SCADA Anywhere-rel telepítve;
- Power SCADA Anywhere Versions 1.1 and 1.2;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Outdated OpenSSL (CVE-2021-3711)/kritikus;
- Relative Path Traversal (CVE-2022-23854)/súlyos;
- Outdated jQuery (CVE-2020-11022)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr2218121180

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása