Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCLXIX

Sérülékenységek Omron, Belden, Hitachi Energy, Keysight, Scada-LTS, Bosch, Illumina, Mitsubishi Electric, Siemens és Schneider Electric rendszerekben

Facebook Tumblr Tweet Pinterest Tetszik
0
2023. május 10. - icscybersec

Bejelentés dátuma: 2023.04.24.
Gyártó: Omron
Érintett rendszer(ek):
- CX-Drive minden, V3.01-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-27585)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: http://jvn.jp/en/vu/JVNVU97372625/index.html

Bejelentés dátuma: 2023.04.25.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann HiOS BRS, RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED 09.1.XX és korábbi verziói;
- Hirschmann HiOS BRS, RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED 09.0.05 és korábbi verziói;
- Hirschmann HiOS BRS, RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED 07.1.07 és korábbi verziói;
- Hirschmann Classic RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS, OCTOPUS 09.1.07 és korábbi verziói;
- HiSecOS EAGLE 04.3.XX és korábbi verziói;
- Wireless BAT-C2 BAT-C2 9.14.1.0R2 és korábbi verziói;
- Lite Managed GECKO 2.3.2 és korábbi verziói;
- Edge OpEdge-8D 01.0.00;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use-after-free (CVE-2022-40674)/kritikus;
- Use-after-free (CVE-2022-43680)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://assets.belden.com/m/6f2d4e1f6bbaeb54/original/BSECV-2022-26.pdf

Bejelentés dátuma: 2023.04.25.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú CMU Firmware-ek minden verziója;
- RTU500 sorozatú CMU Firmware-ek 12.0.1 – 12.0.14 verziói;
- RTU500 sorozatú CMU Firmware-ek 12.2.1 – 12.2.11 verziói;
- RTU500 sorozatú CMU Firmware-ek 12.4.1 – 12.4.11 verziói;
- RTU500 sorozatú CMU Firmware-ek 12.6.1 – 12.6.8 verziói;
- RTU500 sorozatú CMU Firmware-ek 12.7.1 – 12.7.5 verziói;
- RTU500 sorozatú CMU Firmware-ek 13.2.1 – 13.2.5 verziói;
- RTU500 sorozatú CMU Firmware-ek 13.3.1 – 13.3.3 verziói;
- RTU500 sorozatú CMU Firmware-ek 13.4.1 verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-23937)/súlyos;
- Infinite Loop (CVE-2022-0778)/súlyos;
- Classic Buffer Overflow (CVE-2021-3711)/kritikus;
- Out-of-bounds Read (CVE-2021-3712)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.04.25.
Gyártó: Keysight
Érintett rendszer(ek):
- N8844A Data Analytics Web Service 2.1.7351 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-1967)/kritikus;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-115-01

Bejelentés dátuma: 2023.04.25.
Gyártó: Scada-LTS
Érintett rendszer(ek):
- Scada-LTS 2.7.4-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2015-1179)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-115-02

Bejelentés dátuma: 2023.04.26.
Gyártó: Bosch
Érintett rendszer(ek):
- Bosch B420 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-47648)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://psirt.bosch.com/security-advisories/bosch-sa-341298-bt.html

Bejelentés dátuma: 2023.04.27.
Gyártó: Illumina
Érintett rendszer(ek):
- iScan Control Software v4.0.0 verziója;
- iScan Control Software v4.0.5 verziója;
- iSeq 100 minden verziója;
- MiniSeq Control Software v2.0 és újabb verziói;
- MiSeq Control Software v4.0 (RUO Mode) verziója;
- MiSeqDx Operating Software v4.0.1 és újabb verziói;
- NextSeq 500/550 Control Software v4.0 verziója;
- NextSeq 550Dx Control Software v4.0 (RUO Mode) verziója;
- NextSeq 550Dx Operating Software v1.0.0-tól 1.3.1-ig terjedő verziói;
- NextSeq 550Dx Operating Software v1.3.3 és újabb verziói;
- NextSeq 1000/2000 Control Software v1.4.1 és újabb verziói;
- NovaSeq 6000 Control Software v1.7 és újabb verziói;
- NovaSeq Control Software v1.8 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Binding to an Unrestricted IP Address (CVE-2023-1968)/kritikus;
- Execution with Unnecessary Privileges (CVE-2023-1966)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-23-117-01

Bejelentés dátuma: 2023.05.02.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELIPC sorozat MI5122-VM modelljének minden verziója;
- MELIPC sorozat MI1002-W modelljének minden verziója;
- MELIPC sorozat MI2012-W modelljének minden verziója;
- MELIPC sorozat MI3321G-W modelljének minden verziója;
- MELIPC sorozat MI3315G-W modelljének minden verziója;
- MELSEC iQ-R sorozat R102WCPU-W modelljének minden verziója;
- MELSEC Q sorozat Q24DHCCPU-V modelljének minden verziója;
- MELSEC Q sorozat Q24DHCCPU-VG modelljének minden verziója;
- MELSEC Q sorozat Q24DHCCPU-LS modelljének minden verziója;
- MELSEC Q sorozat Q26DHCCPU-LS modelljének minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Dependency on Vulnerable Third-Party Component (CVE-2020-8670)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2020-24489)/súlyos;
- Dependency on Vulnerable Third-Party Component (CVE-2020-24512)/alacsony;
- Dependency on Vulnerable Third-Party Component (CVE-2021-0127)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2021-0146)közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2021-0086)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2021-0089)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2021-33150)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2022-0002)/közepes;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-122-01

Bejelentés dátuma: 2023.05.09.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Modular Switchgear Monitoring 2.2.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2021-43298)/kritikus;
- Authentication Bypass by Capture-replay (CVE-2020-15688)/súlyos;
- Code Injection (CVE-2019-16645)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2019-12822)/súlyos;
- NULL Pointer Dereference (CVE-2018-15504)/súlyos;
- NULL Pointer Dereference (CVE-2018-15505)/súlyos;
- Insufficient Entropy (CVE-2021-41615)/kritikus;
- Insufficient Entropy (CVE-2023-23916)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-129-02

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE LPE9403 (6GK5998-3GS00-2AC2) minden, V2.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-27407)/kritikus;
- Creation of Temporary File With Insecure Permissions (CVE-2023-27408)/alacsony;
- Path Traversal (CVE-2023-27409)/alacsony;
- Heap-based Buffer Overflow (CVE-2023-27410)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-325383.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) minden verziója;
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) minden verziója;
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-47522)/súlyos;
Javítás: Nincs
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-516174.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Cloud Connect 7 CC712 (6GK1411-1AC00) minden, V2.0 és újabb, de V2.1-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC712 (6GK1411-1AC00) minden, V2.1-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC716 (6GK1411-5AC00) minden, V2.0 és újabb, de V2.1-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC716 (6GK1411-5AC00) minden, V2.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-28832)/súlyos;
- Use of Hard-coded Password (CVE-2023-29103)/közepes;
- Path Traversal (CVE-2023-29104)/közepes;
- Missing Standardized Error Handling Mechanism (CVE-2023-29105)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-29106)/közepes;
- Files or Directories Accessible to External Parties (CVE-2023-29107)/közepes;
- Path Traversal (CVE-2023-29128)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-555292.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siveillance Video 2020 R2 minden, V20.2 HotfixRev14-nél korábbi verziója;
- Siveillance Video 2020 R3 minden, V20.3 HotfixRev12-nél korábbi verziója;
- Siveillance Video 2021 R1 minden, V21.1 HotfixRev12-nél korábbi verziója;
- Siveillance Video 2021 R2 minden, V21.2 HotfixRev8-nél korábbi verziója;
- Siveillance Video 2022 R1 minden, V22.1 HotfixRev7-nél korábbi verziója;
- Siveillance Video 2022 R2 minden, V22.2 HotfixRev5-nél korábbi verziója;
- Siveillance Video 2022 R3 minden, V22.3 HotfixRev2-nél korábbi verziója;
- Siveillance Video 2023 R1 minden, V23.1 HotfixRev1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-30898)/kritikus;
- Deserialization of Untrusted Data (CVE-2023-30899)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-789345.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS minden, V1.0.3.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Expected Behavior Violation (CVE-2022-32221)/súlyos;
- Improper Validation of Syntactic Correctness of Input (CVE-2022-35252)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-35260)/súlyos;
- Use After Free (CVE-2022-40674)/kritikus;
- Double Free (CVE-2022-42915)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2022-42916)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2022-43551)/súlyos;
- Use After Free (CVE-2022-43552)/közepes;
- Use After Free (CVE-2022-43680)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-892048.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge SE2023 minden, VX.223.0 Update 3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2023-0973)/alacsony;
- Out-of-bounds Read (CVE-2023-30985)/alacsony;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-30986)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-932528.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- OPC Factory Server (OFS) V3.63SP2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- mproper Restriction of XML External Entity Reference (CVE-2023-2161)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.05.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Operation 2022-es verziója;
- EcoStruxure™ Power Operation 2021 CU3 és korábbi verziói;
- EcoStruxure™ Power SCADA Operation Versions 2020 R2 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2023-1256)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.05.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PowerLogic ION9000 4.0.0-nál korábbi verziója;
- PowerLogic ION7400 4.0.0-nál korábbi verziója;
- PowerLogic PM8000 4.0.0-nál korábbi verziója;
- PowerLogic ION8650 minden verziója;
- PowerLogic ION8800 minden verziója;
- Legacy ION products minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext transmission of sensitive information (CVE-2022-46680)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.05.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure TM Power Operation Power SCADA Anywhere-rel telepítve;
- EcoStruxure TM Power SCADA Operation Power SCADA Anywhere-rel telepítve;
- Power SCADA Anywhere Versions 1.1 and 1.2;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Outdated OpenSSL (CVE-2021-3711)/kritikus;
- Relative Path Traversal (CVE-2022-23854)/súlyos;
- Outdated jQuery (CVE-2020-11022)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szólj hozzá!
Siemens Bosch Illumina Schneider Electric Belden ICS sérülékenység Mitsubishi Electric Omron Hitachi Energy Keysight Technologies SCADA-LTS

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr5518121180

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása