Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- POWER METER SICAM Q200-as termékcsalád V2.70-nél korábbi összes verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Session Fixation (CVE-2022-43398)/súlyos;
- Improper Input Validation (CVE-2022-43439)/kritikus;
- Improper Input Validation (CVE-2022-43545)/kritikus;
- Improper Input Validation (CVE-2022-43546)/kritikus;
- Cross-Site Request Forgery (CSRF) (CVE-2023-30901)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2023-31238)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT
Bejelentés dátuma: 2023.06.22.
Gyártó: Enphase
Érintett rendszer(ek):
- Enphase Installer Toolkit
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2023-32274)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-171-02
Bejelentés dátuma: 2023.06.27.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- FOXMAN-UN R16A verziója;
- FOXMAN-UN R15B verziója;
- FOXMAN-UN R15A verziója;
- UNEM R16A verziója;
- UNEM R15B verziója;
- UNEM R15A verziója;
- FOXMAN-UN R14B verziója;
- FOXMAN-UN R14A verziója;
- FOXMAN-UN R11B verziója;
- FOXMAN-UN R11A verziója;
- FOXMAN-UN R10C verziója;
- FOXMAN-UN R9C verziója;
- UNEM R14B verziója;
- UNEM R14A verziója;
- UNEM R11B verziója;
- UNEM R11A verziója;
- UNEM R10C verziója;
- UNEM R9C verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Output Neutralization for Logs
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-178-01
Bejelentés dátuma: 2023.06.29.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- FX3U-xMy/z x=16,32,48,64,80,128, y=T,R, z=ES,ESS,DS,DSS *1 minden verziója;
- FX3U-32MR/UA1, FX3U-64MR/UA1 *1 minden verziója;
- FX3U-32MS/ES, FX3U-64MS/ES *1 minden verziója;
- FX3U-xMy/ES-A x=16,32,48,64,80,128, y=T,R *1*2 minden verziója;
- FX3UC-xMT/z x=16,32,64,96, z=D,DSS *1 minden verziója;
- FX3UC-16MR/D-T, FX3UC-16MR/DS-T *1 minden verziója;
- FX3UC-32MT-LT, FX3UC-32MT-LT-2 *1 minden verziója;
- FX3UC-16MT/D-P4, FX3UC-16MR/DSS-P4 *1*2 minden verziója;
- FX3G-xMy/z x=14,24,40,60, y=T,R, z=ES,ESS,DS,DSS *1 minden verziója;
- FX3G-xMy/ES-A x=14,24,40,60, y=T,R *1*2 minden verziója;
- FX3GC-32MT/D, FX3GC-32MT/DSS *1 minden verziója;
- FX3GE-xMy/z x=24,40, y=T,R, z=ES,ESS,DS,DSS *2 minden verziója;
- FX3GA-xMy-CM x=24,40,60, y=T,R *1*2 minden verziója;
- FX3S-xMy/z x=10,14,20,30, y=T,R, z=ES,ESS,DS,DSS *1 minden verziója;
- FX3S-30My/z-2AD y=T,R, z=ES,ESS *1 minden verziója;
- FX3SA-xMy-CM x=10,14,20,30, y=T,R *1*2 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Capture-replay (CVE-2023-2846)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-180-04
Bejelentés dátuma: 2023.06.29.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- InfraSuite Device Master 1.0.7-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-34316)/közepes;
- Improper Access Control (CVE-2023-30765)/súlyos;
- Deserialization of Untrusted Data (CVE-2023-34347)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-180-01
Bejelentés dátuma: 2023.06.29.
Gyártó: Ovarro
Érintett rendszer(ek):
- TBox MS-CPU32 1.50.598-as és korábbi verziói;
- TBox MS-CPU32-S2 1.50.598-as és korábbi verziói;
- TBox LT2 1.50.598-as és korábbi verziói;
- TBox TG2 1.50.598-as és korábbi verziói;
- TBox RM2 1.50.598-as és korábbi verziói;
- TBox MS-CPU32 1.46-tól 1.50.598-ig terjedő verziói;
- TBox MS-CPU32-S2 1.46-tól 1.50.598-ig terjedő verziói;
- TBox LT2 1.46-tól 1.50.598-ig terjedő verziói;
- TBox TG2 1.46-tól 1.50.598-ig terjedő verziói;
- TBox RM2 1.46-tól 1.50.598-ig terjedő verziói;
- TBox MS-CPU32 minden, verziója;
- TBox MS-CPU32-S2 minden, verziója;
- TBox LT2 minden, verziója;
- TBox TG2 minden, verziója;
- TBox RM2 minden, verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authorization (CVE-2023-36607)/közepes;
- Use of Broken or Risky Cryptographic Algorithm (CVE-2023-36608)/közepes;
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2023-36609)/súlyos;
- Insufficient Entropy (CVE-2023-36610)/közepes;
- Improper Authorization (CVE-2023-36611)/közepes;
- Plaintext Storage of a Password (CVE-2023-3395)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-180-03
Bejelentés dátuma: 2023.06.29.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Operator Terminal Expert HMI 3.3 SP1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-1049)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-180-02
Bejelentés dátuma: 2023.07.03.
Gyártó: Moxa
Érintett rendszer(ek):
- TN-5900 sorozatú eszközök 3.3-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Response Discrepancy (CVE-2023-3336)/n/a;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/mpsa-230401-tn-5900-series-user-enumeration-vulnerability
Bejelentés dátuma: 2023.07.06.
Gyártó: ABUS
Érintett rendszer(ek):
- ABUS TVIP beltéri biztonsági kamerák 20000-21150-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-26609)/súlyos;
Javítás: Nincs, az érintett termékvonal támogatása 2019-ben megszűnt.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-187-02
Bejelentés dátuma: 2023.07.06.
Gyártó: PiiGAB
Érintett rendszer(ek):
- M-Bus SoftwarePack 900S típusú vezeték nélküli okosmérő;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-36859)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2023-33868)/közepes;
- Unprotected Transport of Credentials (CVE-2023-31277)/súlyos;
- Use of Hard-coded Credentials (CVE-2023-35987)/kritikus;
- Plaintext Storage of a Password (CVE-2023-35765)/közepes;
- Cross-site Scripting (CVE-2023-32652)/súlyos;
- Weak Password Requirements (CVE-2023-34995)/súlyos;
- Use of Password Hash with Insufficient Computational Effort (CVE-2023-34433)/súlyos;
- Cross-Site Request Forgery (CVE-2023-35120)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-187-01
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.