Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCLXXVI

Sérülékenységek Advantech, WAGO, CODESYS, Moxa, Rockwell Automation, Sensormatic Electronics, Panasonic, Schneider Electric, Siemens és Honeywell rendszerekben

2023. július 19. - icscybersec

Bejelentés dátuma: 2023.06.22.
Gyártó: Advantech
Érintett rendszer(ek):
- R-SeeNet 2.4.22-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Hard Coded Password (CVE-2023-2611)/kritikus;
- External Control of File Name or Path (CVE-2023-3256)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-173-02

Bejelentés dátuma: 2023.06.23.
Gyártó: WAGO
Érintett rendszer(ek):
- WAGO PFC200 termékcsalád következő sorozatszámú eszközeinek (750-8202/xxx-xxx, 750-8203/xxx-xxx, 750-8204/xxx-xxx, 750-8206/xxx-xxx, 750-8207/xxx-xxx, 750-8208/xxx-xxx, 750-8210/xxx-xxx, 750-8211/xxx-xxx, 750-8212/xxx-xxx, 750-8213/xxx-xxx, 750-8214/xxx-xxx, 750-8216/xxx-xxx, 750-8217/xxx-xxx) 22 Patch 2-nél korábbi firmware-verziói;
- Ethernet Controller 4. generációs termékcsládjának következő sorozatszámú eszközeinek (750-823, 750-332, 750-832/xxx-xxx, 750-862, 750-890/xxx-xxx, 750-891 750-893) 11-esnél korábbi firmware-verziói;
- Ethernet Controller 3. generációs termékcsládjának következő sorozatszámú eszközeinek (750-331, 750-829, 750-831/xxx-xxx, 750-852, 750-880/xxx-xxx, 750-881, 750-882, 750-885/xxx-xxx, 750-889) 17-esnél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial-of-Service (CVE-2023-1619)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2023-006/

Bejelentés dátuma: 2023.06.27.
Gyártó: CODESYS
Érintett rendszer(ek):
- CODESYS Control RTE (SL);
- CODESYS Control RTE (for Beckhoff CX) SL;
- CODESYS Control Win (SL);
- CODESYS PLCWinNT V2;
- CODESYS SP RTE V2;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2022-22516)/súlyos;
Javítás: Elérhető
Link a publikációhoz: CODESYS

Bejelentés dátuma: 2023.07.13.
Gyártó: Moxa
Érintett rendszer(ek):
- Moxa PT-G7828 sorozatú eszközök 6.2-es és korábbi firmware-verziói;
- Moxa PT-508 sorozatú eszközök 3.8-as és korábbi firmware-verziói;
- Moxa PT-7728 sorozatú eszközök 3.8-as és korábbi firmware-verziói;
- Moxa PT-7828 sorozatú eszközök 3.9-es és korábbi firmware-verziói;
- Moxa MDS-G4012 sorozatú eszközök 1.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Recursion (CVE-2009-3563)/n/a;
Javítás: Elérhető a gyártó támogató csapatánál.
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/mpsa-230307

Bejelentés dátuma: 2023.07.15.
Gyártó: Advantech
Érintett rendszer(ek):
- WebAccess/SCADA 9.1.4-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Untrusted Pointer Dereference (CVE-2023-1437)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-166-02

Bejelentés dátuma: 2023.07.11.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Rockwell Automation Enhanced HIM 1.001-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Request Forgery (CVE-2023-2746)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-192-01

Bejelentés dátuma: 2023.07.11.
Gyártó: Sensormatic Electronics (Johnson Controls leányvállalat)
Érintett rendszer(ek):
- iSTAR Ultra és iSTAR Ultra LT 6.8.6-nál újabb, de 6.9.2 CU01-nél korábbi firmware-verziói;
- iSTAR Ultra G2 és iSTAR Edge G2 6.9.2 CU01-nél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-3127)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-192-02

Bejelentés dátuma: 2023.07.11.
Gyártó: Panasonic
Érintett rendszer(ek):
- Panasonic Control FPWIN 7.6.0.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion (CVE-2023-28728)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-28729)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-28730)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-192-03

Bejelentés dátuma: 2023.07.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- StruxureWare Data Center Expert v7.9.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2023-37196)/súlyos;
- SQL Injection (CVE-2023-37197)/súlyos;
- Code Injection (CVE-2023-37198)/közepes;
- Code Injection (CVE-2023-37199)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.07.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ OPC UA Server Expert SV2.01 SP2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2023-37200)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.07.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Accutech Manager Version 2.7 and prior
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-29414)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.07.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- HMISCU Controller minden verziója;
- Modicon Controller LMC078 minden verziója;
- Modicon Controller M241 minden verziója;
- Modicon Controller M251 minden verziója;
- Modicon Controller M262 minden verziója;
- Modicon Controller M258 minden verziója;
- Modicon Controller LMC058 minden verziója;
- Modicon Controller M218 minden verziója;
- PacDrive 3 Controllers: LMC Eco/Pro/Pro2 minden verziója;
- SoftSPS embedded in EcoStruxure™ Machine Expert minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial of Service (CVE-2022-47378)/közepes;
- Out-of-bounds Write (CVE-2022-47379)/súlyos;
- Out-of-bounds Write (CVE-2022-47380)/
- Stack Based Out-of-bounds Write (CVE-2022-47381)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47382)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47383)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47384)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47385)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47386)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47387)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47388)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47389)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47390)/súlyos;
- Improper Input Validation (CVE-2022-47391)/súlyos;
- Improper Input Validation (CVE-2022-47392)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-47393)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.07.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CN 4100 V2.5-nél korábbi összes verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-29130)/kritikus;
- Incorrect Default Permissions (CVE-2023-29131)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2023.07.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SiPass integrated minden, V2.90.3.8-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-31810)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2023.07.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC MV540 H (6GF3540-0GE10) minden, v3.3.4-nél korábbi verziója;
- SIMATIC MV540 S (6GF3540-0CD10) minden, v3.3.4-nél korábbi verziója;
- SIMATIC MV550 H (6GF3550-0GE10) minden, v3.3.4-nél korábbi verziója;
- SIMATIC MV550 S (6GF3550-0CD10) minden, v3.3.4-nél korábbi verziója;
- SIMATIC MV560 U (6GF3560-0LE10) minden, v3.3.4-nél korábbi verziója;
- SIMATIC MV560 X (6GF3560-0HE10) minden, v3.3.4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-0812)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2022-1012)/súlyos;
- Injection (CVE-2022-3643)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Incomplete Cleanup (CVE-2022-21123)/közepes;
- Incomplete Cleanup (CVE-2022-21125)/közepes;
- Incomplete Cleanup (CVE-2022-21166)/közepes;
- Observable Discrepancy (CVE-2022-32296)/alacsony;
- Improper Locking (CVE-2022-42328)/közepes;
- Improper Locking (CVE-2022-42329)/közepes;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2023.07.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2201 minden, V2201.0008-nál korábbi verziója;
- Tecnomatix Plant Simulation V2302 minden, V2302.0002-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-37246)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-37247)/súlyos;
- Out-of-bounds Write (CVE-2023-37248)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-37374)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-37375)/súlyos;
- Type Confusion (CVE-2023-37376)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.07.11.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROX MX5000 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX MX5000RE minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1400 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1500 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1501 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1510 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1511 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1512 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1524 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1536 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX5000 minden, V2.16.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2021-22946)/súlyos;
- OS Command Injection (CVE-2022-1292)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.07.12.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1756-EN2T A, B és C sorozatainak 5.008-as és 5.028 és korábbi verziói;
- 1756-EN2T D sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TK A, B és C sorozatainak 5.008-as és 5.028 és korábbi verziói;
- 1756-EN2TK D sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TXT A, B és C sorozatainak 5.008-as és 5.028 és korábbi verziói;
- 1756-EN2TXT D sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TP A sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TPK A sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TPXT A sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TR A és B sorozatainak 11.003-as és korábbi verziói;
- 1756-EN2TR C sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TRK A és B sorozatainak 11.003-as és korábbi verziói;
- 1756-EN2TRK C sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TRXT A és B sorozatainak 11.003-as és korábbi verziói;
- 1756-EN2TRXT C sorozatának 11.003-as és korábbi verziói;
- 1756-EN2F A és B sorozatainak 11.003-as és korábbi verziói;
- 1756-EN2F C sorozatának 11.003-as és korábbi verziói;
- 1756-EN2FK A és B sorozatainak 11.003-as és korábbi verziói;
- 1756-EN2FK C sorozatának 11.003-as és korábbi verziói;
- 1756-EN3TR A sorozatának 11.003-as és korábbi verziói;
- 1756-EN3TR B sorozatának 11.003-as és korábbi verziói;
- 1756-EN3TRK A sorozatának 11.003-as és korábbi verziói;
- 1756-EN3TRK B sorozatának 11.003-as és korábbi verziói;
- 1756-EN4TR A sorozatának 5.001-es és korábbi verziói;
- 1756-EN4TRK A sorozatának 5.001-es és korábbi verziói;
- 1756-EN4TRXT A sorozatának 5.001-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-3595)/kritikus;
- Out-of-bounds Write (CVE-2023-3596)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-193-01

Bejelentés dátuma: 2023.07.13.
Gyártó: Honeywell
Érintett rendszer(ek):
- Experion PKS R520.2-esnél korábbi verziói;
- Experion LX R520.2-esnél korábbi verziói;
- Experion PlantCruise R520.2-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-23585)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-25078)/kritikus;
- Out-of-bounds Write (CVE-2023-25948)/kritikus;
- Uncontrolled Resource Consumption (CVE-2023-26597)/súlyos;
- Improper Encoding or Escaping of Output (CVE-2023-24480)/kritikus;
- Deserialization of Untrusted Data (CVE-2023-25770)/kritikus;
- Insufficient Verification of Data Authenticity (CVE-2023-25178)/súlyos;
- Incorrect Comparison (CVE-2023-22435)/kritikus;
- Heap-based Buffer Overflow (CVE-2023-24474)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-194-06

Bejelentés dátuma: 2023.07.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- PowerMonitor 1000 V4.011-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2023-2072)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-194-05

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr418168083

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása