Bejelentés dátuma: 2024.01.23.
Gyártó: APsystems
Érintett rendszer(ek):
- Energy Communication Unit Power Control Software C1.2.2-es verziója;
- Energy Communication Unit Power Control Software v3.11.4-es verziója;
- Energy Communication Unit Power Control Software W2.1.NA verziója;
- Energy Communication Unit Power Control Software v4.1SAA verziója;
- Energy Communication Unit Power Control Software v4.1NA verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-44037)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-023-01

Bejelentés dátuma: 2024.01.23.
Gyártó: Crestron
Érintett rendszer(ek):
- Crestron AirMedia Presentation System AM-300 1.4499.00018-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2023-6926)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-023-02

Bejelentés dátuma: 2024.01.23.
Gyártó: Voltronic Power
Érintett rendszer(ek):
- ViewPower Pro UPS menedzsment szoftver 2.0-22165-ös verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-51570)/kritikus;
- Missing Authentication for Critical Function (CVE-2023-51571)/súlyos;
- Exposed Dangerous Method or Function (CVE-2023-51573)/kritikus;
- OS Command Injection (CVE-2023-51572)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-023-03

Bejelentés dátuma: 2024.01.23.
Gyártó: Westermo
Érintett rendszer(ek):
- Lynx: Model Version L206-F2G1;
- Lynx 4.24-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2023-40143)/közepes;
- Cross-site Scripting (CVE-2023-45222)/közepes;
- Code Injection (CVE-2023-45735)/súlyos;
- Cross-Origin Resource Sharing (CVE-2023-45213)/közepes;
- Cross-site Scripting (CVE-2023-42765)/közepes;
- Cross-site Scripting (CVE-2023-40544)/közepes;
- Cross-Site Request Forgery (CVE-2023-38579)/súlyos;
- Cross-site Scripting (CVE-2023-45227)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hibák javításán, a patch megjelenéséig kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-023-04

Bejelentés dátuma: 2024.01.23.
Gyártó: Lantronix
Érintett rendszer(ek):
- XPort Device Server Configuration Manager 2.0.0.13-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Weak Encoding for Password (CVE-2023-7237)/közepes;
Javítás: Az érintett termékhez nincs, akinek titkosításra van szüksége, annak az újabb verzióra, az XPort Edge-re történő frissítést javasolja a gyártó.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-023-05

Bejelentés dátuma: 2024.01.25.
Gyártó: MachineSense
Érintett rendszer(ek):
- FeverWarn ESP32;
- FeverWarn RaspberryPi;
- FeverWarn DataHub RaspberryPi;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-6221)/súlyos;
- Use of Hard-coded Credentials (CVE-2023-46706)/kritikus;
- Missing authentication for Critical Function (CVE-2023-49617)/kritikus;
- Missing authentication for Critical Function (CVE-2023-49115)/súlyos;
- Improper Access Control (CVE-2023-47867)/súlyos;
- Improper Input Validation (CVE-2023-49610)/súlyos;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-025-01

Bejelentés dátuma: 2024.01.25.
Gyártó: SystemK
Érintett rendszer(ek):
- NVR 504 2.3.5SK.30084998-as verziója;
- NVR 508 2.3.5SK.30084998-as verziója;
- NVR 516 2.3.5SK.30084998-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-7227)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-025-02

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.