Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CDXIV

Sérülékenységek ABB, SUBNET Solutions, Schneider Electric, Siemens, Rockwell Automation, Measuresoft és Electrolink rendszerekben

Facebook Tumblr Tweet Pinterest Tetszik
0
2024. április 17. - icscybersec

Bejelentés dátuma: 2024.03.26.
Gyártó: ABB
Érintett rendszer(ek):
- S+ Operations 3.3 SP1 RU4 és korábbi verziói;
- S+ Operations 2.1 SP2 RU3 és korábbi verziói;
- S+ Operations 2.0 SP6 TC6 és korábbi verziói;
- S+ Engineering 2.1-től 2.3 RU3-ig terjedő verziói;
- S+ Analyst 7.0.0.0-tól 7.2.0.2-ig terjedő verziói, ha Fast Data Logger használatban van;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Malformed Packet Handling (CVE-2024-0335)/súlyos;
Javítás: Nincs
Link a publikációhoz: ABB

Bejelentés dátuma: 2024.04.09.
Gyártó: SUBNET Solutions
Érintett rendszer(ek):
- PowerSYSTEM Server 4.07.00 és korábbi verziói;
- Substation Server 2021 4.07.00 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Insufficiently Trustworthy Component (CVE-2024-3313)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-100-01

Bejelentés dátuma: 2024.04.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy Studio v9.3.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unquoted search path or element (CVE-2024-2747)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS minden, V2.0 SP2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Path Traversal (CVE-2024-31978)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens TeleControl Server Basic V3 V3.1.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Integer Overflow or Wraparound (CVE-2022-40303)/súlyos;
- Double Free (CVE-2022-40303)/súlyos;
- External Control of File Name or Path (CVE-2022-43513)/súlyos;
- Path Traversal (CVE-2022-43514)/súlyos;
- Improper Input Validation (CVE-2022-44725)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-46908)/súlyos;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- Inefficient Regular Expression Complexity (CVE-2023-3446)/közepes;
- Improper Input Validation (CVE-2023-4807)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Improper Input Validation (CVE-2023-21528)/súlyos;
- Improper Input Validation (CVE-2023-21568)/súlyos;
- Improper Input Validation (CVE-2023-21704)/súlyos;
- Improper Input Validation (CVE-2023-21705)/súlyos;
- Improper Input Validation (CVE-2023-21713)/súlyos;
- Improper Input Validation (CVE-2023-21718)/súlyos;
- Improper Input Validation (CVE-2023-23384)/súlyos;
- NULL Pointer Dereference (CVE-2023-28484)/közepes;
- Improper Input Validation (CVE-2023-29349)/súlyos;
- Improper Input Validation (CVE-2023-29356)/súlyos;
- Double Free (CVE-2023-29469)/közepes;
- Improper Input Validation (CVE-2023-32025)/súlyos;
- Improper Input Validation (CVE-2023-32026)/súlyos;
- Improper Input Validation (CVE-2023-32027)/súlyos;
- Improper Input Validation (CVE-2023-32028)/súlyos;
- Improper Input Validation (CVE-2023-36049)/súlyos;
- Improper Input Validation (CVE-2023-36417)/súlyos;
- Improper Input Validation (CVE-2023-36420)/súlyos;
- Improper Input Validation (CVE-2023-36560)/súlyos;
- Improper Input Validation (CVE-2023-36728)/közepes;
- Improper Input Validation (CVE-2023-36730)/súlyos;
- Improper Input Validation (CVE-2023-36785)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36788)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36792)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36793)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36794)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36796)/súlyos;
- Improper Input Validation (CVE-2023-36873)/súlyos;
- Improper Input Validation (CVE-2023-36899)/súlyos;
- Improper Input Validation (CVE-2023-38169)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-39615)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM APE1808 minden, Palo Alto Networks Virtual NGFW before V11.0.1-es verziójával használt verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Network Amplification (CVE-2022-0028)/súlyos;
- Exposure of Sensitive System Information to an Unauthorized Control Sphere (CVE-2023-0005)/közepes;
- External Control of File Name or Path (CVE-2023-0008)/közepes;
- Cross-site Scripting (CVE-2023-6790)/közepes;
- Insufficiently Protected Credentials (CVE-2023-6791)/közepes;
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2023-38046)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Parasolid V35.1 V35.1.254-nél korábbi verziói;
- Siemens Parasolid V36.0 V36.0.207-nél korábbi verziói;
- Siemens Parasolid V36.1 V36.1.147-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-26275)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2024-26276)/alacsony;
- NULL Pointer Dereference (CVE-2024-26277)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM APE1808 minden, Palo Alto Networks Virtual NGFW-vel használt verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2023-6789)/közepes;
- Improper Privilege Management (CVE-2023-6793)/alancsony;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-38802)/súlyos;
- Truncation of Security-relevant Information (CVE-2023-48795)/közepes;
- Insufficient Session Expiration (CVE-2024-0008)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC PCS 7 V9.1 minden, V9.1 SP2 UC04-nél korábbi verziója;
- Siemens SIMATIC WinCC Runtime Professional V17 minden verziója;
- Siemens SIMATIC WinCC Runtime Professional V18 minden verziója;
- Siemens SIMATIC WinCC Runtime Professional V19 minden, V19 Update 1-nél korábbi verziója;
- Siemens SIMATIC WinCC V7.5 minden, V7.5 SP2 Update 16-nál korábbi verziója;
- Siemens SIMATIC WinCC V8.0 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-50821)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) minden, V8.10.0.9-nél korábbi verziója;
- Siemens SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) minden, V8.10.0.9-nél korábbi verziója;
- Siemens SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) minden, V8.10.0.9-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-35980)/kritikus;
- Classic Buffer Overflow (CVE-2023-35981)/kritikus;
- Classic Buffer Overflow (CVE-2023-35982)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC S7-1500 TM MFP (GNU/Linux subsystem) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Improper Input Validation (CVE-2023-6121)/közepes;
- Use After Free (CVE-2023-6817)/súlyos;
- Out-of-bounds Write (CVE-2023-6931)/súlyos;
- Use After Free (CVE-2023-6932)/súlyos;
- Improper Input Validation (CVE-2023-45898)/súlyos;
- Use After Free (CVE-2023-6121)/közepes;
- Improper Input Validation (CVE-2024-0727)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.04.11.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 5015-AENFTXT típusú ethernet/IP adapterek v35-ös és v2.12.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-2424)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-102-09

Bejelentés dátuma: 2024.04.16.
Gyártó: Measuresoft
Érintett rendszer(ek):
- ScadaPro 6.9.0.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Access Control (CVE-2024-3746)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-107-01

Bejelentés dátuma: 2024.04.16.
Gyártó: Electrolink
Érintett rendszer(ek):
- 10W, 100W, 250W, Compact DAB adók;
- 500W, 1kW, 2kW Medium DAB adók;
- 2.5kW, 3kW, 4kW, 5kW High Power DAB adók;
- 100W, 500W, 1kW, 2kW Compact FM adók;
- 3kW, 5kW, 10kW, 15kW, 20kW, 30kW Modular FM adók;
- 15W - 40kW Digital FM adók;
- BI, BIII VHF TV adók;
- 10W - 5kW UHF TV adók;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass by Assumed-Immutable Data (CVE-2024-3741)/súlyos;
- Authentication Bypass by Assumed-Immutable Data (CVE-2024-22179)/súlyos;
- Reliance on Cookies without Validation and Integrity Checking (CVE-2024-22186)/súlyos;
- Reliance on Cookies without Validation and Integrity Checking (CVE-2024-21872)/súlyos;
- Missing Authentication for Critical Function (CVE-2024-21846)/közepes;
- Missing Authentication for Critical Function (CVE-2024-1491)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2024-3742)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-107-02

Bejelentés dátuma: 2024.04.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ControlLogix 5580 V35.011-es verziója;
- GuardLogix 5580 V35.011-es verziója;
- CompactLogix 5380 V35.011-es verziója;
- 1756-EN4TR V5.001-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-3493)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-107-03

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szólj hozzá!
Siemens ABB Schneider Electric Rockwell Automation ICS sérülékenység Siemens ProductCERT Measuresoft SUBNET Solutions Electrolink

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr5218382717

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása