Az ICS/OT biztonság témájának egyik gyenge pontja (a számos gyenge pont közül) az elérhető gyakorló/teszt laborok alacsony száma. Ennek a hiányzó gyakorlási lehetőségnek a pótlásában meglehetősen nagy szerepet vállal a Dragos és a cég alapító-vezérigazgatója, Rob Lee, aki a SANS ICS 515…

Bejelentés dátuma: 2024.08.22.Gyártó: Rockwell AutomationÉrintett rendszer(ek):- Emulate3D (digitális iker megoldás) 17.00.00.13276-os verziója;Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:- Externally Controlled Reference to a Resource in Another Sphere (CVE-2024-6079)/közepes;Javítás:…

Az elektromos autó terjedésével párhuzamosan az ilyen autók töltői is szaporodni kezdtek. Lehet ma már ilyeneket a nyílt utcán, bevásárlóközpontok parkolóiban és akár magánházaknál is találni. Ezek a töltőállomások, mint ma már szinte minden, aminek köze van a villamosenergia-rendszerhez, szintén…

Bejelentés dátuma: 2024.08.13.Gyártó: Rockwell AutomationÉrintett rendszer(ek):- Pavilion8 v5.20-as és későbbi verziói;Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:- Missing Encryption of Sensitive Data (CVE-2024-40620)/súlyos;Javítás: ElérhetőLink a publikációhoz:…

ICS/OT rendszereken sérülékenység vizsgálatokat és/vagy behatolás teszteket végezni kifejezetten rizikós tevékenység. Aki még nem rúgott hanyatt éles folyamatirányító rendszert egy mégannyira körültekintően megtervezett és előzetesen az OT mérnökökkel is leegyeztetett biztonsági vizsgálat során, az…

Bejelentés dátuma: 2024.07.26.Gyártó: ABBÉrintett rendszer(ek):- CODESYS OPC DA Server 3.5 minden, 3.5.18.20-nál korábbi verziója;Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:- Cleartext Password (CVE-2022-1794)/közepes;Javítás: ElérhetőLink a publikációhoz: ABB Bejelentés dátuma:…

Incidensek Ransomware-támadások londoni kórházak ellen Súlyos zsarolóvírus támadások érték a brit egészségügyi szolgáltató, az NHS több londoni kórházát júniusban. A támadások következtében az érintett kórházak számos alapvető funkciójukat nem tudták ellátni, például nem voltak képesek…

Több, mint 8 éve írom ezt a blogot és bár egyre kevésbé tud meglepni, hány és hány újabb területen bukkanhatunk kiber-fizikai rendszerekre, ahol aztán újra és újra kiderül, hogy a tervezők és fejlesztők már megint semmibe vették a legalapvetőbb biztonsági megfontolásokat és kontrollokat. Az eheti…

Bejelentés dátuma: 2024.08.01.Gyártó: Johnson ControlsÉrintett rendszer(ek):- exacqVision Web Service 24.03-as és korábbi verziói;Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:- Use of GET Request Method With Sensitive Query Strings (CVE-2024-32931)/közepes;Javítás: ElérhetőLink a…

A Software Defined Networking az egyre nagyobbra és bonyolultabbá váló felhős és on-premise hálózataiban már hosszú évek óta jelen van, mint egy lehetséges megoldás. Mint oly sok egyéb IT technológia esetén, az SDN OT alkalmazása is csak mostanában kezd valós lehetőségként felmerülni. Egy, még az…