Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CDXLXIX

Sérülékenységek Moxa, ABB, Nedap Librix, Schneider Electric és Delta Electronics rendszerekben

Facebook Tumblr Tweet Pinterest Tetszik
0
2025. január 22. - icscybersec

Bejelentés dátuma: 2025.01.03.
Gyártó: Moxa
Érintett rendszer(ek):
- EDR-810 sorozatú eszközök 5.12.37-es és korábbi firmware-verziói;
- EDR-8010 sorozatú eszközök 3.13.1-es és korábbi firmware-verziói;
- EDR-G902 sorozatú eszközök 5.7.25-0s és korábbi firmware-verziói;
- EDR-G903 sorozatú eszközök 5.7.25-0s és korábbi firmware-verziói;
- EDR-G9004 sorozatú eszközök 3.13.1-es és korábbi firmware-verziói;
- EDR-G9010 sorozatú eszközök 3.13.1-es és korábbi firmware-verziói;
- EDF-G1002-BP sorozatú eszközök 3.13.1-es és korábbi firmware-verziói;
- NAT-102 sorozatú eszközök 1.0.5-0s és korábbi firmware-verziói;
- OnCell G4302-LTE4 sorozatú eszközök 3.13-as és korábbi firmware-verziói;
- TN-4900 sorozatú eszközök 3.13-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Security Through Obscurity (CVE-2024-9138)/súlyos;
- OS Command Injection (CVE-2024-9140)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.01.07.
Gyártó: ABB
Érintett rendszer(ek):
- ABB NEXUS sorozatú NEXUS-3-x rendszerek 3.08.02-es és korábbi verziói;
- ABB NEXUS sorozatú NEX-2x rendszerek 3.07.02-es és korábbi verziói;
- ABB NEXUS sorozatú NEX-2x rendszerek 3.08.02-es és korábbi verziói;
- ABB NEXUS sorozatú NEXUS-3-x rendszerek 3.08.01-es és korábbi verziói;
- ABB ASPECT-Enterprise: ASP-ENT-x rendszerek 3.08.02-es és korábbi verziói;
- ABB MATRIX sorozatú MAT-x rendszerek 3.08.02-es és korábbi verziói;
- ABB MATRIX sorozatú MAT-x rendszerek 3.08.01-es és korábbi verziói;
- ABB MATRIX sorozatú MAT-x rendszerek 3.07.02-es és korábbi verziói;
- ABB ASPECT-Enterprise: ASP-ENT-x rendszerek 3.08.01-es és korábbi verziói;
- ABB ASPECT-Enterprise: ASP-ENT-x rendszerek 3.07.02-es és korábbi verziói;
- ABB NEXUS sorozatú NEX-2x rendszerek 3.08.01-es és korábbi verziói;
- ABB NEXUS sorozatú NEXUS-3-x rendszerek 3.07.02-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Files or Directories Accessible to External Parties (CVE-2024-6209)/kritikus;
- Improper Validation of Specified Type of Input (CVE-2024-6298)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2024-6515)/kritikus;
- Cross-site Scripting (CVE-2024-6516)/kritikus;
- Server-Side Request Forgery (SSRF) (CVE-2024-6784)/kritikus;
- Improper Neutralization of Special Elements in Data Query Logic (CVE-2024-48843)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2024-48844)/súlyos;
- Weak Password Requirements (CVE-2024-48845)/kritikus;
- Cross-Site Request Forgery (CSRF) (CVE-2024-48846)/súlyos;
- Use of Weak Hash (CVE-2024-48847)/súlyos;();
- Code Injection (CVE-2024-48839)/kritikus;
- Code Injection (CVE-2024-48840)/kritikus;
- PHP Remote File Inclusion (CVE-2024-51541)/súlyos;
- Files or Directories Accessible to External Parties (CVE-2024-51542)/súlyos;
- External Control of System or Configuration Setting (CVE-2024-51543)/súlyos;
- External Control of System or Configuration Setting (CVE-2024-51544)/súlyos;
- Insufficiently Protected Credentials (CVE-2024-51545)/súlyos;
- Improper Validation of Specified Type of Input (CVE-2024-51546)/súlyos;
- Unrestricted Upload of File with Dangerous Type (CVE-2024-51548)/kritikus;
- Absolute Path Traversal (CVE-2024-51549)/kritikus;
- Improper Validation of Specified Type of Input (CVE-2024-51550)/kritikus;
- Use of Default Credentials (CVE-2024-51551)/kritikus;
- Off-by-one Error (CVE-2024-51554)/kritikus;
- Use of Default Password (CVE-2024-51555)/kritikus;
- Allocation of Resources Without Limits or Throttling (CVE-2024-11316)/súlyos;
- Session Fixation (CVE-2024-11317)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-007-01

Bejelentés dátuma: 2025.01.07.
Gyártó: Nedap Librix
Érintett rendszer(ek):
- Ecoreader minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2024-12757)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-007-02

Bejelentés dátuma: 2025.01.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PowerChute Serial Shutdown 1.2.0.301-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2024-10511)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.01.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Harmony HMIST6 minden verziója;
- Harmony HMISTM6 minden verziója;
- Harmony HMIG3U minden verziója;
- Harmony HMIG3X minden verziója;
- Ecostruxure Operator Terminal Expert runtime-mal használt Harmony HMISTO7 minden verziója;
- PFXST6000 minden verziója;
- PFXSTM6000 minden verziója;
- PFXSP5000 minden verziója;
- Pro-face BLUE runtime-mal használt PFXGP4100 sorozatú eszközök minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Unmaintained Third-Party Components (CVE-2024-11999)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.01.10.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DRASimuCAD robotszimulációs platform 1.02-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Type Confusion (CVE-2024-12834)/súlyos;
- Out-of-bounds Write (CVE-2024-12835)/súlyos;
- Type Confusion (CVE-2024-12836)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hibákat javító új verzión.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-010-03-0

Bejelentés dátuma: 2025.01.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric Vijeo Designer minden, 6.3 SP1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Privilege Management (CVE-2024-8306)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-014-02

Bejelentés dátuma: 2025.01.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric EcoStruxure™ Power Monitoring Expert (PME) 2021 minden, 2021 CU1-nél korábbi verziója;
- Schneider Electric EcoStruxure™ Power Monitoring Expert (PME) 2020 minden, 2020 CU3-nál korábbi verziója;
- Schneider Electric EcoStruxure™ Power Operation (EPO) 2022 minden, 2022 CU4-nél korábbi verziója;
- Schneider Electric EcoStruxure™ Power Operation (EPO) 2022 – Advanced Reporting and Dashboards Module minden, 2022 CU4-nél korábbi verziója;
- Schneider Electric EcoStruxure™ Power Operation (EPO) 2021 minden, 2021 CU3 Hotfix 2-nél korábbi verziója;
- Schneider Electric EcoStruxure™ Power Operation (EPO) 2021 – Advanced Reporting and Dashboards Module minden, 2021 CU3 Hotfix 2-nél korábbi verziója;
- Schneider Electric EcoStruxure™ Power SCADA Operation 2020 (PSO) - Advanced Reporting and Dashboards Module minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-8401)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-014-03

Bejelentés dátuma: 2025.01.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M580 kommunikációs processzorok (BMEP* és BMEH* sorozatszámú eszközök, nem beleértve az M580-as safety kommunikációs processzorokat) minden, SV4.30-nál korábbi verziója;
- Modicon M580 safety kommunikációs processzorokat (BMEP58*S és BMEH58*S sorozatszámú eszközök) SV4.21-nél korábbi verziói;
- BMENOR2200H minden verziója;
- EVLink Pro AC v1.3.10-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Calculation of Buffer Size (CVE-2024-11425)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.01.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Pro-face GP-Pro EX minden verziója;
- Pro-face Remote HMI minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Enforcement of Message Integrity During Transmission in a Communication Channel (CVE-2024-12399)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.01.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M580 kommunikációs modulok BMENOC és BMENOC0321 sorozatainak minden, SV1.10-nél korábbi verziója;
- Modicon M580 kommunikációs modulok BMECRA és BMECRA31210 sorozatainak minden verziója;
- Modicon M580/Quantum kommunikációs modulok BMXCRA, BMXCRA31200 és BMXCRA31210 sorozatainak minden verziója;
- Modicon Quantum 140CRA kommunikációs modulok 140CRA31200 és 140CRA31908 sorozatainak minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2021-29999)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.01.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 processzorok (BMXP34* sorozatszámú eszközök) minden verziója;
- BMXNOE0100 minden verziója;
- BMXNOE0110 minden verziója;
- BMXNOR0200H minden, SV1.70IR26-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2024-12142)/súlyos;
Javítás: Rérszben elérhető.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.01.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxureTM Control Expert V16.1-nél korábbi verziói;
- EcoStruxureTM Process Expert minden verziója;
- EcoStruxure™ OPC UA Server Expert minden verziója;
- EcoStruxureTM Control Expert Asset Link V4.0 SP1-nél korábbi verziói;
- EcoStruxureTM Machine SCADA Expert Asset Link minden verziója;
- EcoStruxure™ Architecture Builder V7.0.18-nál korábbi verziói;
- EcoStruxure™ Operator Terminal Expert minden verziója;
- Vijeo Designer V6.3SP1 HF1-nél korábbi verziói;
- EcoStruxure™ Machine Expert, beleértve az EcoStruxureTM Machine Expert Safety rendszereket, minden verziója;
- EcoStruxure™ Machine Expert Twin minden verziója;
- Zelio Soft 2 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Local Privilege Escalation (CVE-2024-2658)/n/a;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.01.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Build Rapsody v2.5.2 NL és korábbi verziói;
- EcoStruxure™ Power Build Rapsody v2.7.1 FR és korábbi verziói;
- EcoStruxure™ Power Build Rapsody v2.7.5 ES és korábbi verziói;
- EcoStruxure™ Power Build Rapsody v2.5.4 INT és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-11139)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.01.15.
Gyártó: Moxa
Érintett rendszer(ek):
- EDS-508A sorozatú eszközök 3.11-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Security Through Obscurity (CVE-2024-12297)/kritikus;
Javítás: A Moxa Technical Support-nál elérhető.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.01.15.
Gyártó: Moxa
Érintett rendszer(ek):
- MGate 5121 sorozatú eszközök 1.0 firmware-verziója;
- MGate 5122 sorozatú eszközök 1.0 firmware-verziója;
- MGate 5123 sorozatú eszközök 1.0 firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2025-0193)/közepes;
Javítás: Elérhető.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.01.17.
Gyártó: Moxa
Érintett rendszer(ek):
- EDS-608 sorozatú eszközök 3.12 és korábbi firmware-verziói;
- EDS-611 sorozatú eszközök 3.12 és korábbi firmware-verziói;
- EDS-616 sorozatú eszközök 3.12 és korábbi firmware-verziói;
- EDS-619 sorozatú eszközök 3.12 és korábbi firmware-verziói;
- EDS-405A sorozatú eszközök 3.14 és korábbi firmware-verziói;
- EDS-408A sorozatú eszközök 3.12 és korábbi firmware-verziói;
- EDS-505A sorozatú eszközök 3.11 és korábbi firmware-verziói;
- EDS-508A sorozatú eszközök 3.11 és korábbi firmware-verziói;
- EDS-510A sorozatú eszközök 3.12 és korábbi firmware-verziói;
- EDS-516A sorozatú eszközök 3.11 és korábbi firmware-verziói;
- EDS-518A sorozatú eszközök 3.11 és korábbi firmware-verziói;
- EDS-G509 sorozatú eszközök 3.10 és korábbi firmware-verziói;
- EDS-P510 sorozatú eszközök 3.11 és korábbi firmware-verziói;
- EDS-P510A sorozatú eszközök 3.11 és korábbi firmware-verziói;
- EDS-510E sorozatú eszközök 5.5 és korábbi firmware-verziói;
- EDS-518E sorozatú eszközök 6.3 és korábbi firmware-verziói;
- EDS-528E sorozatú eszközök 6.3 és korábbi firmware-verziói;
- EDS-G508E sorozatú eszközök 6.4 és korábbi firmware-verziói;
- EDS-G512E sorozatú eszközök 6.4 és korábbi firmware-verziói;
- EDS-G516E sorozatú eszközök 6.4 és korábbi firmware-verziói;
- EDS-P506E sorozatú eszközök 5.8 és korábbi firmware-verziói;
- ICS-G7526A sorozatú eszközök 5.10 és korábbi firmware-verziói;
- ICS-G7528A sorozatú eszközök 5.10 és korábbi firmware-verziói;
- ICS-G7748A sorozatú eszközök 5.9 és korábbi firmware-verziói;
- ICS-G7750A sorozatú eszközök 5.9 és korábbi firmware-verziói;
- ICS-G7752A sorozatú eszközök 5.9 és korábbi firmware-verziói;
- ICS-G7826A sorozatú eszközök 5.10 és korábbi firmware-verziói;
- ICS-G7828A sorozatú eszközök 5.10 és korábbi firmware-verziói;
- ICS-G7848A sorozatú eszközök 5.9 és korábbi firmware-verziói;
- ICS-G7850A sorozatú eszközök 5.9 és korábbi firmware-verziói;
- ICS-G7852A sorozatú eszközök 5.9 és korábbi firmware-verziói;
- IKS-G6524A sorozatú eszközök 5.10 és korábbi firmware-verziói;
- IKS-6726A sorozatú eszközök 5.9 és korábbi firmware-verziói;
- IKS-6728A sorozatú eszközök 5.9 és korábbi firmware-verziói;
- IKS-6728A-8POE sorozatú eszközök 5.9 és korábbi firmware-verziói;
- IKS-G6824A sorozatú eszközök 5.10 és korábbi firmware-verziói;
- SDS-3006 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- SDS-3008 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- SDS-3010 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- SDS-3016 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- SDS-G3006 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- SDS-G3008 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- SDS-G3010 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- SDS-G3016 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- PT-7728 sorozatú eszközök 3.9 és korábbi firmware-verziói;
- PT-7828 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- PT-G503 sorozatú eszközök 5.3 és korábbi firmware-verziói;
- PT-G510 sorozatú eszközök 6.5 és korábbi firmware-verziói;
- PT-G7728 sorozatú eszközök 6.4 és korábbi firmware-verziói;
- PT-G7828 sorozatú eszközök 6.4 és korábbi firmware-verziói;
- TN-4500A sorozatú eszközök 3.13 és korábbi firmware-verziói;
- TN-5500A sorozatú eszközök 3.13 és korábbi firmware-verziói;
- TN-G4500 sorozatú eszközök 5.5 és korábbi firmware-verziói;
- TN-G6500 sorozatú eszközök 5.5 és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2024-9137)/kritikus;
Javítás: A Moxa Technical Support-nál elérhető.
Link a publikációhoz: Moxa

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szólj hozzá!
ABB Schneider Electric Moxa ICS sérülékenység Delta Electronics Nedap Librix

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr318780046

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása