A privát 5G hálózatok az 5G technológia egyetlen (jellemzően nagyon nagy) szervezet számára kiépített változata, ami az 5G hálózatok általános előnyei mellett (kiber)biztonsági és megbízhatósági téren további előnyöket tud nyújtani.

Szokás mondani, hogy az ipari hálózatokban a bizalmasság nem szempont (vagy legalábbis a legkevésbé fontos szempont a safety, reliability, rendelkezésre állás, sértetlenség és bizalmasság ötösből), de szerintem még ezt sem lehet mindent lefedően állítani, hiszen azoknak a szervezeteknek (pl. gyógyszergyárak, más vegyipari vagy akár élelmiszeripari szervezetek, ahol a gyártási receptek sé formulák a legnagyobb értéket képviselik - gondoljunk csak arra, hogy milyen régóta mennyire őrzik a Coca-Cola receptúráját). Ha ezeket is figyelembe vesszük, elég gyorsan érthetővé válik, miért tekintik sokan (pl. a TrendMicro tavaly nyáron megjelent cikkében is) jelentős értéknek a privát 5G hálózatok emelt szintű bizalmasságot biztosítani képes tulajdonságait. Ráadásul egyes vélemények szerint a privát 5G hálózatok a publikus, telco szolgáltatók által kínált 5G szolgáltatással szemben érzékelhető költségmegtakarítást is lehetővé tesznek.

Érdekes (és akár egészen szép reményeket keltő is lehet) látni, hogy egy, a TrendMicro által idézett felmérés szerint a privát 5G hálózatokkal kapcsolatos felsővezetői elvárások között több, kiberbiztonsággal kapcsolatos elvárás is előkelő helyre kerül (pl. biztonsági célú hálózatmonitoring, kockázatkezelés, a már működő rendszerekével egyező vagy azt meghaladó szintű biztonsági funkciók, stb.). Ezek mellett persze számos komoly kihívást is jelentenek az 5G hálózatok, pl. a meglévő kiberbiztonsági rendszerekkel történő integrációs feladatok, az a tény, hogy az elérhető szabványok nem fedik teljes körűen a privát 5G hálózatokat vagy az elosztott felelősségű működési modellek szokatlansága és akkor a Radio Access Network-ök (RAN) biztonsági kérdéseiről még nem is beszéltünk. Ez utóbbi témát a jövő heti poszt fogja egy kicsit körüljárni.

Bejelentés dátuma: 2024.02.06.
Gyártó: HID Global
Érintett rendszer(ek):
- HID iCLASS SE reader konfigurációs kártyák minden verziója;
- OMNIKEY Secure Elements reader konfigurációs kártyák minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2024-23806)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-037-02

Bejelentés dátuma: 2024.02.06.
Gyártó: HID Global
Érintett rendszer(ek):
- iCLASS SE CP1000 Encoder minden verziója;
- iCLASS SE Readers minden verziója;
- iCLASS SE Reader Modules minden verziója;
- iCLASS SE Processors minden verziója;
- OMNIKEY 5427CK Readers minden verziója;
- OMNIKEY 5127CK Readers minden verziója;
- OMNIKEY 5023 Readers minden verziója;
- OMNIKEY 5027 Readers minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2024-22388)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-037-01

Bejelentés dátuma: 2024.02.08.
Gyártó: Qolsys
Érintett rendszer(ek):
- Qolsys IQ Panel 4 4.4.2-nél korábbi verziói;
- Qolsys IQ4 Hub 4.4.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2024-0242)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-039-01

Bejelentés dátuma: 2024.02.13.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-R sorozatú Safety CPU R08SFCPU minden verziója;
- MELSEC iQ-R sorozatú Safety CPU R16SFCPU minden verziója;
- MELSEC iQ-R sorozatú Safety CPU R32SFCPU minden verziója;
- MELSEC iQ-R sorozatú Safety CPU R120SFCPU minden verziója;
- MELSEC iQ-R sorozatú SIL2 Process CPU R08PSFCPU minden verziója;
- MELSEC iQ-R sorozatú SIL2 Process CPU R16PSFCPU minden verziója;
- MELSEC iQ-R sorozatú SIL2 Process CPU R32PSFCPU minden verziója;
- MELSEC iQ-R sorozatú SIL2 Process CPU R120PSFCPU minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Privilege Assignment (CVE-2023-6815)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-044-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Február 6-án már nem első alkalommal tartott meghallgatást az USA kongresszusának illetékes albizottsága az ICS/OT kiberbiztonság témában, ezúttal a fókuszban a viziközmű szektor volt.

A meghallgatáson négyen mondhatták el meglátásaikat és kérdezték őket az albizottság tagjai:

- Robert M. Lee (Dragos)
- Charles Clancy (MITRE)
- Kevin Morley (Amerikai Víziközmű Szövetség, AWWA)
- Marty Edwards (Tenable)

A meghallgatásról készült videófelvétel itt, a jegyzokönyv pedig itt érhető el.

Bejelentés dátuma: 2024.01.30.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Service Platform v6.4-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Verification of Cryptographic Signature (CVE-2024-21917)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-06

Bejelentés dátuma: 2024.01.30.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC WS Series Ethernet Interface Modulok minden, WS0-GETH00200 verziójának összes sorozatszáma;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Capture-replay (CVE-2023-6374)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-03

Bejelentés dátuma: 2024.01.30.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ControlLogix 5570 20.011-es firmware-verziója;
- ControlLogix 5570 20.054_kit1 firmware-verziója;
- GuardLogix 5570 20.011-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024 21916)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-05

Bejelentés dátuma: 2024.01.30.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- EZSocket 3.0 és későbbi verziói;
- FR Configurator2 minden verziója;
- GT Designer3 Version1(GOT1000) minden verziója;
- GT Designer3 Version1(GOT2000) minden verziója;
- GX Works2 1.11M és későbbi verziói;
- GX Works3 minden verziója;
- MELSOFT Navigator 1.04E és későbbi verziói;
- MT Works2 minden verziója;
- MX Component 4.00A és későbbi verziói;
- MX OPC Server DA/UA (az MC Works64-gyel csomagolt szoftververziók) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-6942)/súlyos;
- Unsafe Reflection (CVE-2023-6943)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-02

Bejelentés dátuma: 2024.01.30.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- LP30 Operator Panel V3.5.19.0-nál korábbi verziói;
- LP40 Operator Panel V3.5.19.0-nál korábbi verziói;
- LP50 Operator Panel V3.5.19.0-nál korábbi verziói;
- BM40 Operator Panel V3.5.19.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Validation of Consistency within Input (CVE-2022-47378)/közepes;
- Out-of-bounds Write (CVE-2022-47379)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47380)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47381)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47382)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47383)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47384)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47386)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47387)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47388)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47389)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47390)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47385)/súlyos;
- Improper Validation of Consistency within Input (CVE-2022-47392)/közepes;
- Untrusted Pointer Dereference (CVE-2022-47393)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-07

Bejelentés dátuma: 2024.01.30.
Gyártó: Hitron Systems
Érintett rendszer(ek):
- DVR HVR-4781 1.03-tól 4.02-ig terjedő verziói;
- DVR HVR-8781 1.03-tól 4.02-ig terjedő verziói;
- DVR HVR-16781 1.03-tól 4.02-ig terjedő verziói;
- DVR LGUVR-4H 1.02-tól 4.02-ig terjedő verziói;
- DVR LGUVR-8H 1.02-tól 4.02-ig terjedő verziói;
- DVR LGUVR-16H 1.02-tól 4.02-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2024-22768)/súlyos;
- Improper Input Validation (CVE-2024-22769)/súlyos;
- Improper Input Validation (CVE-2024-22770)/súlyos;
- Improper Input Validation (CVE-2024-22771)/súlyos;
- Improper Input Validation (CVE-2024-22772)/súlyos;
- Improper Input Validation (CVE-2024-23842)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-04

Bejelentés dátuma: 2024.01.30.
Gyártó: Emerson
Érintett rendszer(ek):
- GC370XA Emerson Rosemount Gas Chromatograph 4.1.5-ös verziója;
- GC700XA Emerson Rosemount Gas Chromatograph 4.1.5-ös verziója;
- GC1500XA Emerson Rosemount Gas Chromatograph 4.1.5-ös verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-46687)/kritikus;
- Command Injection (CVE-2023-49716)/közepes;
- Improper Authentication, Improper Authorization (CVE-2023-51761)/súlyos;
- Improper Authentication, Improper Authorization (CVE-2023-43609)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-01

Bejelentés dátuma: 2024.02.01.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA Edge: 2020 R2 SP2 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2023-6132)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-032-03

Bejelentés dátuma: 2024.02.01.
Gyártó: Gessler
Érintett rendszer(ek):
- WEB-MASTER 7.9-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Weak Credentials (CVE-2024-1039)/kritikus;
- Use of Weak Hash (CVE-2024-1040)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-032-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

PLC-khez használható forensics eszköz forráskódját publikálta a Microsoft

Amikor 2020 nyarán a Microsoft felvásárolta a CyberX nevű ICS biztonsági céget, én személy szerint arra számítottam, hogy a Redmond-i cég hasonló lendülettel fogja magát belevetni az ICS kiberbiztonság témájába, ahogy az IT területen már évtizedek óta megszoktuk tőle. Aztán nem éppen ez történt, a jelek szerint sokkal inkább csendben dolgoznak a háttérben és csak ritkán lehet hallani a munkájukról. Néhány hete pont egy ilyen ritka alkalom jött el, amikor a Github-on publikálták az ICSpector névre keresztelt projektjük keretében született forráskódját.

Az ICSpector elsődleges célja a Microsoft szerint a PLC-k forensics-elemzésének megkönnyítése a PLC-k meta-adatainak és projekt fájljainak vizsgálatával, ami (figyelembe véve az elmúlt időszakban történt, gyakran PLC-ket is közvetlenül érintő ICS kiberbiztonsági incidensek növekvő számát) egyáltalán nem tűnik felesleges fejlesztésnek.

Bejelentés dátuma: 2024.01.23.
Gyártó: APsystems
Érintett rendszer(ek):
- Energy Communication Unit Power Control Software C1.2.2-es verziója;
- Energy Communication Unit Power Control Software v3.11.4-es verziója;
- Energy Communication Unit Power Control Software W2.1.NA verziója;
- Energy Communication Unit Power Control Software v4.1SAA verziója;
- Energy Communication Unit Power Control Software v4.1NA verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-44037)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-023-01

Bejelentés dátuma: 2024.01.23.
Gyártó: Crestron
Érintett rendszer(ek):
- Crestron AirMedia Presentation System AM-300 1.4499.00018-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2023-6926)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-023-02

Bejelentés dátuma: 2024.01.23.
Gyártó: Voltronic Power
Érintett rendszer(ek):
- ViewPower Pro UPS menedzsment szoftver 2.0-22165-ös verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-51570)/kritikus;
- Missing Authentication for Critical Function (CVE-2023-51571)/súlyos;
- Exposed Dangerous Method or Function (CVE-2023-51573)/kritikus;
- OS Command Injection (CVE-2023-51572)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-023-03

Bejelentés dátuma: 2024.01.23.
Gyártó: Westermo
Érintett rendszer(ek):
- Lynx: Model Version L206-F2G1;
- Lynx 4.24-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2023-40143)/közepes;
- Cross-site Scripting (CVE-2023-45222)/közepes;
- Code Injection (CVE-2023-45735)/súlyos;
- Cross-Origin Resource Sharing (CVE-2023-45213)/közepes;
- Cross-site Scripting (CVE-2023-42765)/közepes;
- Cross-site Scripting (CVE-2023-40544)/közepes;
- Cross-Site Request Forgery (CVE-2023-38579)/súlyos;
- Cross-site Scripting (CVE-2023-45227)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hibák javításán, a patch megjelenéséig kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-023-04

Bejelentés dátuma: 2024.01.23.
Gyártó: Lantronix
Érintett rendszer(ek):
- XPort Device Server Configuration Manager 2.0.0.13-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Weak Encoding for Password (CVE-2023-7237)/közepes;
Javítás: Az érintett termékhez nincs, akinek titkosításra van szüksége, annak az újabb verzióra, az XPort Edge-re történő frissítést javasolja a gyártó.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-023-05

Bejelentés dátuma: 2024.01.25.
Gyártó: MachineSense
Érintett rendszer(ek):
- FeverWarn ESP32;
- FeverWarn RaspberryPi;
- FeverWarn DataHub RaspberryPi;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-6221)/súlyos;
- Use of Hard-coded Credentials (CVE-2023-46706)/kritikus;
- Missing authentication for Critical Function (CVE-2023-49617)/kritikus;
- Missing authentication for Critical Function (CVE-2023-49115)/súlyos;
- Improper Access Control (CVE-2023-47867)/súlyos;
- Improper Input Validation (CVE-2023-49610)/súlyos;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-025-01

Bejelentés dátuma: 2024.01.25.
Gyártó: SystemK
Érintett rendszer(ek):
- NVR 504 2.3.5SK.30084998-as verziója;
- NVR 508 2.3.5SK.30084998-as verziója;
- NVR 516 2.3.5SK.30084998-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-7227)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-025-02

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nemrég írtam én is arról, hogy a 2022 őszi, ukrán villamosenergia-rendszer elleni Sandworm-kibertámadások során már nem valamilyen malware-t vetettek be (mint 2015-ben a BlackEnergy-t, 2016-ban az Industroyer-t, 2022 tavaszán pedig az Industroyer2-t és a PipeDream-et), hanem a célpont rendszerekben megtalálható legitim szoftvereket használták fel a támadáshoz (Living-of-the-Land támadási mód).

Nem sokkal az incidens részleteinek publikálása után jelent meg egy cikk Dean Parsons-tól, a SANS ICS biztonsági képzési programjának egyik kulcsemberétől egy cikk, amiben a Living-of-the-Land támadások alapjait ismerteti (legitim felhasználónevek és jelszavak, ICS/OT protokollok, scriptelési lehetőségek, mérnöki folyamatvezérlő alkalmazások támadásra történő felhasználási lehetőségei, példák LotL-támadásokra) és ami még fontosabb, tanácsokat is ad arra vonatkozóan, hogyan lehet védekezni a LotL-támadások ellen:

- Értsük meg az adott ICS/OT rendszerben használt ipari protokollok működését és felépítését;
- Erősítsük meg a kritikus ICS/OT rendszereink/eszközeink védelmét;
- Fejlesszük az ICS/OT rendszereink védelméért felelős kollégák tudását és képességeit;
- Monitorozzuk a legfontosabb ipari eszközeink adatforrásait;
- Készítsünk el és folyamatosan tartsuk napra készen az ICS/OT-specifikus incidens-kezelési terveinket (és, teszem hozzá én, fordítsunk különösen nagy figyelmet a tervek begyakoroltatására az összes érintett kollégával!);
- Aktívan keressük az ICS/OT rendszereinkre leselkedő fenyegetéseket a hálózatainkban (ICS threat hunting).

Bejelentés dátuma: 2024.01.16.
Gyártó: SEW-EURODRIVE
Érintett rendszer(ek):
- MOVITOOLS MotionStudio 6.5.0.2-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML EXTERNAL Entity Reference (CVE-2023-6926)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-016-01

Bejelentés dátuma: 2024.01.16.
Gyártó: Integration Objects
Érintett rendszer(ek):
- OPC UA Server Toolkit minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Output Neutralization for Logs (CVE-2023-7234)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-016-02

Bejelentés dátuma: 2024.01.18.
Gyártó: AVEVA
Érintett rendszer(ek):
- PI Server 2023;
- PI Server 2018 SP3 P05-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Check or Handling of Exceptional Conditions (CVE-2023-34348)/súlyos;
- Missing Release of Resource after Effective Lifetime (CVE-2023-31274)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-018-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Egy 2020-ban megjelent tanulmány (én a LinkedIn-en találtam, a hivatkozás is az oda feltöltött dokumentumra mutat) szerint ennyi idő kell ahhoz, hogy egy támadó brute-force módszerekkel, két sérülékenységet kihasználva hozzáférést tudjon szerezni egyes Siemens HMI-okon, amik lehetővé teszik, hogy nem csak az Sm@rtClient alkalmazással, hanem VNC-vel is távoli hozzáférést lehessen felépíteni az érintett HMI-okon futó SM@rtServer funkcióhoz. Ráadásul ehhez elég az a Hydra nevű eszköz, amit a szabadon és ingyen letölthető Kali Linux nevű penteszter platformmal bárki használhat (még én is tudok így tesztelni, pedig még a legnagyobb jóindulattal is elég távol állok attól, hogy penteszternek vagy etikus hackernek lehessen nevezni).

Az említett sérülékenységek a CVE-2020-15786 (ez teszi lehetővé a brute-force jelszótörést) és a CVE-2020-15787, ami a VNC használatakor csonkolja a 8 karakternél hosszabb jelszavakat 8 karakteresre.

Mit lehet tenni az ilyen sérülékenységekkel és az általuk okozott kockázatokkal? Alapvető biztonsági szabályok betartásával jelentős kockázatcsökkentést lehet elérni:

- Ne csatlakoztassunk ipari folyamatirányító rendszereket publikus (pl. Internet) vagy irodai/IT hálózatokra. Ha mégis muszáj Interneten keresztül távkezelési lehetőséget biztosítani az OT szakterületen dolgozó kollégák számára, akkor mindenképp erős titkosítással konfigurált site-to-site VPN vagy erős titkosítással és több faktoros authentikációval védett SSL VPN kapcsolattal biztosítsuk, hogy csak az arra feljogosított felhasználók próbálhassanak meg authentikálni az érintett folyamatvezérlő rendszerekben.
- A folyamatirányító rendszerek hálózatát megfelelő szintű tűzfalazással válasszuk le a folyamatirányító rendszerek hálózatától. Amennyiben lehetséges, használjunk erős (több faktoros) authentikációt biztosító privilégizált felhasználó menedzsment rendszert az ipari rendszerek távoli hozzáférése során.

Az eset részleteiről a Bristol-i egyetem munkatársainak, Joseph Gardiner és Awais Rashid publikációjában lehet olvasni ami a fenti linken érhető el.

Bejelentés dátuma: 2024.01.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Spectrum Power 7 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2023-44120)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.01.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CN 4100 minden, V2.7-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authorization Bypass Through User-Controlled Key (CVE-2023-49251)/súlyos;
- Improper Input Validation (CVE-2023-49252)/súlyos;
- Use of Default Credentials (CVE-2023-49621)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.01.11.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden, V14.3.0.6-nál korábbi verziója;
- Teamcenter Visualization V13.3 minden, V13.3.0.13-nál korábbi verziója;
- Teamcenter Visualization V14.1 minden, V14.1.0.12-nél korábbi verziója;
- Teamcenter Visualization V14.2 minden, V14.2.0.9-nél korábbi verziója;
- Teamcenter Visualization V14.3 minden, V14.3.0.6-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-51439)/súlyos;
- NULL Pointer Dereference (CVE-2023-51744)/alacsony;
- Stack-based Buffer Overflow (CVE-2023-51745)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-51746)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.01.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge SE2023 minden, V223.0 Update 10-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-49121)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-49122)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-49123)/súlyos;
- Out-of-bounds Read (CVE-2023-49124)/súlyos;
- Out-of-bounds Read (CVE-2023-49126)/súlyos;
- Out-of-bounds Read (CVE-2023-49127)/súlyos;
- Out-of-bounds Write (CVE-2023-49128)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-49129)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-49130)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-49131)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-49132)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.01.11.
Gyártó: Siemens
Érintett rendszer(ek):
- CP-8031 MASTER MODULE (6MF2803-1AA00) minden, CPCI85 V05.20-asnál korábbi verziója;
- CP-8050 MASTER MODULE (6MF2805-0AA00) minden, CPCI85 V05.20-asnál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Uninitialized Resource (CVE-2023-42797)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.01.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC IPC647E minden, V4.14.00.26068-nál korábbi verziója;
- SIMATIC IPC847E minden, V4.14.00.26068-nál korábbi verziója;
- SIMATIC IPC1047E minden, V4.14.00.26068-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2023-51438)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.01.11.
Gyártó: Horner Automation
Érintett rendszer(ek):
- Cscape 9.90 SP10-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-Based Buffer Overflow (CVE-2023-7206)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-011-04

Bejelentés dátuma: 2024.01.11.
Gyártó: Rapid Software LLC
Érintett rendszer(ek):
- Rapid SCADA 5.8.4-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2024-21852)/súlyos;
- Relative Path Traversal (CVE-2024-22096)/közepes;
- Local Privilege Escalation through Incorrect Permission Assignment for Critical Resource (CVE-2024-22016)/súlyos;
- Open Redirect (CVE-2024-21794)/közepes;
- Use of Hard-coded Credentials (CVE-2024-21764)/kritikus;
- Plaintext Storage of a Password (CVE-2024-21869)/közepes;
- Generation of Error Message Containing Sensitive Information (CVE-2024-21866)/közepes;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-011-03

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.