Bejelentés dátuma: 2023.11.28.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GX Works2 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Import Input Validation (CVE-2023-5274)/low;
- Import Input Validation (CVE-2023-5275)/low;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-331-03

Bejelentés dátuma: 2023.11.28.
Gyártó: Franklin Electric Fueling Systems
Érintett rendszer(ek):
- FFS Colibri minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-5885)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-331-02

Bejelentés dátuma: 2023.11.28.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- InfraSuite Device Master 1.0.7-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-46690)/súlyos;
- Deserialization of Untrusted Data (CVE-2023-47207)/kritikus;
- Exposed Dangerous Method or Function (CVE-2023-39226)/kritikus;
- Path Traversal (CVE-2023-47279)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-331-01

Bejelentés dátuma: 2023.11.30.
Gyártó: PTC
Érintett rendszer(ek):
- KEPServerEX v6.14.263.0 és korábbi verziói;
- ThingWorx Kepware Server v6.14.263.0 és korábbi verziói;
- ThingWorx Industrial Connectivity minden verzió;
- OPC-Aggregator v6.14-es és korábbi verziói;
- ThingWorx Kepware Edge v1.7-es és korábbi verziói;
- Rockwell Automation KEPServer Enterprise v6.14.263.0 és korábbi verziói;
- GE Digital Industrial Gateway Server v7.614-es és korábbi verziói;
- Software Toolbox TOP Server v6.14.263.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-5908)/kritikus;
- Improper Validation of Certificate with Host Mismatch (CVE-2023-5909)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-334-03

Bejelentés dátuma: 2023.11.30.
Gyártó: Yokogawa
Érintett rendszer(ek):
- STARDOM FCN/FCJ R1.01-től R4.31-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2023-5915)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazást.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-334-02

Bejelentés dátuma: 2023.11.30.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GX Works3 minden verziója;
- MELSOFT iQ AppPortal minden verziója;
- MELSOFT Navigator minden verziója;
- Motion Control Setting (GX Works3-hoz tartozó szoftver) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- External Control of File Name or Path (CVE-2023-5247)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazást.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-334-04

Bejelentés dátuma: 2023.11.30.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DOPSoft minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-Based Buffer Overflow (CVE-2023-5944)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-334-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Még nyáron találkoztam ezzel a cikkel, aminek szerzője, egy Stefan Reuther nevű kolléga, aki a COPA-DATA, nevű, Salzburg-i szoftverfejlesztő cég munkatársa értekezik arról, hogy vajon halottak-e a SCADA rendszerek? A nyilvánvalóan provokatív (és clickbait - végül is bejött, én is rákattintottam) céllal választott cím (eredetiben: SCADA Is Dead, Or Is It?) nem túlzás, ha már a cikk második bekezdésében megjelenik az az állítás, hogy a SCADA rendszerek, ahogy korábban ismertük őket, már a múltté, mert a hagyományos folyamatvezérlő rendszer-piramos összeomlott és az IT-OT konvergencia már mindent megváltoztatott, itt vannak a következő generációs megoldások és ez a fejlett gyártás-vezérléshez vezető út.

A cikk további részében a szerző végigveszi, hogy a nyílt rendszer-arhitektúrák, az IT-OT konvergencia, a SCADA rendszerek szerepe az Ipar 4.0-ban hogyan és miért igénylik azt, hogy a SCADA rendszerek megváltozzanak.

Amikor először megtaláltam ezt a cikket és elolvastam, az első benyomásom az volt, hogy ez simán hülyeség. Aztán eltettem a hivatkozást és amikor nekiálltam megírni ezt a posztot, újra végigolvastam és amikor már azon gondolkodtam, hogyan lesz ebből bejegyzés a blogon, rájöttem, mi lehet az az alapvető különbség, ami miatt a cikk írója és én ennyire eltérően látjuk a SCADA-k jelenével és jövőjével kapcsolatos kérdéseket? Ennek pedig azt hiszem, az lehet a legfontosabb oka, hogy nagyon különböző iparágakban tevékenykedünk. Nekem nincs tapasztalatom a gyártásautomatizálási rendszerekkel és erős a feltételezésem, hogy Stefan Reuther-nek pedig főleg ilyen téren vannak OT tapasztalatai.

Szóval ha azt nézem, hogy a SCADA rendszerek számos más iparágban (villamosenergia, olaj és gáz, stb.) is nélkülözhetetlenek, viszont ezekben az iparágak egészen más körülmények és követelmények között tervezik, építik, üzemeltetik és használják. Ha pedig kiterjesztjük a kérdés vizsgálatát a gyártásautomatizálási területen túlra, akkor már sokkal kevésbé lesz egyértelmű, hogy mennyire van vagy nincs alternatívája az új generációs SCADA rendszereknek. Ugyanígy érdemes azt a kérdést is vizsgálni, hogy mennyire lehet működőképes a jelenben és a jövőben egy egy vagy két-három gyártó eszközeiből felépülő SCADA rendszer illetve egy olyan SCADA rendszer, amiben nincs vagy csak elég kis arányban vannak IIoT komponensek.

Összességében, ha nem csak egy iparág igényei alapján vizsgáljuk a kérdést, én továbbra is azt mondanám, hogy a SCADA rendszerek nem halottak, még csak a generációváltásuk sem elkerülhetetlen.

Bejelentés dátuma: 2023.11.21.
Gyártó: WAGO
Érintett rendszer(ek):
- Compact Controller CC100 FW19-nél újabb, FW26-ig terjedő verziói (az FW26 is érintett);
- Edge Controller FW18-nál újabb, FW26-ig terjedő verziói (az FW26 is érintett);
- PFC100 FW16-nál újabb, FW26-ig terjedő verziói (az FW26 is érintett);
- PFC200 FW16-nál újabb, FW26-ig terjedő verziói (az FW26 is érintett);
- Touch Panel 600 Advanced LineFW16-nál újabb, FW26-ig terjedő verziói (az FW26 is érintett);
- Touch Panel 600 Marine LineFW16-nál újabb, FW26-ig terjedő verziói (az FW26 is érintett);
- Touch Panel 600 Standard LineFW16-nál újabb, FW26-ig terjedő verziói (az FW26 is érintett);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2023-4089)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-325-01

Bejelentés dátuma: 2023.11.21.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Tellus Lite V-Simulator V4.0.19.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-35127)/súlyos;
- Out-of-bounds Write (CVE-2023-40152)/súlyos;
- Improper Access Control (CVE-2023-5299)/súlyos;
Javítás: Elérhető

Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-325-02

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

2022 őszi Sandworm-támadás az ukrán villamosenergia-rendszer ellen

Még a hónap elején publikálta a Mandiant azt a tanulmányát

https://www.mandiant.com/resources/blog/sandworm-disrupts-power-ukraine-operational-technology

ami a 2022 őszén történt, ukrán villamosenergia-rendszer elleni kibertámadás részleteit tárta fel. Az elemzések szerint erősen valószínű, hogy a Sandworm néven (is) ismert, feltételezhetően GRU/GU-kapcsolatokkal rendelkező orosz APT-csoport felelős a támadásért. Ez nem akkora újdonság (a Sandworm számos komoly, akár nyugodtan felső kategóriásnak nevezhető kibertámadásért felelős az elemzések szerint), az már sokkal inkább, hogy ezúttal nem malware-t használtak a támadáshoz, hanem a megtámadott szervezet rendszereinek legitim eszközeivel érték el az üzemzavart (ezt nevezik angolul Living-of-the-Land támadásnak is). Ez pedig egészen új helyzetet teremt, egyrészt, mert a jelek szerint a korábbi támadásoknál először sikerült malware-ekkel (BlackEnergy, Industroyer) üzemzavarokat okozni az ukrán villamosenergia-rendszerben, ez 2022 elején (az elérhető információk alapján) már nem sikerült (Industroyer2, PipeDream) elérni a támadók célját. Ennek elsődleges oka szerintem az, hogy az ukrán biztonsági szakemberek (nem függetlenül az amerikai "Hunt Forward"-támogatástól) kifejezetten hatékony észlelési és incidenskezelési képességeket építettek ki. A Living-of-the-Land támadások viszont a célba vett rendszereken gyárilag vagy az üzemeltetők által telepített eszközöket használják, így nehezebb a hagyományos kártékony kód elleni védelmi megoldásokkal megelőzni vagy észlelni. Ez pedig várhatóan azt fogja jelenteni, hogy a különböző APT-csoportok el fognak mozdulni ebbe az irányba és a kritikus infrastruktúrákat védő szakembereknek ki kell dolgozniuk a hatékony védekezési módokat a Living-of-the-Land támadások ellen.

Ráadásul a kibertámadások a széles körben ismert tavaly őszi, ukrán villamosenergia-alállomások elleni orosz rakéta- és dróntámadásokkal egyidőben történt. Azt hiszem, ha valamit, hát ezt aztán tényleg nevezhetjük hibrid háborúnak...

Illetve van még egy tanulság és ez sem éppen örömteli (szerintem). Egyre inkább úgy látom, ahogy a hibrid háborúhoz kapcsolód, kritikus infrastruktúrák elleni kibertámadásokról a szakma egyre kevésbé és egyre később kaphatnak információkat, ez pedig sajnos azt is jelenti, hogy a védekezésben kulcsszerepet játszó szakembereknek sokkal nehezebb dolguk van a rájuk bízott rendszerek hatékony megvédése során.

Kibertámadás izraeli naperőmű ellen

Az október 7-i terrortámadás után indult izraeli hadműveletek szinte már borítékolhatóan hozták el az izraeli állami és kritikus infrastruktúra elleni kibertámadásokat. A magukat Salamon katonáinak nevező, palesztín-párti csoport a hírek szerint

https://securityaffairs.com/153778/security/soldiers-of-solomon-hacked-israel-flour-plant.html

betört egy malom rendszereibe, de nem is ez volt (számomra) a legérdekesebb része a fenti cikknek, hanem az a mondat, hogy ugyanez a csoport felelős az Ashalim naperőmű elleni támadással. Az alábbi képernyőképeket állítólag a támadók töltötték fel egy leak oldalra:

Sajnos további részletek erről az incidensről sem ismertek és ahogy az ukrajnai Sandworm-támadással kapcsolatban írtam, nem tartom valószínűnek, hogy mostanában sokkal több részletet tudhatnánk meg az esetről.

A különböző esettanulmányokat elég hasznosnak tartom, különösen igaz ez az ICS biztonság területén, ahol azért még ma is meglehetősen kevesen akarnak/mernek/szabad nekik nyilvánosan beszélni a valós életből származó tapasztalataikról. Ebben a témában találtam nemrég egy 5 részes blogsorozatot Steve Mustard-tól.

A sorozat első részében Steve a kockázatkezelés témáját járja körül, a bekövetkezési valószínűségek becslését, a kockázatcsökkentés különböző lehetőségeit és az ALARP (as low as reasonably practicable) pocim-nelkul_4341108nt, vagyis a kockázatcsökkentés és annak költségeinek optimum-pontjának meghatározását bemutatva.

A második rész a Purdue-modellt mutatja be, de nem csak az alapvető, szintekre bontott modellt, hanem az IIoT rendszerek és a Purdue-modell kapcsolatát illetve az egyes szinteken található IT és OT/ICS komponensek válaszidőit is vázolja, illetve a Purdue-hierarchia és a kiberbiztonsági ellenállóképesség kapcsolatát is röviden körüljárja.

A sorozat harmadik része a kapcsolódó folyamatokról szól, az ICS rendszerekkel kapcsolatos projekt menedzsmentről és a kiberbiztonság projektekbe történő beépítéséről, valamint a változáskezelésről, incidenskezelésre történő felkészülésről és red-team gyakorlatokról szól.

A negyedik rész témája az, hogy mit is tanulhatna az ICS kiberbiztonság a safety folyamatoktól és a safety rendszereket és folyamatokat fejlesztő mérnököktől. Részletesebben áttekinti az emberi hibákból eredő fenyegetések hatásait, valamint gyakorlatok és megfelelő kompetenciák kialakításának fontosságát, végül pedig ezeknek a tevékenységeknek a folyamatos kiértékelési rendszerét és ennek fontosságát is bemutatja.

A sorozat utolsó, ötödik része az üzemeltetés támogatásához szükséges kiegészítő tevékenységeket mutatja be, ilyenek például a kiberbiztonsági kontroll-rendszer monitoringja, az ICS/OT rendszerekkel kapcsolatba kerülő emberekhez kapcsolódó kontrollok (például háttér-ellenőrzések, feladatközök szétválasztása, az új belépők, áthelyezett munkatársak és kilépőkkel kapcsolatos szabályok és folyamatok), valamint a leltár-menedzsment, incidens-kezelés (ismét), beszállítók, alvállalkozók és gyártók munkatársaival kapcsolatos szabályok, eljárások és kontrollok, végül pedig a kiberbiztonsággal kapcsolatos biztosítások.

Bejelentés dátuma: 2023.11.14.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA SystemPlatform 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA Historian 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA Application Server 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA InTouch 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA Enterprise Licensing (korábbi nevén License Manager) version 3.7.002 and prior
- AVEVA Manufacturing Execution System (korábbi nevén Wonderware MES) 2020 P01-es és korábbi verziói;
- AVEVA Recipe Management 2020 R2 Update 1 Patch 2-es és korábbi verziói;
- AVEVA Batch Management 2020 SP1-es és korábbi verziói;
- AVEVA Edge (korábbi nevén Indusoft Web Studio) 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA Worktasks (korábbi nevén Workflow Management) 2020 U2-es és korábbi verziói;
- AVEVA Plant SCADA (korábbi nevén Citect) 2020 R2 Update 15-ös és korábbi verziói;
- AVEVA Mobile Operator (korábbi nevén IntelaTrac Mobile Operator Rounds) 2020 R1-es és korábbi verziói;
- AVEVA Communication Drivers Pack 2020 R2 SP1-es és korábbi verziói;
- AVEVA Telemetry Server 2020 R2 SP1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Execution with Unnecessary Privileges (CVE-2023-33873)/súlyos;
- External Control of File Name or Path (CVE-2023-34982)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-318-01

Bejelentés dátuma: 2023.11.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Safety Instrumented System Workstation v1.2-től v2.00-ig terjedő verziói (a v2.00 már nem érintett);
- ISaGRAF Workbench v6.6.9-től v6.06.10-ig terjedő verziói (a v6.06.10 már nem érintett);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2015-9268)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-318-02

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC PNI V2.0;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-30184)/közepes;
- Out-of-bounds Write (CVE-2022-37434)/kritikus;
- Improper Input Validation (CVE-2022-41032)/súlyos;
- Improper Input Validation (CVE-2023-21808)/súlyos;
- Improper Input Validation (CVE-2023-24895)/súlyos;
- Improper Input Validation (CVE-2023-24897)/súlyos;
- Improper Input Validation (CVE-2023-24936)/súlyos;
- Improper Input Validation (CVE-2023-28260)/súlyos;
- Improper Input Validation (CVE-2023-29331)/súlyos;
- Improper Input Validation (CVE-2023-32032)/közepes;
- Improper Input Validation (CVE-2023-33126)/súlyos;
- Improper Input Validation (CVE-2023-33128)/súlyos;
- Improper Input Validation (CVE-2023-33135)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7-et használó Mendix alkalmazások minden, V7.23.37-nél korábbi verziója;
- Mendix 8-at használó Mendix alkalmazások minden, V8.18.27-nél korábbi verziója;
- Mendix 9-et használó Mendix alkalmazások minden, V9.24.10-nél korábbi verziója;
- Mendix 10-et használó Mendix alkalmazások minden, V10.4.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Capture-Replay (CVE-2023-45794)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- OPC UA Modelling Editor (SiOME) V2.8-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2023-46590)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- COMOS minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2020-25020)/kritikus;
- Path Traversal (CVE-2020-35460)/közepes;
- Out-of-bounds Write (CVE-2022-23095)/súlyos;
- Out-of-bounds Read (CVE-2022-28807)/súlyos;
- Out-of-bounds Read (CVE-2022-28808)/súlyos;
- Out-of-bounds Read (CVE-2022-28809)/súlyos;
- Integer Overflow or Wraparound (CVE-2023-0933)/súlyos;
- Use After Free (CVE-2023-1530)/súlyos;
- Use After Free (CVE-2023-2931)/súlyos;
- Use After Free (CVE-2023-2932)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-22669)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-22670)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-43503)/alacsony;
- Classic Buffer Overflow (CVE-2023-43504)/kritikus;
- Improper Access Control (CVE-2023-43505)/kritikus;
- Improper Access Control (CVE-2023-46601)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS neo V4.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-46096)/közepes;
- SQL Injection (CVE-2023-46097)/közepes;
- Permissive Cross-domain Policy with Untrusted Domains (CVE-2023-46098)/súlyos;
- Cross-site Scripting (CVE-2023-46099)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Desigo CC product family V5.0 minden verziója;
- Desigo CC product family V5.1 minden verziója;
- Desigo CC product family V6 minden verziója;
- Desigo CC product family V7 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Over-Read (CVE-2021-20093)/kritikus;
- Buffer Over-Read (CVE-2021-20094)/súlyos;
- Heap-Based Buffer Overflow (CVE-2023-3935)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Nozomi Guardian-nal/CMC-vel használt RUGGEDCOM APE1808 minden, V22.6.3-nál korábbi illetve 23.1.0 verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2023-2567)/súlyos;
- SQL Injection (CVE-2023-29245)/súlyos;
- Improper Input Validation (CVE-2023-32649)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a sérülékenységek javításán.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Studio Pro 7 V7.23.37-nél korábbi verziói;
- Mendix Studio Pro 8 V8.18.27-nél korábbi verziói;
- Mendix Studio Pro 9 V9.24.0-nál korábbi verziói;
- Mendix Studio Pro 10 V10.3.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-4863)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE XB205-3 (SC, PN) (6GK5205-3BB00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3 (ST, E/IP) (6GK5205-3BB00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3 (ST, E/IP) (6GK5205-3BD00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3 (ST, PN) (6GK5205-3BD00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3LD (SC, E/IP) (6GK5205-3BF00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3LD (SC, PN) (6GK5205-3BF00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB208 (E/IP) (6GK5208-0BA00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB208 (PN) (6GK5208-0BA00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3 (SC, E/IP) (6GK5213-3BD00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3 (SC, PN) (6GK5213-3BD00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3 (ST, E/IP) (6GK5213-3BB00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3 (ST, PN) (6GK5213-3BB00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3LD (SC, E/IP) (6GK5213-3BF00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3LD (SC, PN) (6GK5213-3BF00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB216 (E/IP) (6GK5216-0BA00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB216 (PN) (6GK5216-0BA00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2 (SC) (6GK5206-2BD00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2 (ST/BFOC) (6GK5206-2BB00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2G PoE (6GK5206-2RS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2G PoE (54 V DC) (6GK5206-2RS00-5AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2G PoE EEC (54 V DC) (6GK5206-2RS00-5FC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP (6GK5206-2BS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP EEC (6GK5206-2BS00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP G (6GK5206-2GS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP G (EIP DEF.) (6GK5206-2GS00-2TC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP G EEC (6GK5206-2GS00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC208 (6GK5208-0BA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC208EEC (6GK5208-0BA00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G (6GK5208-0GA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G (EIP def.) (6GK5208-0GA00-2TC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G EEC (6GK5208-0GA00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G PoE (6GK5208-0RA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G PoE (54 V DC) (6GK5208-0RA00-5AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216 (6GK5216-0BA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-3G PoE (6GK5216-3RS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-3G PoE (54 V DC) (6GK5216-3RS00-5AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-4C (6GK5216-4BS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-4C G (6GK5216-4GS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-4C G (EIP Def.) (6GK5216-4GS00-2TC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-4C G EEC (6GK5216-4GS00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC216EEC (6GK5216-0BA00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC224 (6GK5224-0BA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC224-4C G (6GK5224-4GS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC224-4C G (EIP Def.) (6GK5224-4GS00-2TC2) V4.5-nél korábbi verziói;
- SCALANCE XC224-4C G EEC (6GK5224-4GS00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XF204 (6GK5204-0BA00-2GF2) V4.5-nél korábbi verziói;
- SCALANCE XF204 DNA (6GK5204-0BA00-2YF2) V4.5-nél korábbi verziói;
- SCALANCE XF204-2BA (6GK5204-2AA00-2GF2) V4.5-nél korábbi verziói;
- SCALANCE XF204-2BA DNA (6GK5204-2AA00-2YF2) V4.5-nél korábbi verziói;
- SCALANCE XP208 (6GK5208-0HA00-2AS6) V4.5-nél korábbi verziói;
- SCALANCE XP208 (Ethernet/IP) (6GK5208-0HA00-2TS6) V4.5-nél korábbi verziói;
- SCALANCE XP208EEC (6GK5208-0HA00-2ES6) V4.5-nél korábbi verziói;
- SCALANCE XP208PoE EEC (6GK5208-0UA00-5ES6) V4.5-nél korábbi verziói;
- SCALANCE XP216 (6GK5216-0HA00-2AS6) V4.5-nél korábbi verziói;
- SCALANCE XP216 (Ethernet/IP) (6GK5216-0HA00-2TS6) V4.5-nél korábbi verziói;
- SCALANCE XP216EEC (6GK5216-0HA00-2ES6) V4.5-nél korábbi verziói;
- SCALANCE XP216POE EEC (6GK5216-0UA00-5ES6) V4.5-nél korábbi verziói;
- SCALANCE XR324WG (24 x FE, AC 230V) (6GK5324-0BA00-3AR3) V4.5-nél korábbi verziói;
- SCALANCE XR324WG (24 X FE, DC 24V) (6GK5324-0BA00-2AR3) V4.5-nél korábbi verziói;
- SCALANCE XR326-2C PoE WG (6GK5326-2QS00-3AR3) V4.5-nél korábbi verziói;
- SCALANCE XR326-2C PoE WG (without UL) (6GK5326-2QS00-3RR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (24xFE, 4xGE, AC230V) (6GK5328-4FS00-3AR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (24xFE, 4xGE, AC230V) (6GK5328-4FS00-3RR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (24XFE, 4XGE, 24V) (6GK5328-4FS00-2AR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (24xFE, 4xGE,DC24V) (6GK5328-4FS00-2RR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (28xGE, AC 230V) (6GK5328-4SS00-3AR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (28xGE, DC 24V) (6GK5328-4SS00-2AR3) V4.5-nél korábbi verziói;
- SIPLUS NET SCALANCE XC206-2 (6AG1206-2BB00-7AC2) V4.5-nél korábbi verziói;
- SIPLUS NET SCALANCE XC206-2SFP (6AG1206-2BS00-7AC2) V4.5-nél korábbi verziói;
- SIPLUS NET SCALANCE XC208 (6AG1208-0BA00-7AC2) V4.5-nél korábbi verziói;
- SIPLUS NET SCALANCE XC216-4C (6AG1216-4BS00-7AC2) V4.5-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-4203)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- NULL Pointer Dereference (CVE-2023-0216)/súlyos;
- NULL Pointer Dereference (CVE-2023-0217)/súlyos;
- NULL Pointer Dereference (CVE-2023-0401)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2023-2650)/közepes;
- Acceptance of Extraneous Untrusted Data With Trusted Data (CVE-2023-44317)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2023-44318)/közepes;
- Use of Weak Hash (CVE-2023-44319)/közepes;
- Forced Browsing (CVE-2023-44320)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44321)/alacsony;
- Unchecked Return Value (CVE-2023-44322)/alacsony;
- Injection (CVE-2023-44373)/kritikus;
- Unsynchronized Access to Shared Data in a Multithreaded Context (CVE-2023-44374)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W721-1 RJ45 (6GK5721-1FC00-0AA0) minden verziója;
- SCALANCE W721-1 RJ45 (6GK5721-1FC00-0AB0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AA0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AB0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AC0) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AA0) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AA6) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AB0) minden verziója;
- SCALANCE W734-1 RJ45 (USA) (6GK5734-1FX00-0AB6) minden verziója;
- SCALANCE W738-1 M12 (6GK5738-1GY00-0AA0) minden verziója;
- SCALANCE W738-1 M12 (6GK5738-1GY00-0AB0) minden verziója;
- SCALANCE W748-1 M12 (6GK5748-1GD00-0AA0) minden verziója;
- SCALANCE W748-1 M12 (6GK5748-1GD00-0AB0) minden verziója;
- SCALANCE W748-1 RJ45 (6GK5748-1FC00-0AA0) minden verziója;
- SCALANCE W748-1 RJ45 (6GK5748-1FC00-0AB0) minden verziója;
- SCALANCE W761-1 RJ45 (6GK5761-1FC00-0AA0) minden verziója;
- SCALANCE W761-1 RJ45 (6GK5761-1FC00-0AB0) minden verziója;
- SCALANCE W774-1 M12 EEC (6GK5774-1FY00-0TA0) minden verziója;
- SCALANCE W774-1 M12 EEC (6GK5774-1FY00-0TB0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AA0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AA6) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AB0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AC0) minden verziója;
- SCALANCE W774-1 RJ45 (USA) (6GK5774-1FX00-0AB6) minden verziója;
- SCALANCE W778-1 M12 (6GK5778-1GY00-0AA0) minden verziója;
- SCALANCE W778-1 M12 (6GK5778-1GY00-0AB0) minden verziója;
- SCALANCE W778-1 M12 EEC (6GK5778-1GY00-0TA0) minden verziója;
- SCALANCE W778-1 M12 EEC (USA) (6GK5778-1GY00-0TB0) minden verziója;
- SCALANCE W786-1 RJ45 (6GK5786-1FC00-0AA0) minden verziója;
- SCALANCE W786-1 RJ45 (6GK5786-1FC00-0AB0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AA0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AB0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AC0) minden verziója;
- SCALANCE W786-2 SFP (6GK5786-2FE00-0AA0) minden verziója;
- SCALANCE W786-2 SFP (6GK5786-2FE00-0AB0) minden verziója;
- SCALANCE W786-2IA RJ45 (6GK5786-2HC00-0AA0) minden verziója;
- SCALANCE W786-2IA RJ45 (6GK5786-2HC00-0AB0) minden verziója;
- SCALANCE W788-1 M12 (6GK5788-1GD00-0AA0) minden verziója;
- SCALANCE W788-1 M12 (6GK5788-1GD00-0AB0) minden verziója;
- SCALANCE W788-1 RJ45 (6GK5788-1FC00-0AA0) minden verziója;
- SCALANCE W788-1 RJ45 (6GK5788-1FC00-0AB0) minden verziója;
- SCALANCE W788-2 M12 (6GK5788-2GD00-0AA0) minden verziója;
- SCALANCE W788-2 M12 (6GK5788-2GD00-0AB0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TA0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TB0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TC0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AA0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AB0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AC0) minden verziója;
- SCALANCE W1748-1 M12 (6GK5748-1GY01-0AA0) minden verziója;
- SCALANCE W1748-1 M12 (6GK5748-1GY01-0TA0) minden verziója;
- SCALANCE W1788-1 M12 (6GK5788-1GY01-0AA0) minden verziója;
- SCALANCE W1788-2 EEC M12 (6GK5788-2GY01-0TA0) minden verziója;
- SCALANCE W1788-2 M12 (6GK5788-2GY01-0AA0) minden verziója;
- SCALANCE W1788-2IA M12 (6GK5788-2HY01-0AA0) minden verziója;
- SCALANCE WAM763-1 (6GK5763-1AL00-7DA0) minden verziója;
- SCALANCE WAM766-1 (EU) (6GK5766-1GE00-7DA0) minden verziója;
- SCALANCE WAM766-1 (US) (6GK5766-1GE00-7DB0) minden verziója;
- SCALANCE WAM766-1 EEC (EU) (6GK5766-1GE00-7TA0) minden verziója;
- SCALANCE WAM766-1 EEC (US) (6GK5766-1GE00-7TB0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3AA0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3DA0) minden verziója;
- SCALANCE WUM766-1 (EU) (6GK5766-1GE00-3DA0) minden verziója;
- SCALANCE WUM766-1 (US) (6GK5766-1GE00-3DB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-47522)/súlyos;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC MV500-család minden, V3.3.5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2022-23218)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2201 minden, V2201.0010-nél korábbi verziója;
- Tecnomatix Plant Simulation V2302 minden, V2302.0004-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-38070)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38071)/súlyos;
- Out-of-bounds Write (CVE-2023-38072)/súlyos;
- Type Confusion (CVE-2023-38073)/súlyos;
- Type Confusion (CVE-2023-38074)/súlyos;
- Use After Free (CVE-2023-38075)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38076)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIPROTEC 4 7SJ66 minden, V4.41-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2019-12255)/kritikus;
- Classic Buffer Overflow (CVE-2019-12256)/kritikus;
- Session Fixation (CVE-2019-12258)/súlyos;
- NULL Pointer Dereference (CVE-2019-12259)/súlyos;
- Classic Buffer Overflow (CVE-2019-12260)/kritikus;
- Classic Buffer Overflow (CVE-2019-12261)/kritikus;
- Origin Validation Error (CVE-2019-12262)/kritikus;
- Race Condition (CVE-2019-12263)/súlyos;
- Missing Release of Memory after Effective Lifetime (CVE-2019-12265)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap V2301 minden, V2301.0003-nál korábbi verziója;
- Simcenter Femap V2306 minden, V2306.0001-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-41032)/súlyos;
- Out-of-bounds Write (CVE-2023-41033)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- ION8650 minden verziója;
- ION8800 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Download of Code Without Integrity Check (CVE-2023-5984)/súlyos;
- Improper Neutralization of Input During Web Page Generation (CVE-2023-5985)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.11.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Monitoring Expert (PME) 2021-es kiadásának CU2-t megelőző verziói;
- EcoStruxure™ Power Monitoring Expert (PME) 2020-as kiadásának CU3-t megelőző verziói;
- EcoStruxure™ Power Operation 2021-hez használható Advanced Reporting and Dashboards Module 2021-es kiadásának CU2-esnél korábbi verziói;
- EcoStruxure™ Power SCADA Operation (PSO) 2020-hoz vagy 2020 R2-höz használható Advanced Reporting and Dashboards Module 2020-as kiadásának CU3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- URL Redirection to Untrusted Site (CVE-2023-5986)/súlyos;
- Cross-site Scripting (CVE-2023-5987)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.11.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Galaxy VS v6.82-es verziója;
- Galaxy VL v12.21-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-6032)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.11.16.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MACH SSW 5.0-tól 7.17.0.0-ig terjedő verziói;
- MACH SSW 7.10.0.0-tól 7.18.0.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-2621)/közepes;
- Exposure of Resource to Wrong Sphere (CVE-2023-2622)/alacsony;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-320-02

Bejelentés dátuma: 2023.11.16.
Gyártó: Red Lion
Érintett rendszer(ek):
- ST-IPm-8460 6.0.202-es és későbbi firmware-verziói;
- ST-IPm-6350 4.9.114-es és későbbi firmware-verziói;
- VT-mIPm-135-D 4.9.114-es és későbbi firmware-verziói;
- VT-mIPm-245-D 4.9.114-es és későbbi firmware-verziói;
- VT-IPm2m-213-D 4.9.114-es és későbbi firmware-verziói;
- VT-IPm2m-113-D 4.9.114-es és későbbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass using an Alternative Path or Channel (CVE-2023-42770)/kritikus;
- Exposed Dangerous Method or Function (CVE-2023-40151)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-320-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A dán SektorCERT elemzése szerint 2023. május 11-én összesen 16 villamosenergia céget ért kibertámadás (11-et sikeres, 5-öt sikertelen támadás). Az esetről a dán SektorCERT publikált egy igen alapos, 32 oldalas összefoglalót, amiből a legérdekesebb részeket gyűjtöttem ki.

A támadók a célba vett szervezetek által használt Zyxel tűzfalakban megtalálható, CVE-2023-28771 azonosítójú, kritikus besorolású sérülékenységet használták ki ahhoz, hogy bejussanak az érintett cégek hálózataiba. Az első igazán érdekes részlete az incidenseknek, hogy a SektorCERT-es kollégák szerint a támadók valamilyen nem publikus forrásból tudhatták, hogy melyik cégek használják az érintett Zyxel tűzfalakat, mert ezt az információt publikus forrásokból (pl. Shodan vagy Censys keresőket használva) nem lehetett megszerezni és jelenleg nincs is értékelhető magyarázatuk arra, hogy a támadók honnan tudták, hogy milyen tűzfalak elleni támadásra kell felkészülniük.

A másik kiemelt részlet az elemzésben az egyszerre megtámadott szervezetek nagy száma, ami jelentős erőforrásokat és koordinációt igényel a támadók oldaláról. Emellett viszont vitathatatlan előny a támadók számára, hogy ilyen módon az első támadásról szóló információk nem tudja figyelmeztetni a többi, megtámadni szervezetet. Ráadásul így a SektorCERT-nek egyszer nem egy, hanem 16 incidens kezelését kellett elvégeznie/koordinálnia (ezt már ugyan én teszem hozzá, hogy meglehetősen irigylésre méltónak tartom azt, hogy a dán villamosenergia-szektor CERT-jének van arra erőforrása, hogy egyidőben 16 incidenst vizsgáljon és csökkentse a károk mértékét - szeretném én ennek a képességnek és tapasztalatnak akár csak a felét vagy negyedét látni a hazai környezetben...)

A támadás második hulláma május 22-én indult. Jelenleg nem lehet tudni, hogy a 22-i támadás(ok?)ért ugyanaz a támadói csoport felelős, mint a 11-i támadásért vagy egy teljesen másik csoport, de a SektorCERT munkatársai arra következtetnek, hogy feltehetően két csoport állhat a két támadás mögött.

A második támadás kiindulópontja ismét egy tűzfal volt, ami egy szoftverletöltés után úgy kezdett viselkedni, mint a Mirai botnet által fertőzött számítógépek. 22-én még nem lehetett tudni, hogy a támadók ezúttal milyen sérülékenységen keresztül kompromittálták a tűzfalat, aztán május 24-én a Zyxel két új sérülékenységről (CVE-2023-33009 és CVE-2023-33010) publikált részleteket. A SektorCERT elemzőinek oka van feltételezni, hogy a támadóknak tudomásuk lehetett a fenti két sérülékenységről még azok publikálása előtt.

A támadások május 23-án is folytatódtak és újabb szervezethez tudtak betörni a támadók, aminek a hálózatából brute force SSH-támadást indítottak egy kanadai cég rendszerei ellen, mielőtt a SektorCERT és a dán cég ki tudták volna zárni a támadókat a dán villamosenergia cég rendszereiből.

24-én több újabb céget ért támadás, ezeket a támadásokat elemezve a SektorCERT munkatársai újabb részleteket tudtak megfigyelni a támadók módszereiről. Aznap esti riasztások alapján a SektorCERT okkal feltételezi, hogy a támadások legalább egy részéért a Sandworm nevű, GRU/GU-hoz köthető orosz APT csoport lehet a felelős.

25-én újabb támadások történtek, amik megerősítették a SektorCERT munkatársait abbéli feltételezésükben, hogy a támadásokat a Sandworm hajtja végre.

Ez az események lényege, a fent hivatkozott dokumentumban még számos következtetést és ajánlást adott közre a SektorCERT, amiket mindenkinek, aki kritikus infrastruktúrák kiberbiztonságával foglalkozik, hasznos lehet elolvasni és végiggondolni, mit és hogyan tudnának a saját rendszereikre vonatkozóan alkalmazni.

Bejelentés dátuma: 2023.10.30.
Gyártó: ABB
Érintett rendszer(ek):
- ABB COM600 4.x és 5.x verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial-of-service (CVE-2022-47378)/közepes;
- Out-of-bounds Write (CVE-2022-47379)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47380)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47381)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47382)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47383)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47384)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47385)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47386)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47387)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47388)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47389)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47390)/súlyos;
- Denial-of-service (CVE-2022-47391)/súlyos;
- Denial-of-service (CVE-2022-47392)/közepes;
- Untrusted Pointer Dereference (CVE-2022-47393)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.11.07.
Gyártó: General Electric
Érintett rendszer(ek):
- MiCOM S1 Agile minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2023-0898)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-311-01

Bejelentés dátuma: 2023.11.09.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Quantum HD Unity Compressor control panels (Q5) minden, v11.22-nél korábbi verziója;
- Quantum HD Unity Compressor control panels (Q6) minden, v12.22-nél korábbi verziója;
- Quantum HD Unity AcuAir control panels(Q5) minden, v11.12-nél korábbi verziója;
- Quantum HD Unity AcuAir control panels(Q6) minden, v12.12-nél korábbi verziója;
- Quantum HD Unity Condenser/Vessel control panels (Q5) minden, v11.11-nél korábbi verziója;
- Quantum HD Unity Condenser/Vessel control panels (Q6) minden, v12.11-nél korábbi verziója;
- Quantum HD Unity Evaporator control panels (Q5) minden, v11.11-nél korábbi verziója;
- Quantum HD Unity Evaporator control panels (Q6) minden, v12.11-nél korábbi verziója;
- Quantum HD Unity Engine Room control panels (Q5) minden, v11.11-nél korábbi verziója;
- Quantum HD Unity Engine Room control panels (Q6) minden, v12.11-nél korábbi verziója;
- Quantum HD Unity Interface control panels (Q5) minden, v11.11-nél korábbi verziója;
- Quantum HD Unity Interface control panels (Q6) minden, v12.11-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Active Debug Code (CVE-2023-4804)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-313-01

Bejelentés dátuma: 2023.11.09.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- eSOMS v6.3.13-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Generation of Error Message Containing Sensitive Information (CVE-2023-5514)/közepes;
- Exposure of Sensitive System Information to an Unauthorized Control Sphere (CVE-2023-5515)/közepes;
- Exposure of Sensitive System Information to an Unauthorized Control Sphere (CVE-2023-5516)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-313-02

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Úgy tűnik, Alphv/BlackCat ransomware-támadás érte a Japan Aviation Electronics nevű gyártó rendszereit. A JAE weboldalán közzétett információk szerint az incidens november 2-án történt. A JAE állítása szerint a támadók nem tudtak fájlokat letölteni a rendszereikből, de az Alphv/BlackCat csoport szerint kb. 150.000 cim-nelkul_323678dokumentumot szereztek meg.

Az incidensről én a SecurityWeek oldalán olvastam: https://www.securityweek.com/japan-aviation-electronics-targeted-in-ransomware-attack/

Bejelentés dátuma: 2023.10.31.
Gyártó: Zavio
Érintett rendszer(ek):
- CF7500 M2.1.6.05-ös verziója;
- CF7300 M2.1.6.05-ös verziója;
- CF7201 M2.1.6.05-ös verziója;
- CF7501 M2.1.6.05-ös verziója;
- CB3211 M2.1.6.05-ös verziója;
- CB3212 M2.1.6.05-ös verziója;
- CB5220 M2.1.6.05-ös verziója;
- CB6231 M2.1.6.05-ös verziója;
- B8520 M2.1.6.05-ös verziója;
- B8220 M2.1.6.05-ös verziója;
- CD321 M2.1.6.05-ös verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-3959)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-45225)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-43755)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-39435)/súlyos;
- OS Command Injection (CVE-2023-4249)/súlyos;
Javítás: Nincs, az érintett termékek elérték életciklusuk végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-304-03

Bejelentés dátuma: 2023.10.31.
Gyártó: INEA
Érintett rendszer(ek):
- Inea ME RTU 3.36b és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2023-35762)/kritikus;
- Improper Authentication (CVE-2023-29155)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-304-02

Bejelentés dátuma: 2023.11.01.
Gyártó: Moxa
Érintett rendszer(ek):
- Moxa EDR-810 sorozatú eszközök v5.12.28-as és korábbi verziói;
- Moxa EDR G902 sorozatú eszközök v5.7.20-as és korábbi verziói;
- Moxa EDR G903 sorozatú eszközök v5.7.20-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Copy Without Checking Size of Input (CVE-2023-4452)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2023.11.01.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort 6000 sorozatú eszközök v1.21-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Authentication Mechanism (CVE-2023-5627)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2023.11.02.
Gyártó: Moxa
Érintett rendszer(ek):
- Moxa PT-G503 sorozatú eszközök 5.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2015-9251)/közepes;
- Cross-site Scripting (CVE-2020-11022)/közepes;
- Cross-site Scripting (CVE-2020-11023)/közepes;
- Prototype Pollution (CVE-2019-11358)/közepes;
- Inadequate Encryption Strength (CVE-2005-4900)/közepes;
- Sensitive Cookie Without 'HttpOnly' Flag (CVE-2023-4217)/alacsony;
- Sensitive Cookie in HTTPS Session Without 'Secure' Attribute (CVE-2023-5035)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2023.11.02.
Gyártó: Franklin Fueling System
Érintett rendszer(ek):
- TS-550 minden, 1.9.23.8960-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Password Hash with Insufficient Computational Effort (CVE-2023-5846)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-306-04

Bejelentés dátuma: 2023.11.02.
Gyártó: Red Lion
Érintett rendszer(ek):
- Crimson v3.2.0053.18-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Neutralization of Null Byte or NUL Character (CVE-2023-5719)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-306-01

Bejelentés dátuma: 2023.11.02.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC-F sorozatú eszközök FX3U-xMy/z x=16,32,48,64,80,128, y=T,R, z=ES,ESS,DS,DSS minden verziója;
- MELSEC-F sorozatú eszközök FX3U-32MR/UA1, FX3U-64MR/UA1 minden verziója;
- MELSEC-F sorozatú eszközök FX3U-32MS/ES, FX3U-64MS/ES minden verziója;
- MELSEC-F sorozatú eszközök FX3U-xMy/ES-A x=16,32,48,64,80,128, y=T,R minden verziója;
- MELSEC-F sorozatú eszközök FX3UC-xMT/z x=16,32,64,96, z=D,DSS minden verziója;
- MELSEC-F sorozatú eszközök FX3UC-16MR/D-T, FX3UC-16MR/DS-T minden verziója;
- MELSEC-F sorozatú eszközök FX3UC-32MT-LT, FX3UC-32MT-LT-2 minden verziója;
- MELSEC-F sorozatú eszközök FX3UC-16MT/D-P4, FX3UC-16MT/DSS-P4 minden verziója;
- MELSEC-F sorozatú eszközök FX3G-xMy/z x=14,24,40,60, y=T,R, z=ES,ESS,DS,DSS minden verziója;
- MELSEC-F sorozatú eszközök FX3G-xMy/ES-A x=14,24,40,60, y=T,R minden verziója;
- MELSEC-F sorozatú eszközök FX3GC-32MT/D, FX3GC-32MT/DSS minden verziója;
- MELSEC-F sorozatú eszközök FX3GE-xMy/z x=24,40, y=T,R, z=ES,ESS,DS,DSS minden verziója;
- MELSEC-F sorozatú eszközök FX3GA-xMy-CM x=24,40,60, y=T,R minden verziója;
- MELSEC-F sorozatú eszközök FX3S-xMy/z x=10,14,20,30, y=T,R, z=ES,ESS,DS,DSS minden verziója;
- MELSEC-F sorozatú eszközök FX3S-30My/z-2AD y=T,R, z=ES,ESS minden verziója;
- MELSEC-F sorozatú eszközök FX3SA-xMy-CM x=10,14,20,30, y=T,R minden verziója;
- MELSEC iQ-F sorozatú eszközök FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS minden verziója;
- MELSEC iQ-F sorozatú eszközök FX5UC-xMy/z x=32,64,96, y=T, z=D,DSS minden verziója;
- MELSEC iQ-F sorozatú eszközök FX5UC-32MT/DS-TS, FX5UC-32MT/DSS-TS, FX5UC-32MR/DS-TS minden verziója;
- MELSEC iQ-F sorozatú eszközök FX5UJ-xMy/z x=24,40,60, y=T,R, z=ES,ESS,DS,DSS minden verziója;
- MELSEC iQ-F sorozatú eszközök FX5UJ-xMy/ES-A x=24,40,60, y=T,R minden verziója;
- MELSEC iQ-F sorozatú eszközök FX5S-xMy/z x=30,40,60,80, y=T,R, z=ES,ESS minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2023-4699)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-306-03

Bejelentés dátuma: 2023.11.02.
Gyártó: Weintek
Érintett rendszer(ek):
- EasyBuilder Pro v6.07.02-nél korábbi verziói;
- EasyBuilder Pro 6.08.01.592-nél korábbi verziói;
- EasyBuilder Pro 6.08.02.470-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2023-5777)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-306-05

Bejelentés dátuma: 2023.11.02.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS (17X**** és későbbi sorozatszámú) eszközök minden verziója;
- FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS (179**** és későbbi sorozatszámú) eszközök 1.060-as és későbbi verziói;
- FX5UC-xMy/z x=32,64,96, y=T, z=D,DSS (17X**** és későbbi sorozatszámú) eszközök minden verziója;
- FX5UC-xMy/z x=32,64,96, y=T, z=D,DSS (179**** és későbbi sorozatszámú) eszközök 1.060-as és későbbi verziói;
- FX5UC-32MT/DS-TS, FX5UC-32MT/DSS-TS, FX5UC-32MR/DS-TS eszközök minden verziója;
- FX5UJ-xMy/z x=24,40,60, y=T,R, z=ES,DS,ESS,DSS eszközök minden verziója;
- FX5UJ-xMy/ES-A* x=24,40,60, y=T,R eszközök minden verziója;
- FX5S-xMy/z x=30,40,60,80*, y=T,R, z=ES,ESS eszközök minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2023-4625)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-306-02

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.