A különböző felhős megoldások idestova jó 2 évtizede velünk élnek (még ha sokan sokáig nem is tudták vagy még mindig nem tudják, hogy hány felhőszolgáltatást is használnak napi rendszerességgel), azonban az OT világba a felhő nagyon sokáig az említés szintjén sem jelent meg. Aztán valamikor a 2010-es évek derekán kezdtek néhányan ipari felhőről (industrial cloud) beszélni, de a kezdeti felhajtás (és abból induló, az ICS/OT kiberbiztonsági közösségre időnként jellemzően kissé túlfűtött viták) után a téma elfeküdt a háttérben, az évtized második felében történt súlyos, ICS/OT rendszereket (is) érintő incidensek árnyékában. Később, az ipari IoT (IIoT) megoldások terjedése nyomán ismét felmerült az ICS/OT rendszerek felhőkapcsolatának kérdése, de ez még mindig nem arról szólt, hogy az OT rendszerek egy részét egy publikus felhőszolgáltatóhoz mozgassák ki az ipari szervezetek.

Most azonban egy olyan, a Microsoft Tech Community-n még 2022-ben megjelent cikket találtam, ami miatt mindenképp érdemes kicsit újra megvizsgálnunk a témát. Ebben a cikkben bizony a Microsoft egyik ausztráliai munkatársa egy esettanulmányt bemutatva arról ír, hogy terjesztették ki egy ügyfelük OT hálózatának egy részét (a Purdue-modell szerinti L3-at) egy második (az ügyfél IT Azure tenant-jától elkülönített) OT Azure tenant-ba. A cikk szerint ez a kialakítás amellett, hogy lehetőséget adott az ügyfél számára a publikus felhő biztosította számítási, elemzési, gépi tanulási és mesterséges intelligencia-képességek kihasználására úgy, hogy közben fenntartották az ICS/OT biztonság olyan alapelveit, mint az IT és OT címtárak teljeskörű szétválasztása, az erőforrások szétválasztása az IT és OT rendszerek között.

Egyelőre (nekem legalább is) nehéz megítélni, hogy a publikus felhőbe történő OT-kiterjesztés előnyei ellensúlyozzák-e vagy inkább meghaladják egyes OT szolgáltatások felhőbe költöztetésének kockázatait. A kezdeti véleményem az, hogy talán azoknál a szolgálatásoknál lehetne elgondolkozni a felhőbe költöztetéséről, ahol az L3 OT szolgáltatások önálló rendelkezésre állása a legfontosabb (vagy inkább az egyetlen) szempont és az sem jelent problémát, ha ezek a szolgáltatások elveszítik a kapcsolatot az on-premise L3 és L2 rendszerekkel és szolgáltatásokkal és (természetesen) az adatok/rendszerek bizalmassága nem szempont. Fontos szempontnak gondolnám továbbá, hogy a publikus felhőbe költöző L3 rendszerek NE tudjanak kapcsolatokat kezdeményezni az L2 (vagy L1, L0) rendszerek felé - hiszen tudjuk, semmi, így a Purdue-modellben meghatározott szabályok és adatutak sincsenek kőbe vésve.

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden, V14.3.0.1-nél korábbi verziója;
- Teamcenter Visualization V13.3 minden, V13.3.0.12-nél korábbi verziója;
- Teamcenter Visualization V14.0 minden verziója;
- Teamcenter Visualization V14.1 minden, V14.1.0.11-nél korábbi verziója;
- Teamcenter Visualization V14.2 minden, V14.2.0.6-nál korábbi verziója;
- Teamcenter Visualization V14.3 minden, V14.3.0.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-38070)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38071)/súlyos;
- Out-of-bounds Write (CVE-2023-38072)/súlyos;
- Type Confusion (CVE-2023-38073)/súlyos;
- Type Confusion (CVE-2023-38074)/súlyos;
- Use After Free (CVE-2023-38075)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38076)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 ADM (6GK6015-0AL20-0GL0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 ADM CC (6GK6015-0AL20-0GL1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 CKP (6GK6015-0AL20-0GK0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 CKP CC (6GK6015-0AL20-0GK1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 CLOUDCONNECT (6GK6015-0AL20-0GM0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 CLOUDCONNECT CC (6GK6015-0AL20-0GM1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 ELAN (6GK6015-0AL20-0GP0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 ELAN CC (6GK6015-0AL20-0GP1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 SAM-L (6GK6015-0AL20-0GN0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 SAM-L CC (6GK6015-0AL20-0GN1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-P (6GK6015-0AL20-1AA0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-P CC (6GK6015-0AL20-1AA1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S1 (6GK6015-0AL20-1AB0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S1 CC (6GK6015-0AL20-1AB1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S3 (6GK6015-0AL20-1AD0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S3 CC (6GK6015-0AL20-1AD1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S5 (6GK6015-0AL20-1AF0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S5 CC (6GK6015-0AL20-1AF1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808LNX (6GK6015-0AL20-0GH0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808LNX CC (6GK6015-0AL20-0GH1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808W10 (6GK6015-0AL20-0GJ0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808W10 CC (6GK6015-0AL20-0GJ1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insyde BIOS Vulnerability (CVE-2017-5715)/közepes;
- Insyde BIOS Vulnerability (CVE-2021-38578)/kritikus;
- Insyde BIOS Vulnerability (CVE-2022-24350)/közepes;
- Insyde BIOS Vulnerability (CVE-2022-24351)/közepes;
- Insyde BIOS Vulnerability (CVE-2022-27405)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-29275)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-30283)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-30772)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32469)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32470)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32471)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32475)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32477)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32953)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32954)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-35893)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-35894)/közepes;
- Insyde BIOS Vulnerability (CVE-2022-35895)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-35896)/közepes;
- Insyde BIOS Vulnerability (CVE-2022-36338)/súlyos;
- Insyde BIOS Vulnerability (CVE-2023-24932)/közepes;
- Insyde BIOS Vulnerability (CVE-2023-27373)/közepes;
- Insyde BIOS Vulnerability (CVE-2023-31041)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Spectrum Power 7 minden, V23Q3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2023-38557)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS neo (Administration Console) V4.0 minden verziója;
- SIMATIC PCS neo (Administration Console) V4.0 Update 1 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insertion of Sensitive Information into Externally-Accessible File or Directory (CVE-2023-38558)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.14
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Pavilion8 v5.17.00 és v5.17.01-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-29463)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-257-07

Bejelentés dátuma: 2023.09.19.
Gyártó: Omron
Érintett rendszer(ek):
- Sysmac Studio 1.54-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2022-45793)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-262-04

Bejelentés dátuma: 2023.09.19.
Gyártó: Omron
Érintett rendszer(ek):
- Sysmac Studio1.54-es és korábbi verziói;
- NX-IO Configurator 1.22-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2018-1002205)
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-262-03

Bejelentés dátuma: 2023.09.19.
Gyártó: Omron
Érintett rendszer(ek):
- Smart Security Manager 1.4-es és 1.31-ig terjedő korábbi verziói;
- Smart Security Manager 1.5-ös és korábbi verziói;
- CJ2H-CPU ** (-EIP) 1.4-es és korábbi verziói;
- CJ2M-CPU ** 2.0 és korábbi verziói;
- CS1H/G-CPU ** H、CJ1G-CPU ** P 4.0 és korábbi verziói;
- CS1D-CPU ** H / -CPU ** P 1.3-as és korábbi verziói;
- CS1D-CPU ** S 2.0 és korábbi verziói;
- CP1E-E / -N 1.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Control of Interaction Frequency (CVE-2022-45790)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-262-05

Bejelentés dátuma: 2023.09.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Connected Components Workbench R21-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free (CVE-2020-16017)/kritikus;
- Use After Free (CVE-2022-0609)/súlyos;
- Out-of-bounds Write (CVE-2020-16009)/súlyos;
- Out-of-bounds Write (CVE-2020-16013)/súlyos;
- Out-of-bounds Write (CVE-2020-15999)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-05

Bejelentés dátuma: 2023.09.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1756-EN2T A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2T A sorozatú eszközök 5.028-as verziója;
- 1756-EN2T B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2T B sorozatú eszközök 5.028-as verziója;
- 1756-EN2T C sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2T C sorozatú eszközök 5.028-as verziója;
- 1756-EN2T D sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TK A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TK A sorozatú eszközök 5.028-as verziója;
- 1756-EN2TK B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TK B sorozatú eszközök 5.028-as verziója;
- 1756-EN2TK C sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TK C sorozatú eszközök 5.028-as verziója;
- 1756-EN2TK D sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TXT A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TXT A sorozatú eszközök and 5.028-as verziója;
- 1756-EN2TXT B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TXT B sorozatú eszközök 5.028-as verziója;
- 1756-EN2TXT C sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TXT C sorozatú eszközök 5.028-as verziója;
- 1756-EN2TXT D sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TP A sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TPK A sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TPXT A sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TR A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TR A sorozatú eszközök 5.028-as verziója;
- 1756-EN2TR B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TR B sorozatú eszközök 5.028-as verziója;
- 1756-EN2TR C sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TRK A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TRK A sorozatú eszközök 5.028-as verziója;
- 1756-EN2TRK B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TRK B sorozatú eszközök 5.028-as verziója;
- 1756-EN2TRK C sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TRXT A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TRXT A sorozatú eszközök 5.028-as verziója;
- 1756-EN2TRXT B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TRXT B sorozatú eszközök 5.028-as verziója;
- 1756-EN2TRXT C sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2F A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2F A sorozatú eszközök 5.028-as verziója;
- 1756-EN2F B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2F B sorozatú eszközök 5.028-as verziója;
- 1756-EN2F C sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2FK A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2FK A sorozatú eszközök 5.028-as verziója;
- 1756-EN2FK B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2FK B sorozatú eszközök 5.028-as verziója;
- 1756-EN2FK C sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN3TR A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN3TR A sorozatú eszközök 5.028-as verziója;
- 1756-EN3TR B sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN3TRK A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN3TRK A sorozatú eszközök 5.028-as verziója;
- 1756-EN3TRK B sorozatú eszközök 11.002-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-2262)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-04

Bejelentés dátuma: 2023.09.21.
Gyártó: Real Time Automation
Érintett rendszer(ek):
- 460 sorozat v8.9.8-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2023-4523)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-01

Bejelentés dátuma: 2023.09.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View Machine Edition v13.0 verziója;
- FactoryTalk View Machine Edition v12.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2023-2071)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-06

Bejelentés dátuma: 2023.09.21.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DIAScreen v1.3.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-5068)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-03

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nemrég egy érdekesnek tűnő cikksorozat első részeire találtam rá az ISA weboldalán. A sorozatban egy három fázisú, 14 részből álló kezdeményezést mutatnak be, ami alapja lehet egy ICS biztonsági programnak.

Az első fázis az ICS/OT kiberbiztonsági értékelés és szabályzat-alkotás, valamint a governance témáival foglalkozik.

a második fázisba 7 témakör tartozik:

- ICS/OT kiberbiztonsági tervezés és hálózatszegmentáció (IT és OT hálózatok közötti szegmentáció);
- ICS/OT eszközfelderítés és fenyegetés-észletés (OT IDS rendszerek kiválasztása és implementálása);
- ICS/OT konfiguráció-higénia;
- ICS/OT biztonságos távoli hozzáférés;
- ICS/OT hozzáférés-vezérlés;
- ICS/OT végpontvédelem (antivírus, host IDS/EDR, USB eszközkontroll);
- ICS/OT beszállító lánc-biztonság;

A harmadik fázis 3 részből áll:

- ICS/OT biztonsági monitoring;
- ICS/OT biztonsági incidenskezelési terv;
- ICS/OT audit és biztonsági tesztelés;

A sorozat eddig megjelent négy része az alábbi linkeken érhető el:

Első rész;
Második rész;
Harmadik rész;
Negyedik rész;

Bejelentés dátuma: 2023.09.12.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Lumada APM Edge 4.0 és korábbi verziói;
- Lumada APM Edge 6.3-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free (CVE-2023-0215)/súlyos;
- Double Free (CVE-2022-4450)/súlyos;
- Type Confusion (CVE-2023-0286)/súlyos;
- Observable Discrepancy (CVE-2022-4304)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-255-01

Bejelentés dátuma: 2023.09.12.
Gyártó: Fujitsu Software
Érintett rendszer(ek):
- Infrastructure Manager Advanced Edition V2.8.0.060-as verziója;
- Infrastructure Manager Advanced Edition for PRIMEFLEX V2.8.0.060-as verziója;
- Infrastructure Manager Essential Edition V2.8.0.060-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2023-39903)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-255-02

Bejelentés dátuma: 2023.09.12.
Gyártó: JTEKT
Érintett rendszer(ek):
- Kostac PLC programozási szoftver (korábbi nevén Koyo PLC programozási szoftver) 1.6.11.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Double free (CVE-2023-41374)/súlyos;
- Use-after-free (CVE-2023-41375)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://jvn.jp/en/vu/JVNVU95282683/index.html

Bejelentés dátuma: 2023.09.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS Update Service (IGSSupdateservice.exe) v16.0.0.23211-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-4516)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- PSS(R)CAPE V14 minden, V14.2023-08-23-nál korábbi verziója;
- PSS(R)CAPE V15 minden, V15.0.22-nél korábbi verziója;
- PSS(R)E V34 minden, V34.9.6-nál korábbi verziója;
- PSS(R)E V35 minden verziója;
- PSS(R)ODMS V13.0 minden verziója;
- PSS(R)ODMS V13.1 minden, V13.1.12.1-nél korábbi verziója;
- SIMATIC PCS neo V3 minden verziója;
- SIMATIC PCS neo V4 minden verziója;
- SIMATIC WinCC OA V3.17 minden verziója;
- SIMATIC WinCC OA V3.18 minden verziója;
- SIMATIC WinCC OA V3.19 minden, V3.19 P006-nál korábbi verziója;
- SIMIT Simulation Platform minden verziója;
- SINEC INS minden verziója;
- SINEMA Remote Connect minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-Based Buffer Overflow (CVE-2023-3935)/kritikus;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- QMS Automotive minden, v12.39-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Plaintext Storage of a Password (CVE-2022-43958)/súlyos;
- Cleartext Storage of Sensitive Information in Memory (CVE-2023-40724)/súlyos;
- Generation of Error Message Containing Sensitive Information (CVE-2023-40725)/közepes;
- Server-generated Error Message Containing Sensitive Information (CVE-2023-40726)/súlyos;
- Improper Verification of Cryptographic Signature (CVE-2023-40727)/súlyos;
- Insecure Storage of Sensitive Information (CVE-2023-40728)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-40729)/súlyos;
- Improper Access Control (CVE-2023-40730)/súlyos;
- Unrestricted Upload of File with Dangerous Type (CVE-2023-40731)/közepes;
- Insufficient Session Expiration (CVE-2023-40732)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Field PG M6 minden verziója;
- SIMATIC IPC BX-39A minden verziója;
- SIMATIC IPC PX-39A minden verziója;
- SIMATIC IPC PX-39A PRO minden verziója;
- SIMATIC IPC RW-543A minden verziója;
- SIMATIC IPC627E minden verziója;
- SIMATIC IPC647E minden verziója;
- SIMATIC IPC677E minden verziója;
- SIMATIC IPC847E minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-40982)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid V34.1 minden, V34.1.258-nál korábbi verziója;
- Parasolid V35.0 minden, V35.0.253-nál korábbi verziója;
- Parasolid V35.0 minden, V35.0.260-nál korábbi verziója;
- Parasolid V35.1 minden, V35.1.184-nél korábbi verziója;
- Parasolid V35.1 minden, V35.1.246-nál korábbi verziója;
- Parasolid V36.0 minden, V36.0.142-nél korábbi verziója;
- Parasolid V36.0 minden, V36.0.156-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-41032)/súlyos;
- Out-of-bounds Write (CVE-2023-41033)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Cloud Connect 7 CC712 (6GK1411-1AC00) minden, v2.2-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC716 (6GK1411-5AC00) minden, v2.2-nél korábbi verziója;
- SIMATIC Drive Controller CPU 1504D TF (6ES7615-4DF10-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC Drive Controller CPU 1504D TF (6ES7615-4DF10-0AB0) minden, v3.0.1-től v3.0.3-ig terjedő verziója;
- SIMATIC Drive Controller CPU 1507D TF (6ES7615-7DF10-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC Drive Controller CPU 1507D TF (6ES7615-7DF10-0AB0) minden, v3.0.1-től v3.0.3-ig terjedő verziója;
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (beleértve a SIPLUS változatokat is) minden v21.9.7-nél korábbi verziója;
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (beleértve a SIPLUS változatokat is): Versions 30.0.0 and prior
- SIMATIC S7-1200 CPU family (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1500 CPU 1510SP F-1 PN (6ES7510-1SJ01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1510SP F-1 PN (6ES7510-1SK03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1510SP-1 PN (6ES7510-1DJ01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1510SP-1 PN (6ES7510-1DK03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AK01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AK02-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AL03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511C-1 PN (6ES7511-1CK00-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511C-1 PN (6ES7511-1CK01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FK01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FK02-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FL03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511T-1 PN (6ES7511-1TK01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511T-1 PN (6ES7511-1TL03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511TF-1 PN (6ES7511-1UK01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511TF-1 PN (6ES7511-1UL03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1512C-1 PN (6ES7512-1CK00-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1512C-1 PN (6ES7512-1CK01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1512SP F-1 PN (6ES7512-1SK01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1512SP F-1 PN (6ES7512-1SM03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1512SP-1 PN (6ES7512-1DK01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1512SP-1 PN (6ES7512-1DM03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AL01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AL02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AM03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FL01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FL02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FM03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1513R-1 PN (6ES7513-1RL00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1513R-1 PN (6ES7513-1RM03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1514SP F-2 PN (6ES7514-2SN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1514SP-2 PN (6ES7514-2DN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1514SPT F-2 PN (6ES7514-2WN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1514SPT-2 PN (6ES7514-2VN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AM01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AM02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FM01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FM02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515R-2 PN (6ES7515-2RM00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515R-2 PN (6ES7515-2RN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515T-2 PN (6ES7515-2TM01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515T-2 PN (6ES7515-2TN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515TF-2 PN (6ES7515-2UM01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515TF-2 PN (6ES7515-2UN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AN01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AN02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AP03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FN01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FN02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FP03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1516T-3 PN/DP (6ES7516-3TN00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1516TF-3 PN/DP (6ES7516-3UN00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517-3 PN/DP (6ES7517-3AP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517F-3 PN/DP (6ES7517-3FP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517H-3 PN (6ES7517-3HP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517T-3 PN/DP (6ES7517-3TP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517TF-3 PN/DP (6ES7517-3UP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518-4 PN/DP (6ES7518-4AP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP (6ES7518-4FP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518HF-4 PN (6ES7518-4JP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518T-4 PN/DP (6ES7518-4TP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518TF-4 PN/DP (6ES7518-4UP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU S7-1518-4 PN/DP ODK (6ES7518-4AP00-3AB0):All versions prior to v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU S7-1518F-4 PN/DP ODK (6ES7518-4FP00-3AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1513PRO F-2 PN (6ES7513-2GL00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1513PRO-2 PN (6ES7513-2PL00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1516PRO F-2 PN (6ES7516-2GN00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1516PRO-2 PN (6ES7516-2PN00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 Software Controller V2 minden, v21.9.7-nél korábbi verziója;
- SIMATIC S7-1500 Software Controller V3 minden verziója;
- SIMATIC S7-PLCSIM Advanced minden verziója;
- SIPLUS ET 200SP CPU 1510SP F-1 PN (6AG1510-1SJ01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1510SP F-1 PN RAIL (6AG2510-1SJ01-1AB0):All versions prior to v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN (6AG1510-1DJ01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN (6AG1510-1DJ01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN RAIL (6AG2510-1DJ01-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN RAIL (6AG2510-1DJ01-1AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN (6AG1512-1SK01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN (6AG1512-1SK01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN RAIL (6AG2512-1SK01-1AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN RAIL (6AG2512-1SK01-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN (6AG1512-1DK01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN (6AG1512-1DK01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN RAIL (6AG2512-1DK01-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN RAIL (6AG2512-1DK01-1AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK02-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN T1 RAIL (6AG2511-1AK01-1AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN T1 RAIL (6AG2511-1AK02-1AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN TX RAIL (6AG2511-1AK01-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN TX RAIL (6AG2511-1AK02-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511F-1 PN (6AG1511-1FK01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511F-1 PN (6AG1511-1FK02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL02-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513F-1 PN (6AG1513-1FL01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513F-1 PN (6AG1513-1FL02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN (6AG1515-2FM01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN (6AG1515-2FM02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN RAIL (6AG2515-2FM02-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN T2 RAIL (6AG2515-2FM01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515R-2 PN (6AG1515-2RM00-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515R-2 PN TX RAIL (6AG2515-2RM00-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN02-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP RAIL (6AG2516-3AN02-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP TX RAIL (6AG2516-3AN01-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP (6AG1516-3FN02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP (6AG1516-3FN01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP RAIL (6AG2516-3FN02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP RAIL (6AG2516-3FN02-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1517H-3 PN (6AG1517-3HP00-4AB0) minden, v3.0.3-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518-4 PN/DP (6AG1518-4AP00-4AB0) minden, v3.0.3-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518-4 PN/DP MFP (6AG1518-4AX00-4AC0) minden, v3.0.3-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518F-4 PN/DP (6AG1518-4FP00-4AB0) minden, v3.0.3-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518HF-4 PN (6AG1518-4JP00-4AB0) minden, v3.0.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Integer Overflow or Wraparound (CVE-2023-28831)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az Elekrilevi az észt DSO, ahol még 2021-ben indítottak egy projektet AREP néven, aminek célja egy biztonságos távoli, mérnöki hozzáférés megteremtése volt az elosztóhálózati folyamatirányító rendszer elemeihez. A teljes projektről egy három napos webinar-sorozatban számolnak most be (sajnos kicsit későn jutottam oda, hogy ezt ki tudjam posztolni, de talán még nem túl késő - az első nap holnap, 2023.09.19-én lesz). A webinar-ra regisztrálni illetve a 3 napos rendezvény programját megtalálni az Elektrilevi weboldalán lehet: https://forms.elektrilevi.ee/arep-project/

A 41/2015. BM rendelet (és az ennek alapjául szolgáló 2013. évi L. törvényA 41/2015. BM rendelet (és az ennek alapjául szolgáló 2013. évi L. törvény), bár szigorúan véve nem számítanak ICS biztonsági jogszabálynak vagy szabványnak, Magyarországon ma mégis megkerülhetetlenek, hiszen a nemzeti létfontosságú rendszerek és létesítmények (lánykori nevükön kritikus infrastruktúrák, csak a magyar közigazgatásban elharapódzott tiltott kifejezések-fétis miatt ezt mindenképpen muszáj volt helyettesítő magyar kifejezést alkotni) azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény rendelkezései alapján a magyar kritikus infrastruktúrákra is az L. törvényt és a 41/2015. BM rendelet előírásait kell alkalmazni. Ennek egyes következményeiről később még lesz szó.

A 41/2015. BM rendelet szerint a jogszabály hatálya alá tartozó szervezeteket és azok információs rendszereit biztonsági osztályba kell sorolni egy 5 osztályos rendszer szerint, majd a biztonsági osztály fogja meghatározni, hogy a rendelet alábbi fő fejezetei közül az adott rendszernek illetve a szervezetnek melyeket kell teljesíteniük:

3.1 Adminisztratív védelmi intézkedések
3.1.1. Szervezeti szintű alapfeladatok
3.1.2. Kockázatelemzés
3.1.3. Rendszer és szolgáltatás beszerzés
3.1.4. Üzletmenet (ügymenet) folytonosság tervezése
3.1.5. A biztonsági események kezelése
3.1.6. Emberi tényezőket figyelembe vevő - személy - biztonság
3.1.7. Tudatosság és képzés
3.2 Fizikai védelmi intézkedések
3.3 Logikai védelmi intézkedések
3.3.1. Általános védelmi intézkedések
3.3.2. Tervezés
3.3.3. Rendszer és szolgáltatás beszerzés
3.3.4. Biztonsági elemzés
3.3.5. Tesztelés, képzés és felügyelet
3.3.6. Konfigurációkezelés
3.3.7. Karbantartás
3.3.8. Adathordozók védelme
3.3.9. Azonosítás és hitelesítés
3.3.10. Hozzáférés ellenőrzése
3.3.11. Rendszer és információ sértetlenség
3.3.12. Naplózás és elszámoltathatóság
3.3.13. Rendszer- és kommunikáció védelem

Ha valaki úgy érzi, hogy furcsán ismerősek a fenti fejeztek, az nem véletlen műve, a 41/2015. BM rendelet (és elődje, a 77/2013. NFM rendelet) erősen épít a NIST 800-53-as szabványra, aminek egyaránt megvannak ez előnyei és hátrányai. Tagadhatatlan előny, hogy a 800-53 egy meglehetősen jó és a modern kiberbiztonsági követelményeket jól összefogó szabvány, de ICS biztonsági szempontból ez rögtön a hátránya is, konkrétan az, hogy ez egy IT biztonsági szabvány, ami megfelelő akkor, amikor az eredeti céljára (a 2013. évi L. törvény alapján "az állami és önkormányzati szervek elektronikus információbiztonsága") akarják alkalmazni. Azonban akkor, ha ezeket a követelményeket mindenfajta változtatás nélkül egy ipari folyamatirányító rendszereket, mint kritikus infrastruktúra rendszert üzemeltető szervezettől várják el, már problémái lehetnek az auditornak és a vizsgálat alá vont szervezetnek egyaránt. Egyetlen egyszerű példán jól be lehet mutatni, hogy mire is gondolok:

3.3.10.10.2. Képernyőtakarás
A munkaszakasz zárolásakor a képernyőn korábban látható információt egy nyilvánosan látható képpel (vagy üres képernyővel), vagy a bejelentkezési felülettel - ami a zároló személy nevét is tartalmazhatja - kell eltakarni.

3.3.10.11. A munkaszakasz lezárása
Az elektronikus információs rendszer automatikusan lezárja a munkaszakaszt az érintett szervezet által meghatározott feltételek vagy munkaszakasz szétkapcsolást igénylő események megtörténte után.

Ezek például olyan követelmények, amiket egy közigazgatási szervnél használt számítógépek esetén érthetőek és elfogadhatóak, azonban egy ipari szervezet vezérlőtermében 7/24-ben dolgozó operátorok munkaállomásai esetén nem. Ennek pedig az elsődleges oka az, hogy az ilyen felhasználási helyeken az az elképzelhető legjobb eshetőség, amikor az operátornak hosszú órákon át nem kell beavatkoznia a folyamatirányító rendszer működésébe, az az előre beprogramozott paraméterek szerint az operátor nélkül is tökéletesen kontrollálja a fizikai folyamatokat. Ekkor a kötelező képernyőzárolás (a vezérlőtermekben alkalmazott szigorú fizikai biztonsági intézkedések, mint kompenzáló kontrollok mellett) biztonsági szempontból kockázatcsökkentést érdemben nem jelentenek, viszont az operátorok zavartalan munkavégzését jelentősen akadályozhatja. Az ilyen jellegű, az IT és ICS/OT rendszerek működési különbségeiből adódó problémákat a 41/2015. BM rendelet nem képes kezelni. Emiatt aztán csak az auditorok és a vizsgálat alá vont szervezetek képviselőinek az auditinterjúk során folytatott egyeztetései lehetnek képesek feloldani ezeket az ellentmondásokat, ami, mint látható, mindig az adott auditorok belátásán és az ICS/OT rendszerekkel kapcsolatos ismereteik mélységén múlik, ez viszont óhatatlanul szubjektív, pont akkor, amikor ennek a lehető legobjektívebb szempontnak kéne lennie.

Összességében a 41/2015. BM rendelet egy fontos és hiánypótló jogszabály, azonban most (kb. 8 év után) már látszanak a hiányosságai és javítható részei, a kérdés csak az, hogy a Belügyminisztériumon belül az illetékesek mikor fogják ezt felismerni (fel fogják?) és korrigálni?

A 41/2015. BM rendelet jelenleg (2023.09.09-én) hatályos verziója többek között itt érhető el: https://net.jogtar.hu/jogszabaly?docid=a1500041.bm

Bejelentés dátuma: 2023.09.04.
Gyártó: Moxa
Érintett rendszer(ek):
- TN-5900 sorozatú eszközök v3.3-as és korábbi verziói;
- TN-4900 sorozatú eszközök v1.2.4-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-33237)/súlyos;
- Command Injection (CVE-2023-33238)/súlyos;
- Command Injection (CVE-2023-33239)/kritikus;
- Command Injection (CVE-2023-34213)/kritikus;
- Command Injection (CVE-2023-34214)/kritikus;
- Command Injection (CVE-2023-34215)/kritikus;
- Path Traversal (CVE-2023-34216)/súlyos;
- Path Traversal (CVE-2023-34217)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2023.09.05.
Gyártó: Fujitsu Limited
Érintett rendszer(ek):
- Real-time Video Transmission Gear "IP series" IP-HE950E V01L001-től V01L053-ig terjedő firmware-verziói;
- Real-time Video Transmission Gear "IP series" IP-HE950D V01L001-től V01L053-ig terjedő firmware-verziói;
- Real-time Video Transmission Gear "IP series" IP-HE900E V01L001-től V01L010-ig terjedő firmware-verziói;
- Real-time Video Transmission Gear "IP series" IP-HE900D V01L001-től V01L004-ig terjedő firmware-verziói;
- Real-time Video Transmission Gear "IP series" IP-900E/IP-920E V01L001-től V02L061-ig terjedő firmware-verziói;
- Real-time Video Transmission Gear "IP series" IP-900D/IP-900D/IP-920D V01L001-től V02L061-ig terjedő firmware-verziói;
- Real-time Video Transmission Gear "IP series" IP-90 V01L001-től V01L013-ig terjedő firmware-verziói;
- Real-time Video Transmission Gear "IP series" IP-9610 V01L001-től V02L007-ig terjedő firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use Of Hard-Coded Credentials (CVE-2023-38433)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-248-01

Bejelentés dátuma: 2023.09.07.
Gyártó: Dover Fueling Solutions
Érintett rendszer(ek):
- MAGLINK LX Web Console Configuration 2.5.1-es verziója;
- MAGLINK LX Web Console Configuration 2.5.2-es verziója;
- MAGLINK LX Web Console Configuration 2.5.3-as verziója;
- MAGLINK LX Web Console Configuration 2.6.1-es verziója;
- MAGLINK LX Web Console Configuration 2.11-es verziója;
- MAGLINK LX Web Console Configuration 3.0 verziója;
- MAGLINK LX Web Console Configuration 3.2-es verziója;
- MAGLINK LX Web Console Configuration 3.3-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass using an Alternate Path or Channel (CVE-2023-41256)/kritikus;
- Improper Access Control (CVE-2023-36497)/súlyos;
- Path Traversal (CVE-2023-38256)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-250-01

Bejelentés dátuma: 2023.09.07.
Gyártó: Socomec
Érintett rendszer(ek):
- MODULYS GP (MOD3GP-SY-120K) v01.12.10-es Web firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Scripting (XSS) (CVE-2023-38582)/közepes;
- Cross-Site Request Forgery (CSRF) (CVE-2023-39446)/súlyos;
- Insecure Storage of Sensitive Information (CVE-2023-41965)/súlyos;
- Reliance on Cookies without Validation and Integrity Checking (CVE-2023-41084)/kritikus;
- Code Injection (CVE-2023-40221)/súlyos;
- Plaintext Storage of a Password (CVE-2023-39452)/súlyos;
- Cross-Site Scripting (XSS) (CVE-2023-38255)/közepes;
Javítás: Nincs az érintett termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-250-03

Bejelentés dátuma: 2023.09.07.
Gyártó: Phoenix Contact
Érintett rendszer(ek):
- TC ROUTER 3002T-4G 2.07.2-nél korábbi verziói;
- TC ROUTER 3002T-4G ATT 2.07.2-nél korábbi verziói;
- TC ROUTER 3002T-4G VZW 2.07.2-nél korábbi verziói;
- TC CLOUD CLIENT 1002-4G 2.07.2-nél korábbi verziói;
- TC CLOUD CLIENT 1002-4G ATT 2.07.2-nél korábbi verziói;
- TC CLOUD CLIENT 1002-4G VZW 2.07.2-nél korábbi verziói;
- CLOUD CLIENT 1101T-TX/TX 2.06.10-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2023-3526)/kritikus;
- XML Entity Expansion (CVE-2023-3569)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-250-02

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Caldera a MITRE által fejlesztett, nyílt forrású, automatizált támadó-emulációt, manuális red-teaming támogató és automatizált incidens menedzsment-támogató platformja. Ehhez a múlt héten adtak ki új plugin-eket, amik már OT protokollokat (BacNet, DNP3 és Modbus protokollokat) is támogat, ezzel már az OT rendszereket célzó támadók emulációját is lehetővé teszi (OK, persze nem teljeskörűen, hiszen számos fontos OT protokoll még nem érhető el a Calderában, de azért ez is egy nagyon nagy lépés a jó irányba, már ami az OT kiberbiztonsággal foglalkozók szempontját illeti).

A Caldera for OT plugin-ek a Github-on érhetőek el: https://github.com/mitre/caldera-ot

Bejelentés dátuma: 2023.08.31.
Gyártó: PTC
Érintett rendszer(ek):
- Kepware KepServerEX 6.14.263.0 és korábbi verziói;
- ThingWorx Kepware Server 6.14.263.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2023-29444)/közepes;
- Uncontrolled Search Path Element (CVE-2023-29445)/közepes;
- Improper Input Validation (CVE-2023-29446)/közepes;
- Insufficiently Protected Credentials (CVE-2023-29447)/közepes;
Javítás: A gyártó jelenleg is dolgozik a javításon.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-243-03

Bejelentés dátuma: 2023.08.31.
Gyártó: GE Digital
Érintett rendszer(ek):
- GE Digital CIMPLICITY v2023-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Process Control (CVE-2023-4487)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-243-02

Bejelentés dátuma: 2023.08.31.
Gyártó: Digi International
Érintett rendszer(ek):
- Digi RealPort for Windows 4.8.488.0 és korábbi verziói;
- Digi RealPort for Linux 1.9-40 és korábbi verziói;
- Digi ConnectPort TS 8/16 2.26.2.4-nél korábbi verziói;
- Digi Passport Console Server minden verziója;
- Digi ConnectPort LTS 8/16/32 1.4.9-nél korábbi verziói;
- Digi CM Console Server minden verziója;
- Digi PortServer TS minden verziója;
- Digi PortServer TS MEI minden verziója;
- Digi PortServer TS MEI Hardened minden verziója;
- Digi PortServer TS M MEI minden verziója;
- Digi PortServer TS P MEI minden verziója;
- Digi One IAP Family minden verziója;
- Digi One IA minden verziója;
- Digi One SP IA minden verziója;
- Digi One SP minden verziója;
- Digi WR31 minden verziója;
- Digi WR11 XT minden verziója;
- Digi WR44 R minden verziója;
- Digi WR21 minden verziója;
- Digi Connect ES 2.26.2.4-nél korábbi verziói;
- Digi Connect SP minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Password Hash Instead of Password for Authentication (CVE-2023-4299)/kritikus;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-243-04

Bejelentés dátuma: 2023.08.31.
Gyártó: ARDEREG
Érintett rendszer(ek):
- Sistemas SCADA: Versions 2.203 and prior
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2023-4485)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-243-01

Bejelentés dátuma: 2023.09.01.
Gyártó: Moxa
Érintett rendszer(ek):
- MXsecurity rendszerek v1.0.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass (CVE-2023-39979)/kritikus;
- Information Disclosure (CVE-2023-39980)/súlyos;
- Improper Authentication (CVE-2023-39981)/súlyos;
- Use of Hard-coded Credentials (CVE-2023-39982)/súlyos;
- Improper Access Control (CVE-2023-39983)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az energiaárak elszabadulása óta már a mainstream sajtó is gyakran ír a megújuló energiaforrásokkal kapcsolatos problémákról (a villamosenergia-rendszer egyre nehezebb egyensúlyban tartásának következtében megszigorított napelemes lakossági és ipari méretű naperőművi telepítések ennek egyik, mindenki számára érezhető következménye), de a napelemes rendszerek és szélerőművek esetén egyaránt központi elemnek számító inverterekről kevesebb szó esik, különösen kiberbiztonsági szempontból. Pedig az inverterek biztonsága kifejezetten érdekes és fontos téma, erről találtam néhány hete egy egészen jó összefoglaló cikket a CyberScoop.com-on, amiben az elmúlt időszakban az amerikai villamosenergia-rendszerben használt inverterek biztonságával összefüggő szenátusi meghallgatásról, tavaly készített DoE (Department of Energy) tanulmányt is hivatkoznak.

Mint látszik, a villamosenergia-rendszer újabb és újabb területeken és aspektusokból képes kiberbiztonsági kihívásokat elénk tárni, a kérdés már csak az, képesek leszünk-e megfelelni nekik?