A különböző ipari szektorokban működő szervezetek és kritikus infrastruktúrák elleni zsarolóvírus-támadások immár bő 6 éve (az első, EternalBlue sérülékenységet kihasználó féregvírus, a WannaCry támadásai, majd ennek nyomán a NotPetya-támadások óta) komoly fenyegetést jelentenek. Nyár elején egy érdekes cikk jelent meg a SecurityIntelligence weboldalán, amiben a szállítmányozási szektor, közelebbről főként a légi- és tengeri szállítmányozás rendszereit érő ransomware-támadások trendjeit elemzi. A cikket itt lehet elérni.

Bejelentés dátuma: 2023.06.22.
Gyártó: Advantech
Érintett rendszer(ek):
- R-SeeNet 2.4.22-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Hard Coded Password (CVE-2023-2611)/kritikus;
- External Control of File Name or Path (CVE-2023-3256)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-173-02

Bejelentés dátuma: 2023.06.23.
Gyártó: WAGO
Érintett rendszer(ek):
- WAGO PFC200 termékcsalád következő sorozatszámú eszközeinek (750-8202/xxx-xxx, 750-8203/xxx-xxx, 750-8204/xxx-xxx, 750-8206/xxx-xxx, 750-8207/xxx-xxx, 750-8208/xxx-xxx, 750-8210/xxx-xxx, 750-8211/xxx-xxx, 750-8212/xxx-xxx, 750-8213/xxx-xxx, 750-8214/xxx-xxx, 750-8216/xxx-xxx, 750-8217/xxx-xxx) 22 Patch 2-nél korábbi firmware-verziói;
- Ethernet Controller 4. generációs termékcsládjának következő sorozatszámú eszközeinek (750-823, 750-332, 750-832/xxx-xxx, 750-862, 750-890/xxx-xxx, 750-891 750-893) 11-esnél korábbi firmware-verziói;
- Ethernet Controller 3. generációs termékcsládjának következő sorozatszámú eszközeinek (750-331, 750-829, 750-831/xxx-xxx, 750-852, 750-880/xxx-xxx, 750-881, 750-882, 750-885/xxx-xxx, 750-889) 17-esnél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial-of-Service (CVE-2023-1619)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2023-006/

Bejelentés dátuma: 2023.06.27.
Gyártó: CODESYS
Érintett rendszer(ek):
- CODESYS Control RTE (SL);
- CODESYS Control RTE (for Beckhoff CX) SL;
- CODESYS Control Win (SL);
- CODESYS PLCWinNT V2;
- CODESYS SP RTE V2;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2022-22516)/súlyos;
Javítás: Elérhető
Link a publikációhoz: CODESYS

Bejelentés dátuma: 2023.07.13.
Gyártó: Moxa
Érintett rendszer(ek):
- Moxa PT-G7828 sorozatú eszközök 6.2-es és korábbi firmware-verziói;
- Moxa PT-508 sorozatú eszközök 3.8-as és korábbi firmware-verziói;
- Moxa PT-7728 sorozatú eszközök 3.8-as és korábbi firmware-verziói;
- Moxa PT-7828 sorozatú eszközök 3.9-es és korábbi firmware-verziói;
- Moxa MDS-G4012 sorozatú eszközök 1.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Recursion (CVE-2009-3563)/n/a;
Javítás: Elérhető a gyártó támogató csapatánál.
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/mpsa-230307

Bejelentés dátuma: 2023.07.15.
Gyártó: Advantech
Érintett rendszer(ek):
- WebAccess/SCADA 9.1.4-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Untrusted Pointer Dereference (CVE-2023-1437)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-166-02

Bejelentés dátuma: 2023.07.11.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Rockwell Automation Enhanced HIM 1.001-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Request Forgery (CVE-2023-2746)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-192-01

Bejelentés dátuma: 2023.07.11.
Gyártó: Sensormatic Electronics (Johnson Controls leányvállalat)
Érintett rendszer(ek):
- iSTAR Ultra és iSTAR Ultra LT 6.8.6-nál újabb, de 6.9.2 CU01-nél korábbi firmware-verziói;
- iSTAR Ultra G2 és iSTAR Edge G2 6.9.2 CU01-nél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-3127)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-192-02

Bejelentés dátuma: 2023.07.11.
Gyártó: Panasonic
Érintett rendszer(ek):
- Panasonic Control FPWIN 7.6.0.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion (CVE-2023-28728)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-28729)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-28730)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-192-03

Bejelentés dátuma: 2023.07.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- StruxureWare Data Center Expert v7.9.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2023-37196)/súlyos;
- SQL Injection (CVE-2023-37197)/súlyos;
- Code Injection (CVE-2023-37198)/közepes;
- Code Injection (CVE-2023-37199)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.07.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ OPC UA Server Expert SV2.01 SP2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2023-37200)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.07.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Accutech Manager Version 2.7 and prior
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-29414)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.07.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- HMISCU Controller minden verziója;
- Modicon Controller LMC078 minden verziója;
- Modicon Controller M241 minden verziója;
- Modicon Controller M251 minden verziója;
- Modicon Controller M262 minden verziója;
- Modicon Controller M258 minden verziója;
- Modicon Controller LMC058 minden verziója;
- Modicon Controller M218 minden verziója;
- PacDrive 3 Controllers: LMC Eco/Pro/Pro2 minden verziója;
- SoftSPS embedded in EcoStruxure™ Machine Expert minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial of Service (CVE-2022-47378)/közepes;
- Out-of-bounds Write (CVE-2022-47379)/súlyos;
- Out-of-bounds Write (CVE-2022-47380)/
- Stack Based Out-of-bounds Write (CVE-2022-47381)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47382)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47383)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47384)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47385)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47386)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47387)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47388)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47389)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47390)/súlyos;
- Improper Input Validation (CVE-2022-47391)/súlyos;
- Improper Input Validation (CVE-2022-47392)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-47393)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.07.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CN 4100 V2.5-nél korábbi összes verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-29130)/kritikus;
- Incorrect Default Permissions (CVE-2023-29131)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.07.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SiPass integrated minden, V2.90.3.8-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-31810)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.07.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC MV540 H (6GF3540-0GE10) minden, v3.3.4-nél korábbi verziója;
- SIMATIC MV540 S (6GF3540-0CD10) minden, v3.3.4-nél korábbi verziója;
- SIMATIC MV550 H (6GF3550-0GE10) minden, v3.3.4-nél korábbi verziója;
- SIMATIC MV550 S (6GF3550-0CD10) minden, v3.3.4-nél korábbi verziója;
- SIMATIC MV560 U (6GF3560-0LE10) minden, v3.3.4-nél korábbi verziója;
- SIMATIC MV560 X (6GF3560-0HE10) minden, v3.3.4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-0812)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2022-1012)/súlyos;
- Injection (CVE-2022-3643)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Incomplete Cleanup (CVE-2022-21123)/közepes;
- Incomplete Cleanup (CVE-2022-21125)/közepes;
- Incomplete Cleanup (CVE-2022-21166)/közepes;
- Observable Discrepancy (CVE-2022-32296)/alacsony;
- Improper Locking (CVE-2022-42328)/közepes;
- Improper Locking (CVE-2022-42329)/közepes;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.07.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2201 minden, V2201.0008-nál korábbi verziója;
- Tecnomatix Plant Simulation V2302 minden, V2302.0002-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-37246)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-37247)/súlyos;
- Out-of-bounds Write (CVE-2023-37248)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-37374)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-37375)/súlyos;
- Type Confusion (CVE-2023-37376)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.07.11.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROX MX5000 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX MX5000RE minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1400 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1500 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1501 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1510 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1511 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1512 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1524 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1536 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX5000 minden, V2.16.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2021-22946)/súlyos;
- OS Command Injection (CVE-2022-1292)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.07.12.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1756-EN2T A, B és C sorozatainak 5.008-as és 5.028 és korábbi verziói;
- 1756-EN2T D sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TK A, B és C sorozatainak 5.008-as és 5.028 és korábbi verziói;
- 1756-EN2TK D sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TXT A, B és C sorozatainak 5.008-as és 5.028 és korábbi verziói;
- 1756-EN2TXT D sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TP A sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TPK A sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TPXT A sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TR A és B sorozatainak 11.003-as és korábbi verziói;
- 1756-EN2TR C sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TRK A és B sorozatainak 11.003-as és korábbi verziói;
- 1756-EN2TRK C sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TRXT A és B sorozatainak 11.003-as és korábbi verziói;
- 1756-EN2TRXT C sorozatának 11.003-as és korábbi verziói;
- 1756-EN2F A és B sorozatainak 11.003-as és korábbi verziói;
- 1756-EN2F C sorozatának 11.003-as és korábbi verziói;
- 1756-EN2FK A és B sorozatainak 11.003-as és korábbi verziói;
- 1756-EN2FK C sorozatának 11.003-as és korábbi verziói;
- 1756-EN3TR A sorozatának 11.003-as és korábbi verziói;
- 1756-EN3TR B sorozatának 11.003-as és korábbi verziói;
- 1756-EN3TRK A sorozatának 11.003-as és korábbi verziói;
- 1756-EN3TRK B sorozatának 11.003-as és korábbi verziói;
- 1756-EN4TR A sorozatának 5.001-es és korábbi verziói;
- 1756-EN4TRK A sorozatának 5.001-es és korábbi verziói;
- 1756-EN4TRXT A sorozatának 5.001-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-3595)/kritikus;
- Out-of-bounds Write (CVE-2023-3596)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-193-01

Bejelentés dátuma: 2023.07.13.
Gyártó: Honeywell
Érintett rendszer(ek):
- Experion PKS R520.2-esnél korábbi verziói;
- Experion LX R520.2-esnél korábbi verziói;
- Experion PlantCruise R520.2-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-23585)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-25078)/kritikus;
- Out-of-bounds Write (CVE-2023-25948)/kritikus;
- Uncontrolled Resource Consumption (CVE-2023-26597)/súlyos;
- Improper Encoding or Escaping of Output (CVE-2023-24480)/kritikus;
- Deserialization of Untrusted Data (CVE-2023-25770)/kritikus;
- Insufficient Verification of Data Authenticity (CVE-2023-25178)/súlyos;
- Incorrect Comparison (CVE-2023-22435)/kritikus;
- Heap-based Buffer Overflow (CVE-2023-24474)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-194-06

Bejelentés dátuma: 2023.07.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- PowerMonitor 1000 V4.011-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2023-2072)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-194-05

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A mai poszt témája, a NIST 800-53 rev. 5 (röviden 800-53) némileg kakukktojásnak számít ebben a sorozatban, mert nem kifejezetten ICS kiberbiztonsági szabványról lesz szó, sokkal inkább egy IT biztonsági szabványról. Az ok, ami miatt mégis úgy gondoltam, hogy helye van a 800-53-nak az ICS biztonsági szabványokat bemutató sorozatban, többrétű, egyrészt az erős kapcsolat a sorozat következő részében feldolgozásra kerülő 800-82-es NIST szabvánnyal, másrészt ez a szabvány az alapja a magyar kritikus infrastruktúrák számára mostanra erősen ismerőssé vált (tegyük hozzá, hosszú idő kellett hozzá...) 41/2015 BM rendeletnek, amiről még szintén lesz szó ebben a sorozatban.

A 800-53 összesen 20 témakörben tárgyalja a kiberbiztonsági kontrollokkal kapcsolatos követelményeket, az alábbi bontásban:

AC - Access Control (Hozzáférés-vezérlés) - 25 kontroll
AT - Awarness and Training (Biztonságtudatosság és képzés) - 6 kontroll
AU - Audit and Accountability (Auditálás és elszámoltathatóság) - 16 kontroll
CA - Assessment, Authorization, and Monitoring (Értékelés, jogosultságkezelés és monitoring) - 9 kontroll
CM - Configuration Management (Konfigurációmenedzsment) - 14 kontroll
CP - Contingency Planning (Üzletmenet-folytonosság tervezés) - 13 kontroll
IA - Identification and Authentication (Azonosítás és authentikáció) - 12 kontroll
IR - Incident Response (Incidenskezelés) - 10 kontroll
MA - Maintenance (Karbantartás) - 7 kontroll
MP - Media Protection (Adathordozó-védelem) - 8 kontroll
PE - Physical and Environmental Protection (Fizikai és környezeti biztonság) - 23 kontroll
PL - Planning (Tervezés) - 11 kontroll
PM - Program Management (Programmenedzsment) - 32 kontroll
PS - Personnel Security (Személyi biztonság) - 9 kontroll
PT - PII Processing and Transparency (Személyes azonosító adatok feldolgozása és átláthatósága) - 8 kontroll
RA - Risk Assessment (Kockázatelemzés) - 10 kontroll
SA - System and Services Acquisition (Rendszer- és szolgáltatás-beszerzés) - 23 kontroll
SC - System and Communications Protection (Rendszer- és kommunikációvédelem) - 51 kontroll
SI - System and Information Integrity (Rendszer- és információ sértetlenség) - 23 kontroll
SR - Supply Chain Risk Management (Beszállítói lánc menedzsmentje) - 12 kontroll

A 800-53 jelenleg (2023.07.19-én) érvényes változata itt érhető el: https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- POWER METER SICAM Q200-as termékcsalád V2.70-nél korábbi összes verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Session Fixation (CVE-2022-43398)/súlyos;
- Improper Input Validation (CVE-2022-43439)/kritikus;
- Improper Input Validation (CVE-2022-43545)/kritikus;
- Improper Input Validation (CVE-2022-43546)/kritikus;
- Cross-Site Request Forgery (CSRF) (CVE-2023-30901)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2023-31238)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.06.22.
Gyártó: Enphase
Érintett rendszer(ek):
- Enphase Installer Toolkit
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2023-32274)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-171-02

Bejelentés dátuma: 2023.06.27.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- FOXMAN-UN R16A verziója;
- FOXMAN-UN R15B verziója;
- FOXMAN-UN R15A verziója;
- UNEM R16A verziója;
- UNEM R15B verziója;
- UNEM R15A verziója;
- FOXMAN-UN R14B verziója;
- FOXMAN-UN R14A verziója;
- FOXMAN-UN R11B verziója;
- FOXMAN-UN R11A verziója;
- FOXMAN-UN R10C verziója;
- FOXMAN-UN R9C verziója;
- UNEM R14B verziója;
- UNEM R14A verziója;
- UNEM R11B verziója;
- UNEM R11A verziója;
- UNEM R10C verziója;
- UNEM R9C verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Output Neutralization for Logs
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-178-01

Bejelentés dátuma: 2023.06.29.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- FX3U-xMy/z x=16,32,48,64,80,128, y=T,R, z=ES,ESS,DS,DSS *1 minden verziója;
- FX3U-32MR/UA1, FX3U-64MR/UA1 *1 minden verziója;
- FX3U-32MS/ES, FX3U-64MS/ES *1 minden verziója;
- FX3U-xMy/ES-A x=16,32,48,64,80,128, y=T,R *1*2 minden verziója;
- FX3UC-xMT/z x=16,32,64,96, z=D,DSS *1 minden verziója;
- FX3UC-16MR/D-T, FX3UC-16MR/DS-T *1 minden verziója;
- FX3UC-32MT-LT, FX3UC-32MT-LT-2 *1 minden verziója;
- FX3UC-16MT/D-P4, FX3UC-16MR/DSS-P4 *1*2 minden verziója;
- FX3G-xMy/z x=14,24,40,60, y=T,R, z=ES,ESS,DS,DSS *1 minden verziója;
- FX3G-xMy/ES-A x=14,24,40,60, y=T,R *1*2 minden verziója;
- FX3GC-32MT/D, FX3GC-32MT/DSS *1 minden verziója;
- FX3GE-xMy/z x=24,40, y=T,R, z=ES,ESS,DS,DSS *2 minden verziója;
- FX3GA-xMy-CM x=24,40,60, y=T,R *1*2 minden verziója;
- FX3S-xMy/z x=10,14,20,30, y=T,R, z=ES,ESS,DS,DSS *1 minden verziója;
- FX3S-30My/z-2AD y=T,R, z=ES,ESS *1 minden verziója;
- FX3SA-xMy-CM x=10,14,20,30, y=T,R *1*2 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Capture-replay (CVE-2023-2846)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-180-04

Bejelentés dátuma: 2023.06.29.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- InfraSuite Device Master 1.0.7-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-34316)/közepes;
- Improper Access Control (CVE-2023-30765)/súlyos;
- Deserialization of Untrusted Data (CVE-2023-34347)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-180-01

Bejelentés dátuma: 2023.06.29.
Gyártó: Ovarro
Érintett rendszer(ek):
- TBox MS-CPU32 1.50.598-as és korábbi verziói;
- TBox MS-CPU32-S2 1.50.598-as és korábbi verziói;
- TBox LT2 1.50.598-as és korábbi verziói;
- TBox TG2 1.50.598-as és korábbi verziói;
- TBox RM2 1.50.598-as és korábbi verziói;
- TBox MS-CPU32 1.46-tól 1.50.598-ig terjedő verziói;
- TBox MS-CPU32-S2 1.46-tól 1.50.598-ig terjedő verziói;
- TBox LT2 1.46-tól 1.50.598-ig terjedő verziói;
- TBox TG2 1.46-tól 1.50.598-ig terjedő verziói;
- TBox RM2 1.46-tól 1.50.598-ig terjedő verziói;
- TBox MS-CPU32 minden, verziója;
- TBox MS-CPU32-S2 minden, verziója;
- TBox LT2 minden, verziója;
- TBox TG2 minden, verziója;
- TBox RM2 minden, verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authorization (CVE-2023-36607)/közepes;
- Use of Broken or Risky Cryptographic Algorithm (CVE-2023-36608)/közepes;
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2023-36609)/súlyos;
- Insufficient Entropy (CVE-2023-36610)/közepes;
- Improper Authorization (CVE-2023-36611)/közepes;
- Plaintext Storage of a Password (CVE-2023-3395)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-180-03

Bejelentés dátuma: 2023.06.29.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Operator Terminal Expert HMI 3.3 SP1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-1049)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-180-02

Bejelentés dátuma: 2023.07.03.
Gyártó: Moxa
Érintett rendszer(ek):
- TN-5900 sorozatú eszközök 3.3-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Response Discrepancy (CVE-2023-3336)/n/a;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/mpsa-230401-tn-5900-series-user-enumeration-vulnerability

Bejelentés dátuma: 2023.07.06.
Gyártó: ABUS
Érintett rendszer(ek):
- ABUS TVIP beltéri biztonsági kamerák 20000-21150-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-26609)/súlyos;
Javítás: Nincs, az érintett termékvonal támogatása 2019-ben megszűnt.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-187-02

Bejelentés dátuma: 2023.07.06.
Gyártó: PiiGAB
Érintett rendszer(ek):
- M-Bus SoftwarePack 900S típusú vezeték nélküli okosmérő;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-36859)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2023-33868)/közepes;
- Unprotected Transport of Credentials (CVE-2023-31277)/súlyos;
- Use of Hard-coded Credentials (CVE-2023-35987)/kritikus;
- Plaintext Storage of a Password (CVE-2023-35765)/közepes;
- Cross-site Scripting (CVE-2023-32652)/súlyos;
- Weak Password Requirements (CVE-2023-34995)/súlyos;
- Use of Password Hash with Insufficient Computational Effort (CVE-2023-34433)/súlyos;
- Cross-Site Request Forgery (CVE-2023-35120)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-187-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Sok más egyéb különbség mellett a patch-ek telepítése az egyik legkarakteresebb különbség az ICS/OT és az IT rendszerek között. Persze tudjuk, hogy az IT rendszerek esetében is gyakorta elmarad a szoftveres javítócsomagok telepítése, de ott ez (ma már) egy elismerten rossz gyakorlat és senkinek nem ajánlják ezt, míg az ICS/OT rendszerek esetén mind a mai napig megszokottnak számít, hogy

a) a hibajavításokat egyáltalán nem telepítik;
b) a javításokat csak a gyártó előzetes, írásos hozzájárulása után telepítik (mert a gyártó jóváhagyása nélkül telepített szoftverek, akár a hivatalos, Microsoft Windows patch-ek telepítése a gyártói garancia azonnali elvesztését eredményezhetik);

Látható tehát, hogy még ha az adott szervezet ICS/OT rendszereiért felelős kollégák értik a szoftveres javítások telepítésének fontosságát és szándékukban áll azokat mielőbb telepíteni, még ebben az ideális esetben is jóval lassabb lehet a patch-ek telepítése, mint egy átlagos IT rendszer esetén. A kérdés már csak az, hogy milyen lehetőségeink vannak akkor, ha bármilyen ok miatt nem vagy nem kellően gyorsan tudunk patch-elni egy ICS/OT rendszert?

Ezt a témát járja körbe az isa.org-on megjelent cikkében Stephan Venter (Linux evangelista és TuxCare-publicista).

Stephan első, témába vágó tanácsa (Linux-os kötődésére emlékezve nem igazán meglepő módon) a live patch-ing lehetőségének mérlegelése, ami azonban egyrészt csak Linux operációs rendszereket futtató ICS/OT rendszerek esetén létezhet, mint lehetőség, másrészt én személy szerint kíváncsi lennék, hogy melyik ICS gyártó fog jóváhagyást adni egy éles folyamatirányító rendszer üzem közben live patch-elésére (főleg, ha ez a frissítés egy kernel patch-et is tartalmaz)? Fogalmazzunk úgy, hogy nem számítok túl nagy tolongásra a gyártók között...

A többi tanács már jóval konzervatívabb (és - szerintem legalább is - realistább):

- eszköz (hardver- és szoftverleltár) és priorizálás;
- biztonságos ICS/OT/IoT architektúra modellek (Purdue, Gartner IoT reference architecture vagy az ENISA IoT security baseline ajánlása) alkalmazása (ez mindenképp hasznos tanács, de az én tapasztalataim szerint már üzemelő ICS/OT rendszerek Purdue- vagy egyéb referencia architektúra modellhez hasonló architektúrára történő átalakítására ritkán és csak hosszabb átmenet eredményeként szokott lehetőség nyílni, szóval egy sürgősen telepítésre váró, kritikus hibát javító patch telepítése esetén nem biztos, hogy ez a leggyorsabb megoldás);
- az alkalmazások fehérlistázása (vagyis csak az ismert és bizonyítottan nem kártékony alkalmazások futtatásának engedélyezése);
- monitoring megoldások és eljárások, biztonsági naplózás és incidenskezelési eljáráok kidolgozása és bevezetése.

Bejelentés dátuma: 2023.06.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure TM Foxboro DCS Control Core Services minden, HF98577958-as patchnél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-Bounds Write (CVE-2023-2569)/súlyos;
- Improper Validation of Array Index (CVE-2023-2570)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.06.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Foxboro SCADA minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Clear Text Storage of Sensitive Information in Memory (n/a)/közepes;
Javítás: Nincs, a termék elérte életciklusa végét.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.06.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS (Interactive Graphical SCADA System) Dashboard v16.0.0.23130 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-3001)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.06.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Operator Terminal Expert 3.3 SP1-es és korábbi verziói;
- Pro-face BLUE 3.3 SP1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-1049)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.06.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Transaction Manager 13.10-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2023-2778)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-164-04

Bejelentés dátuma: 2023.06.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Edge Gateway v1.3-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2021-35940)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-164-03

Bejelentés dátuma: 2023.06.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Policy Manager v6.11.0 verziója;
- FactoryTalk System Services v6.11.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Cryptographic Key (CVE-2023-2637)/súlyos;
- Improper Authentication (CVE-2023-2638)/közepes;
- Origin Validation Error (CVE-2023-2639)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-164-02

Bejelentés dátuma: 2023.06.13.
Gyártó: Datalogics
Érintett rendszer(ek):
- Datalogics Library APDFL v18.0.4PlusP1e és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based buffer overflow (CVE-2023-1709)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-164-01

Bejelentés dátuma: 2023.06.15.
Gyártó: SUBNET Solutions Inc.
Érintett rendszer(ek):
- PowerSYSTEM Center 2020 U10-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2023-32659)/közepes;
- Authentication Bypass by Capture-replay (CVE-2023-29158)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-166-01

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMOTION C240 (6AU1240-1AA00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION C240 PN (6AU1240-1AB00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D410-2 DP (6AU1410-2AA00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D410-2 DP/PN (6AU1410-2AD00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D425-2 DP (6AU1425-2AA00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D425-2 DP/PN (6AU1425-2AD00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D435-2 DP (6AU1435-2AA00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D435-2 DP/PN (6AU1435-2AD00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D445-2 DP/PN (6AU1445-2AD00-0AA0) minden, V5.4-es és újabb verziói;
- SIMOTION D445-2 DP/PN (6AU1445-2AD00-0AA1) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D455-2 DP/PN (6AU1455-2AD00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION P320-4 E (6AU1320-4DE65-3AF0) minden, V5.4-es és újabb verziói;
- SIMOTION P320-4 S (6AU1320-4DS66-3AG0) minden, V5.4-es és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information Due to Incompatible Policies (CVE-2023-27465)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SINAMICS GL150 minden, 2021. október 2023. május között kiadott, C68-as opcióval működő verziója;
- SINAMICS PERFECT HARMONY GH180 6SR5 minden, 2021. október 2023. május között kiadott, SCALANCE S615-ös eszközzel telepített verziója;
- SINAMICS SL150 minden, 2021. október 2023. május között kiadott, C68-as opcióval működő verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2018-25032)/súlyos;
- Out-of-bounds Read (CVE-2021-42374)/közepes;
- Use After Free (CVE-2021-42378)/közepes;
- Use After Free (CVE-2021-42379)/közepes;
- Use After Free (CVE-2021-42380)/közepes;
- Use After Free (CVE-2021-42381)/közepes;
- Use After Free (CVE-2021-42382)/közepes;
- Use After Free (CVE-2021-42383)/közepes;
- Use After Free (CVE-2021-42384)/közepes;
- Use After Free (CVE-2021-42385)/közepes;
- Use After Free (CVE-2021-42386)/közepes;
- Improper Authentication (CVE-2022-0547)/kritikus;
- Use After Free (CVE-2022-1199)/súlyos;
- OS Command Injection (CVE-2022-1292)/kritikus;
- Improper Certificate Validation (CVE-2022-1343)/közepes;
- Improper Resource Shutdown or Release (CVE-2022-1473)/súlyos;
- Use After Free (CVE-2022-23308)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32205)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32206)/közepes;
- Incorrect Default Permissions (CVE-2022-32207)/kritikus;
- Out-of-bounds Write (CVE-2022-32208)/közepes;
- Improper Validation of Syntactic Correctness of Input (CVE-2022-35252)/súlyos;
- Improper Input Validation (CVE-2022-36946)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge SE2023 minden, V223.0 Update 5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-26495)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- CP-8031 MASTER MODULE (6MF2803-1AA00) minden, CPCI85 V05-nél korábbi verziója;
- CP-8050 MASTER MODULE (6MF2805-0AA00) minden, CPCI85 V05-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-33919)/súlyos;
- Use of Hard-coded Credentials (CVE-2023-33920)/közepes;
- Exposed Dangerous Method or Function (CVE-2023-33921)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC WinCC minden, V7.5.2.13-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2023-30897)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS 7 minden verziója;
- SIMATIC S7-PM minden verziója;
- SIMATIC STEP 7 V5 minden, V5.7-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-25910)/kritikus;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC NET PC Software V14 minden verziója;
- SIMATIC NET PC Software V15 minden verziója;
- SIMATIC PCS 7 V8.2 minden verziója;
- SIMATIC PCS 7 V9.0 minden verziója;
- SIMATIC PCS 7 V9.1 minden verziója;
- SIMATIC WinCC minden, V8.0-nál korábbi verziója;
- SINAUT Software ST7sc minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Obsolete Function (CVE-2023-28829)/alacsony;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Totally Integrated Automation Portal (TIA Portal) V14 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V15 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V15.1 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V16 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V17 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V18 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Protection Mechanism Failure (CVE-2023-30757)/közepes;
Javítás: Jelenleg nincs tervezett javítás.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden, V14.2.0.3-nál korábbi verziója;
- Teamcenter Visualization V13.2 minden, V13.2.0.13-nél korábbi verziója;
- Teamcenter Visualization V13.3 minden, V13.3.0.10-nél korábbi verziója;
- Teamcenter Visualization V14.0 minden, V14.0.0.6-nál korábbi verziója;
- Teamcenter Visualization V14.1 minden, V14.1.0.8-nál korábbi verziója;
- Teamcenter Visualization V14.2 minden, V14.2.0.3-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2023-33121)/alacsony;
- Out-of-bounds Read (CVE-2023-33122)/alacsony;
- Out-of-bounds Read (CVE-2023-33123)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-33124)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-1500 TM MFP - Linux Kernel minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2021-3759)/közepes;
- Improper Access Control (CVE-2021-4037)/súlyos;
- Out-of-bounds Write (CVE-2021-33655)/közepes;
- Incomplete Cleanup (CVE-2022-0171)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2022-1012)/súlyos;
- Use After Free (CVE-2022-1184)/közepes;
- OS Command Injection (CVE-2022-1292)/kritikus;
- Improper Certificate Validation (CVE-2022-1343)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-1434)/közepes;
- Race Condition (CVE-2022-1462)/közepes;
- Improper Resource Shutdown or Release (CVE-2022-1473)/súlyos;
- Use After Free (CVE-2022-1679)/súlyos;
- NULL Pointer Dereference (CVE-2022-1852)/közepes;
- Use After Free (CVE-2022-1882)/súlyos;
- OS Command Injection (CVE-2022-2068)/kritikus;
- Stack-based Buffer Overflow (CVE-2022-2078)/közepes;
- Inadequate Encryption Strength (CVE-2022-2097)/közepes;
- NULL Pointer Dereference (CVE-2022-2153)/közepes;
- Out-of-bounds Write (CVE-2022-2274)/kritikus;
- Double Free (CVE-2022-2327)/súlyos;
- Improper Authentication (CVE-2022-2503)/közepes;
- Use After Free (CVE-2022-2586)/közepes;
- Improper Input Validation (CVE-2022-2588)/súlyos;
- Improper Input Validation (CVE-2022-2602)/súlyos;
- Improper Restriction of Communication Channel to Intended Endpoints (CVE-2022-2663)/közepes;
- Out-of-bounds Read (CVE-2022-2905)/közepes;
- Race Condition (CVE-2022-2959)/súlyos;
- Use After Free (CVE-2022-2978)/súlyos;
- Race Condition (CVE-2022-3028)/súlyos;
- NULL Pointer Dereference (CVE-2022-3104)/közepes;
- NULL Pointer Dereference (CVE-2022-3115)/közepes;
- Improper Input Validation (CVE-2022-3169)/közepes;
- Race Condition (CVE-2022-3303)/közepes;
- Race Condition (CVE-2022-3521)/alacsony;
- Improper Resource Shutdown or Release (CVE-2022-3524)/közepes;
- Use After Free (CVE-2022-3534)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3545)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3564)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3565)/súlyos;
- Use After Free (CVE-2022-3586)/közepes;
- Improper Resource Shutdown or Release (CVE-2022-3594)/közepes;
- NULL Pointer Dereference (CVE-2022-3606)/közepes;
- NULL Pointer Dereference (CVE-2022-3621)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3625)/súlyos;
- Classic Buffer Overflow (CVE-2022-3628)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2022-3629)/alacsony;
- Missing Release of Memory after Effective Lifetime (CVE-2022-3633)/alacsony;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3635)/súlyos;
- Improper Resource Shutdown or Release (CVE-2022-3646)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3649)/súlyos;
- Use After Free (CVE-2022-4095)/súlyos;
- Improper Locking (CVE-2022-4129)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2022-4139)/súlyos;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Non-exit on Failed Initialization (CVE-2022-4662)/közepes;
- Use After Free (CVE-2022-20421)/súlyos;
- Race Condition (CVE-2022-20422)/súlyos;
- Use After Free (CVE-2022-20566)/súlyos;
- Incorrect Authorization (CVE-2022-20572)/közepes;
- Incomplete Cleanup (CVE-2022-21123)/közepes;
- Incomplete Cleanup (CVE-2022-21125)/közepes;
- Incomplete Cleanup (CVE-2022-21166)/közepes;
- Authentication Bypass by Primary Weakness (CVE-2022-21505)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-26373)/közepes;
- Use After Free (CVE-2022-32250)/súlyos;
- Observable Discrepancy (CVE-2022-32296)/alacsony;
- Type Confusion (CVE-2022-34918)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-36123)/súlyos;
- Out-of-bounds Write (CVE-2022-36280)/közepes;
- Improper Input Validation (CVE-2022-36879)/közepes;
- Improper Input Validation (CVE-2022-36946)/súlyos;
- Race Condition (CVE-2022-39188)/közepes;
- Uncontrolled Resource Consumption (CVE-2022-39190)/közepes;
- Use After Free (CVE-2022-40307)/közepes;
- Exposure of Resource to Wrong Sphere (CVE-2022-40768)/közepes;
- Use After Free (CVE-2022-41218)/közepes;
- Use After Free (CVE-2022-41222)/súlyos;
- Out-of-bounds Write (CVE-2022-41674)/súlyos;
- Race Condition (CVE-2022-41849)/közepes;
- Race Condition (CVE-2022-41850)/közepes;
- Improper Locking (CVE-2022-42328)/közepes;
- Improper Locking (CVE-2022-42329)/közepes;
- Use of Uninitialized Variable (CVE-2022-42432)/közepes;
- Use After Free (CVE-2022-42703)/közepes;
- Use After Free (CVE-2022-42719)/súlyos;
- Use After Free (CVE-2022-42720)/súlyos;
- Infinite Loop (CVE-2022-42721)/közepes;
- NULL Pointer Dereference (CVE-2022-42722)/közepes;
- Access of Uninitialized Pointer (CVE-2022-42895)/közepes;
- Use After Free (CVE-2022-42896)/súlyos;
- Out-of-bounds Write (CVE-2022-43750)/közepes;
- Out-of-bounds Write (CVE-2022-47518)/súlyos;
- Out-of-bounds Read (CVE-2022-47520)/súlyos;
- NULL Pointer Dereference (CVE-2022-47929)/közepes;
- Use After Free (CVE-2022-47946)/közepes;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- Use After Free (CVE-2023-0590)/közepes;
- Type Confusion (CVE-2023-1077)/súlyos;
- NULL Pointer Dereference (CVE-2023-1095)/közepes;
- Type Confusion (CVE-2023-23454)/közepes;
- Type Confusion (CVE-2023-23455)/közepes;
- Integer Overflow or Wraparound (CVE-2023-23559)/súlyos;
- Out-of-bounds Read (CVE-2023-26607)/súlyos;
Javítás: Jelenleg nincs elérhető javítás.
Link a publikációhoz: Siemens ProductCERT

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Hosszú évek óta próbltam elérni, hogy részt vehessek a Dragos Industrial Security Conference (DISC) nevű rendezvényén, de ennek többnyire egynél több akadálya is volt. Egyrészt nem volt közöm a Dragos ügyfeleihez, másrészt egy egynapos konferenciáért Maryland-ig utazni nem kicsit tűnt túlzásnak. Aztán 2021-ben, a CoVID-19 következtében a DISC '21 is virtuális konferenciaként lett megrendezve, ráadásul megnyitották minden érdeklődő számára, így én is végig tudtam nézni az előadásokat. Aztán mindenféle változások történtek, a legfontosabb pedig az volt, hogy a Dragos (európai terjedszkedése nyomán) idén először Európában is rendezett konferenciát június 26-28-a között Londonban. A helyszín már önmagában egy hihetetlen élmény volt (legalább is a hozzám hasonló alakoknak, akiknek tetszenek a régi, ipari épületeket újrahasznosított formában), mert a Dragos European Forum-nak nevezett 3 napos konferenciáját London egyik ikonikus épületében (jelentkezzen kérem, akinek a fénykép láttán megszólal a fejében a Command&Conquer: Red Alert zenéje), a Battersea Power Plant-ben rendezték.

Az első napon (június 26-án) a Dragos Platform nevű OT hálózatbiztonsági megoldásának bemutatásával telt, nekem ez a nap különböző okok miatt kimaradt.

A második napon előadások voltak az erőműben kialakított mozi egyik termében. Előadók és előadások az alábbi témákban voltak:

Robert M. Lee: Keynote - Industrial Threat Landscape
Jan Hoff - Plant Champions
Emily Hithersay - OT Risk
Magpie Graham - Pipedream
Tim Watkins (Schweitzer Engineering Laboratory) - Solving legacy problems using SDN
Tim Ennis, Alan Paice - Incident response
Jacob Benjamin - Establishing an OT SOC
Kai Thompsen - Dancing on the Edge

A harmadik napon pedig az OT incidenskezelési tervek és playbook-ok készítésével és tesztelésével kapcsolatos workshop volt a BSPP melletti egyik szálloda konferenciatermében. A workshop egyik érdekes pontja a Black Hills Information Security és a Dragos munkatársai által készített, Backdoors & Breaches nevű kártya/társasjáték ICS/OT-változatának OT incidenskezelésben történő használhatóságának bemutatása volt.

Összességében a Dragos European Forum szerintem egy egészen jó hangulatú és használható tudást/gondolatokat/ötleteket adó rendezvény, akinek lehetősége van rá és érdekli az ICS/OT kiberbiztonság témája vagy foglalkoznia kell vele, érdemes lehet figyelnie a vele kapcsolatos híreket.

Ami pedig a Battersea Power Plant-et illeti, szerintem kb. így kéne megőrizni az ipari műemlék kategóriába tartozó épületeket. A BSPP-t gyakorlatilag kibelezték és egy modern bevásárlóközpontot hoztak benne létre (még mindig nincs kész, számos üzletet csak most építenek, de nagyobb divatmárkák üzletei, amerikai kávézó-franchise és más hasonló üzletek már most is üzemelnek, van egy több vetítőtermes mozi az épületben, több étterem és bár is), de ezt sikerült úgy megtenni, hogy közben nem vesztek el az egykori erőmű meghatározó részletei. Megmaradtak a turbinacsarnokok darui, megtartottak egy egykori gőzfejlesztő kazánt és megőrizték az erőművi vezénylő berendezéseit is - ez utóbbiak mellé akár kávézni is beülhet a látogató, mert egy étterem/bár működik az egykori B turbinacsarnok vezénylőjében. Szokásomtól eltérően csatolok ide néhány képet, amikkel megpróbálom visszaadni a hely hangulatát.

A NERC CIP-014-3 a villamosenergia-rendszer létesítményeinek fizikai biztonsági követelményeit foglalja össze, beleértve az alállomások és a kapcsolódó elsődleges folyamatirányító rendszerek fizikai biztonságát is.

A CIP-014-3 alapján a villamosenergia-rendszerben szerepet betöltő szervezetnek a kezdeti fizikai biztonsági kockázatelemzés után minden 30 hónapban egy újabb kockázatelemzést kell végeznie, amennyiben egy vagy több létesítményét fizikai biztonsági incidens következtében történő kiesését reális kockázatnak értékelték, illetve 60 havonta, ha ilyen létesítményt a korábbi kockázatelemzések nem azonosítottak.

Minden, a CIP-014-3 hatálya alá tartozó szervezetnek egy független, harmadik fél által kell ellenőriztetnie az elvégzett kockázatelemzést, ahol az ellenőrzést végző harmadik félnek villamosenergia-átviteli tervezési vagy elemzési tapasztalattal kell rendelkeznie.

A további követelményeket a NERC weboldalán, a CIP-014 jelenleg hatályos verziójában lehet megtalálni: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-014-3.pdf

Bejelentés dátuma: 2023.06.01.
Gyártó: ABB
Érintett rendszer(ek):
- ASPECT®-Enterprise 3-as firmware-verziója;
- NEXUS sorozatú NEX-2x modelljeinek 3-as firmware-verziója;
- NEXUS sorozatú NEXUS-3-x modelljeinek 3-as firmware-verziója;
- MATRIX sorozatú MAT-x modelljeinek 3-as firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2023-0635)/súlyos;
- Improper Input Validation (CVE-2023-0636)/súlyos;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.06.05.
Gyártó: Moxa
Érintett rendszer(ek):
- CN2600 sorozatú eszközök 4.5-ös és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Weak cryptographic algorithm (n/a)/n/a;
Javítás: A Moxa Technical Support-nál elérhető.
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/cn2600-series-multiple-weak-cryptographic-algorithm-vulnerabilities

Bejelentés dátuma: 2023.06.05.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- RJ71EIP91 típusú MELSEC iQ-R/iQ-F sorozatú EtherNet/IP modulok és EtherNet/IP konfigurátor eszközök minden verziója;
- SW1DNN-EIPCT-BD típusú MELSEC iQ-R/iQ-F sorozatú EtherNet/IP modulok és EtherNet/IP konfigurátor eszközök minden verziója;
- FX5-ENET/IP típusú MELSEC iQ-R/iQ-F sorozatú EtherNet/IP modulok és EtherNet/IP konfigurátor eszközök minden verziója;
- SW1DNN-EIPCTFX5-BD típusú MELSEC iQ-R/iQ-F sorozatú EtherNet/IP modulok és EtherNet/IP konfigurátor eszközök minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Weak Password Requirements (CVE-2023-2060)/súlyos;
- Use of Hard-coded Password (CVE-2023-2061)/közepes;
- Missing Password Field Masking (CVE-2023-2062)/közepes;
- Unrestricted Upload of File with Dangerous Type (CVE-2023-2063)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-157-02

Bejelentés dátuma: 2023.06.08.
Gyártó: Atlas Copco
Érintett rendszer(ek):
- Power Focus 6000 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2023-1897)/közepes;
- Small Space of Random Values (CVE-2023-1898)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2023-1899)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-159-01

Bejelentés dátuma: 2023.06.08.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft-B DOPSoft v4.0.0.82-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-25177)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-24014)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-157-01

Bejelentés dátuma: 2023.06.08.
Gyártó: Sensormatic Electronics (Johnson Controls leányvállalat)
Érintett rendszer(ek):
- Sensormatic Electronics Illustra Pro Gen 4 Dome Illustra.SS016.05.09.04.0006-os és korábbi verziói;
- Sensormatic Electronics Illustra Pro Gen 4 PTZ Illustra.SS010.05.09.04.0022-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Active Debug Code (CVE-2023-0954)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-159-02

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Április végén jelentették be, hogy 11, IT illetve OT kiberbiztonsági területen működő cég (az 1898 & Co., az ABS Group, a Claroty, a Dragos, a Forescout, a NetRise, a Network Perception, a Nozomi Networks, a Schneider Electric, a Tenable és a Waterfall Security) közös kezdményezéseként elindul az ETHOS (Emerging Threat Open Sharing) platform, ahol a különböző iparágakban dolgozó cégek megoszthatják egymással az ICS/OT rendszereikkel kapcsolatos biztonsági információikat.

A DHS CISA Shields Up! felhívására induló projekt szoftvereit a Github-on lehet megtalálni, a részleteiről pedig az ethos-org.io oldalon lehet olvasni.