Bejelentés dátuma: 2023.05.30.
Gyártó: Advantech
Érintett rendszer(ek):
- WebAccess/SCADA 8.4.5-ös verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Type Distinction (CVE-2023-2866)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-150-01

Bejelentés dátuma: 2023.06.01.
Gyártó: HID Global
Érintett rendszer(ek):
- External Visitor Manager portal-t használó HID SAFE 5.8.0-tól 5.11.3-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Modification of Assumed-Immutable Data (CVE-2023-2904)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-152-02

Bejelentés dátuma: 2023.06.01.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-R sorozatú, RJ71EIP91-es EtherNet/IP egységek minden verziója;
- RJ71EIP91-es EtherNet/IP egységek SW1DNN-EIPCT-BD konfigurációs eszközének minden verziója;
- MELSEC iQ-F sorozatú, FX5-ENET/IP EtherNet/IP egységek minden verziója;
- FX5-ENET/IP EtherNet/IP egységek SW1DNN-EIPCTFX5-BD konfigurációs eszközének minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient password strength (CVE-2023-2060)/súlyos;
- Use of hardcoded passwords (CVE-2023-2061)/közepes;
- Lack of masking when entering password fields (CVE-2023-2062)/közepes;
- Insufficient validation of uploaded files (CVE-2023-2063)/közepes;
Javítás: Nincs információ
Link a publikációhoz: JP-CERT

Bejelentés dátuma: 2023.06.02.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- FRENIC RHC Loader v1.1.0.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based buffer overflow (CVE-2023-29160)/súlyos;
- Out-of-bounds read (CVE-2023-29167)/súlyos;
- XML External Entity Reference (XXE) Improper Restriction (CVE-2023-29498)/közepes;
Javítás: Elérhető
Link a publikációhoz: JP-CERT

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az S4x az egyik legnagyobb, ICS biztonsági konferencia az USA-ban, amit hagyományosan februárban és Miami-ban szoktak megrendezni, a TrendMicro pedig egyike azoknak az IT biztonsági cégeknek, akik már felkapaszkodtak az évről-évre erősödő ICS biztonsági vonatra és igyekeznek ezt a piacot is meghódítani a termékeikkel és szolgáltatásaikkal. Az S4x23-ról nemrég a TrendMicro egy négy részes cikksorozatot közölt, amiben részletes(ebb)en összefoglalták, hogy mit is találtak érdekesnek az idei konferencia témái közül.

Az első részben az ICS/OT biztonság újdonságairól írtak, ami gyakorlatilag néhány, az S4x23-on Dale Peterson, a konferencia ötletgazdája és főszervezője által készített interjúról szól. Dale olyan emberekkel beszélgetett, mint Michael Fischerkeller a Cyber Persistence Theory nevű könyv egyik szerzője, és Eugene H. Spafford, a Purdue Egyetem professzora.

A második részben olyan, a (villamos)energia-szektor kiberbiztonsági helyzetéről szóló előadások összefoglalója található, mint például Spencer Wilcox keynote-előadása, a Bill Fehrman-nal, a Berkshire Hathaway Energy vezérigazgatójával készített interjú vagy Emma Stewart az NRECA vezető kutatójának előadása.

A harmadik rész az egészségügyi rendszerek kiberbiztonságával foglalkozó előadások összefoglalóját tartalmazza Munish Walther-Puri, New York városának korábbi kiberbiztonsági kockázati igazgatójának előadása és Josh Corman, a CISA CoVID Task Force-a által tanultakról és levont következtetésekről szóló eladása alapján.

A negyedik rész az ipari IoT (IIoT) rendszerek kiberbiztonságával foglalkozó előadásokból szemléz, ilyenek voltak például Marianne Bellotti, Ryan Dsouza és Abdullah Yousif előadásai.

Bejelentés dátuma: 2023.05.15.
Gyártó: WAGO
Érintett rendszer(ek):
- Compact Controller CC100-as vezérlőinek FW20-tól FW22-ig terjedő firmware-verziói;
- Compact Controller CC100-as vezérlőinek FW23-as firmware-verziója;
- Edge Controller FW22-es firmware-verziója;
- PFC100-as vezérlőinek FW20-tól FW22-ig terjedő firmware-verziói;
- PFC100-as vezérlőinek FW23-as firmware-verziója;
- PFC200-as vezérlőinek FW20-tól FW22-ig terjedő firmware-verziói;
- PFC200-as vezérlőinek FW23-as firmware-verziója;
- Touch Panel 600 Advanced Line FW22-es firmware-verziója;
- Touch Panel 600 Marine Line FW22-es firmware-verziója;
- Touch Panel 600 Standard Line FW22-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2023-1698)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2023-007/

Bejelentés dátuma: 2023.05.17.
Gyártó: ABB
Érintett rendszer(ek):
- Terra AC wallbox (UL40/80A) 1.5.5-ös és korábbi verziói;
- Terra AC wallbox (UL32A) 1.6.5-ös és korábbi verziói;
- Terra AC wallbox (CE) Terra AC MID 1.6.5-ös és korábbi verziói;
- Terra AC wallbox (CE) Terra AC Juno CE 1.6.5-ös és korábbi verziói;
- Terra AC wallbox (CE) Terra AC PTB 1.5.25-ös és korábbi verziói;
- Terra AC wallbox (CE) Symbiosis 1.2.7-es és korábbi verziói;
- Terra AC wallbox (JP) 1.6.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass (CVE-2023-0863)/súlyos;
- Plaintext Communication of Configuration Data (CVE-2023-0864)/súlyos;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.05.18.
Gyártó: Mitshubishi Electric
Érintett rendszer(ek):
- MELSEC WS0-GETH00200 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Active Debug Code (CVE-2023-1618)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-002_en.pdf

Bejelentés dátuma: 2023.05.18.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MicroSCADA Pro/X SYS600: 9.4 FP2 Hotfix 5 és korábbi verziói;
- MicroSCADA Pro/X SYS600 10.1.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Permissions, Privileges, and Access Controls (CVE-2011-1207)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-138-03

Bejelentés dátuma: 2023.05.18.
Gyártó: Carlo Gavazzi
Érintett rendszer(ek):
- Powersoft Energy Management System 2.1.1.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2017-20184)/súlyos;
Javítás: Nincs, a termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-138-01

Bejelentés dátuma: 2023.05.23.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- AFS660/665S, AFS660/665C, AFS670v2 7.1.05-ös és korábbi firmware-verziói;
- AFS670/675, AFR67x 9.1.07-es és korábbi firmware-verziói;
- AFF660/665 03.0.02-es és korábbi firmware-verziói;
- AFS65x minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free (CVE-2022-40674)/súlyos;
- Use After Free (CVE-2022-43680)/súlyos;
Javítás: Részben fejlesztés alatt.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-01

Bejelentés dátuma: 2023.05.23.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú eszközök 12.0.1-től 12.0.15-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.2.1-től 12.2.12-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.4.1-től 12.4.12-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.6.1-től 12.6.9-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.7.1-től 12.7.6-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 13.2.1-től 13.2.6-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 13.3.1-től 13.3.3-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 13.4.1-től 13.4.2-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.0.1-től 12.0.14-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.2.1-től 12.2.11-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.4.1-től 12.4.11-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.6.1-től 12.6.8-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.7.1-től 12.7.5-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 13.2.1-től 13.2.5-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 13.3.1-től 13.3.3-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 13.4.1-től 13.4.1-ig terjedő CMU firmware-verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion (CVE-2023-0286)/súlyos;
- Observable Timing Discrepancy (CVE-2022-4304)/közepes;
- Out-of-bounds Read (CVE-2022-23937)/súlyos;
- Infinite Loop (CVE-2022-0778)/súlyos;
- Classic Buffer Overflow (CVE-2021-3711)/kritikus;
- Out-of-bounds Read (CVE-2021-3712)/súlyos;
Javítás: A gyártó jelenleg is dolgozik rajta.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02

Bejelentés dátuma: 2023.05.23.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-F sorozatú eszközök következő változatai és verziói: FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS 17X**** és későbbi sorozatszámú eszközeinek 1.220 és későbbi verziói;
- MELSEC iQ-F sorozatú eszközök következő változatai és verziói: FX5UC-xMy/z x=32,64,96, y=T, z=D,DSS 17X**** és későbbi sorozatszámú eszközeinek 1.220 és későbbi verziói;
- MELSEC iQ-F sorozatú eszközök következő változatai és verziói: FX5UC-32MT/DS-TS, FX5UC-32MT/DSS-TS, FX5UC-32MR/DS-TS 1.220 és későbbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-1424)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-03

Bejelentés dátuma: 2023.05.23.
Gyártó: Horner Automation
Érintett rendszer(ek):
- Cscape: v9.90 SP8;
- Cscape EnvisionRV: v4.70;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-29503)/súlyos;
- Out-of-bounds Read (CVE-2023-32281)/súlyos;
- Out-of-bounds Read (CVE-2023-32289)/súlyos;
- Out-of-bounds Read (CVE-2023-32545)/súlyos;
- Out-of-bounds Read (CVE-2023-27916)/súlyos;
- Use After Free (CVE-2023-28653)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-31244)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-32203)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-32539)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-31278)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-04

Bejelentés dátuma: 2023.05.25.
Gyártó: Moxa
Érintett rendszer(ek):
- MXsecurity sorozat v1.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-33235)/súlyos;
- Use of Hard-Coded Credentials (CVE-2023-33236)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-145-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Mandiant kutatói egy újabb, ICS rendszerekre specializált malware-t azonosítottak és a CosmicEnergy nevet adták neki. Hasonlóan a 2016. decemberben és 2022 áprilisben az ESET által felfedezett Industroyer és Industroyer2 malware-ekhez, a CosmicEnergy is képes az IEC-104-es protokoll manipulálására, ebben az esetben a Lightwork nevű kártékony eszközt használva. A Mandiant szerint az újonnan felfedezett malware egy red team-eszköz lehet, amit a Rostelecom-Solar-nál orosz állami támogatásból fejlesztettek ki azért, hogy hatékonyabban tudjak támadásokat szimulálni az orosz nemzeti kritikus infrastruktúra ellen. A Mandiant CosmicEnergy-ről készült elemzése itt érhető el.

https://www.mandiant.com/resources/blog/cosmicenergy-ot-malware-russian-response

Nem sokkal a Madiant publikációjának megjelenése után számos helyen írtak a CosmicEnergy-ről, a legérdekesebb véleményt én Joe Slowik-tól olvastam. Joe-ról egyebek mellett azt is érdemes tudni, hogy a 2016-ban felfedezett és az elemzők szerint az orosz Sandworm-csoportnak tulajdonított malware egyik legkitartóbb elemzői közé tartozott, aki még 2019-ban publikálta azt a tanulmányát, ahol az Industroyer védelmek elleni támadáshoz használt funkcióit elemezte. Joe szerint a CosmicEnergy-ben ugyanaz a hibás, IEC-104-es kódrészlet található, ami miatt az Industroyer is kudarcot vallott. Ez persze lehet szándékos is, ezzel biztosítva, hogy a CosmicEnergy valódi károkat ne tudjon okozni a Rostelecom-Solar rendszereiben.

A Searchlight Cyber nevű, kifejezetten dark webes információgyűjtésre és fenyegetés-elemzésre szakosodott cég által publikált jelentés szerint több ország (az USA, Kanada, Nagy-Britannia, Franciaország, Olaszország és Indonézia) villamosenergia-szektoraiban működő cégek folyamatirányító rendszereihez kínálnak kezdeti hozzáférési lehetőségeket (pl. távoli eléréshez használt felhasználói azonosítókat és jelszavakat, stb. RDP-hez vagy VPN-szolgáltatásokhoz). Ezeket használva a támadók már az adott szervezet belső hálózatából folytathatják a célba vett rendszerek vizsgálatát. Egy ilyen hozzáférés ára a Searchlight Cyber kutatói szerint jellemzően 20 amerikai dollártól 2.500 dollárig terjedhet, ezért az árért a vevő nem csak a hozzáféréshez szükséges információkat, hanem részletes utasításokat is arra vonatkozóan, hogyan használják ezeket.

Abban túl sok meglepetés nincs, hogy az Interneten számos folyamatirányító rendszer elérhető, gyakran a legalapvetőbb biztonsági intézkedések alkalmazása nélkül. 2020. elején a régi Index.hu-n jelent meg egy hír a BlackCell által készített tanulmányról, amiben csak az Internet magyar szegletében 2.000 folyamatirányító rendszert azonosítottak és erős a gyanúm, hogy ez a helyzet azóta sem lett jobb, szóval lehet, hogy nem ártana a hazai cégeknek sem ilyen téren is tájékozódni a saját rendszereikről.

Bejelentés dátuma: 2023.05.11.
Gyártó: BirdDog
Érintett rendszer(ek):
- 4K QUAD 4.5.181-es és 4.5.196-os verziói;
- MINI 2.6.2-es verziója;
- A300 EYES 3.4-es verziója;
- STUDIO R3 3.6.4-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Request Forgery (CVE-2023-2505)/súlyos;
- Use of Hard-Coded Credentials (CVE-2023-2504)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-11

Bejelentés dátuma: 2023.05.11.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ThinManager 13.0-tól 13.0.1-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2023-2443)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-15

Bejelentés dátuma: 2023.05.11.
Gyártó: SDG Technologies
Érintett rendszer(ek):
- PnPSCADA v2.* verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2023-1934)/kritikus;
Javítás: A gyártó jelenleg is dolgozik rajta.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-12

Bejelentés dátuma: 2023.05.11.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 2022 május és 2023 január között gyártott Kinetix 5500-as eszközök 7.13-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-1834)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-09

Bejelentés dátuma: 2023.05.11.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- PanelView 800-2711R-T4T grafikus terminál 5.011-től 8.011-ig terjedő verziói;
- PanelView 800-2711R-T7T grafikus terminál 5.011-től 8.011-ig terjedő verziói;
- PanelView 800-2711R-T10T grafikus terminál 5.011-től 8.011-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2020-36177)/kritikus;
- Out-of-bounds Read (CVE-2019-16748)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-14

Bejelentés dátuma: 2023.05.11.
Gyártó: Teltonika
Érintett rendszer(ek):
- Remote Management System (RMS) 4.14.0-nál korábbi verziói;
- RUT router modellek 00.07.00-tól 00.07.03.4-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Response Discrepancy (CVE-2023-32346)/közepes;
- Improper Authentication (CVE-2023-32347)/kritikus;
- Server-Side Request Forgery (CVE-2023-32348)/kritikus;
- Improper Authentication (CVE-2023-2586)/kritikus;
- Cross-site Scripting (CVE-2023-2587)/súlyos;
- Inclusion of Web Functionality from an Untrusted Source (CVE-2023-2588)/súlyos;
- External Control of System of Configuration Setting (CVE-2023-32349)/súlyos;
- OS Command Injection (CVE-2023-32350)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-08

Bejelentés dátuma: 2023.05.11.
Gyártó: PTC
Érintett rendszer(ek):
- Vuforia Studio minden, 9.9-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2023-29168)/alacsony;
- Improper Authorization (CVE-2023-24476)/alacsony;
- Improper Authorization (CVE-2023-29152)/közepes;
- Unrestricted Upload of File with Dangerous Type (CVE-2023-27881)/súlyos;
- Path Traversal (CVE-2023-29502)/közepes;
- Cross-site Request Forgery (CVE-2023-31200)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-13

Bejelentés dátuma: 2023.05.11.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Arena Simulation Software v16.20.01 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-29460)/súlyos;
- Incorrect Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-29461)/súlyos;
- Incorrect Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-29462)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-10

Bejelentés dátuma: 2023.05.11.
Gyártó: Sierra Wireless
Érintett rendszer(ek):
- AirVantage Platform
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-31279)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-31280)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-07

Bejelentés dátuma: 2023.05.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Vantagepoint minden, 8.40-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2023-2444)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-136-03

Bejelentés dátuma: 2023.05.16.
Gyártó: Rockwell
Érintett rendszer(ek):
- ArmorStart ST281E 2.004.06-os és későbbi verziói;
- ArmorStart ST284E minden verziója;
- ArmorStart ST280E minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2023-29031)/súlyos;
- Improper Input Validation (CVE-2023-29030)/súlyos;
- Improper Input Validation (CVE-2023-29023)/súlyos;
- Improper Input Validation (CVE-2023-29024)/közepes;
- Improper Input Validation (CVE-2023-29025)/közepes;
- Improper Input Validation (CVE-2023-29026)/közepes;
- Improper Input Validation (CVE-2023-29027)/közepes;
- Improper Input Validation (CVE-2023-29028)/közepes;
- Improper Input Validation (CVE-2023-29029)/közepes;
- Improper Input Validation (CVE-2023-29022)/közepes;
Javítás: Nincs a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-136-02

Bejelentés dátuma: 2023.05.16.
Gyártó: Snap One
Érintett rendszer(ek):
- OvrC Pro 7.1-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2023-28649)/súlyos;
- Observable Response Discrepancy (CVE-2023-28412)/közepes;
- Improper Access Control (CVE-2023-31241)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-31193)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2023-28386)/súlyos;
- Open Redirect (CVE-2023-31245)/súlyos;
- Use of Hard-coded Credentials (CVE-2023-31240)/súlyos;
- Hidden Functionality (CVE-2023-25183)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-136-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Május 11-én jelent meg a hír, hogy május 7-én Black Basta zsarolóvírus-támadás érte a svájci központú nemzetközi ICS gyártó, az ABB egyes rendszereit. A BleepingComputer.com információi szerint a támadás az ABB Windows-alapú Active Directory szervereit érintette - több száz eszközt. Az incidens következtében az ABB megszűntette az ügyfeleivel létesített VPN-kapcsolatokat, hogy megelőzze a zsarolóvírus további terjedését.

Az ABB nyilatkozata szerint az incidensben érintett rendszereik izolálása már megtörtént, a nem érintett rendszerek és a gyáraik működését május 12-ére helyreállították.

Május 10-én publikálta a Dragos, hogy 9-én, kibertámadás érte a cég rendszereit. Egy új belépő értékesítési munkatárs privát e-mail fiókján keresztül a támadók hozzáfértek a Dragos új munkatársainak belépési folyamatában érintett egyes rendszereihez. Egyebek mellett egyes, csak a cég ügyfelei számára elérhető fenyegetés-elemzési riportokhoz, valamint egy meg nem nevezett, de azonnal értesített ügyfél bizonyos szerződéses adataihoz. A Dragos incidenskezeléssel foglalkozó csapata mintegy 16 és fél óra alatt számolták fel az illetéktelen hozzáférést, de az igazán érdekes (és kevésbé megszokott) az, hogy egy nappal később már nyilvánosan olvashatóak az incidens részletei, támadói TTP-kkel és IoC-kkel együtt. Ez a fajta transzparens incidenskezelés és kommunikáció (szerintem legalábbis) ma még korántsem nevezhető általánosnak.

A Pipedream ICS malware-ről először 2022. áprilisában publikált a Dragos, most a hónap elején pedig új részleteket közöltek a moduláris malware OPC UA moduljáról, amit MouseHole-nak neveztek el. A MouseHole modul az OPCUA Python modulra épül és számos funkcióval rendelkezik, képes scannelni a hálózatot OPC UA szervert keresve, brute force-olni tudja az OPC UA szerver authentikációs mechanizmusát, olvasni tudja a szerver struktúráját és írni/olvasni tudja az OPC UA szerver node attribútumait valamint manipulálni tudja a szerver biztonsági beállításait, tanúsítványait és privát kulcsait.

Bejelentés dátuma: 2023.04.24.
Gyártó: Omron
Érintett rendszer(ek):
- CX-Drive minden, V3.01-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-27585)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: http://jvn.jp/en/vu/JVNVU97372625/index.html

Bejelentés dátuma: 2023.04.25.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann HiOS BRS, RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED 09.1.XX és korábbi verziói;
- Hirschmann HiOS BRS, RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED 09.0.05 és korábbi verziói;
- Hirschmann HiOS BRS, RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED 07.1.07 és korábbi verziói;
- Hirschmann Classic RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS, OCTOPUS 09.1.07 és korábbi verziói;
- HiSecOS EAGLE 04.3.XX és korábbi verziói;
- Wireless BAT-C2 BAT-C2 9.14.1.0R2 és korábbi verziói;
- Lite Managed GECKO 2.3.2 és korábbi verziói;
- Edge OpEdge-8D 01.0.00;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use-after-free (CVE-2022-40674)/kritikus;
- Use-after-free (CVE-2022-43680)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://assets.belden.com/m/6f2d4e1f6bbaeb54/original/BSECV-2022-26.pdf

Bejelentés dátuma: 2023.04.25.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú CMU Firmware-ek minden verziója;
- RTU500 sorozatú CMU Firmware-ek 12.0.1 – 12.0.14 verziói;
- RTU500 sorozatú CMU Firmware-ek 12.2.1 – 12.2.11 verziói;
- RTU500 sorozatú CMU Firmware-ek 12.4.1 – 12.4.11 verziói;
- RTU500 sorozatú CMU Firmware-ek 12.6.1 – 12.6.8 verziói;
- RTU500 sorozatú CMU Firmware-ek 12.7.1 – 12.7.5 verziói;
- RTU500 sorozatú CMU Firmware-ek 13.2.1 – 13.2.5 verziói;
- RTU500 sorozatú CMU Firmware-ek 13.3.1 – 13.3.3 verziói;
- RTU500 sorozatú CMU Firmware-ek 13.4.1 verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-23937)/súlyos;
- Infinite Loop (CVE-2022-0778)/súlyos;
- Classic Buffer Overflow (CVE-2021-3711)/kritikus;
- Out-of-bounds Read (CVE-2021-3712)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.04.25.
Gyártó: Keysight
Érintett rendszer(ek):
- N8844A Data Analytics Web Service 2.1.7351 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-1967)/kritikus;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-115-01

Bejelentés dátuma: 2023.04.25.
Gyártó: Scada-LTS
Érintett rendszer(ek):
- Scada-LTS 2.7.4-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2015-1179)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-115-02

Bejelentés dátuma: 2023.04.26.
Gyártó: Bosch
Érintett rendszer(ek):
- Bosch B420 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-47648)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://psirt.bosch.com/security-advisories/bosch-sa-341298-bt.html

Bejelentés dátuma: 2023.04.27.
Gyártó: Illumina
Érintett rendszer(ek):
- iScan Control Software v4.0.0 verziója;
- iScan Control Software v4.0.5 verziója;
- iSeq 100 minden verziója;
- MiniSeq Control Software v2.0 és újabb verziói;
- MiSeq Control Software v4.0 (RUO Mode) verziója;
- MiSeqDx Operating Software v4.0.1 és újabb verziói;
- NextSeq 500/550 Control Software v4.0 verziója;
- NextSeq 550Dx Control Software v4.0 (RUO Mode) verziója;
- NextSeq 550Dx Operating Software v1.0.0-tól 1.3.1-ig terjedő verziói;
- NextSeq 550Dx Operating Software v1.3.3 és újabb verziói;
- NextSeq 1000/2000 Control Software v1.4.1 és újabb verziói;
- NovaSeq 6000 Control Software v1.7 és újabb verziói;
- NovaSeq Control Software v1.8 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Binding to an Unrestricted IP Address (CVE-2023-1968)/kritikus;
- Execution with Unnecessary Privileges (CVE-2023-1966)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-23-117-01

Bejelentés dátuma: 2023.05.02.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELIPC sorozat MI5122-VM modelljének minden verziója;
- MELIPC sorozat MI1002-W modelljének minden verziója;
- MELIPC sorozat MI2012-W modelljének minden verziója;
- MELIPC sorozat MI3321G-W modelljének minden verziója;
- MELIPC sorozat MI3315G-W modelljének minden verziója;
- MELSEC iQ-R sorozat R102WCPU-W modelljének minden verziója;
- MELSEC Q sorozat Q24DHCCPU-V modelljének minden verziója;
- MELSEC Q sorozat Q24DHCCPU-VG modelljének minden verziója;
- MELSEC Q sorozat Q24DHCCPU-LS modelljének minden verziója;
- MELSEC Q sorozat Q26DHCCPU-LS modelljének minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Dependency on Vulnerable Third-Party Component (CVE-2020-8670)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2020-24489)/súlyos;
- Dependency on Vulnerable Third-Party Component (CVE-2020-24512)/alacsony;
- Dependency on Vulnerable Third-Party Component (CVE-2021-0127)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2021-0146)közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2021-0086)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2021-0089)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2021-33150)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2022-0002)/közepes;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-122-01

Bejelentés dátuma: 2023.05.09.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Modular Switchgear Monitoring 2.2.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2021-43298)/kritikus;
- Authentication Bypass by Capture-replay (CVE-2020-15688)/súlyos;
- Code Injection (CVE-2019-16645)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2019-12822)/súlyos;
- NULL Pointer Dereference (CVE-2018-15504)/súlyos;
- NULL Pointer Dereference (CVE-2018-15505)/súlyos;
- Insufficient Entropy (CVE-2021-41615)/kritikus;
- Insufficient Entropy (CVE-2023-23916)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-129-02

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE LPE9403 (6GK5998-3GS00-2AC2) minden, V2.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-27407)/kritikus;
- Creation of Temporary File With Insecure Permissions (CVE-2023-27408)/alacsony;
- Path Traversal (CVE-2023-27409)/alacsony;
- Heap-based Buffer Overflow (CVE-2023-27410)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-325383.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) minden verziója;
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) minden verziója;
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-47522)/súlyos;
Javítás: Nincs
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-516174.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Cloud Connect 7 CC712 (6GK1411-1AC00) minden, V2.0 és újabb, de V2.1-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC712 (6GK1411-1AC00) minden, V2.1-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC716 (6GK1411-5AC00) minden, V2.0 és újabb, de V2.1-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC716 (6GK1411-5AC00) minden, V2.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-28832)/súlyos;
- Use of Hard-coded Password (CVE-2023-29103)/közepes;
- Path Traversal (CVE-2023-29104)/közepes;
- Missing Standardized Error Handling Mechanism (CVE-2023-29105)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-29106)/közepes;
- Files or Directories Accessible to External Parties (CVE-2023-29107)/közepes;
- Path Traversal (CVE-2023-29128)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-555292.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siveillance Video 2020 R2 minden, V20.2 HotfixRev14-nél korábbi verziója;
- Siveillance Video 2020 R3 minden, V20.3 HotfixRev12-nél korábbi verziója;
- Siveillance Video 2021 R1 minden, V21.1 HotfixRev12-nél korábbi verziója;
- Siveillance Video 2021 R2 minden, V21.2 HotfixRev8-nél korábbi verziója;
- Siveillance Video 2022 R1 minden, V22.1 HotfixRev7-nél korábbi verziója;
- Siveillance Video 2022 R2 minden, V22.2 HotfixRev5-nél korábbi verziója;
- Siveillance Video 2022 R3 minden, V22.3 HotfixRev2-nél korábbi verziója;
- Siveillance Video 2023 R1 minden, V23.1 HotfixRev1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-30898)/kritikus;
- Deserialization of Untrusted Data (CVE-2023-30899)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-789345.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS minden, V1.0.3.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Expected Behavior Violation (CVE-2022-32221)/súlyos;
- Improper Validation of Syntactic Correctness of Input (CVE-2022-35252)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-35260)/súlyos;
- Use After Free (CVE-2022-40674)/kritikus;
- Double Free (CVE-2022-42915)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2022-42916)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2022-43551)/súlyos;
- Use After Free (CVE-2022-43552)/közepes;
- Use After Free (CVE-2022-43680)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-892048.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge SE2023 minden, VX.223.0 Update 3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2023-0973)/alacsony;
- Out-of-bounds Read (CVE-2023-30985)/alacsony;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-30986)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-932528.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- OPC Factory Server (OFS) V3.63SP2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- mproper Restriction of XML External Entity Reference (CVE-2023-2161)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.05.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Operation 2022-es verziója;
- EcoStruxure™ Power Operation 2021 CU3 és korábbi verziói;
- EcoStruxure™ Power SCADA Operation Versions 2020 R2 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2023-1256)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.05.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PowerLogic ION9000 4.0.0-nál korábbi verziója;
- PowerLogic ION7400 4.0.0-nál korábbi verziója;
- PowerLogic PM8000 4.0.0-nál korábbi verziója;
- PowerLogic ION8650 minden verziója;
- PowerLogic ION8800 minden verziója;
- Legacy ION products minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext transmission of sensitive information (CVE-2022-46680)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.05.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure TM Power Operation Power SCADA Anywhere-rel telepítve;
- EcoStruxure TM Power SCADA Operation Power SCADA Anywhere-rel telepítve;
- Power SCADA Anywhere Versions 1.1 and 1.2;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Outdated OpenSSL (CVE-2021-3711)/kritikus;
- Relative Path Traversal (CVE-2022-23854)/súlyos;
- Outdated jQuery (CVE-2020-11022)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Ma már egyáltalán nem számít ritkának a kritikus infrastruktúrák és a villamosenergia-rendszer kiberbiztonsági fenyegetettségéről beszélni, de a transzformátorok, a villamosenergia-rendszer egyik, ha nem a legfontosabb berendezéseinek kiberbiztonsági kockázatairól még mindig viszonylag kevés szó esik. Annak ellenére is így van ez, hogy az újabb transzformátor modellek egyre többször rendelkeznek olyan kiegészítő modulokkal, amik lehetővé teszik az IP (OT) hálózatokon keresztül történő közvetlen felügyeletet vagy akár konfigurációt is. Ezeket a kockázatokat felismerve indult egy kutatás, amely során Hossein Rahimpour, Joe Tusek, Alsharif Abuadbba, Aruna Seneviratne, Toan Phung, Ahmed Musleh és Boyu Liu az ilyen, transzformátorok elleni kibertámadások észlelésének és megelőzésének lehetséges megoldásait keresték és vizsgálták.

A kutatás eredményeként született tanulmányt itt lehet elolvasni: https://arxiv.org/pdf/2302.13161.pdf