2023. március 23-án (vagyis két nappal ezelőtt) második alkalommal tartott meghallgatást az USA szenátusának Energia- és természeti erőforrás-ügyi bizottsága. Az első meghallgatást még 2018-ban tartották a az ipari kiberbiztonságról és a privát szektor villamosenergia-rendszer kiberbiztonsági feladataival kapcsolatos szerepéről. Erről a meghallgatásról egy 7 oldalas jegyzőkönyv érhető el az amerikai szenátus weboldalán.

Az eltelt 5 évben számos változás volt úgy az amerikai, mint más országok nemzeti kritikus infrastruktúráinak és különösen a villamosenergia-rendszerek kiberbiztonságával kapcsolatban (nem kizárólag, de igen jelentő részben az immár lassan 400 napja dühöngő orosz-ukrán háború miatt, ami a kritikus infrastruktúrákat sem kíméli, elsősorban, de nem csak Ukrajnában). Ennek két, kritikus infrastruktúra kiberbiztonsági szempontból ikonikus pillanata volt közel egy éve az Industroyer2 és a Pipedream ICS malware-ek felfedezése, ami nem hagyta érintetlenül az USA kormányát sem. Hogy mi indokolta pont mostanra összehívni ezt az újabb meghallgatást, pontosan nem tudom, az viszont biztos, hogy a csütörtöki eseményről készült videófelvétel publikusan elérhető a www.energy.senate.gov weboldalon.

Bejelentés dátuma: 2023.03.14.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA Plant SCADA 2023, AVEVA Plant SCADA 2020R2 Update 10-es és minden korábbi verziója;
- AVEVA Telemetry Server 2020 R2 SP1-es és minden korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2023-1256)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-04

Bejelentés dátuma: 2023.03.14.
Gyártó: GE Digital
Érintett rendszer(ek):
- GE Digital Proficy iFIX 2022;
- GE Digital Proficy iFIX v6.1;
- GE Digital Proficy iFIX v6.5;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-0598)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-03

Bejelentés dátuma: 2023.03.14.
Gyártó: Autodesk
Érintett rendszer(ek):
- Autodesk FBX SDK versions 2020-as és korábbi verziói;
- Luxion KeyShot version 11.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-41302)/súlyos;
- Use After Free (CVE-2022-41303)/súlyos;
- Out-of-bounds Write (CVE-2022-41304)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-02

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) minden verziója;
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) minden verziója;
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézekdések bevezetését javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7 kompatibilis Mendix SAML 1.16.4-től 1.17.2-ig terjedő verziói;
- Mendix 8 kompatibilis Mendix SAML 2.2.0-tól 2.2.3-ig terjedő verziói;
- Mendix 9 (New Track) kompatibilis Mendix SAML 3.1.9-től 3.2.5-ig terjedő verziói;
- Mendix 9 (Upgrade Track) kompatibilis Mendix SAML 3.1.9-től 3.2.5-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Implementation of Authentication Algorithm (CVE-2023-25957)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM CROSSBOW minden, V5.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authorization (CVE-2023-27462)/alacsony;
- SQL Injection (CVE-2023-27463)/magas;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) minden, v7.2-nél korábbi verziója;
- RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M804PB (6GK5804-0AP00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M812-1 ADSL-Router (Annex A) (6GK5812-1AA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M812-1 ADSL-Router (Annex B) (6GK5812-1BA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M816-1 ADSL-Router (Annex A) (6GK5816-1AA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M816-1 ADSL-Router (Annex B) (6GK5816-1BA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) minden, v7.2-nél korábbi verziója;
- SCALANCE M874-2 (6GK5874-2AA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M874-3 (6GK5874-3AA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M876-3 (EVDO) (6GK5876-3AA02-2BA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M876-4 (6GK5876-4AA10-2BA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) minden, v7.2-nél korábbi verziója;
- SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) minden, v7.2-nél korábbi verziója;
- SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) minden, v7.2-nél korábbi verziója;
- SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) minden, v7.2-nél korábbi verziója;
- SCALANCE S615 (6GK5615-0AA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE S615 EEC (6GK5615-0AA01-2AA2) minden, v7.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2018-25032)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2019-1125)/közepes;
- Out-of-bounds Write (CVE-2021-4034)/súlyos;
- Improper Locking (CVE-2021-4149)/közepes;
- Improper Input Validation (CVE-2021-26401)/közepes;
- NULL Pointer Dereference (CVE-2021-42373)/közepes;
- Out-of-bounds Read (CVE-2021-42374)/közepes;
- Improper Input Validation (CVE-2021-42375)/közepes;
- NULL Pointer Dereference (CVE-2021-42376)/közepes;
- Release of Invalid Pointer or Reference (CVE-2021-42377)/közeps;
- Use After Free (CVE-2021-42378)/közepes;
- Use After Free (CVE-2021-42379)/közepes;
- Use After Free (CVE-2021-42380)/közepes;
- Use After Free (CVE-2021-42381)/közepes;
- Use After Free (CVE-2021-42382)/közepes;
- Use After Free (CVE-2021-42383)/közepes;
- Use After Free (CVE-2021-42384)/közepes;
- Use After Free (CVE-2021-42385)/közepes;
- Use After Free (CVE-2021-42386)/közepes;
- Improper Input Validation (CVE-2022-0001)/közepes;
- Improper Input Validation (CVE-2022-0002)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-0494)/közepes;
- Improper Authentication (CVE-2022-0547)/kritikus;
- Use After Free (CVE-2022-1011)/súlyos;
- Use After Free (CVE-2022-1016)/közepes;
- Use After Free (CVE-2022-1198)/közepes;
- Use After Free (CVE-2022-1199)/súlyos;
- OS Command Injection (CVE-2022-1292)/kritikus;
- Out-of-bounds Write (CVE-2022-1304)/súlyos;
- Improper Certificate Validation (CVE-2022-1343)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-1353)/súlyos;
- Improper Resource Shutdown or Release (CVE-2022-1473)/súlyos;
- Use After Free (CVE-2022-1516)/közepes;
- Use After Free (CVE-2022-1652)/súlyos;
- Race Condition (CVE-2022-1729)/súlyos;
- Use After Free (CVE-2022-1734)/súlyos;
- Use After Free (CVE-2022-1974)/közepes;
- Uncaught Exception (CVE-2022-1975)/közepes;
- Out-of-bounds Write (CVE-2022-2380)/közepes;
- Improper Input Validation (CVE-2022-2588)/súlyos;
- Integer Underflow (Wrap or Wraparound) (CVE-2022-2639)/súlyos;
- Use After Free (CVE-2022-20158)/közepes;
- Race Condition (CVE-2022-23036)/súlyos;
- Race Condition (CVE-2022-23037)/súlyos;
- Race Condition (CVE-2022-23038)/súlyos;
- Race Condition (CVE-2022-23039)/súlyos;
- Race Condition (CVE-2022-23040)/súlyos;
- Race Condition (CVE-2022-23041)/súlyos;
- Race Condition (CVE-2022-23042)/súlyos;
- Use After Free (CVE-2022-23308)/súlyos;
- Classic Buffer Overflow (CVE-2022-26490)/súlyos;
- Improper Input Validation (CVE-2022-28356)/közepes;
- Double Free (CVE-2022-28390)/súlyos;
- Use After Free (CVE-2022-30065)/súlyos;
- Incorrect Authorization (CVE-2022-30594)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32205)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32206)/közepes;
- Incorrect Default Permission (CVE-2022-32207)/kritikus;
- Out-of-bounds Write (CVE-2022-32208)/közepes;
- Observable Discrepancy (CVE-2022-32296)/alacsony;
- Classic Buffer Overflow (CVE-2022-32981)/súlyos;
- Use After Free (CVE-2022-33981)/alacsony;
- Improper Validation of Syntactic Correctness of Input (CVE-2022-35252)/súlyos;
- Improper Input Validation (CVE-2022-36879)/közepes;
- Improper Input Validation (CVE-2022-36946)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Omron
Érintett rendszer(ek) az Omron CJ1M PLC-k alábbi komponensei:
- SYSMAC CJ-sorozatú eszközök
- CJ2H-CPU6 EIP minden verziója;
- CJ2H-CPU6 minden verziója;
- CJ2M-CPU minden verziója;
- CJ1G-CPU P minden verziója;
- SYSMAC CS-sorozatú eszközök
- CS1H-CPU H minden verziója;
- CS1G-CPU H minden verziója;
- CS1D-CPU HA minden verziója;
- CS1D-CPU H minden verziója;
- CS1D-CPU SA minden verziója;
- CS1D-CPU S minden verziója;
- CS1D-CPU P minden verziója;
- SYSMAC CP-sorozatú eszközök
- CP2E-E D minden verziója;
- CP2E-S D minden verziója;
- CP2E-N D minden verziója;
- CP1H-X40D minden verziója;
- CP1H-XA40D minden verziója;
- CP1H-Y20DT-D minden verziója;
- CP1L-EL20D minden verziója;
- CP1L-EM D minden verziója;
- CP1L-L D minden verziója;
- CP1L-M D minden verziója;
- CP1E-E D minden verziója;
- CP1E-NA D minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-0811)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézekdések bevezetését javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-01

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM CROSSBOW minden, V5.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authorization (CVE-2023-27309)/közepes;
- Missing Authorization (CVE-2023-27310)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE WAM763-1 (6GK5763-1AL00-7DA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WAM766-1 (EU) (6GK5766-1GE00-7DA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WAM766-1 (US) (6GK5766-1GE00-7DB0) minden, V2.0-nál korábbi verziója;
- SCALANCE WAM766-1 EEC (EU) (6GK5766-1GE00-7TA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WAM766-1 EEC (US) (6GK5766-1GE00-7TB0) minden, V2.0-nál korábbi verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3AA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3DA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WUM766-1 (EU) (6GK5766-1GE00-3DA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WUM766-1 (US) (6GK5766-1GE00-3DB0) minden, V2.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Generation of Error Message Containing Sensitive Information (CVE-2018-12886)/súlyos;
- Out-of-bounds Write (CVE-2018-25032)/súlyos;
- NULL Pointer Dereference (CVE-2021-42373)/közepes;
- Out-of-bounds Read (CVE-2021-42374)/közepes;
- Improper Input Validation (CVE-2021-42375)/közepes;
- NULL Pointer Dereference (CVE-2021-42376)/közepes;
- Release of Invalid Pointer or Reference (CVE-2021-42377)/közepes;
- Use After Free (CVE-2021-42378)/közepes;
- Use After Free (CVE-2021-42379)/közepes;
- Use After Free (CVE-2021-42380)/közepes;
- Use After Free (CVE-2021-42381)/közepes;
- Use After Free (CVE-2021-42382)/közepes;
- Use After Free (CVE-2021-42383)/közepes;
- Use After Free (CVE-2021-42384)/közepes;
- Use After Free (CVE-2021-42385)/közepes;
- Use After Free (CVE-2021-42386)/közepes;
- Improperly Controlled Modification of Object Prototype Attributes (Prototype Pollution) (CVE-2022-23395)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.03.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Modbus TCP Server AOI 2.00 és 2.03-as verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-0027)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-075-07

Bejelentés dátuma: 2023.03.16.
Gyártó: Honeywell
Érintett rendszer(ek):
- OneWireless WDM R322.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-46361)/kritikus;
- Use of Insufficiently Random Values (CVE-2022-43485)/közepes;
- Missing Authentication for Critical Function (CVE-2022-4240)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-075-06

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A NERC CIP-012-1-es fejezete a vezérlőközpontok/vezénylők közötti, valósidejű kommunikáció bizalmasságával és integritásával kapcsolatos szabályokat és ajánlásokat fogalmazza meg. A CIP-012-1 hatálya alá tartozó szervezeteknek megfelelően dokumentált terveket kell készíteniük a vezérlőközpontok/vezénylők közötti kommunikáció során esetlegesen illetéktelen kezekbe kerülő, valósidejű monitoring illetve kiértékelési adatok bizalmasságának vagy illetéktelen módosításának esélyét csökkentő intézkedéseikről.

A CIP-012-1 talán a legrövidebb (mindössze 5 oldalas) az összes CIP fejezet közül. A jelenleg (2023.03.07-én) hatályos változata itt érhető el: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-012-1.pdf

Bejelentés dátuma: 2023.03.07.
Gyártó: PHOENIX CONTACT
Érintett rendszer(ek):
- CLOUD CLIENT 2002T-4G EU 4.5.73.107-nél korábbi verziói;
- CLOUD CLIENT 2002T-WLAN 4.5.73.107-nél korábbi verziói;
- CLOUD CLIENT 2102T-4G EU WLAN 4.5.73.107-nél korábbi verziói;
- TC ROUTER 4002T-4G EU 1234352 4.5.72.107-nél korábbi verziói;
- TC ROUTER EU WLAN 4.5.72.107-nél korábbi verziói;
- TC ROUTER 4202T-4G EU WLAN 4.5.72.107-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-0862)/magas;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2022-053/

Bejelentés dátuma: 2023.03.08.
Gyártó: ABB
Érintett rendszer(ek):
- COM600 2.x, 3.x, 4.x és 5.x verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-29492)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.03.08.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GENESIS64TM 10.97.2-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer overflow (CVE-2022-3602)/közepes;
- Buffer overflow (CVE-2022-3786)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-024_en.pdf

Bejelentés dátuma: 2023.03.08.
Gyártó: Moxa
Érintett rendszer(ek):
- MXsecurity szoftverek 1.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (n/a)/n/a;
- Hard-coded Credentials (n/a)/n/a;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/mxsecurity-command-injection-and-hardcoded-credential-vulnerabilities

Bejelentés dátuma: 2023.03.09.
Gyártó: Step Tools
Érintett rendszer(ek):
- STEPTools v18SP1 ifcmesh könyvtár (v18.1);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Null Pointer Dereference (CVE-2023-0973)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-068-04

Bejelentés dátuma: 2023.03.09.
Gyártó: B&R Industrial Automation
Érintett rendszer(ek):
- System Diagnostics Manager 3.00 és korábbi verziói;
- System Diagnostics Manager C4.93 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-4286)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-068-02

Bejelentés dátuma: 2023.03.09.
Gyártó: Akuvox
Érintett rendszer(ek):
- E11 típusú kamerás kaputelefon minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Generation of Predictable IV with CBC (CVE-2023-0343)/közepes;
- User of Hard-coded Cryptographic Key (CVE-2023-0355)/közepes;
- Missing Authentication for Critical Function (CVE-2023-0354)/kritikus;
- Storing Passwords in a Recoverable Format (CVE-2023-0353)/magas;
- Weak Password Recovery Mechanism for Forgotten Password (CVE-2023-0352)/kritikus;
- Command Injection (CVE-2023-0351)/magas;
- Reliance on File Name or Extension of Externally-Supplied File (CVE-2023-0350)/közepes;
- Missing Authorization (CVE-2023-0349)/magas;
- Improper Access Control (CVE-2023-0348)/magas;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-0347)/magas;
- Improper Authentication (CVE-2023-0346)/magas;
- Use of hard-coded Credentials (CVE-2023-0345)/kritikus;
- Hidden Functionality (CVE-2023-0344)/kritikus;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-068-01

Bejelentés dátuma: 2023.03.10.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Relion 670/650 sorozatú eszközök 2.2.0 verziója;
- Relion 670/650/SAM600-io sorozatú eszközök 2.2.1 verziója;
- Relion 670 sorozatú eszközök 2.2.2 verziója;
- Relion 670 sorozatú eszközök 2.2.3 verziója;
- Relion 670/650 sorozatú eszközök 2.2.4 verziója;
- Relion 670/650 sorozatú eszközök 2.2.5 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-3864)/közepes;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-068-05

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az USA Nemzeti Szabványügyi és Technológiai Intézete (National Institute of Standards and Technology, NIST) nemrég az OT rendszereknél használható forensics és incidenskezelési eljárásokat bemutató publikációt adott ki.

A publikációban az IT rendszerek területén már régebb óta ismert és használt incidenskezelési eljárások OT környezetekre szabott változatainak részleteit mutatják be.

A dokumentumban a szerzők az IT és OT területek forensics és incidenskezelési eljárásainak különbségei mellett bemutatják az OT incidensek vizsgálata és elhárítása során az egyes szerepkört betöltő szakértők feladatait és felelősségeit valamint azokat az eszközöket, amikkel hatékonyabbá tehetőek ezek a tevékenységek.

A NIST IR 8428-as számú publikációja itt érhető el: https://www.nist.gov/publications/digital-forensics-and-incident-response-dfir-framework-operational-technology-ot

Bejelentés dátuma: 2023.02.15.
Gyártó: ABB
Érintett rendszer(ek): Az ABB Ability™ Symphony® Plus alábbi példányai:
- S+ Operations 3.3 SP2 (az SPR1 2023.0 része);
- S+ Operations 3.3 SP1 és korábbi, 3.x verziói;
- S+ Operations 2.2;
- S+ Operations 2.1 SP2 és korábbi, 2.x verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-0228)/magas;
Javítás: 2023. második félévében várható.
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.02.16.
Gyártó: Sub-IoT project
Érintett rendszer(ek):
- Sub-IoT DASH 7 Alliance protokoll implementáció minden, 0.5.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-0847)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-047-13

Bejelentés dátuma: 2023.02.23.
Gyártó: PTC
Érintett rendszer(ek):
- ThingWorx Edge C-SDK: v2.2.12.1052 és korábbi verziói;
- .NET-SDK: v5.8.4.971 és korábbi verziói;
- ThingWorx Edge MicroServer (EMS): v5.4.10.0 és korábbi verziói;
- Kepware KEPServerEX: v6.12 és korábbi verziói;
- ThingWorx Kepware Server (korábbi nevén ThingWorx Industrial Connectivity) v6.12 és korábbi verziói;
- ThingWorx Industrial Connectivity minden verziója;
- ThingWorx Kepware Edge v1.5 és korábbi verziói;
- Rockwell Automation KEPServer Enterprise v6.12 és korábbi verziói;
- GE Digital Industrial Gateway Server v7.612 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Validation of Array Index (CVE-2023-0755)/kritikus;
- Integer Overflow or Wraparound (CVE-2023-0754)/kritikus;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-054-01

Bejelentés dátuma: 2023.02.27
Gyártó: WAGO
Érintett rendszer(ek):
- Compact Controller CC100 16-ostól 22-esig terjedő firmware-verziói;
- Compact Controller CC100 23-as firmware-verziója
- Edge Controller 23-as firmware-verziója;
- Edge Controller 18-astól 22-esig terjedő firmware-verziói;
- PFC100 16-ostól 22-esig terjedő firmware-verziói;
- PFC100 23-as firmware-verziója;
- PFC200 16-ostól 22-esig terjedő firmware-verziói;
- PFC200 23-as firmware-verziója;
- Touch Panel 600 Advanced Line 16-ostól 22-esig terjedő firmware-verziói;
- Touch Panel 600 Advanced Line 23-as firmware-verziója;
- Touch Panel 600 Marine Line 16-ostól 22-esig terjedő firmware-verziói;
- Touch Panel 600 Marine Line 23-as firmware-verziója;
- Touch Panel 600 Standard Line 16-ostól 22-esig terjedő firmware-verziói;
- Touch Panel 600 Standard Line 23-as firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-45138)/kritikus;
- Missing Authentication for Critical Function (CVE-2022-45140)/kritikus;
- Cross-site Scripting (CVE-2022-45137)/közepes;
- Origin Validation Error (CVE-2022-45139)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2022-060/

Bejelentés dátuma: 2023.02.28.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- GWS 2.0.0.0;
- GWS 2.1.0.0;
- GWS 2.2.0.0;
- GWS 2.3.0.0;
- GWS 2.4.0.0;
- GWS 3.0.0.0;
- GWS 3.1.0.0;
- GWS 3.2.0.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2020-25692)/súlyos;
- Infinite Loop (CVE-2022-0778)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-059-01

Bejelentés dátuma: 2023.02.28.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- GWS 3.0.0.0;
- GWS 3.1.0.0;
- GWS 3.2.0.0;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-2277)/súlyos;
- Improper Input Validation (CVE-2022-29492)/közepes;
- Improper Input Validation (CVE-2022-29922)/súlyos;
- Classic Buffer Overflow (CVE-2022-1778)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-059-02

Bejelentés dátuma: 2023.03.02.
Gyártó: Rittal
Érintett rendszer(ek):
- CMC III-as control cabinet lock;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-40633)/közepes;
Javítás: Nincs, az érintett termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-061-03

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A mai posztban egy meglehetősen fontos, de méltatlanul keveset emlegetett témát igyekszem körüljárni, ez pedig az ICS rendszerekben végzett mentési eljárások és a mentések tesztelésének/visszatöltésének kérdése.

Úgy vélem a naprakész mentések fontosságát az elmúlt évek, nagy vihart és sajtóvisszhangot keltett zsarolóvírus-támadásai után nem kell és nem is lehet túlzottan hangsúlyozni, de arról már mindenképp érdemes lehet beszélni, hogy hogyan, milyen megoldással mentsük az ICS rendszereinket és azok melyik komponenseit érdemes menteni? Ezt a Purdue-modell alapján fogjuk áttekinteni.

Az L5/L4 szinteken működő komponensek (pl. különböző IT hálózatokban működő történeti adatbázisok) esetén nyugodtan használhatónak tartom az IT rendszerek mentésére használt megoldásokat, a lényeg itt is az, hogy az üzleti igényeknek és a kockázatviselési hajlandóságnak megfelelő (lehetőleg offline, esetleg geo-redundáns) mentésekkel rendelkezzen a szervezet.

Az ICS DMZ-ben (L3,5) üzemelő szerverek esetén már felmerülhet a kérdés, hogy az IT vagy az OT rendszerek mentését végző megoldás végezze-e ezt a tevékenységet, az én véleményem az, hogy a 62443-as szabványban megfogalmazott alapelveket követve soha ne egy kevésbé védett hálózatban futó szolgáltatástól függjön egy védettebb hálózatban működő szolgáltatásunk. Ezt figyelembe véve én úgy gondolom, hogy az ICS DMZ-ben működő szerverek mentését az L3-ra telepített mentőrendszer végezze.

Az L3-on működő rendszerek mentését az L3,5-nél már említett, az IT mentőrendszertől minden szempontból független mentési megoldás végezze, követve azt az ICS biztonsági alapelvet, hogy az IT és OT rendszerek lehetőleg soha ne osztozzanak egy szolgáltatáson (hiszen akkor az IT hálózatban sikeres támadás jó eséllyel kompromittálhat egy olyan szolgáltatást, amivel utána könnyebbé válik az ICS rendszer támadása is a Cyber Kill Chain 2. fázisa során).

Az L2-n működő rendszerek (jellemzően SCADA, DCS szerverek, egyes mérnöki munkaállomások, stb.) mentése szintén megoldható az előző bekezdésben írt, L3 szinten működő mentési megoldással és szintén az L2-re gondolnám elhelyezni azt a mentőszervert, amivel az L1-en működő mezőgépek (RTU-k, védelmek és egyéb PLC-k és hasonló berendezések) mentését lehet végezni.

(Itt most érdemes lehet röviden kitérni a mezőgépek konfigurációinak központi kezelésére is. Figyelembe véve, hogy ezek a berendezések mennyire fontosak a zavartalan folyamatirányítás szempontjából, én azt mondom, hogy ezeket a konfigurációkat nem csak érdemes, de gyakorlatilag kötelező lenne szigorú verziókontroll alatt, egy biztonsági szempontból kiemelten védett központi verziókezelő rendszerben tárolni és az így tárolt konfigurációkat menteni megfelelő gyakorisággal és megőrzési időkkel.)

Az IT üzemeltetésben jártas kollégák egy jelentős hányada szokta ezen a ponton ("Van mentésünk, mi baj lehet?") leporolni a kezeit és elégedetten kávézni vonulni, de válaszoljunk őszintén a kérdésre: ki nem látott még olyat, amikor beütött a krach és a komoly önbizalommal elővett mentésből nem sikerült visszaállítani a szervezet számára nélkülözhetetlen adatokat?

Szóval az elkészült mentéseket megfelelő gyakorisággal vissza is kéne tölteni (de hova?) és tesztelni is kellene, hogy amikor élesben szükség lesz rájuk (persze inkább ne legyen szükség rájuk, de ha mégis, akkor lehessünk biztosak abban, hogy bizony használhatóak is leszenek ezek a mentések), akkor egy sikeres rutintevékenység legyen a mentésből visszaállítás folyamata.

A problémás pont ebben az esetben az, hogy hol és hogyan történjen a visszaállítás és a tesztelés? A legtöbb ipari szervezetnek még a SCADA/DCS rendszereiből sincs olyan szintű tartaléka, amit egy ilyen adatvisszatöltésre (és utána tesztelésre) fel lehetne használni. Rendelkezésre állhat azonban 1-2 olyan szerver, amiket fel lehet használni különböző virtualizációs megoldások használatával egy mentés visszatöltésére és tesztelésére. Ez pedig már történhet egy olyan laborkörnyezetben, ahol nem kell attól tartani, hogy a visszatöltési és tesztelési tevékenységek zavart okoznának az éles folyamatvezérlési tevékenységben vagy (akár csak időszakosan) degradálná a tartalék rendszer rendelkezésre állási mutatóit. Végső esetben (ha még 1-2 ilyen szerver sem áll rendelkezére) pedig akár a SCADA/DCS tesztrendszer is felhasználható - hiszen végül is teszteket kell végezni...

Egy szinttel nagyobb problémát jelenthet a mezőgépekről készült mentések tesztelése, itt egy másik körülmény lehet a segítségünkre. A legtöbb ipari szervezet számára a mezőgépek olyannyira fontos berendezések, hogy nem megengedhető egy meghibásodás esetén napokra vagy hetekre kiesve hagyni a meghibásodott eszközt, így többnyire szokott lenni valamilyen, az üzembiztonságot biztosító tartalék. Az ilyen berendezésekből pedig (a megfelelő eljárási szabályok kidolgozása és szigorú betartása mellett) szerintem fel lehet egyet-egyet használni a visszatöltött konfigurációk laborban történő tesztelésére.

Annyi biztos, hogy a mentések és azok felhasználhatóságának biztosítása a folyamatvezérlő rendszerek esetében is kiemelt fontosságú tevékenység kell, hogy legyen. Bízzunk benne, hogy ezt a különböző kritikus infrastruktúrákat üzemeltető szakemberek is így gondolják és a mai poszt maximum unott hümmögést vált ki belőlük, mondván "Nem is értem, mi a pláne ebben a posztban, ezt pont így/ennél sokkal jobban csináljuk..."

Bejelentés dátuma: 2023.02.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Merten INSTABUS Tastermodul 1fach System M 625199 1.0 verziója;
- Merten INSTABUS Tastermodul 2fach System M 625299 1.0 verziója;
- Merten Tasterschnittstelle 4fach plus 670804 1.0 és 1.2-es verziói;
- Merten KNX ARGUS 180/2,20M UP SYSTEM 631725 1.0 verziója;
- Merten Jalousie-/Schaltaktor REG-K/8x/16x/10 m. HB 649908 1.0 verziója (a termék támogatása már megszűnt);
- Merten KNX Uni-Dimmaktor LL REG-K/2x230/300 W MEG6710-0002 1.0 és 1.1-es verziói (a termék támogatása már megszűnt);
- Merten KNX Schaltakt.2x6A UP m.2 Eing. MEG6003-0002 0.1-es verziója (a termék támogatása már megszűnt);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-25556)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.02.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- StruxureWare Data Center Expert V7.9.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Authorization (CVE-2023-25547)/súlyos;
- Incorrect Authorization (CVE-2023-25548)/súlyos;
- Missing Authorization (CVE-2023-25552)/súlyos;
- OS Command Injection (CVE-2023-25554)/súlyos;
- Code Injection (CVE-2023-25549)/súlyos;
- Code Injection (CVE-2023-25550)/súlyos;
- Cross-site Scripting (CVE-2023-25551)/közepes;
- Cross-site Scripting (CVE-2023-25553)/közepes;
- OS Command Injection (CVE-2023-25555)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.02.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure TM Geo SCADA Expert 2019 minden, 2022 októberinél korábbi verziója;
- EcoStruxure TM Geo SCADA Expert 2020 minden, 2022 októberinél korábbi verziója;
- EcoStruxure TM Geo SCADA Expert 2021 minden, 2022 októberinél korábbi verziója;
- ClearSCADA minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Output Neutralization for Logs (CVE-2023-0595)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.02.14.
Gyártó: Weintek
Érintett rendszer(ek):
- Weintek EasyBuilder Pro v6.07.01 és korábbi verziói;
- Weintek EasyBuilder Pro v6.07.02.479 és korábbi verziói;
- Weintek EasyBuilder Pro v6.08.01.349 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-0104)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-045-01

Bejelentés dátuma: 2023.02.16.
Gyártó: WAGO
Érintett rendszer(ek):
- 852-111/000-001-es, nem menedzselt WAGO switch-ek 01-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of configuration interface in unmanaged switches (CVE-2022-3843)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2022-055/

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7-et használó Mendix alkalmazások minden, V7.23.34-nél korábbi verziói;
- Mendix 8-et használó Mendix alkalmazások minden, V8.18.23-nál korábbi verziói;
- Mendix 9-et használó Mendix alkalmazások minden, V9.22.0-nál korábbi verziói;
- Mendix 9-et használó Mendix alkalmazások (V9.12) V9.12.10-nél korábbi verziói;
- Mendix 9-et használó Mendix alkalmazások (V9.18) V9.18.4-nél korábbi verziói;
- Mendix 9-et használó Mendix alkalmazások (V9.6) V9.6.15-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-23835)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-11

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- COMOS V10.2 minden verziója;
- COMOS V10.3.3.1 minden, V10.3.3.1.45-nél korábbi verziója;
- COMOS V10.3.3.2 minden, V10.3.3.2.33-nál korábbi verziója;
- COMOS V10.3.3.3 minden, V10.3.3.3.9-nél korábbi verziója;
- COMOS V10.3.3.4 minden, V10.3.3.4.6-nál korábbi verziója;
- COMOS V10.4.0.0 minden, V10.4.0.0.31-nél korábbi verziója;
- COMOS V10.4.1.0 minden, V10.4.1.0.32-nél korábbi verziója;
- COMOS V10.4.2.0 minden, V10.4.2.0.25-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-24482)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-10

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Field PG M5 minden verziója;
- SIMATIC Field PG M6 minden verziója;
- SIMATIC IPC BX-39A minden verziója;
- SIMATIC IPC427E minden verziója;
- SIMATIC IPC477E minden verziója;
- SIMATIC IPC477E Pro minden verziója;
- SIMATIC IPC627E minden verziója;
- SIMATIC IPC647E minden verziója;
- SIMATIC IPC677E minden verziója;
- SIMATIC IPC847E minden verziója;
- SIMATIC ITP1000 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- TOCTOU Race Condition (CVE-2022-21198)/súlyos;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-09

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 ADM (6GK6015-0AL20-0GL0) minden verziója;
- RUGGEDCOM APE1808 ADM CC (6GK6015-0AL20-0GL1) minden verziója;
- RUGGEDCOM APE1808 CKP (6GK6015-0AL20-0GK0) minden verziója;
- RUGGEDCOM APE1808 CKP CC (6GK6015-0AL20-0GK1) minden verziója;
- RUGGEDCOM APE1808 CLOUDCONNECT (6GK6015-0AL20-0GM0) minden verziója;
- RUGGEDCOM APE1808 CLOUDCONNECT CC (6GK6015-0AL20-0GM1) minden verziója;
- RUGGEDCOM APE1808 ELAN (6GK6015-0AL20-0GP0) minden verziója;
- RUGGEDCOM APE1808 ELAN CC (6GK6015-0AL20-0GP1) minden verziója;
- RUGGEDCOM APE1808 SAM-L (6GK6015-0AL20-0GN0) minden verziója;
- RUGGEDCOM APE1808 SAM-L CC (6GK6015-0AL20-0GN1) minden verziója;
- RUGGEDCOM APE1808CLA-P (6GK6015-0AL20-1AA0) minden verziója;
- RUGGEDCOM APE1808CLA-P CC (6GK6015-0AL20-1AA1) minden verziója;
- RUGGEDCOM APE1808CLA-S1 (6GK6015-0AL20-1AB0) minden verziója;
- RUGGEDCOM APE1808CLA-S1 CC (6GK6015-0AL20-1AB1) minden verziója;
- RUGGEDCOM APE1808CLA-S3 (6GK6015-0AL20-1AD0) minden verziója;
- RUGGEDCOM APE1808CLA-S3 CC (6GK6015-0AL20-1AD1) minden verziója;
- RUGGEDCOM APE1808CLA-S5 (6GK6015-0AL20-1AF0) minden verziója;
- RUGGEDCOM APE1808CLA-S5 CC (6GK6015-0AL20-1AF1) minden verziója;
- RUGGEDCOM APE1808LNX (6GK6015-0AL20-0GH0) minden verziója;
- RUGGEDCOM APE1808LNX CC (6GK6015-0AL20-0GH1) minden verziója;
- RUGGEDCOM APE1808W10 (6GK6015-0AL20-0GJ0) minden verziója;
- RUGGEDCOM APE1808W10 CC (6GK6015-0AL20-0GJ1) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- TOCTOU Race Condition (CVE-2022-30774)/közepes;
- TOCTOU Race Condition (CVE-2022-31243)/közepes;
- TOCTOU Race Condition (CVE-2022-33906)/közepes;
- TOCTOU Race Condition (CVE-2022-33907)/közepes;
- TOCTOU Race Condition (CVE-2022-33908)/súlyos;
- TOCTOU Race Condition (CVE-2022-33982)/közepes;
- TOCTOU Race Condition (CVE-2022-33984)/közepes;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-08

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- TIA Multiuser Server V14 minden verziója;
- TIA Multiuser Server V15 minden, V15.1 Update 8-nál korábbi verziója;
- TIA Project-Server V1.1-nél korábbi verziója;
- TIA Project-Server V16 minden verziója;
- TIA Project-Server V17: All versions
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Untrusted Search Path (CVE-2022-35868)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-07

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, V2023.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-39157)/súlyos;
- Out-of-bounds Write (CVE-2022-43397)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-06

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- SiPass integrated AC5100 (ACC) minden verziója;
- SiPass integrated AC5102 (ACC-G2) minden, V2.85.44-nél korábbi verziója;
- SiPass integrated AC5200 (ACC-Lite, ACC-4, ACC-8, ACC-16, ACC-32) minden verziója;
- SiPass integrated ACC-AP minden, V2.85.43-nál korábbi verziója;
- SiPass integrated Granta-MK3 (ACC-GRANTA) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-31808)/súlyos;
Javítás: Egyes érintett verziókhoz elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-05

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Brownfield Connectivity—Gateway minden, V1.10-nél korábbi verziója;
- Brownfield Connectivity—Gateway V1.10.1;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-41771)/súlyos;
- Improper Input Validation (CVE-2021-41772)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-44716)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-24921)/súlyos;
- Exposure of Resource to Wrong Sphere (CVE-2021-44717)/közepes;
- Allocation of Resources without Limits or Throttling (CVE-2022-24675)/súlyos;
- Improper Certificate Validation (CVE-2022-27536)/súlyos;
- Improper Input Validation (CVE-2022-28327)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-04

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Brownfield Connectivity Client minden, V2.15-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-1292)/kritikus;
- Improper Certificate Validation (CVE-2022-1343)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-1434)/közepes;
- Improper Resource Shutdown or Release (CVE-2022-1473)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-03

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE X200-4P IRT (6GK5200-4AH00-2BA3) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X201-3P IRT (6GK5201-3BH00-2BA3) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X201-3P IRT PRO (6GK5201-3JR00-2BA6) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X202-2IRT (6GK5202-2BB00-2BA3) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X202-2P IRT (6GK5202-2BH00-2BA3) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X202-2P IRT PRO (6GK5202-2JR00-2BA6) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X204IRT (6GK5204-0BA00-2BA3) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X204IRT PRO (6GK5204-0JA00-2BA6) minden, V5.5.0-nál korábbi verziója;
- SCALANCE XF201-3P IRT (6GK5201-3BH00-2BD2) minden, V5.5.0-nál korábbi verziója;
- SCALANCE XF202-2P IRT (6GK5202-2BH00-2BD2) minden, V5.5.0-nál korábbi verziója;
- SCALANCE XF204-2BA IRT (6GK5204-2AA00-2BD2) minden, V5.5.0-nál korábbi verziója;
- SCALANCE XF204IRT (6GK5204-0BA00-2BF2) minden, V5.5.0-nál korábbi verziója;
- SIPLUS NET SCALANCE X202-2P IRT (6AG1202-2BH00-2BA3) minden, V5.5.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2007-5846)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-02

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge SE2022 minden verziója;
- Solid Edge SE2022 minden, V2210 Update12-nél korábbi verziója;
- Solid Edge SE2023 minden, V2023 Update2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2021-32936)/súlyos;
- Out-of-bounds Read (CVE-2021-32938)/súlyos;
- Out-of-bounds Write (CVE-2021-32948)/súlyos;
- Out-of-bounds Write (CVE-2021-43336)/súlyos;
- Out-of-bounds Read (CVE-2021-43391)/súlyos;
- Out-of-bounds Write (CVE-2022-46345)/súlyos;
- Out-of-bounds Write (CVE-2022-46346)/súlyos;
- Out-of-bounds Write (CVE-2022-46347)/súlyos;
- Out-of-bounds Write (CVE-2022-46348)/súlyos;
- Out-of-bounds Read (CVE-2022-46349)/súlyos;
- Out-of-bounds Read (CVE-2023-22295)/alacsony;
- Out-of-bounds Read (CVE-2023-22321)/alacsony;
- Out-of-bounds Read (CVE-2023-22354)/alacsony;
- Heap-based Buffer Overflow (CVE-2023-22669)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-22670)/súlyos;
- Out-of-bounds Read (CVE-2023-22846)/alacsony;
- Out-of-bounds Write (CVE-2023-23579)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-24549)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-24550)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-24551)/súlyos;
- Out-of-bounds Read (CVE-2023-24552)/súlyos;
- Out-of-bounds Read (CVE-2023-24553)/súlyos;
- Out-of-bounds Read (CVE-2023-24554)/súlyos;
- Out-of-bounds Read (CVE-2023-24555)/súlyos;
- Out-of-bounds Read (CVE-2023-24556)/súlyos;
- Out-of-bounds Read (CVE-2023-24557)/súlyos;
- Out-of-bounds Read (CVE-2023-24558)/súlyos;
- Out-of-bounds Read (CVE-2023-24559)/súlyos;
- Out-of-bounds Read (CVE-2023-24560)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-24561)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-24562)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-24563)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-24564)/súlyos;
- Out-of-bounds Read (CVE-2023-24565)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-24566)/súlyos;
- Use After Free (CVE-2023-24581)/súlyos;
- Out-of-bounds Read (CVE-2023-25140)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-01

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- JT Open minden, V11.2.3.0-nál korábbi verziója;
- JT Utilities minden, V13.2.3.0-nál korábbi verziója;
- Parasolid V34.0 minden, V34.0.252-nél korábbi verziója;
- Parasolid V34.0 minden, V34.0.254-nél korábbi verziója;
- Parasolid V34.1 minden, V34.1.242-nél korábbi verziója;
- Parasolid V35.0 minden, V35.0.170-nál korábbi verziója;
- Parasolid V35.1 minden, V35.1.150-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-47936)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-47977)/súlyos;
- Out-of-bounds Read (CVE-2023-25140)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-047-12

Bejelentés dátuma: 2023.02.21.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSOFT iQ AppPortal (SW1DND-IQAPL-M) v1.00A-tól 1.29F-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- HTTP Request Smuggling (CVE-2022-26377)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2022-31813)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-052-01

Bejelentés dátuma: 2023.02.16.
Gyártó: Becton, Dickinson and Company (BD)
Érintett rendszer(ek):
- Alaris Infusion Central 1.1-től 1.3.2-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Credentials Management Errors (CVE-2022-47376)/súlyos;
Javítás: Az érintett ügyfelekkel a gyártó fogja keresni a kapcsolatot.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-23-047-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A BitDefender blogján találkoztam a hírrel, ami szerint nemrég ransomware-támadás érte az amerikai élelmiszer ipar egyik meghatározó cégét, a Dole-t. Az incidens következtében a Dole üzemei leálltak és az áruk kiszállításában is fennakadások voltak. A cég kommunikációjából jelenleg még nem lehet tudni, melyik zsarolóvírus áldozatai lettek a rendszereik.

Az élelmiszer-ipari cégek nem most először kerülnek a támadók figyelmének középpontjába, a JBS elleni támadás már szűk két éve rámutatott, hogy nincs olyan iparág, amely ne lenne kitéve az ICS rendszerei elleni támadásoknak. Talán nem ártana végre a súlyuknak megfelelően kezelni a kiberbiztonsági kockázatokat - mindegyik iparágban.

A Pipedream néven emlegetett moduláris ICS malware-t a Dragos az orosz-ukrán háború első heteiben fedezte fel és 2022. áprilisban publikálták róla az első elemzéseiket. Tavaly októberben, az Atlantában megrendezett ICS Cyber Security Conference-en Mark Plemmons tartott egy előadást az április óta végzett elemzéseik során megismert további részletekről, amiről felvétel is készült, ez elérhető itt: https://www.youtube.com/watch?v=BkCsrLu3ipI&ab_channel=BehaviorLIVE