A Technion, az Izraeli Műszaki Intézet kutatói, Prof. Eli Biham és Dr. Sara Bitan, hallgatóikkal, Maxim Barsky-val, Alon Dankner-rel és Idan Raz-zal hosszű évek (egészen pontosan 2017) óta vizsgálják a Siemens S7-1500-as típusú PLC-k biztonságát és az idei Black Hat konferencián tartott előadásuk alapján ismét komoly eredményekről tudtak beszámolni.

A Black Hat Cyber-Physical Systems szekciójának évek óta Marina Krotofil a vezetője, a kutatással kapcsolatosan ő készített egy riportot Eli Biham-mal és Sara Bitan-nal, amiben a kutatás eredményei közül több részletről is szó esik:

- A fizikai és szoftveres S7 PLC-k, amik ugyanazt a firmware-verziót használják, azok ugyanazt a privát kulcsot (és ebből következően ugyanazt a publikus kulcsot) használják titkosításhoz. Ilyen módon viszont egy támadó jóval könnyebben férhet hozzá az S7 PLC-k firmware-jéhez (amit a Siemens teljes mértékben zártan, a saját intellektuális tulajdonaként kezel);
- Ha a támadó hozzáférést szerzett a firmware-hez, már tudnak sérülékenységeket keresni. A kutatók megállapították (és elmondásuk szerint a Siemens megerősítette nekik), hogy a szoftveres és hardveres S7 PLC-k firmware-jének kódbázisa 99%-ban megegyezik. Így viszont egy támadó a saját laborjában gyakorlatilag bármilyen sérülékenységet mindenfajta kockázat nélkül vizsgálhat és tesztelheti azok exploitálási lehetőségeit anélkül, hogy tartania kéne bármlyen - számára veszélyes - safety incidenstől vagy a lebukástól.
- Az S7 PLC-k nem használnak secure boot-ot, ami egy támadónak ideális lehetőségeket biztosít az illegális hozzáférésének fenntartására.

A Marina által készített ripotot a medium.com-on, a Black Hat előadás slide-jai pedig itt érhetőek el.

Bejelentés dátuma: 2022.08.16.
Gyártó: Yokogawa
Érintett rendszer(ek):
- CENTUM VP/CS 3000 controller FCS:
- CP31, CP33, CP345 változatai;
- CP401, CP451 változatai;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial of Service (CVE-2022-33939)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-01

Bejelentés dátuma: 2022.08.16.
Gyártó: LS Electric
Érintett rendszer(ek):
- LS Electric PLC minden verziója;
- XG5000 PLC fejlesztő szoftver minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-2758)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-02

Bejelentés dátuma: 2022.08.16.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DRAS minden, 1.13.20-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-2759)/közepes;
Javítás: Elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-03

Bejelentés dátuma: 2022.08.16.
Gyártó: Softing
Érintett rendszer(ek):
- Secure Integration Server 1.22-es verziója;
- edgeConnector 3.1-es verziója;
- edgeAggregator 3.1-es verziója;
- OPC UA C++ Server SDK 6-os verziója;
- OPC Suite 5.2-es verziója;
- uaGate 1.74-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-1069)/súlyos;
- Uncontrolled Search Path Element (CVE-2022-2334)/súlyos;
- Improper Authentication (CVE-2022-2336)/kritikus;
- Relative Path Traversal (CVE-2022-1373)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2022-2338)/közepes;
- NULL Pointer Dereference (CVE-2022-1748)/súlyos;
- NULL Pointer Dereference (CVE-2022-2337)/súlyos;
- NULL Pointer Dereference (CVE-2022-2547)/súlyos;
- Integer Underflow (CVE-2022-2335 )/súlyos;
Javítás: Egyes érintett verziókhoz elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-04

Bejelentés dátuma: 2022.08.16.
Gyártó: B&R Industrial Automation
Érintett rendszer(ek):
- Automation Studio 4 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-22289)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-05

Bejelentés dátuma: 2022.08.16.
Gyártó: Emerson
Érintett rendszer(ek):
- Proficy Machine Edition 9.80-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Support for Integrity Check (CVE-2022-2793)/közepes;
- Improper Access Control (CVE-2022-2792)/közepes;
- Unrestricted Upload of File with Dangerous Type (CVE-2022-2791)/közepes;
- Improper Verification of Cryptographic Signature (CVE-2022-2790)/közepes;
- Insufficient Verification of Data Authenticity (CVE-2022-2789)/közepes;
- Path Traversal (CVE-2022-2788)/alacsony;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-06

Bejelentés dátuma: 2022.08.16.
Gyártó: Sequi
Érintett rendszer(ek):
- Sequi PortBloque S minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2022-2662)/kritikus;
- Improper Authorization (CVE-2022-2661)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-07

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A CIP-006 célja, hogy iránymutatást adjon a nagyfeszültségű villamosenergia-rendszer elemeihez történő fizikai hozzáférés szabályait illetően. Fizikai biztonsági eljárási és üzemeltetési kontrollokat kell alkalmazni az alábbi kategóriákba sorolt rendszerek esetén:

- magas és közepes szintre besorolt rendszerelemekhez kapcsolódó fizikai biztonsági rendszerek (Physical Access Control Systems - PACS) a közepes szinthez tartozó nagyfeszültségű villamosenergia-rendszerek route-olható külső kapcsolatokkal rendelkező elemei;
- a közepes szintre besorolt rendszerelemekhez kapcsolódó fizikai biztonsági rendszerek (PACS) és elektronikus hozzáféréseket kontrolláló rendszerek (EACMS) esetén legalább egy fizikai biztonsági kontrollt kell alkalmazni a felügyelet nélküli fizikai belépési engedéllyel rendelkező személyek esetén;

A CIP-006 számos előírást tartalmaz a fenti kategóriákba sorolt rendszerek esetén, a teljesség igénye nélkül néhny ilyen követelmény:

- két vagy több különböző fizikai biztonsági kontrollt kell alkalmazni a felügyelet nélküli fizikai belépési engedéllyel rendelkező személyek esetén;
- felügyeleti megoldást kell alkalmazni a fizikai hozzáférési pontokon;
- a fizikai biztonsági rendszereknek képesnek kell lenniük riasztásokat generálni, amennyiben jogosulatlan hozzáférést észlelnek, az észlelés után 15 percen belül;

- a magas szintre besorolt rendszerelemekhez kapcsolódó fizikai biztonsági rendszerek (PACS) és elektronikus hozzáféréseket kontrolláló rendszerek (EACMS) esetén, amikor műszakilag megvalósítható, két vagy több különböző fizikai biztonsági kontrollt kell alkalmazni a felügyelet nélküli fizikai belépési engedéllyel rendelkező személyek esetén;
- a magas szintre besorolt rendszerelemekhez kapcsolódó fizikai biztonsági rendszerek (PACS) és elektronikus hozzáféréseket kontrolláló rendszerek (EACMS) esetén, valamint a közepes szintre besorolt rendszerelemekhez kapcsolódó fizikai biztonsági rendszerek (Physical Access Control Systems - PACS) a közepes szinthez tartozó nagyfeszültségű villamosenergia-rendszerek route-olható külső kapcsolatokkal rendelkező elemeinél felügyeleti megoldást kell alkalmazni a fizikai hozzáférési pontokon;
- a magas szintre besorolt rendszerelemekhez kapcsolódó fizikai biztonsági rendszerek (PACS) és elektronikus hozzáféréseket kontrolláló rendszerek (EACMS) esetén, valamint a közepes szintre besorolt rendszerelemekhez kapcsolódó fizikai biztonsági rendszerek (Physical Access Control Systems - PACS) a közepes szinthez tartozó nagyfeszültségű villamosenergia-rendszerek route-olható külső kapcsolatokkal rendelkező elemeinél képesnek kell riasztásokat generálni, amennyiben jogosulatlan hozzáférést észlelnek, az észlelés után 15 percen belül;
- legalább 90 napig meg kell őrizni a fizikai biztonsági rendszerekhez (PACS) logjait a kíséret nélküli hozzáférési joggal rendelkező személyek belépéseiről.

A NERC CIP-006 jelenleg hatályos verziója (a CIP-006-6) itt érhető el: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-006-6.pdf

Bejelentés dátuma: 2022.08.01.
Gyártó: Belden-Hirschmann
Érintett rendszer(ek):
- Eagle EagleSDV 05.4.01-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial of Service (n/a)/n/a;
Javítás: Elérhető;
Link a publikációhoz: Belden-Hirschmann

Bejelentés dátuma: 2022.08.01.
Gyártó: Belden-Hirschmann
Érintett rendszer(ek):
- HiLCOS OpenBAT, WLC, BAT450 minden, 9.1x és korábbi verziója, valamint a 10.12-REL, 10.12-RU1, 10.12-RU2, 10.12-RU3, 10.12-RU4 és 10.12-RU5 verziói;
- BAT-C2 08.08.01.00R08 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- CVE-2020-24586/alacsony;
- CVE-2020-24587/alacsony;
- CVE-2020-24588/alacsony;
- CVE-2020-26142/közepes;
- CVE-2020-26144/közepes;
- CVE-2020-26145/közepes;
- CVE-2020-26146/közepes;
- CVE-2020-26147/közepes;
Javítás: Elérhető;
Link a publikációhoz: Belden-Hirschmann

Bejelentés dátuma: 2022.08.04.
Gyártó: Digi International
Érintett rendszer(ek):
- Digi ConnectPort X2D Gateway minden, 2020. január előtt készült firmware-verziókkal működő példányai;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Execution with Unnecessary Privileges (CVE-2022-2634)/kritikus;
Javítás: Részletes információkért a gyártót kell megkeresni.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-216-01

Bejelentés dátuma: 2022.08.09.
Gyártó: Emerson
Érintett rendszer(ek):
- ControlWave programozható vezérlők minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-30262)/kritikus;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-221-02

Bejelentés dátuma: 2022.08.09.
Gyártó: Emerson
Érintett rendszer(ek):
- OpenBSI 5.9 SP3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Broken or Risky Cryptographic Algorithm (CVE-2022-29959)/kritikus;
- Use of Hard-coded Cryptographic Key (CVE-2022-29960)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-221-03

Bejelentés dátuma: 2022.08.09.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GT SoftGOT2000 1.275M verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Infinite Loop (CVE-2022-0778)/súlyos;
- OS Command Injection (CVE-2022-1292)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-221-01

Bejelentés dátuma: 2022.08.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Control Expert (beleértve az összes, Unity Pro - korábbi nevén EcoStruxure™ Control Expert - verziót is) V15.0 SP1 és korábbi verziói;
- EcoStruxure™ Process Expert (beleértve az összes, EcoStruxure™ Hybrid DCS - korábbi nevén EcoStruxure™ Process Expert - verziót is) V2021-es és korábbi verziói;
- Modicon M340 CPU V3.40-es és korábbi verziói;
- Modicon M580 CPU V3.22-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Weak Password Recovery Mechanism for Forgotten Password (CVE-2022-37300)/kritikus;
Javítás: Elérthető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.08.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 CPU V3.40 és korábbi verziói;
- Modicon M580 CPU V3.22 és korábbi verziói;
- Legacy Modicon Quantum/Premium minden verziója;
- Modicon Momentum MDI (171CBU*) minden verziója;
- Modicon MC80 (BMKC80) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Integer Underflow (Wrap or Wraparound) (CVE-2022-37301)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.08.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Control Expert V15.1 HF001 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-37302)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.08.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 CPU V3.30 és korábbi verziói;
- Modicon M580 CPU V3.22 és korábbi verziói;
- Modicon MC80 (BMKC80) V1.6 és korábbi verziói;
- Modicon Momentum MDI (171CBU*) V2.3 és korábbi verziói;
- Legacy Modicon Quantum minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Information Exposure (CVE-2021-22786)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.08.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM TOOLBOX II minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2021-45106)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.08.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE M-800 / S615 minden verziója;
- SCALANCE SC-600 termékcsalád minden verziója; prior to V2.3.1
- SCALANCE W-700 IEEE 802.11ax termékcsalád minden verziója;
- SCALANCE W-700 IEEE 802.11n termékcsalád minden verziója;
- SCALANCE W-1700 IEEE 802.11ac termékcsalád minden verziója;
- SCALANCE XB-200 Switch termékcsalád minden verziója;
- SCALANCE XC-200 Switch termékcsalád minden verziója;
- SCALANCE XF-200BA Switch termékcsalád minden verziója;
- SCALANCE XM-400 termékcsalád minden verziója;
- SCALANCE XP-200 Switch termékcsalád minden verziója;
- SCALANCE XR-300WG Switch termékcsalád minden verziója;
- SCALANCE XR-500 termékcsalád minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Injection (CVE-2022-36323)/kritikus;
- Allocation of Resources Without Limits or Throttling (CVE-2022-36324)/súlyos;
- Basic Cross Site Scripting (CVE-2022-36325)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.08.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM A8000 Web Server Module CP-8000 MASTER MODULE WITH I/O -25/+70°C (6MF2101-0AB10-0AA0) minden verziója;
- SICAM A8000 Web Server Module CP-8000 MASTER MODULE WITH I/O -40/+70°C (6MF2101-1AB10-0AA0) minden verziója;
- SICAM A8000 Web Server Module CP-8021 MASTER MODULE (6MF2802-1AA00) minden verziója;
- SICAM A8000 Web Server Module CP-8022 MASTER MODULE WITH GPRS (6MF2802-2AA00) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2021-46304)/közepes;
Javítás: Jelenleg nem elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.08.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Teamcenter v12.4 minden, v12.4.0.15-nél korábbi verziója;
- Teamcenter v13.0 minden, v13.0.0.10-nél korábbi verziója;
- Teamcenter v13.1 minden, v13.1.0.10-nél korábbi verziója;
- Teamcenter v13.2 minden, v13.2.0.9-nél korábbi verziója;
- Teamcenter v13.3 minden, v13.3.0.5-nél korábbi verziója;
- Teamcenter v14.0 minden, v14.0.0.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-34660)/súlyos;
- Infinite Loop (CVE-2022-34661)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.08.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter STAR-CCM+ minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-34659)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.08.11.
Gyártó: Emerson
Érintett rendszer(ek):
- ROC800 minden verziója;
- ROC800L minden verziója;
- DL8000 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-30264)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-223-04

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Lassan már úgy tűnhet, hogy a Dragos az ICS kiberbiztonság minden szegletével foglalkozik. Egyelőre nem látszik, hogy ez a minőség rovására menne, szóval nekem ezzel jelenleg nincs problémám, szóval lássuk, mibe ártották magukat ezúttal. A Control Loop ICS kbierbiztonsági podcast-csatornát a Dragos támogatásával június elején indították útjára és a tervek szerint kéthetente fognak új tartalommal jelentkezni. 10 héttel a csatorna indulása után ez jelenleg 5 adást jelent, többek között az alábbi témákban:

1. rész (2022.06.01):
- Oroszország hibrid háborúja Ukrajna ellen;
- Orosz támadói csoportok célozzák az (amerikai) kritikus infrastruktúrákat;
- Hacktivisták saját állításuk szerint hozzáférést szereztek orosz megfigyelőrendszerekhez;
- A Turla néven ismert támadói csoport osztrák és észt hálózatok felderítésével foglalkozik;

2. rész (2022.06.15):
- A brit főügyész álláspontja a támadók elleni hackertámadásokról, mint a kritikus infrastruktúrák védelmi megoldásáról;
- Ethiópiában kibertámadásokat hiúsítottak meg a nílusi gát rendszerei ellen;
- Kiberbiztonsági fejlesztések az USA délnyugati részén működő gátrendszerek esetén;
- Viziközmű rendszerek kiberbiztonsága;
- A MITRE beszállítói lánc biztonságával kapcsolatos biztonsági keretrendszert publikált;
- A CISA 5G hálózatok telepítésével kapcsolatos útmutatót adott ki;

3. rész (2022.06.29):
- OT eszközöket és rendszereket érintenek az ICEFALL sérülékenységek;
- A Sandworm támadói csoport kritikus infrastruktúrák után kémkedik;
- Ransomware-támadás ért egy autóalkatrész-gyártó vállalatot;
- Kiberbiztonsági gyakorlatok egy nukleáris létesítményben;
- A Connecticut-i Nemzeti Gárda közművek védelmét gyakorolta;

Az USA képviselőháza még júniusban elfogadott egy törvényjavaslatot, aminek célja, hogy ingyenes kiberbiztonsági képzést teremtsen meg az ICS rendszerekkel foglalkozó szakértők számára (ahhoz, hogy ebből törvény legyen, még a szenátusnak is el kell fogadni - ezután az elnöki aláírás, ismerve a Biden-adminisztráció hozzáállását a kritikus infrastruktúrák kiberbiztonságának kérdéséhez, nem igazán hiszem, hogy problémás lenne).

A képzések egyaránt elérhetőek lesznek virtuális és tantermi formában, több tudásszinten, ezzel is segítve a résztvevők képességeinek és tudásának fejlesztését. A tervezet szerint a képzés eredményeiről évente kell majd beszámolni a kongresszusnak és ennek a jelentésnek tartalmaznia kell majd a képzések folyamatos bővítésének és fejlesztésének terveit is.

Nagyon kíváncsi leszek, Magyarországon lesz-e valaha is akár csak egy célzottan ipari szereplőknek szánt, ICS biztonság-specifikus konferencia és hasonló, ipari folyamatirányító rendszereket üzemeltető cégeknek és munkatársaiknak szervezett és tartott képzés?

Bejelentés dátuma: 2022.07.26.
Gyártó: Inductive Automation
Érintett rendszer(ek):
- Inductive Automation Ignition minden, 8.1.9-nél korábbi verziója;
- Inductive Automation Ignition v7.9.21-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-1704)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-207-01

Bejelentés dátuma: 2022.07.26.
Gyártó: Honeywell
Érintett rendszer(ek):
- Safety Manager minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-30315)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-30313)/súlyos;
- Use of Hard-Coded Credentials (CVE-2022-30314)/közepes;
- Insufficient Verification of Data Authenticity (CVE-2022-30316)/közepes;
Javítás: Részben elérhető;
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-207-02

Bejelentés dátuma: 2022.07.26.
Gyártó: Honeywell
Érintett rendszer(ek):
- Saia Burgess PG5 PCD típusú PLC-k minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass (CVE-2022-30319)/súlyos;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-30320)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-207-03

Bejelentés dátuma: 2022.07.26.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort 5110 2.10-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-2044)/súlyos;
- Out-of-bounds Write (CVE-2022-2043)/súlyos;
Javítás: Elérhető a Moxa Technical Support-nál;
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-207-04

Bejelentés dátuma: 2022.07.28.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Linx Enterprise software 6.20-as, 6.21-es és 6.30-as verziói;
- Enhanced HIM (eHIM) for PowerFlex 6000T 1.001-es verziója;
- Connected Components Workbench software 11-es, 12-es, 13-as és 20-as verziói;
- FactoryTalk View Site Edition 13-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion (CVE-2022-1096)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-209-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az Erythrite nevű csoport tevékenységének kezdetét a Dragos elemzői 2020-ra teszik. Célpontjaik közé főként az USA-ban és Kanadában működő, Fortune 500-as listán szereplő cégek (IT szolgáltatók, villamosenergia-cégek, élelmiszer- és autógyártó vállalatok, olaj- és gázcégek) találhatóak.

A csoport eszközei közül kiemelkedik a keresőmotorok találatainak módosítása (Search Engine Optimization poisoning) és a kártékony keresési találatokon keresztül authentikációs adatokat lopó malware-ek telepítése. Ezeket a malware-eket igen gyors fejlesztési ciklusokkal készítik, ezzel is nehezítve, hogy a végpontvédelmi és hálózatbiztonsági megoldások (melyek nagy része mintaillesztéssel működik) hatékony védelmet biztosítsanak ellenük.

A csoporttal kapcsolatos további részleteket a Dragos weboldalán lehet megtalálni: https://www.dragos.com/threat/erythrite/

Bejelentés dátuma: 2022.07.19.
Gyártó: MiCODUS
Érintett rendszer(ek):
- MV720 GPS tracker;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-2107)/kritikus;
- Improper Authentication (CVE-2022-2141)/kritikus;
- Cross-site Scripting (CVE-2022-2199)/súlyos;
- Authorization Bypass Through User-controlled Key (CVE-2022-34150)/súlyos;
- Authorization Bypass Through User-controlled Key (CVE-2022-33944)/közepes;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-200-01

Bejelentés dátuma: 2022.07.21.
Gyártó: ABB
Érintett rendszer(ek):
- ABB Drive Composer Entry 2.0-tól 2.7-ig terjedő verziói;
- ABB Drive Composer Pro 2.0-tól 2.7-ig terjedő verziói;
- ABB Automation Builder 1.1.0-tól 2.5.0-ig terjedő verziói;
- Mint Workbench 5866-os és korábbi build-jei;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2022-31216)/súlyos;
- Improper Privilege Management (CVE-2022-31217)/súlyos;
- Improper Privilege Management (CVE-2022-31218)/súlyos;
- Improper Privilege Management (CVE-2022-31219)/súlyos;
- Improper Privilege Management (CVE-2022-26057)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-202-01

Bejelentés dátuma: 2022.07.21.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Johnson Controls Metasys ADS, ADX, OAS MUI-val 10-es verziója;
- Johnson Controls Metasys ADS, ADX, OAS MUI-val 11-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2021-36200)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-202-02

Bejelentés dátuma: 2022.07.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ISaGRAF Workbench 6.0-tól 6.6.9-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-2463)/közepes;
- Path Traversal (CVE-2022-2464)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-2465)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-202-03

Bejelentés dátuma: 2022.07.21.
Gyártó: ICONICS, Mitsubishi Electric
Érintett rendszer(ek):
- ICONICS GENESIS64 10.97.1-es és korábbi verziói;
- ICONICS Hyper Historian 10.97.1-es és korábbi verziói;
- ICONICS AnalytiX 10.97.1-es és korábbi verziói;
- ICONICS IoTWorX 10.97-es és10.97.1-es verziói;
- ICONICS MobileHMI 10.97-es és10.97.1-es verziói;
- ICONICS GraphWorX64 10.97.1-es és korábbi verziói;
- ICONICS GenBrokerX64 10.97.1-es és korábbi verziói;
- Mitsubishi Electric MC Works644.04E és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-29834)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-33315 és CVE-2022-33316)/súlyos;
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2022-33317)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-33318)/kritikus;
- Out-of-Bounds Read (CVE-2022-33319)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-33320)/súlyos;
Javítás: Elérhető (bejelentkezés után)
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-202-04

Bejelentés dátuma: 2022.07.21.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- SIO-MB04RTDS v8.3.4.0-nál korábbi firmware-veziói;
- SIO- MB04ADS v8.4.3.0-nál korábbi firmware-veziói;
- SIO-MB04THMS v8.5.4.0-nál korábbi firmware-veziói;
- SIO-MB08ADS-1 v8.6.3.0-nál korábbi firmware-veziói;
- SIO-MB08ADS-2 v8.7.3.0-nál korábbi firmware-veziói;
- SIO-MB08THMS v8.8.4.0-nál korábbi firmware-veziói;
- SIO-MB04DAS v8.11.3.0-nál korábbi firmware-veziói;
- SIO-MB12CDR v8.0.4.0-nál korábbi firmware-veziói;
- SIO-MB16CDD2 v8.1.4.0-nál korábbi firmware-veziói;
- SIO-MB16ND3 v8.2.4.00-nál korábbi firmware-veziói;
- SIO-MB12CDR batch number (B/N) 5714442222;
- SIO-MB04ADS, B/N 5714442222;
- SIO-MB04THMS, B/N 57141862221;
- SIO-MB04DAS, B/N 4714432222;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-2485)/kritikus;
Javítás: Elérhető (korlátozásokkal)
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-202-05

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Úgy látszik, ez most egy ilyen hónap, már a harmadik heti poszt szól valamiről, ami 2017-ben történt és még 5 évvel később is jelentős hatása van az ICS kiberbiztonság világára (az első ilyen poszt ugye július 9-én Mike Assante halálának évfordulója kapcsán született, a másik pedig múlt héten szombaton az Industroyer/CrashOverride ICS malware 2017 eleji publikálását idézte fel), most pedig 2017 két, ICS rendszereket is súlyosan érintő malware-támadásra is lehetőséget adó sérülékenység 5 évvel későbbi fejleményeiről lesz szó. Ez a sérülékenység pedig az EternalBlue, amiről 2017-ben én is több alkalommal írtam.

5 évvel később (egészen pontosan július 5-én, Mike Assante halálának évfordulóján) Jan Kopriva írt egy rövid blogbejegyzést a SANS oldalán, amiben az ipari környezetekben még 2022 nyarán is megtalálható EternalBlue sérülékenységgel kapcsolatos kutatási eredményeit foglalta össze. Jan vizsgálatai alapján még ma is több ezer, EternalBlue sérülékenységben érintett ipari folyamatirányító rendszert lehet pl. Shodan-nal megtalálni az Interneten, ami döbbenetesen magas szám, még akkor is, ha az így felfedezett, sérülékeny rendszerek valamekkora része majdnem biztosan honeypot. Az érintett rendszerek több, mint a fele Oroszországban (742), Tajvanon (735), az USA-ban (475), Japánban (391) és Indiában (327) található. Tartok tőle, hogy az, amit a TSMC gyárleállások kapcsán írtam az okokról szinte napra pontosan négy éve, még ma is igaz...