A NERC CIP-004 az a tagja a CIP sorozatnak, ami az oly gyakran emlegetett, IT (és OT) biztonság egyik legnagyobb biztonsági problémájával, az emberek jelentette kockázatok csökkentési módjaival foglalkozik. A CIP-004-6 megfogalmazása szerint a célja a nagyfeszültségű villamosenergia-rendszerrel kapcsolatos olyan kockázatok csökkentése, amik az érintett rendszer működtetésében érintett személyzet képzésével és biztonság-tudatosságával kapcsolatosak, valamint általában véve a humán kockázatok értékelésével is foglalkozik.

A NERC CIP-004-et a sorozat korábbi részeiben már említett, a villamosenergia-rendszerre magas és közepes hatást gyakorló IT rendszerek kategóriáin kívül három további rendszer-csoportra is alkalmazható illetve alkalmazni kell, ezek a következők:

- Külső, route-olható hálózati kapcsolattal rendelkező közepes hatással bíró IT rendszerek;
- Elektronikus hozzáférés és monitoring funkciókat biztosító rendszerek (Electronic Access Control or Monitoring Systems - EACMS);
- Fizikai hozzáférés-vezérlést biztosító rendszerek (Physical Access Control Systems - PACS).

A fenti rendszerekkel kapcsolatba kerülő (fizikai vagy logikai hozzáféréssel rendelkező) személyzetre vonatkozó követelmények első része a biztonság-tudatossági programokra vonatkozik. Eszerint legalább minden naptári negyedévben egyszer(!) kell biztonság-tudatossági képzéssel erősíteni a kiberbiztonsági eljárások hatékonyságát. Ez már önmagában is egy, az általam magyar szervezetéknél bő másfél évtized alatt látott gyakorlatnál sokkal szigorúbb elvárás és itt még nincs is vége...

A követelmények második fejezete szerint minden olyan IT rendszerhez (és a kapcsolódó EACMS és/vagy PACS rendszerekhez) történő hozzáférés előtt az érintett felhasználóknak minimálisan az alábbi témakörökben kell képzést kapniuk:

- Kiberbiztonsági szabályzatok;
- Fizikai hozzáférési szabályok;
- Logikai hozzáférési szabályok;
- Látogatók felügyeletére vonatkozó szabályok;
- A nagyfeszültségű villamosenergia-rendszerrel kapcsolatos információk kezelési és tárolási szabályai;
- Kiberbiztonsági incidensek azonosítási és jelentési szabályai;
- Helyreállítási (DRP) tervek a nagyfeszültségű villamosenergia-rendszer IT rendszereire vonatkozóan;
- Kiberbiztonsági incidenskezelési szabályok;
- A nagyfeszültségű villamosenergia-rendszerrel kapcsolatosan ideiglenesen használt informatikai eszközök és adathordozók kockázatai;

A harmadik fejezet a személyzetre vonatkozó kockázatértékelésről szól. Vizsgálni kell az adott munkatárs személyazonosságát és 7 évre visszamenőleg a büntetett előéletét (gyakorlatilag egyfajta hatósági erkölcsi bizonyítvánnyal egyenértékű ellenőrzés lehet), valamint a jelenlegi és az elmúlt 7 év állandó és ideiglenes lakóhelyeit. Ezeket az ellenőrzéseket nem csak az állományba vett munkatársak esetén, hanem a szerződéses alvállalkozók és egyéb szolgáltatók munkatársaival kapcsolatban is el kell végezni.

A negyedik fejezet a hozzáférések kezelésével kapcsolatos szabályokat foglalja össze, beleértve az elektronikus hozzáféréseket, a felügyelet nélküli fizikai hozzáféréseket a védett területeken található eszközökhöz és rendszerekhez, valamint a nagyfeszültségű villamosenergia-rendszerben használt adatok fizikai és logikai adattárolóihoz történő hozzáférések szabályait.

Az ötödik fejezet pedig a hozzáférési jogosultságok visszavonási szabályait tartalmazza.

A CIP-004 jelenleg (2022.04.15-én) hatályos változata itt érhető el: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-004-6.pdf

Az orosz-ukrán háború kitörése után a DHS CISA Shields up-néven publikálta az amerikai szervezetek számára készített, kiberbiztonság fokozására vonatkozó ajánlásait. Ezek jelentős része nem különbözik az évek során külön-külön már kiadott javaslatoktól (multi-faktor authentikáció alkalmazása, hibajavítások rendszeres telepítése, nem használt portok zárása, stb.). Az ICS rendszereket üzemeltető szervezetek számára egyetlen, szintén már ismert intézkedést tartalmaz a publikáció, ez pedig a kritikus funkciókhoz használt OT rendszerek manuális vezérléssel történő kiváltásának tesztelésére vonatkozik.

Dale Peterson (az S4X ICS biztonsági konferencia szervezője) blogbejegyzésében összegyűjtötte, milyen intézkedéseket tartalmazhatna egy ICS-fókuszú Shields up!-lista:

- Kritikus (ICS/OT) rendszerek izolációja, különböző szintű hálózati kapcsolatok megszüntetésével;
- PLC-k és egyéb vezérlők Run-módba kapcsolása (Run módban a PLC-k kódját és konfigurációját nem lehet módosítani);
- Az automatizálás kikapcsolása (manuális vezérlésre történő átállás);
- A legfrissebb mentések ICS/OT rendszereken kívül (offline) történő tárolása (ez bármilyen jellegű incidens esetén nagyon hasznos lehet, de egy súlyosabb ransomware-támadás esetén kb. az egyetlen esély lehet arra, hogy a váltságdíj kifizetése nélkül legyen lehetőségünk helyreállítani a rendszereinket és adatainkat);
- Készletek felhalmozása incidens esetére, hogy a kritikus üzleti folyamatok az ICS/OT rendszerek kiesése esetén is működhessenek a helyreállítás ideje alatt.

A DHS CISA Shields up! fontosságát jól mutatja a múlt vasárnap, a CBS-en leadott 60 minutes (Bill Whitaker műsora) egy kb. 13,5 perces blokkja, ahol Jen Easterly, a DHS CISA igazgatója (az amerikai hadsereg West Point-on végzett nyugalmazott alezredese), Robert M. Lee (az amerikai légierő nyugalmazott katonája, volt NSA elemző, a Dragos alapító-vezérigazgatója) és a Julian Gutmanis, (a Triton/TriSIS nevű, Saudi Aramco safety rendszereit célzó malware egyik felfedezője, jelenleg a Dragos munkatársa) beszélnek azokról az incidensekről, amik a Shields up programhoz vezettek. Maga a felvétel nem tartalmaz sok új információt (bár vannak benne érdekes jelenetek bizonyos alállomási helyszínekről), azonban mégis nagyon fontosnak tartom, mert az, hogy az USA-ban egy országos TV-csatornán főműsoridőben (vasárnap este) beszélnek a kritikus infrastruktúrák kiberbiztonsági kockázatairól, jól mutatja, hogyan kap egyre nagyobb figyelmet az a téma, amiről szakemberek egy elhivatott (néha már-már a fanatizmus határait is súroló) kis csoportja lassan bő másfél évtizede beszél. A kérdés csak az: vajon a cégek és felelős vezetők (állami és vállalati szinten egyaránt) mikor hallják meg a figyelmeztetéseket és kezdik végre alkalmazni a régóta rendelkezésre álló intézkedéseket, hogy biztonságosabbá tegyék a civilizációnk alapjait adó kritikus infrastruktúrákat?

Bejelentés dátuma: 2022.04.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 CPUs BMXP34* V3.40-nél korábbi verziói;
- Modicon M340 X80 Ethernet kommunikációs modulok:
- BMXNOE0100 (H) minden verziója;
- BMXNOE0110 (H) minden verziója;
- BMXNOR0200H RTU minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2022-0222)/súlyos;
Javítás: Modicon M340-es berendezésekhez elérhető.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.04.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS Data Server (IGSSdataServer.exe) V15.0.0.22073 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Copy without Checking Size of Input (CVE-2022-24324)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.04.12.
Gyártó: Aethon (az ST Engineering leányvállalata)
Érintett rendszer(ek):
- TUG Home Base Server minden, 24-es korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authorization (CVE-2022-1066)/súlyos;
- Missing Authorization (CVE-2022-26423)/súlyos;
- Channel Accessible by Non-endpoint (CVE-2022-1070)/kritikus;
- Cross-site Scripting (CVE-2022-27494)/súlyos;
- Cross-site Scripting (CVE-2022-1059)/súlyos;
Javítás: A gyártó felkeresése javasolt.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-102-05

Bejelentés dátuma: 2022.04.12.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- A GOT2000 sorozatú GT25-ös és GT27-es eszközökbe épített GT25-WLAN kommunikációs eszközök minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Removal of Sensitive Information Before Storage or Transfer (CVE-2020-24586)/alacsony;
- Inadequate Encryption Strength (CVE-2020-24587)/alacsony;
- Missing Authentication for Critical Function (CVE-2020-24588)/alancsony;
- Injection (CVE-2020-26140)/közepes;
- Improper Input Validation (CVE-2020-26143)/közepes;
- Improper Input Validation (CVE-2020-26144)/közepes;
- Improper Input Validation (CVE-2020-26146)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedéseket javasol.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-102-04

Bejelentés dátuma: 2022.04.12.
Gyártó: Inductive Automation
Érintett rendszer(ek):
- Inductive Automation Ignition minden, 8.0.4-nél későbbi verzió a 8.0 főverzióból;
- Inductive Automation Ignition minden, 8.1.10-nél korábbi verzió a 8.1-es főverzióból;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-1264)/közepes;
Javítás: A 8.1-es főverzióhoz elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-102-03

Bejelentés dátuma: 2022.04.12.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- Wind River VxWorks 6.4-es verziót használó MELSEC-Q C sorozatú vezérlő modulok Q12DCCPU-V 24031-es és korábbi sorozatszámú verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2021-29998)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-102-02

Bejelentés dátuma: 2022.04.12.
Gyártó: Valmet
Érintett rendszer(ek):
- Valmet DNA DCS Collection 2012-től Collection 2021-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2021-26726)/súlyos;
Javítás: Elérhető a gyártónál.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-102-01

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC STEP 7 (TIA Portal) v15 minden verziója;
- SIMATIC STEP 7 (TIA Portal) v16 minden, v16 Update 5-nél korábbi verziója;
- SIMATIC STEP 7 (TIA Portal) v17 minden, v17 Update 2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2021-42029)/közepes;
Javítás: v16 és v17 főverziókhoz elérhetőek.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, v2022.1.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-28661)/súlyos;
- Out-of-bounds Write (CVE-2022-28662)/alacsony;
- Out-of-bounds Write (CVE-2022-28663)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7-et használó Mendix alkalmazások minden, V7.23.27-nél korábbi verziója;
- Mendix 8-at használó Mendix alkalmazások minden, V8.18.14-nél korábbi verziója;
- Mendix 9-et használó Mendix alkalmazások minden, V9.12.0-nál korábbi verziója;
- Mendix 9-et (V9.6)használó Mendix alkalmazások minden, V9.6.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-25650)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-870917.pdf

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7-et használó Mendix alkalmazások minden verziója;
- Mendix 8-at használó Mendix alkalmazások minden verziója;
- Mendix 9-et használó Mendix alkalmazások minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-27241)/közepes;
Javítás: Mendix 9-hez elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE X302-7 EEC minden, v4.1.4-nél korábbi verziója;
- SCALANCE X304-2FE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X306-1LD FE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X307-2 EEC minden, v4.1.4-nél korábbi verziója;
- SCALANCE X307-3 minden, v4.1.4-nél korábbi verziója;
- SCALANCE X307-3LD minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2 minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2LD minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2LH minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2LH+ minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2M minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2M POE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2M TS minden, v4.1.4-nél korábbi verziója;
- SCALANCE X310 minden, v4.1.4-nél korábbi verziója;
- SCALANCE X310FE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X320-1 FE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X320-1-2LD FE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X408-2 minden, v4.1.4-nél korábbi verziója;
- SCALANCE XR324-4M EEC minden, v4.1.4-nél korábbi verziója;
- SCALANCE XR324-4M PoE minden, v4.1.4-nél korábbi verziója;
- SCALANCE XR324-4M PoE TS minden, v4.1.4-nél korábbi verziója;
- SCALANCE XR324-12M minden, v4.1.4-nél korábbi verziója;
- SCALANCE XR324-12M TS minden, v4.1.4-nél korábbi verziója;
- SIPLUS NET SCALANCE X308-2 minden, v4.1.4-nél korábbi verziója;
- Smart Security Manager 1.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-25751 )/súlyos;
- Use of Insufficiently Random Values (CVE-2022-25752)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-25753)/súlyos;
- Cross-site Request Forgery (CVE-2022-25754)/súlyos;
- Improper Access Control (CVE-2022-25755)/alacsony;
- Basic XSS (CVE-2022-25756)/súlyos;
- Classic Buffer Overflow (CVE-2022-26334)/súlyos;
- Classic Buffer Overflow (CVE-2022-26335)/kritikus;
- Out-of-bounds Read (CVE-2022-26380)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-400 HV6 CPU család (beleértve a SIPLUS változatokat is) minden, v6.0.10-nél korábbi verziója;
- SIMATIC S7-400 PN/DP V7 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-410 V8 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-410 V10 CPU család (beleértve a SIPLUS változatokat is) minden, v10.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-40368)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM A8000 CP-8031 minden, v4.80-nál korábbi verziója;
- SICAM A8000 CP-8050 minden, v4.80-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-27480)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Energy Manager Basic minden, v7.3 Update 1-nél korábbi verziója;
- SIMATIC Energy Manager PRO minden, v7.3 Update 1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2022-23448)/súlyos;
- Uncontrolled Search Path Element (CVE-2022-23449)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-23450)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CFU DIQ (6ES7655-5PX31-1XX0) minden verziója;
- SIMATIC CFU PA (6ES7655-5PX11-0XX0) minden verziója;
- SIMATIC S7-300 CPU család (beleértve az ET200 CPU-kat és a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-400 H V6 CPU család (beleértve a SIPLUS változatokat is) minden, v6.0.10-nél korábbi verziója;
- SIMATIC S7-400 PN/DP V7 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-410 V8 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-410 V10 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1500 CPU család (beleértve az ET200 CPU-kat és a SIPLUS változatokat is) minden, v2.0.0-nál korábbi verziója;
- SIMATIC TDC CP51M1 minden verziója;
- SIMATIC TDC CPU555 minden verziója;
- SIMATIC WinAC RTX minden verziója;
- SIMIT Simulation Platform minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-25622)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SCLANCE W1788-1 M12 minden, 3.0.0-nál korábbi verziója;
- SCALANCE W1788-2 ECC M12 minden, 3.0.0-nál korábbi verziója;
- SCALANCE W1788-2 M12 minden, 3.0.0-nál korábbi verziója;
- SCALANCE W1788-2IA M12 minden, 3.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Race Condition (CVE-2022-27481)/súlyos;
- Improper Input Validation (CVE-2022-28328)/súlyos;
- Improper Input Validation (CVE-2022-28329)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS neo (Administration Console) minden, V3.1 SP1-nél korábbi verziója;
- SINETPLAN minden verziója;
- TIA Portal V15, V15.1, V16 és V17-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-27194)/súlyos;
Javítás: A SIMATIC PCS neo (Administration Console) esetén elérhető.
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-711829.pdf

Bejelentés dátuma: 2022.04.14.
Gyártó: Red Lion
Érintett rendszer(ek):
- DA50N hálózati átjárók minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-26516)/súlyos;
- Weak Password Requirements (CVE-2022-1039)/kritikus;
- Use of Unmaintained Third-Party Components (nem ismert)/nem ismert;
- Insufficiently Protected Credentials (CVE-2022-27179)/közepes;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-104-03

Bejelentés dátuma: 2022.04.14.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Metasys ADS/ADX/OAS szerverek 10-es és 11-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incomplete Cleanup (CVE-2021-36205)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-104-02

Bejelentés dátuma: 2022.04.14.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DMARS minden, v2.1.10.24-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-1331)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-104-01

Bejelentés dátuma: 2022.04.19.
Gyártó: Elcomplus
Érintett rendszer(ek):
- SmartPPT SCADA Server v1.4;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-43932)/kritikus;
- Unauthorized Exposure to Sensitive Information (CVE-2021-43938)/súlyos;
- Unrestricted Upload of File with Dangerous Type (CVE-2021-43934)/kritikus;
- Path Traversal (CVE-2021-43930)/kritikus;
- Cross-site Request Forgery (CVE-2021-43937)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-109-05

Bejelentés dátuma: 2022.04.19.
Gyártó: Elcomplus
Érintett rendszer(ek):
- SmartPPT SCADA Server v1.1;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2021-43932)/kritikus;
- Unrestricted Upload of File with Dangerous Type (CVE-2021-43939)/súlyos;
- Improper Authorization (CVE-2021-43934)/kritikus;
- Cross-site Scripting (CVE-2021-43930)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-109-04

Bejelentés dátuma: 2022.04.19.
Gyártó: FANUC Corporation
Érintett rendszer(ek):
- ROBOGUIDE v9.40083.00.05 (Rev T) és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2021-38483)/közepes;
- Improper Access Control (CVE-2021-43986)/közepes;
- Path Traversal (CVE-2021-43988)/közepes;
- Improper Restriction of XML External Entity Reference (CVE-2021-43990)/közepes;
- Uncontrolled Resource Consumption (CVE-2021-43933)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-109-03

Bejelentés dátuma: 2022.04.19.
Gyártó: Automated Logic (a Carrier Global Corporation leányvállalata)
Érintett rendszer(ek):
- WebCtrl Server minden, 7.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Open Redirect (CVE-2022-1019)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-109-02

Bejelentés dátuma: 2022.04.19.
Gyártó: Interlogix (a Carrier Global Corporation leányvállalata)
Érintett rendszer(ek):
- Hills ComNav 3002-19-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-26519)/közepes;
- Inadequate Encryption Strength (CVE-2022-1318)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-109-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az elmúlt hét kifejezetten mozgalmas volt az ICS/OT kiberbiztonság világában, hiszen egyetlen hét alatt két, kifejezetten ICS/OT rendszereket célzó malware-ről érkeztek hírek.

Az elsőről a 2016-os, Ukrenergo (az ukrán villamosenergia-rendszerirányító) elleni kibertámadásról részletes elemzést készítő ESET adta ki és több ok miatt is a 2016-os támadáshoz használt malware neve (Industroyer) után Industroyer2-nek nevezték az új kártevőt. Az ESET-et ebben az esetben az ukrán állami kiberbiztonsági központ (a CERT-UA) vonta be az általuk talált malware elemzésébe és a szlovákiai központú cég munkatársai meg is tudták erősíteni az ukrán szakemberek gyanúját, hogy a most talált malware kapcsolatba hozható a 2016-os incidensben használt malware-rel. Emiatt erősen megalapozottnak látszik a feltételezés, hogy a támadás mögött ebben az esetben is a Sandworm néven elhíresült, a feltételezések szerint az orosz katonai titkosszolgálat, a GU (korábbi nevén GRU) támogatását élvező APT-csoport állhat. A CERT-UA bejelentése szerint az Industroyer2-t még az aktiválása (és így az ukrán villamosenergia-rendszerben előidézett üzemzavar előidézése) előtt sikerült felfedezni, így pedig a támadás fizikai világra gyakorolt hatásait megelőzni. Az ESET műszaki elemzését itt lehet elérni: https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/

Időközben pedig a CADO Security nevű cég már az Industroyer2 kereséséhez használható Yara szabályokat is elérhetővé tette a GitHub-on.

Mindössze egyetlen nappal az Industroyer2 publikálása után a DHS CISA és a Dragos részletes információkat hoztak nyilvánosságra egy másik, szintén ICS/OT rendszereket célzó, moduláris malware-ről, amit a Dragos Pipedream névre keresztelt (jó IT/OT biztonsági elemzőcéges szokás szerint a Mandiant is kiadott egy elemzést, ők ugyanennek a malware-nek az Incontroller nevet adták). A Dragos elemzése (röviden itt érhető el, regisztráció után a teljes verzió is letölthető PDF-formátumban) szerint a Pipedream egy olyan, nagyon alaposan tervezett és felépített malware, ami a MITRE ATT&CK for ICS támadási TTP-gyűjtemény támadási technikáinak 38%-át, a támadói taktikák 83%-át képes alkalmazni, ráadásul számos ICS gyártó (Schneider Electric, Omron, stb.) és ICS-specifikus technológiák, protokollok (CODESYS, Modbus, OPC UA, stb.). A Dragos elemzése külön kiemeli, hogy a most felfedezett és elemzés alá volt malware Schneider Electric és Omron termékekre volt felkészítve, de a modularitásából adódik a jogos feltételezés, hogy más modulokkal felvértezve más gyártók más termékeit is hatékonyan lehetnek képesek támadni a Pipedream megalkotói, akiket a Dragos elemzői Chernovite néven említenek (később majd róluk is lesz szó az ICS támadói csoportok sorozatban). A Pipedream/Incontroller malware-ről készült Mandiant elemzés itt található: https://www.mandiant.com/resources/incontroller-state-sponsored-ics-tool, a DHS CISA bejelentése pedig itt érhető el.

Szerk: Robert M. Lee (a Dragos alapító-vezérigazgatója) Twitter-posztjában külön hangsúlyozta annak a ténynek a jelentőségét, hogy a PipeDream/Incontroller malware mindezidáig nem okozott üzemzavart a működésével. Ez nem jelenti azt, hogy ne egy (vagy több?) ipari szervezet hálózatában találták volna az első példányt, azonban további részleteket ezzel kapcsolatban nem árult el.

Bejelentés dátuma: 2022.03.08.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Applications using Mendix 7 minden, V7.23.29-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-26317)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-415938.pdf

Bejelentés dátuma: 2022.03.08.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROX MX5000: minden, V2.3.0-nál újabb és V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX1400: minden, V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX1500: minden, V2.3.0-nál újabb és V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX1501: minden, V2.3.0-nál újabb és V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX1510: minden, V2.3.0-nál újabb és V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX1511: minden, V2.3.0-nál újabb és V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX1512: minden, V2.3.0-nál újabb és V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX1524: minden, V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX1536: minden, V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX5000: minden, V2.3.0-nál újabb és V2.15.0-nál korábbi verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-25217)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-406691.pdf

Bejelentés dátuma: 2022.03.08.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROS i800 minden verziója;
- RUGGEDCOM ROS i801 minden verziója;
- RUGGEDCOM ROS i802 minden verziója;
- RUGGEDCOM ROS i803 minden verziója;
- RUGGEDCOM ROS M969 minden verziója;
- RUGGEDCOM ROS M2100 minden verziója;
- RUGGEDCOM ROS M2200 minden verziója;
- RUGGEDCOM ROS RMC minden verziója;
- RUGGEDCOM ROS RMC20 minden verziója;
- RUGGEDCOM ROS RMC30 minden verziója;
- RUGGEDCOM ROS RMC40 minden verziója;
- RUGGEDCOM ROS RMC41 minden verziója;
- RUGGEDCOM ROS RMC8388 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RP110 minden verziója;
- RUGGEDCOM ROS RS400 minden verziója;
- RUGGEDCOM ROS RS401 minden verziója;
- RUGGEDCOM ROS RS416 minden verziója;
- RUGGEDCOM ROS RS416v2 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900 (32M) minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900G minden verziója;
- RUGGEDCOM ROS RS900G (32M) minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900GP minden verziója;
- RUGGEDCOM ROS RS900L minden verziója;
- RUGGEDCOM ROS RS900W minden verziója;
- RUGGEDCOM ROS RS910 minden verziója;
- RUGGEDCOM ROS RS910L minden verziója;
- RUGGEDCOM ROS RS910W minden verziója;
- RUGGEDCOM ROS RS920L minden verziója;
- RUGGEDCOM ROS RS920W minden verziója;
- RUGGEDCOM ROS RS930L minden verziója;
- RUGGEDCOM ROS RS930W minden verziója;
- RUGGEDCOM ROS RS940G minden verziója;
- RUGGEDCOM ROS RS969 minden verziója;
- RUGGEDCOM ROS RS8000 minden verziója;
- RUGGEDCOM ROS RS8000A minden verziója;
- RUGGEDCOM ROS RS8000H minden verziója;
- RUGGEDCOM ROS RS8000T minden verziója;
- RUGGEDCOM ROS RSG907R minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG908C minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG909R minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG910C minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG920P minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100 minden verziója;
- RUGGEDCOM ROS RSG2100 (32M) minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100P minden verziója;
- RUGGEDCOM ROS RSG2200 minden verziója;
- RUGGEDCOM ROS RSG2288 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2300 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2300P minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2488 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSL910 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST916C minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST916P minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST2228 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST2228P minden, V5.6.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-37208)/közepes;
- Observable Timing Discrepancy (CVE-2021-42016)/súlyos;
- Improperly Implemented Security Check for Standard (CVE-2021-42017)/közepes;
- Heap-based Buffer Overflow (CVE-2021-42018)/közepes;
- Integer Overflow or Wraparound (CVE-2021-42019)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2021-42020)/súlyos;
Javítás: Egyes felsorolt RUGGEDCOM termékek esetén elérhető.
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-256353.pdf

Bejelentés dátuma: 2022.03.08.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Applications using Mendix 7 minden, V7.23.29-nél korábbi verziója;
- Mendix Applications using Mendix 8 minden, V8.18.16-nál korábbi verziója;
- Mendix Applications using Mendix 9 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control
Javítás: Mendix 7 és 8 verziókhoz elérhető.
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-148641.pdf

Bejelentés dátuma: 2022.04.05.
Gyártó: LifePoint Informatics
Érintett rendszer(ek):
- Patient Portal LPI 3.5.12.P30;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass Using Alternate Path or Channel (CVE-2022-1067)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-095-01

Bejelentés dátuma: 2022.04.05.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Connected Component Workbench v13.00.00 és korábbi verziói;
- ISaGRAF Workbench v6.0-tól v6.6.9-ig terjedő verziói;
- Safety Instrumented Systems Workstation v1.2-es és korábbi verziói (Trusted Controller-ekhez);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2022-1118)/súlyos;
Javítás: Elérhető;
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-095-01

Bejelentés dátuma: 2022.04.05.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Metasys ADS/ADX/OAS 10-es és 11-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Server-side Request Forgery (CVE-2021-36202)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-095-02

Bejelentés dátuma: 2022.04.07.
Gyártó: ABB
Érintett rendszer(ek):
- Symphony Plus SPIET800 A_B és korábbi firmware-verziói;
- Symphony Plus PNI800 A_B és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incomplete Internal State Distinction (CVE-2021-22285)/súlyos;
- Improper Handling of Unexpected Data Type (CVE-2021-22286)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-22288)/súlyos;
Javítás: 2022. második negyedévben várható.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-097-02

Bejelentés dátuma: 2022.04.07.
Gyártó: Pepperl+Fuchs
Érintett rendszer(ek):
- WHA-GW-F2D2-0-AS- Z2-ETH 3.0.7-es, 3.0.8-as, 3.0.9-es verziói;
- WHA-GW-F2D2-0-AS- Z2-ETH.EIP 3.0.7-es, 3.0.8-as, 3.0.9-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2021-34565)/kritikus;
- Uncontrolled Resource Consumption (CVE-2016-10707)/súlyos;
- Reliance on Reverse DNS Resolution for a Security-critical Action (CVE-2021-34561)/súlyos;
- Path Traversal (CVE-2021-33555)/súlyos;
- Cross-site Scripting (CVE-2014-6071)/közepes;
- Cross-site Scripting (CVE-2012-6708)/közepes;
- Cross-site Scripting (CVE-2015-9251)/közepes;
- Cross-site Scripting (CVE-2020-11023)/közepes;
- Cross-site Scripting (CVE-2020-11022)/közepes;
- Cross-site Scripting (CVE-2019-11358)/közepes;
- Cross-site Scripting (CVE-2020-7656)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-34560)/közepes;
- Cleartext Storage of Sensitive Information in a Cookie (CVE-2021-34564)/közepes;
- HTTP Request Smuggling (CVE-2021-34559)/közepes;
- Cross-site Scripting (CVE-2021-34562)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2007-2379)/közepes;
- Cross-site Scripting (CVE-2011-4969)/közepes;
- Sensitive Cookie Without 'HttpOnly' Flag (CVE-2021-34563)/alacsony;
- Cryptographic Issues (CVE-2013-0169)/alacsony;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-097-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Petrovite névre keresztelt APT csoportot a Dragos 2019 óta követi figyelemmel. A megfigyelés során gyűjtött információk alapján a csoport tevékenysége átfedéseket mutat a Kamacite illeve Fancy Bear néven ismert csoportokkal és elsősorban Kazah és más Közép-ázsiai országok bányászati és energia-szektor beli szervezetek ellen intéznek támadásokat. Műveleteik elsősorban az ICS Cyber Kill Chain első szintjére koncentrálnak, vagyis a célba vett szervezet rendszereibe történő behatolás és a kompromittált rendszerhez történő tartós hozzáférésük biztosítása a specialitásuk. Támadásaik során előszeretettel használják harmadik felek kompromittált rendszereit, gyakran Wordpress szervereket (amikből könnyen lehet nem patch-elt, ismert sérülékenységekkel rendelkező példányokat találni az Interneten).

A Petrovite csoporttal kapcsolatos további információkat a Dragos weboldalán lehet megtalálni: https://www.dragos.com/threat/petrovite/

Bejelentés dátuma: 2022.03.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Ritto Wiser Door minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Information Exposure (CVE-2021-22783)/súlyos;
Javítás: Nem elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-03

Bejelentés dátuma: 2022.03.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Smart-UPS termékcsalád alábbi tagjai:
- SMT sorozatú eszközök, ID=18: UPS 09.8 és korábbi verziói;
- SMT sorozatú eszközök, ID=1040: UPS 01.2 és korábbi verziói;
- SMT sorozatú eszközök, ID=1031: UPS 03.1 és korábbi verziói;
- SMC sorozatú eszközök, ID=1005: UPS 14.1 és korábbi verziói;
- SMC sorozatú eszközök, ID=1007: UPS 11.0 és korábbi verziói;
- SMC sorozatú eszközök, ID=1041: UPS 01.1 és korábbi verziói;
- SCL sorozatú eszközök, ID=1030: UPS 02.5 és korábbi verziói;
- SCL sorozatú eszközök, ID=1036: UPS 02.5 és korábbi verziói;
- SMX sorozatú eszközök, ID=20: UPS 10.2 és korábbi verziói;
- SMX sorozatú eszközök, ID=23: UPS 07.0 és korábbi verziói;
- SRT sorozatú eszközök, ID=1010/1019/1025: UPS 08.3 és korábbi verziói;
- SRT sorozatú eszközök, ID=1020: UPS 10.4 és korábbi verziói;
- SRT sorozatú eszközök, ID=1021: UPS 12.2 és korábbi verziói;
- SRT sorozatú eszközök, ID=1001/1013: UPS 05.1 és korábbi verziói;
- SRT sorozatú eszközök, ID=1002/1014: UPSa05.2 és korábbi verziói;
- SRTL1000RMXLI, SRTL1000RMXLI-NC, SRTL1500RMXLI, SRTL1500RMXLI-NC, SRTL2200RMXLI, SRTL2200RMXLI-NC, SRTL3000RMXLI, SRTL3000RMXLI-NC típusú, SRT sorozatú eszközök ID=1024: UPS 01.0 és korábbi verziói;
- SmartConnect termékcsalád alábbi tagjai:
- SMT sorozatú eszközök, ID=1015: UPS 04.5 és korábbi verziói;
- SMC sorozatú eszközök, ID=1018: UPS 04.2 és korábbi verziói;
- SMTL sorozatú eszközök, ID=1026: UPS 02.9 és korábbi verziói;
- SCL sorozatú eszközök, ID=1029: UPS 02.5 és korábbi verziói;
- SCL sorozatú eszközök, ID=1030: UPS 02.5 és korábbi verziói;
- SCL sorozatú eszközök, ID=1036: UPS 02.5 és korábbi verziói;
- SCL sorozatú eszközök, ID=1037: UPS 03.1 és korábbi verziói;
- SMX sorozatú eszközök, ID=1031: UPS 03.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2022-22805)/kritikus;
- Authentication Bypass by Capture-replay (CVE-2022-22806)/kritikus;
- Improper Authentication (CVE-2022-0715)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-02

Bejelentés dátuma: 2022.03.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Control Expert V15.0 SP1 és korábbi verziói;
- EcoStruxure™ Process Expert V2021 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-24322)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2022-24323)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-01

Bejelentés dátuma: 2022.03.09.
Gyártó: Moxa
Érintett rendszer(ek):
- UC-2100 sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- UC-2100-W sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- UC-3100 sorozatú berendezések 1.1-es és korábbi firmware-verziói;
- UC-5100 sorozatú berendezések 1.3-as és korábbi firmware-verziói;
- UC-8100A-ME-T sorozatú berendezések 1.5-ös és korábbi firmware-verziói;
- V2406C sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- V2403C sorozatú berendezések 1.0 és korábbi firmware-verziói;
- MC-1220 sorozatú berendezések 1.4-es és korábbi firmware-verziói;
- DA-681C sorozatú berendezések 1.1-es és korábbi firmware-verziói;
- DA-682C sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- DA-820C sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- AIG-501 sorozatú berendezések 1.1-es és korábbi firmware-verziói;
- MPC-2070 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2101 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2120 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2121 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2190 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2240 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- EXPC-1519 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Local Privilege Escalation (CVE-2021-4034)/súlyos;
Javítás: Nincs, kockázatcsökkentő intézkedések érhetőek el
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/moxas-response-regarding-the-pwnkit-vulnerability

Bejelentés dátuma: 2022.03.14.
Gyártó: Belden
Érintett rendszer(ek):
- HiLCOS OpenBAT, WLC, BAT450 minden, 9.1x-nél korábbi verziója, valamint a 10.12-REL, 10.12-RU1, 10.12-RU2, 10.12-RU3, 10.12-RU4, 10.12-RU5 verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- CVE-2020-24588/alacsony;
- CVE-2020-26144/közepes;
- CVE-2020-26146/közepes;
- CVE-2020-26147/közepes;
Javítás: Elérhető
Link a publikációhoz: https://dam.belden.com/dmm3bwsv3/assetstream.aspx?assetid=14146&mediaformatid=50063&destinationid=10016

Bejelentés dátuma: 2022.03.24.
Gyártó: mySCADA
Érintett rendszer(ek):
- myPRO Versions 8.25.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-0999)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-083-02

Bejelentés dátuma: 2022.03.24.
Gyártó: Yokogawa
Érintett rendszer(ek):
- CENTUM CS 3000 (beleértve a CENTUM CS 3000 Entry Class berendezéseket is) R3.08.10-től R3.09.00-ig terjedő verziói;
- CENTUM VP (beleértve a CENTUM VP Entry Class berendezéseket is) R4.01.00-től R4.03.00-ig, R5.01.00-tól R5.04.20-ig, valamint R6.01.00-től R6.08.00-ig terjedő verziói;
- Exaopc R3.72.00-tól R3.79.00-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-21194)/súlyos;
- Use of Hard-coded Credentials (CVE-2022-23402)/súlyos;
- Relative Path Traversal (CVE-2022-21808)/súlyos;
- Relative Path Traversal (CVE-2022-22729)/súlyos;
- Improper Output Neutralization for Logs (CVE-2022-22151)/közepes;
- Improper Output Neutralization for Logs (CVE-2022-21177)/közepes;
- Improper Output Neutralization for Logs (CVE-2022-22145)/közepes;
- OS Command Injection (CVE-2022-22148)/súlyos;
- Permissions, Privileges, and Access Controls (CVE-2022-22141)/közepes;
- Uncontrolled Search Path Element (CVE-2022-23401)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-083-01

Bejelentés dátuma: 2022.03.29.
Gyártó: Modbus Tools
Érintett rendszer(ek):
- Modbus Slave 7.4.2 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-1068)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-04

Bejelentés dátuma: 2022.03.29.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- LinkOne WebView v3.20
- LinkOne WebView v3.22
- LinkOne WebView v3.23
- LinkOne WebView v3.24
- LinkOne WebView v3.25
- LinkOne WebView v3.26
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-40337)/közepes;
- Generation of Error Message Containing Sensitive Information (CVE-2021-40338)/alacsony;
- Configuration (CVE-2021-40339)/alacsony;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-40340)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-03

Bejelentés dátuma: 2022.03.29.
Gyártó: Omron
Érintett rendszer(ek):
- CX-Position 2.5.3 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-26419)/súlyos;
- Improper Restriction of Operations Within the Bounds of a Memory Buffer (CVE-2022-25959)/súlyos;
- Use After Free (CVE-2022-26417)/súlyos;
- Out-of-bounds Write (CVE-2022-26022)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-02

Bejelentés dátuma: 2022.03.29.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Connected Component Workbench v12.00 és korábbi verziói;
- ISaGRAF Workbench v6.6.9 és korábbi verziói;
- Safety Instrumented Systems Workstation v1.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-1018)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-01

Bejelentés dátuma: 2022.03.29.
Gyártó: Philips
Érintett rendszer(ek):
- e-Alert Version 2.7 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-0922)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-088-01

Bejelentés dátuma: 2022.03.31.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Studio 5000 Logix Designer ControlLogix 5580 vezérlők;
- Studio 5000 Logix Designer GuardLogix 5580 vezérlők;
- Studio 5000 Logix Designer CompactLogix 5380 vezérlők;
- Studio 5000 Logix Designer CompactLogix 5480 vezérlők;
- Studio 5000 Logix Designer Compact GuardLogix 5380 vezérlők;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2022-1159)/súlyos;
Javítás: Nem elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-07

Bejelentés dátuma: 2022.03.31.
Gyártó: General Electric Renewable Energy
Érintett rendszer(ek):
- iNET/iNET II sorozatú rádiók 8.3.0-nál korábbi firmware-verziói;
- SD sorozatú rádiók 6.4.7-nél korábbi firmware-verziói;
- TD220X sorozatú rádiók 2.0.16-nál korábbi firmware-verziói;
- TD220MAX sorozatú rádiók 1.2.6-nál korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2017-17562)/kritikus;
- Hidden Functionality (CVE-2022-24119)/kritikus;
- Inadequate Encryption Strength (CVE-2022-24116)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-24118)/közepes;
- Plaintext Storage of a Password (CVE-2022-24120)/közepes;
- Download of Code Without Integrity Check (CVE-2022-24117)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-06

Bejelentés dátuma: 2022.03.31.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1768 CompactLogix vezérlők;
- 1769 CompactLogix vezérlők;
- CompactLogix 5370 vezérlők;
- CompactLogix 5380 vezérlők;
- CompactLogix 5480 vezérlők;
- Compact GuardLogix 5370 vezérlők;
- Compact GuardLogix 5380 vezérlők;
- ControlLogix 5550 vezérlők;
- ControlLogix 5560 vezérlők;
- ControlLogix 5570 vezérlők;
- ControlLogix 5580 vezérlők;
- GuardLogix 5560 vezérlők;
- GuardLogix 5570 vezérlők;
- GuardLogix 5580 vezérlők;
- FlexLogix 1794-L34 vezérlők;
- DriveLogix 5730 vezérlők;
- SoftLogix 5800 vezérlők;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2022-1161)/kritikus;
Javítás: Nem elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-05

Bejelentés dátuma: 2022.03.31.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-F sorozatok FX5U(C) CPU modul minden modelljének összes verziója;
- MELSEC iQ-F sorozatok FX5UJ CPU modul minden modelljének összes verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Password Hash Instead of Password for Authentication (CVE-2022-25155)/közepes;
- Use of Weak Hash (CVE-2022-25156)/közepes;
- Use of Password Hash Instead of Password for Authentication (CVE-2022-25157)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2022-25158)/súlyos;
- Authentication Bypass by Capture-replay (CVE-2022-25159)/közepes;
- Cleartext Storage of Sensitive Information (CVE-2022-25160)/közepes;
Javítás: Nem elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-04

Bejelentés dátuma: 2022.03.31.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Alpha5 szervo drive rendszer 4.3-asnál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Access of Uninitialized Pointer (CVE-2022-21168)/alacsony;
- Out-of-bound Read (CVE-2022-21202)/alacsony;
- Out-of-bound Read (CVE-2022-24383)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-21228)/súlyos;
- Heap-based Buffer Overflow (CVE-2022-21214)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-03

Bejelentés dátuma: 2022.03.31.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- e-mesh EMS 1.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations Within the Bounds of a Memory Buffer (CVE-2020-8174)/közepes;
- Use After Free (CVE-2020-8265)/közepes;
- Uncontrolled Resource Consumption (CVE-2020-11080)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-22883)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-02

Bejelentés dátuma: 2022.03.31.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- SCADAPack Workbench 6.6.8a és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-0221)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nemrég a Dragos egy tanulmányt jelentetett meg, amiben Jacob Baines, a Dragos threat intelligence csapatának sérülékenység-elemző munkatársa foglalja össze az általuk követett, több, mint 3000, ICS-specifikus sérülékenység vizsgálatából levont következtetéseket.

A tanulmány érdekesebb megállapításai:

- Az egyes ICS sérülékenységekhez átlagosan 30 nappal a publikálás után már publikusan elérhető a hibát kihasználó expoit;
- Az összes publikált ICS-specifikus sérülékenység 25%-át néhány jól ismert szervezet publikálja;
- 2020-ban csökkent a publikált ICS/OT-specifikus sérülékenységek száma;
- Melyik publikusan elérhető exploitok használhatatlanok ICS/OT környezetekben?

A tanulmány (regisztáció után) a Dragos weboldalán érhető el: https://www.dragos.com/resource/findings-from-examining-public-ics-ot-exploits/

Bejelentés dátuma: 2022.03.08.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA System Platform 2020 R2 P01;
- AVEVA System Platform 2020 R2S;
- AVEVA System Platform 2020;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information in Memory (CVE-2022-0835)/súlyos;
Javítás: Elér
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-067-02

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7-et használó Mendix alkalmazások minden, v7.23.29-nél korábbi verziója;
- Mendix 8-at használó Mendix alkalmazások minden, v8.18.16-nál korábbi verziója;
- Mendix 9-et használó Mendix alkalmazások minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-24309)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROS M2100 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RMC8388-as eszközök minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS416v2 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900G minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900G (32M) minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG900 v5.X minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG920P v5.X minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100 (32M) v5.X minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100P minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100P (32M) v5.X minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2288 v5.X minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2300 v5.X minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2300P v5.X minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2488 v5.X minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSL910 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST916C minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST916P minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST2228 minden, v5.6.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Using Components with Known Vulnerabilities
- CVE-2021-37208/közepes;
- CVE-2021-42016/súlyos;
- CVE-2021-42017/közepes;
- CVE-2021-42018/kritikus;
- CVE-2021-42019/kritikus;
- CVE-2021-42020/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- SINUMERIK MC minden, v1.15 SP1-nél korábbi verziója;
- SINUMERIK ONE minden, v6.15 SP1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2022-24408)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Forgot Password Appstore modul minden, v.3.3.0-tól v3.5.1-ig terjedő verziója;
- Mendix Forgot Password Appstore modul (Mendix 7 kompatibilis) minden, v3.2.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-26313)/kritikus;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-26314)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter STAR-CCM+ Viewer minden, 2022.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-24661)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens COMOS minden, v10.4.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Memory Allocation with Excessive Size Value (CVE-2021-25173)/súlyos;
- Memory Allocation with Excessive Size Value (CVE-2021-25174)/súlyos;
- Untrusted Pointer Dereference (CVE-2021-25175)/súlyos;
- Untrusted Pointer Dereference (CVE-2021-25176)/súlyos;
- Type Confusion (CVE-2021-25177)/súlyos;
- Stack-based Buffer Overflow (CVE-2021-25178)/súlyos;
- Out-of-bounds Write (CVE-2021-31784)/súlyos;
- Out-of-bounds Write (CVE-2021-32936)/súlyos;
- Out-of-bounds Read (CVE-2021-32938)/súlyos;
- Out-of-bounds Read (CVE-2021-32940)/súlyos;
- Use After Free (CVE-2021-32944)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2021-32946)/súlyos;
- Out-of-bounds Write (CVE-2021-32948)/súlyos;
- Out-of-bounds Read (CVE-2021-32950)/súlyos;
- Out-of-bounds Write (CVE-2021-32952)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- Climatix POL909 (AWM modul) minden, v11.34-nél korábbi verziója;
- Climatix POL909 (AWB modul) minden, v11.34-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-41541)/közepes;
- Cross-site Scripting (CVE-2021-41542)/közepes;
- Improper Access Control (CVE-2021-41543)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2022-24281)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-24282)/súlyos;
- Improper Privilege Management (CVE-2022-25311)/súlyos;
Javítás: Nem elérhető, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- Polarion Subversion Webclient v21 R1-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-44478)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens:
Érintett rendszer(ek):
- SINEC INS minden, v1.0.1.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Using Components with Known Vulnerabilities
- (CVE-2019-19242)/közepes;
- (CVE-2019-19244)/súlyos;
- (CVE-2019-19317)/kritikus;
- (CVE-2019-19603)/súlyos;
- (CVE-2019-19645)/közepes;
- (CVE-2019-19646)/kritikus;
- (CVE-2019-19880)/súlyos;
- (CVE-2019-19923)/súlyos;
- (CVE-2019-19924)/közepes;
- (CVE-2019-19925)/súlyos;
- (CVE-2019-19926)/súlyos;
- (CVE-2020-1971)/közepes;
- (CVE-2020-7774)/súlyos;
- (CVE-2020-8169)/súlyos;
- (CVE-2020-8177)/súlyos;
- (CVE-2020-8231)/súlyos;
- (CVE-2020-8265)/súlyos;
- (CVE-2020-8284)/alacsony;
- (CVE-2020-8285)/súlyos;
- (CVE-2020-8286)/súlyos;
- (CVE-2020-8287)/közepes;
- (CVE-2020-8625)/súlyos;
- (CVE-2020-9327)/súlyos;
- (CVE-2020-11655)/súlyos;
- (CVE-2020-11656)/kritikus;
- (CVE-2020-13630)/súlyos;
- (CVE-2020-13631)/közepes;
- (CVE-2020-13632)/közepes;
- (CVE-2020-13871)/súlyos;
- (CVE-2020-15358)/közepes;
- (CVE-2020-27304)/kritikus;
- (CVE-2021-3449)/közepes;
- (CVE-2021-3450)/súlyos;
- (CVE-2021-3672)/közepes;
- (CVE-2021-3711)/kritikus;
- (CVE-2021-3712)/súlyos;
- (CVE-2021-22876)/közepes;
- (CVE-2021-22883)/súlyos;
- (CVE-2021-22884)/súlyos;
- (CVE-2021-22890)/alacsony;
- (CVE-2021-22897)/közepes;
- (CVE-2021-22898)/alacsony;
- (CVE-2021-22901)/súlyos;
- (CVE-2021-22918)/közepes;
- (CVE-2021-22921)/súlyos;
- (CVE-2021-22922)/közepes;
- (CVE-2021-22923)/közepes;
- (CVE-2021-22924)/alacsony;
- (CVE-2021-22925)/közepes;
- (CVE-2021-22926)/súlyos;
- (CVE-2021-22930)/kritikus;
- (CVE-2021-22931)/kritikus;
- (CVE-2021-22939)/közepes;
- (CVE-2021-22940)/súlyos;
- (CVE-2021-22945)/kritikus;
- (CVE-2021-22946)/súlyos;
- (CVE-2021-22947)/közepes;
- (CVE-2021-23362)/közepes;
- (CVE-2021-23840)/súlyos;
- (CVE-2021-25214)/közepes;
- (CVE-2021-25215)/súlyos;
- (CVE-2021-25216)/kritikus;
- (CVE-2021-25219)/közepes;
- (CVE-2021-27290)/súlyos;
- (CVE-2021-32803)/súlyos;
- (CVE-2021-32804)/súlyos;
- (CVE-2021-37701)/súlyos;
- (CVE-2021-37712)/súlyos;
- (CVE-2021-37713)/súlyos;
- (CVE-2021-39134)/súlyos;
- (CVE-2021-39135)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROS i800 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS i801 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS i802 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS i803 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS M969 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS M2100 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS M2200 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RMC minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RMC20 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RMC30 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RMC40 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RMC41 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RMC8388 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RP110 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS400 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS401 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS416 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS416v2 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900 (32M) minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900G minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900G (32M) minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900GP minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900L minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900L minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900W minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS910 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS910L minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS910W minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS920L minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS920W minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS930L minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS930W minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS940G minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS969 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS8000 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS8000A minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS8000H minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS8000T minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG900 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG900C minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG900G minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG900R minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG907R minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG908C minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG909R minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG910C minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG920P minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100 (32M) minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100P minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100P (32M) minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2200 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2288 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2300 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2300P minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2488 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSL910 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST916C minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST916P minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST2228 minden, v5.6.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Encryption of Sensitive Data (CVE-2021-37209)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- SIMOTICS CONNECT 400 minden, v1.0.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion (CVE-2021-31344)/közepes;
- Improper Validation of Specified Quantity in Input (CVE-2021-31346)/súlyos;
- Wrap or Wraparound (CVE-2021-31889)/súlyos;
- Improper Handling of Inconsistent Structural Elements (CVE-2021-31890)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.15.
Gyártó: PTC
Érintett rendszer(ek):
- Axeda agent minden verziója;
- Axeda Desktop Server for Windows minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-25246)/kritikus;
- Missing Authentication for Critical Function (CVE-2022-25247)/kritikus;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-25248)/közepes;
- Path Traversal (CVE-2022-25249)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-25250)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-25251)/kritikus;
- Improper Check or Handling of Exceptional Conditions (CVE-2022-25252)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-067-01

Bejelentés dátuma: Delta Electronics
Gyártó: 2022.03.22.
Érintett rendszer(ek):
- DIAEnergie minden, 1.8.02.004-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path (CVE-2022-25347)/kritikus;
- Incorrect Default Permissions (CVE-2022-26839)/súlyos;
- SQL Injection (CVE-2022-25980)/kritikus;
- SQL Injection (CVE-2022-26069)/kritikus;
- SQL Injection (CVE-2022-27175)/kritikus;
- SQL Injection (CVE-2022-26338)/kritikus;
- SQL Injection (CVE-2022-26059)/kritikus;
- SQL Injection (CVE-2022-26065)/kritikus;
- SQL Injection (CVE-2022-26013)/kritikus;
- SQL Injection (CVE-2022-26836)/kritikus;
- SQL Injection (CVE-2022-0923)/kritikus;
- SQL Injection (CVE-2022-26666)/kritikus;
- SQL Injection (CVE-2022-26887)/kritikus;
- SQL Injection (CVE-2022-26349)/kritikus;
- SQL Injection (CVE-2022-25880)/kritikus;
- SQL Injection (CVE-2022-26514)/kritikus;
- SQL Injection (CVE-2022-26667)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-081-01

Bejelentés dátuma: Bejelentés dátuma: 2022.03.15.
Gyártó: ASEA Brown Boveri (ABB)
Érintett rendszer(ek):
- Control Software for AC 800M: OPC Server for AC 800M 5.1.0-x, 5.1.1-x és 6.0.0-1-től 6.0.0-3-ig terjedő verziói;
- Control Builder Safe, 1.x és 2.0 OPC Server for AC 800M 5.1.1-1 és 6.0.0-1 verziói;
- Compact Product Suite – Control and I/O: OPC Server for AC 800M: 5.1.0-x, 5.1.1-x és 6.0.0-x verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Execution with Unnecessary Privileges (CVE-2021-22284)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-074-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A CIP-003-8 célja, hogy egyenszilárd és fenntartható kontroll-rendszert nyújtson a nagyfeszültségű villamosenergia-rendszer (Bulk Electricity System - BES) működését biztosító informatikai rendszerek számára azok ellen a támadások ellen, amik üzemeltetési problémákat vagy stabilitási gondokat okozhatnak a rendszerben.

A CIP-003-8 keretében megfogalmazott követelmények alapján a CIP hatálya alá tartozó szervezeteknél egy erre kijelölt felsővezetőnek legalább 15 havonta felül kell vizsgálnia az alábbi kiberbiztonsági szabályokat tartalmazó szabályzati elemeket.

A CIP-002-5.1a alapján magas és közepes szintre besorolt rendszerelemek esetén:

- Személyzeti és képzési szabályok (CIP-004-6);
- Elektronikus határvédelmi rendszerek és távoli hozzáférést biztosító rendszerek szabályai (CIP-005-6);
- A nagyfeszültségű villamosenergia-rendszer fizikai biztonsági szabályai (CIP-006-6);
- Informatikai rendszerek biztonság menedzsmentje (CIP-007-6);
- Informatikai incidensek bejelentésének és kezelésének rendje (CIP-008-6);
- A nagyfeszültségű villamosenergia-rendszer helyreállítási tervei (CIP-009-6);
- Konfiguráció változáskezelés és sérülékenységek tesztelési tesztjei (CIP-010-3);
- Információ védelem (CIP-011-2);
- CIP kivételes körülmények elrendelésének és kezelésének szabályai.

A CIP-002-5.1a alapján alacsony szintre besorolt rendszerelemek esetén:

- Biztonságtudatosság;
- Fizikai biztonsági kontrollok;
- Elektronikus hozzáférési kontrollok;
- Kiberbiztonsági incidenskezelés;
- Ideiglensen használt informatikai eszközök és adathordozók kártékony kód elleni védelme;
- CIP kivételes körülmények elrendelésének és kezelésének szabályai.

A CIP-003-8 a fentieken túl számos referencia modellt is tartalmaz, amelyeken bemutatja, hogyan kell a NERC CIP előírásainak megfelelően kialakítani a magas/közepes/alacsony szintre besorolt eszközök hálózati hozzáférés-kontrolljait.

A CIP-003 jelenleg (2022.03.10-én) hatályos változata itt érhető el: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-003-8.pdf