Nem szoktam titkot csinálni abból, hogy az ICS kiberbiztonság területén igyekszem minél inkább figyelemmel követni az USA-ban tevékenykedő kollégákat (nem egyszer voltak már posztok a blogon Joe Weiss és Robert M. Lee gondolatairól, írásairól). Nem rég Isiah Jones tollából találtam néhány alapvető ökölszabálynak szánt tanácsot, amik mentén könnyebb lehet biztonságos konfigurációt fejleszteni és fenntartani az ICS rendszerek terén (én pedig itt-ott kiegészítettem a saját gondolataimmal - lehet, hogy néhol a kiegészítésem felesleges, mert mindenki számára magától értetődő, de inkább legyen leírva, mint hogy valaki betű szerint kövesse a leírtakat és emiatt valamilyen lépés kimaradjon).

1. Az ICS szoftverek és alkalmazások telepítése előtt készítsünk snapshotot legalább az adott host operációs rendszer szintű beállításairól, a rendszerleíró adatbázisról (registry), szolgáltatásokról és felhasználói fiókokról, esetleg további fontosnak érzett konfigurációs beállításokról.

2. Az ICS szoftverek és alkalmazások telepítése után készítsünk snapshotot legalább az adott host operációs rendszer szintű beállításairól, a rendszerleíró adatbázisról (registry), szolgáltatásokról és felhasználói fiókokról, esetleg további fontosnak érzett konfigurációs beállításokról.

3. Végezzünk összehasonlító konfiguráció-elemzést a telepítés előtti és utáni snapshotok közötti különbségek azonosítása céljából és vizsgáljuk meg alaposan, hogy mi miért változott, a változások indokoltak voltak-e és biztonsági szempontból milyen kockázatokat jelentenek.

4. Az ICS gyártó kézikönyve és az operációs rendszerhez kiadott biztonságos implementációs útmutatója (Security Technical Implementation Guide - STIG) alapján is vizsgáljuk át a 3. pontban feltárt változásokat és távolítsuk el az összes, nem létfontosságú funkciót, szolgáltatást és biztosítsuk, hogy aminek maradnia kell, azok az elérhető ajánlások és best practice-ek szerint vannak beállítva.

5. Az 1-4. pontokban elvégzett feladatok után készítsünk teljes mentést az így előállt konfigurációról, ez lesz az a biztonságos alapkonfiguráció, amit egyébként a magyar jogszabáyok és egyéb, ipari környezetekben is egyre szélesebb körben alkalmazott nemzetközi szabványok is előírnak a különböző szervezetek számára (elég csak az ipari szervezetektől is egyre szélesebb körben megkövetelt ISO 2700x szabványcsaládban is megjelenő alapkonfigurációs nyilvántartás vezetését előíró követelményre gondolni).

6. Készítsünk másolatokat a beállításokról, fájlokról, képernyőképekről és egyéb, hasznos információkról, amiket a rendszer-specifikus konfigurációs tervbe/dokumentumba és a rendszer-specifikus biztonsági tervbe/dokumentumba illeszhetünk.

7. Vezessünk be és kényszerítsünk ki megfelelő változáskezelési szabályokat a produktív rendszerekre vonatkozóan, amik biztosítják, hogy alapesetben senki és semmi nem rendelkezik a változtatáshoz szükséges jogosultságokkal.

8. Tegyünk róla, hogy a fenti konfigurációkból és dokumentációkból, tervekből legyen egy saját másolatunk, amik biztosítják, hogy a teszt környezetekben és különböző esettanulmányoknál nem szükséges mindent nulláról újrakezdeni, minden ICS szoftver/alkalmazás/firmware és host frissítés/patch-elés esetén.

A fenti lépéseket végrehajtva meglehetősen sok fárasztó, ismétlődő munkát takaríthatunk meg és számos megelőzhető problémával kapcsolatos tevékenységet spórlhatunk meg magunknak.

Ha egy támadó már a PLC-ink szintjén jár, akkor meglehetősen komoly incidensünk van. Ebben a helyzetben nagyjából már csak abban bízhatunk, hogy a PLC-ink fejlesztői alkalmazták azokat a biztonsági fejlesztési ajánlásokat és alapelveket, amik ugyan már hosszú évek óta rendelkezésre állnak, de nem csak az ipari, hanem a nagyvállalati IT fejlesztők sem sokszor tartják ezeket szem előtt.

A Claroty Aperture podcast-sorozatának tavaly szeptemberi részében Martin Scheu és Dirk Rotermund, a Top 20 Secure PLC Coding Practices projekt munkatársai beszélnek azokról a jó gyakorlatokról, amik már ma is alkalmazhatóak lennének és szabadon elérhetőek. Ismerve az ICS-OT fejlesztések ma állapotát (illetve annak azt a részét, amire nekem rálátásom van), úgy gondolom, hogy mind a PLC gyártó/fejlesztő cégek, mind a PLC-felhasználó szervezeteknek jó lenne ismerni ezeket az ajánlásokat, ha kiberbiztonsági szempontból (is) ellenállóbb OT rendszereket akarunk építeni.

Bejelentés dátuma: 2022.02.22.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Field PG M5 minden verziója;
- SIMATIC Field PG M6 minden verziója;
- SIMATIC IPC127E minden verziója;
- SIMATIC IPC227G minden verziója;
- SIMATIC IPC277G minden verziója;
- SIMATIC IPC327G minden verziója;
- SIMATIC IPC377G minden verziója;
- SIMATIC IPC427E minden verziója;
- SIMATIC IPC477E minden verziója;
- SIMATIC IPC627E minden verziója;
- SIMATIC IPC647E minden verziója;
- SIMATIC IPC677E minden verziója;
- SIMATIC IPC847E minden verziója;
- SIMATIC ITP1000 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Untrusted Pointer Dereference (CVE-2020-5953)/súlyos;
- Improper Privilege Management (CVE-2020-27339)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-33625)/súlyos;
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2021-33626)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-33627)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-41837)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-41838)/súlyos;
- NULL Pointer Dereference (CVE-2021-41839)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2021-41840)/súlyos;
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2021-41841)/súlyos;
- Out-of-bounds Write (CVE-2021-42059)/közepes;
- Improper Input Validation (CVE-2021-42060)/súlyos;
- Improper Input Validation (CVE-2021-42113)/súlyos;
- Out-of-bounds Write (CVE-2021-42554)/kritikus;
- Improper Input Validation (CVE-2021-43323)/súlyos;
- Out-of-bounds Write (CVE-2021-43522)/súlyos;
- Out-of-bounds Write (CVE-2021-43615)/súlyos;
- Classic Buffer Overflow (CVE-2021-45969)/kritikus;
- Classic Buffer Overflow (CVE-2021-45970)/kritikus;
- Classic Buffer Overflow (CVE-2021-45971)/kritikus;
- Out-of-bounds Write (CVE-2022-24030)/kritikus;
- Out-of-bounds Write (CVE-2022-24031)/súlyos;
- Improper Input Validation (CVE-2022-24069)/súlyos;
Javítás: Nem elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-306654.pdf

Bejelentés dátuma: 2022.02.22.
Gyártó: WIN-911
Érintett rendszer(ek):
- WIN-911 2021 R1 – 5.21.10;
- WIN-911 2021 R2 – 5.21.17;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Default Permissions (CVE-2022-23922)/közepes;
- Incorrect Default Permissions (CVE-2022-23104)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-053-03

Bejelentés dátuma: 2022.02.22.
Gyártó: GE
Érintett rendszer(ek):
- Proficy CIMPLICITY minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-21798)/súlyos
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-053-02

Bejelentés dátuma: 2022.02.22.
Gyártó: GE
Érintett rendszer(ek):
- Proficy CIMPLICITIY v11.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2022-23921)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-053-01

Bejelentés dátuma: 2022.02.24.
Gyártó: Bently Nevada (Baker Hughes leányvállalat)
Érintett rendszer(ek):
- System 1 6.x, Part No. 3060/00, 6.98 és korábbi verziói (2020 decemberi kiadás);
- System 1, Part No. 3071/xx & 3072/xx, 21.1 HF1 és korábbi verziói (2021 júliusi kiadás);
- 3500 Rack Configuration, Part No. 129133-01, Versions 6.4 és korábbi verziói (2020 májusi kiadás);
- 3500/22M Firmware, Part No. 288055-01, 5.05-ös és korábbi verziói (2021 májusi kiadás);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Password Hash with Insufficient Computational Effort (CVE-2021-32997)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-231-02

Bejelentés dátuma: 2022.02.24.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy P5 minden, v01.401.101-nél korábbi firmware-verziója;
- Easergy P3 minden, v30.205-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-22722)/súlyos;
- Classic Buffer Overflow (CVE-2022-22723)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-055-03

Bejelentés dátuma: 2022.02.24.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- EcoWebServerIII MES3-255C-EN 3.0.0-tól 3.3.0-ig terjedő verziói;
- EcoWebServerIII MES3-255C-DM-EN 3.0.0-tól 3.3.0-ig terjedő verziói;
- EcoWebServerIII MES3-255C-CN 3.0.0-tól 3.3.0-ig terjedő verziói;
- EcoWebServerIII MES3-255C-DM-CN 3.0.0-tól 3.3.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2016-10735)/közepes;
- Cross-site Scripting (CVE-2018-14040)/közepes;
- Cross-site Scripting (CVE-2018-14042)/közepes;
- Cross-site Scripting (CVE-2018-20676)/közepes;
- Cross-site Scripting (CVE-2019-8331)/közepes;
- Cross-site Scripting (CVE-2020-11022)/közepes;
- Cross-site Scripting (CVE-2020-11023)/közepes;
- Uncontrolled Resource Consumption (CVE-2017-18214)/súlyos;
- Improperly Controlled Modification of Dynamically-Determined Object Attributes (CVE-2020-7746)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-055-02

Bejelentés dátuma: 2022.02.24.
Gyártó: FATEK Automation
Érintett rendszer(ek):
- FvDesigner 1.5.100-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-25170)/súlyos;
- Out-of-bounds Write (CVE-2022-23985)/súlyos;
- Out-of-bounds Read (CVE-2022-21209)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-055-01

Bejelentés dátuma: 2022.03.03.
Gyártó: IPCOMM
Érintett rendszer(ek):
- IPCOMM ipDIO 3.9 2016/04/18 / IPDIO SW 3.9-es firmware-verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-24432)/közepes;
- Cross-site Scripting (CVE-2022-21146)/közepes;
- Code Injection (CVE-2022-24915)/súlyos;
- Code Injection (CVE-2022-22985)/súlyos;
Javítás: Nem elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-062-01

Bejelentés dátuma: 2022.03.03.
Gyártó: Becton, Dickinson and Company (BD)
Érintett rendszer(ek):
- BD Viper LT system minden, 2.0 és későbbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-22765)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-062-02

Bejelentés dátuma: 2022.03.03.
Gyártó: Becton, Dickinson and Company (BD)
Érintett rendszer(ek):
- BD Pyxis Anesthesia Station ES;
- BD Pyxis Anesthesia Station 4000;
- BD Pyxis CATO;
- BD Pyxis CIISafe;
- BD Pyxis Inventory Connect;
- BD Pyxis IV Prep;
- BD Pyxis JITrBUD;
- BD Pyxis KanBan RF;
- BD Pyxis Logistics;
- BD Pyxis Med Link termékcsalád;
- BD Pyxis MedBank;
- BD Pyxis MedStation 4000;
- BD Pyxis MedStation ES;
- BD Pyxis MedStation ES Server;
- BD Pyxis ParAssist;
- BD Pyxis PharmoPack;
- BD Pyxis ProcedureStation (beleértve az EC változatokat is);
- BD Pyxis Rapid Rx;
- BD Pyxis StockStation;
- BD Pyxis SupplyCenter;
- BD Pyxis SupplyRoller;
- BD Pyxis SupplyStation (beleértve az RF, EC, CP változatokat is);
- BD Pyxis Track and Deliver;
- BD Rowa Pouch Packaging Systems;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-22766)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-062-01

Bejelentés dátuma: 2022.03.04.
Gyártó: Power Line Communications
Érintett rendszer(ek):
- Power Line Communications (PLC) J2497-es kétirányú, soros kommunikációs kapcsolat;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-25922)/közepes;
- Improper Protection against Electromagnetic Fault Injection (CVE-2022-26131)/kritikus;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-063-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az elmúlt hetekben-hónapokban sajnos kevesebb időm volt a blogra, ezért ebben az (éppen csak elkezdett) sorozatban feltorlódtak az incidenesek, amikről írnom kellett volna. Aztán Oroszország megtámadta Ukrajnát és 1-2 nappal később már a történelem első hibrid háborúját figyelhettük, ahol a mindenféle hátterű és motivációjú és szervezettségtű támadók (köznapi néven hackerek) az állami intézmények és (főként orosz) bankok mellett gyorsan rátaláltak a különböző (jellemzően szintén orosz) kritikus infrastruktúrához sorolt cégek Internetről elérhető ICS rendszereire és szépen, sorban elkezdték feltörni őket. Így a mai posztban az ilyen-olyan (háborúhoz kapcsolódó vagy attól - talán? - független) incidensek linkjei mögött a saját, témával kapcsolatos gondolataim lesznek olvashatóak.

Kibertámadás érte a Fehérorosz állami vasúttársaság rendszereit

Ransomware-támadás Nyugat-európai olajterminálok ellen:
SecurityAffairs
SecurityWeek

Zsaroló-vírus támadás érte a SwissPort repülőtér-üzemeltető cég rendszereit:
SecurityMagazine
SecurityWeek
Cyber Security Intelligence

VPNFilter, 2022-ben - új malware-t terjeszt a VPNFilter mögött álló (feltételezetten APT) csoport:
https://www.securityweek.com/new-cyclops-blink-malware-linked-russian-state-hackers-targets-firewalls

Ezek történtek 2022. január-februárban, majd jött az orosz-ukrán háború és számos ICS rendszert ért támadás. Ezzel kapcsolatban egy (közel sem teljes) lista:
- Nogir (gázipari cég Észak-Oszétiában)
- Az Orosz Tudományos Akadémia Nukleáris Biztonsági Kutatóintézete
- Újabb támadás érte a fehérorosz vasúti rendszereket, leállt a vasúti közlekedés (beleértve az orosz csapatok Fehéroroszország irányából, vasúton történő ukrajnai bevonulása is)
- Feltörték és leállították az orosz közlekedési rendszer hálózatát, nem lehetett vonat- és buszjegyeket venni
- Moszkvában benzinkutak rendszerein a támadók háborúellenes üzeneteket jelenítettek meg;
- Az orosz energiaszektorban számos ICS rendszert ért támadás;
- Bár (tudomásom szerint) nem érintettek ICS rendszereket, mégis fontos megemlíteni, hogy betörtek a Gazprom és a Rosatom rendszereibe is. Ezeknek a támadásoknak a pontos hatása nem ismert, de ha "csak" adatokat vittek el, már az is mélységesen aggasztó.
- Vagy az ukrajnai háborúhoz kapcsolódó incidens vagy nem, de kibertámadás érte a Toyota egyes beszállítóinak (GMB Corp., Kojima Industries) rendszereit, ezért leálltak a Toyota Japánban található üzemei (összesen 14 gyáregység).
CyberScoop
SecurityMagazine
The Register

A fentieken túl még számos más incidens volt, ezeket most gyűjteni is nehéz, nemhogy feldolgozni, utánanézni. Az egyik nagy közösségi média felületén szerveződött egy csoport (főleg) a háború kiberbiztonsági témáinak megvitatására (köszönet ezért Frész Ferinek és a csoport tagjainak), ott a tagok igyekeznek minden releváns információt megosztani, de ez még egy viszonylag nagy csoport számára is elég komoly feladat.

Ami pedig még inkább aggasztó szerintem, hogy mostantól várhatóan nem lesz olyan fegyveres konfliktus (és valószínűleg még az sem kell majd hozzá sok esetben), hogy különböző hátterű és motivációjú támadók (egyének vagy csoportok, hacktivistáktól a kiberbűnözőkön át az állami hátterű APT csoportokig) egyre bátrabban támadjanak kritikus infrastruktúrákat és ipari folyamatirányító rendszereket, hiszen most sokan kifejezetten drukkolnak az ATW/BlueHornet, NB65 és más neveken futó, ICS rendszereket támadó csoportoknak. Valószínűnek tartom, hogy ez a folyamat javulni nem, inkább csak romlani fog, vagyis az ICS rendszerek (eddig sem kicsi) kiberbiztonsági kockázatai csak romlani fognak, méghozzá gyorsan.

Mit lehet tenni ez ellen? Több, mint 6 éve írom ezt a blogot és kb. az első posztok egyikében már írtam arról (majd később még számtalanszor), hogy az első és legfontosabb az lenne, hogy az ipari folyamatirányításban használt rendszerek külső (publkus) hálózati kapcsolatait (Internet-kapcsolatait), ha lehetséges, az üzemeltetők számolják fel, ha pedig nem lehetséges, minimalizálják (fehérlistákkal) a legszükségesebbekre. A most látott, ICS rendszerek elleni támadások szinte mindegyikét megelőzhetőnek gondolnám, ha nem kötöttek volna SCADA és egyéb ICS rendszer komponenseket az Internetre. Tovább rontotta ezeknek a rendszereknek az ellenálló-képességét, hogy gyakran bizony gyári, alapértelmezett jelszavak használata is feltételezhető. Ezek olyan hibák, amik nem törvényszerűek, nem kötelező ilyen konfigurációval futtatni ezeket a rendszereket. Sajnos attól tartok, ezekből az esetekből sem a megfelelő következtetéseket és tanulságokat fogják levonni az illetékesek. Az orosz-ukrán háború ismét sokkal veszélyesebb hellyé tette a világunkat és nem csak a fegyveres harcok (pl. a zaporizzsjai atomerőmű elleni támadások) miatt - azok előbb vagy utóbb, így vagy úgy, de véget fognak érni. A megnövekedett ICS biztonsági kockázatok viszont hosszú távon velünk fognak maradni.

Az ICS kiberbiztonság témáját taglalva számos részterületről ejtünk szót ilyen-olyan gyakorisággal, az IT-OT konvergencia is népszerű téma, néha még az IT/IT biztonsági és OT mérnöki együttműködés is szóba kerül időnként, de az egyes cégek (hogy ne mondjam kritikus infrastruktúra-szervezetek) felsővezetőinek az ICS biztonságban betöltött szerepéről szinte soha nem lehet hallani/olvasni. Ezt a méltatlanul hanyagolt témát járja körbe a valamivel több, mint egy hete megjelent poszt a SeConSys blogján.

Bejelentés dátuma: 2022.02.15.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS Data Server (IGSSdataServer.exe) v15.0.0.22020-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Integer Overflow or Wraparound (CVE-2022-24310)/kritikus
- Path Traversal (CVE-2022-24311)/kritikus
- Path Traversal (CVE-2022-24312)/kritikus
- Classic Buffer Overflow (CVE-2022-24313)/kritikus
- Out-of-bounds Read (CVE-2022-24314)/súlyos
- Out-of-bounds Read (CVE-2022-24315)/súlyos
- Improper Initialization (CVE-2022-24316)/közepes
- Missing Authorization (CVE-2022-24317)/közepes
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-046-01

Bejelentés dátuma: 2022.02.17.
Gyártó: Moxa
Érintett rendszer(ek):
- MGate MB3170 sorozatú eszközök 4.2-es és korábbi firmware-verziói;
- MGate MB3270 sorozatú eszközök 4.2-es és korábbi firmware-verziói;
- MGate MB3280 sorozatú eszközök 4.1-es és korábbi firmware-verziói;
- MGate MB3480 sorozatú eszközök 3.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Channel Accessible by Non-Endpoint/nem ismert
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/mgate-mb3170-mb3270-mb3280-mb3480-protocol-gateways-vulnerability

Bejelentés dátuma: 2022.02.17.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, V2022.1.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2021-46162)/súlyos
- Stack-based Buffer Overflow (CVE-2021-46699)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-949188.pdf

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nemrég egy kiváló videósorozatot találtam a YouTube-on, ahol 26 darab, egyenként általában 5-10 perces videókban a folyamatautomatizálásban használt alapvető eszközök és fogalmak magyarázatait lehet megismerni (talán mondanom sem kell, természetesen angol nyelven, viszont könnyen érthető angolsággal és - szintén angol nyelvű - feliratozással).

Csak példaként néhány a sorozatban elérhető videókból:

- Mi a különbség a PLC és a DCS között?
- Kik a legjelentősebb PLC-gyártók?
- Hogyan kapcsolódnak a szenzorok a PLC-khez? (2 részben)
- Mi az az RTU?
- Mi az az HMI?
- Mi a különség a SCADA és az HMI között?

Lévén mindmáig a blog legolvasottabb posztja az ICS rendszerekkel kapcsolatos kifejezések gyűjteménye, talán ezek a bevezető videók is hasznosak lesznek azok számára, akik valamilyen módon az oldalon kötnek ki.

Bejelentés dátuma: 2022.02.08.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Drive vezérlő-család minden, v2.9.4-nél korábbi verziója;
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1200 CPU család (beleértve a SIPLUS változatokat is) 4.5.0-tól v4.5.2-ig terjedő verziói;
- SIMATIC S7-1500 CPU család (beleértve a ET200-as CPU-kat és a SIPLUS változatokat is) 2.9.2-től v2.9.4-ig terjedő verziói;
- SIMATIC S7-1500 Software Controller minden verziója;
- SIMATIC S7-PLCSIM Advanced minden verziója;
- TIM 1531 IRC (beleértve a SIPLUS változatokat is) 2.2-es és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Operation on a Resource after Expiration or Release (CVE-2021-37185)/súlyos
- Operation on a Resource after Expiration or Release (CVE-2021-37204)/súlyos
- Missing Release of Memory after Effective Lifetime (CVE-2021-37205)/súlyos
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.02.08.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS 7 v8.2 és korábbi változatainak minden verziója;
- SIMATIC PCS 7 v9.0 minden verziója;
- SIMATIC PCS 7 v9.1 minden, v9.1 SP1-nél korábbi verziója;
- SIMATIC WinCC v7.4 és korábbi változatainak minden verziója;
- SIMATIC WinCC v7.5 minden, v7.5 Update 6-nál korábbi verziója;
- SIMATIC WinCC v15 és korábbi változatainak minden verziója;
- SIMATIC WinCC v16 minden, v16 Update 5-nél korábbi verziója;
- SIMATIC WinCC v17 minden, v17 Update 2-nél korábbi verziója;
- SIMATIC WinCC v17 minden, v17 Update 2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-40360)/közepes
- Insertion of Sensitive Information into Externally-Accessible File or Directory (CVE-2021-40363)/közepes
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.02.08.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap v2020.2 minden verziója;
- Simcenter Femap v2021.1 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2021-46151)/súlyos
- Access of Resource Using Incompatible Type (CVE-2021-46152)/súlyos
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-46153)/súlyos
- Stack-based Buffer Overflow (CVE-2021-46154)/súlyos
- Stack-based Buffer Overflow (CVE-2021-46155)/súlyos
- Out-of-bounds Write (CVE-2021-46156)/súlyos
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-46157)/súlyos
- Stack-based Buffer Overflow (CVE-2021-46158)/súlyos
- Out-of-bounds Write (CVE-2021-46159)/súlyos
- Out-of-bounds Write (CVE-2021-46160)/súlyos
- Out-of-bounds Write (CVE-2021-46161)/súlyos
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.02.08.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEMA Remote Connect Server minden, v2.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Open Redirect (CVE-2022-23102)/közepes
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.02.08.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM TOOLBOX II minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2021-45106)/kritikus
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.02.08.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Spectrum Power 4 minden, v4.70 SP9 Security Patch 1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site scripting (CVE-2022-23312)/közepes
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.02.08.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden verziója;
- Solid Edge SE2021 minden, SE2021MP9-nél korábbi verzió;
- Solid Edge SE2022 minden, SE2022MP1-nél korábbi verzió;
- Teamcenter Visualization v12.4 minden verziója;
- Teamcenter Visualization v13.1 minden verziója;
- Teamcenter Visualization v13.1 minden, v13.1.0.8-nál korábbi verzió;
- Teamcenter Visualization v13.2 minden verziója;
- Teamcenter Visualization v13.3 minden verziója;
- Teamcenter Visualization v13.3 minden, v13.3.0.1-nál korábbi verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-38405)/súlyos
- Out-of-bounds Write (CVE-2021-43336)/súlyos
- Heap-based Buffer Overflow (CVE-2021-44000)/súlyos
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-44016)/ súlyos
- Out-of-bounds Read (CVE-2021-44018)/súlyos
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.02.08.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) minden verziója;
- RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) minden verziója;
- RUGGEDCOM ROX MX5000 minden verziója;
- RUGGEDCOM ROX MX5000RE minden verziója;
- RUGGEDCOM ROX RX1400 minden verziója;
- RUGGEDCOM ROX RX1500 minden verziója;
- RUGGEDCOM ROX RX1501 minden verziója;
- RUGGEDCOM ROX RX1510 minden verziója;
- RUGGEDCOM ROX RX1511 minden verziója;
- RUGGEDCOM ROX RX1512 minden verziója;
- RUGGEDCOM ROX RX1524 minden verziója;
- RUGGEDCOM ROX RX1536 minden verziója;
- RUGGEDCOM ROX RX5000 minden verziója;
- SCALANCE M804PB (6GK5804-0AP00-2AA2) minden verziója;
- SCALANCE M812-1 ADSL-Router (Annex A) (6GK5812-1AA00-2AA2) minden verziója;
- SCALANCE M812-1 ADSL-Router (Annex B) (6GK5812-1BA00-2AA2) minden verziója;
- SCALANCE M816-1 ADSL-Router (Annex A) (6GK5816-1AA00-2AA2) minden verziója;
- SCALANCE M816-1 ADSL-Router (Annex B) (6GK5816-1BA00-2AA2) minden verziója;
- SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) minden verziója;
- SCALANCE M874-2 (6GK5874-2AA00-2AA2) minden verziója;
- SCALANCE M874-3 (6GK5874-3AA00-2AA2) minden verziója;
- SCALANCE M876-3 (6GK5876-3AA02-2BA2) minden verziója;
- SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) minden verziója;
- SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) minden verziója;
- SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) minden verziója;
- SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) minden verziója;
- SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) minden verziója;
- SCALANCE S615 (6GK5615-0AA00-2AA2) minden verziója;
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE W721-1 RJ45 (6GK5721-1FC00-0AA0) minden verziója;
- SCALANCE W721-1 RJ45 (6GK5721-1FC00-0AB0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AA0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AB0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AC0) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AA0) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AA6) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AB0) minden verziója;
- SCALANCE W734-1 RJ45 (USA) (6GK5734-1FX00-0AB6) minden verziója;
- SCALANCE W738-1 M12 (6GK5738-1GY00-0AA0) minden verziója;
- SCALANCE W738-1 M12 (6GK5738-1GY00-0AB0) minden verziója;
- SCALANCE W748-1 M12 (6GK5748-1GD00-0AA0) minden verziója;
- SCALANCE W748-1 M12 (6GK5748-1GD00-0AB0) minden verziója;
- SCALANCE W748-1 RJ45 (6GK5748-1FC00-0AA0) minden verziója;
- SCALANCE W748-1 RJ45 (6GK5748-1FC00-0AB0) minden verziója;
- SCALANCE W761-1 RJ45 (6GK5761-1FC00-0AA0) minden verziója;
- SCALANCE W761-1 RJ45 (6GK5761-1FC00-0AB0) minden verziója;
- SCALANCE W774-1 M12 EEC (6GK5774-1FY00-0TA0) minden verziója;
- SCALANCE W774-1 M12 EEC (6GK5774-1FY00-0TB0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AA0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AA6) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AB0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AC0) minden verziója;
- SCALANCE W774-1 RJ45 (USA) (6GK5774-1FX00-0AB6) minden verziója;
- SCALANCE W778-1 M12 (6GK5778-1GY00-0AA0) minden verziója;
- SCALANCE W778-1 M12 (6GK5778-1GY00-0AB0) minden verziója;
- SCALANCE W778-1 M12 EEC (6GK5778-1GY00-0TA0) minden verziója;
- SCALANCE W778-1 M12 EEC (USA) (6GK5778-1GY00-0TB0) minden verziója;
- SCALANCE W786-1 RJ45 (6GK5786-1FC00-0AA0) minden verziója;
- SCALANCE W786-1 RJ45 (6GK5786-1FC00-0AB0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AA0) minden verziója;
- SCALANCE X204-2 (6GK5204-2BB10-2AA3) minden verziója;
- SCALANCE X204-2FM (6GK5204-2BB11-2AA3) minden verziója;
- SCALANCE X204-2LD (6GK5204-2BC10-2AA3) minden verziója;
- SCALANCE X204-2LD TS (6GK5204-2BC10-2CA2) minden verziója;
- SCALANCE X204-2TS (6GK5204-2BB10-2CA2) minden verziója;
- SCALANCE X206-1 (6GK5206-1BB10-2AA3) minden verziója;
- SCALANCE X206-1LD (6GK5206-1BC10-2AA3) minden verziója;
- SCALANCE X208 (6GK5208-0BA10-2AA3) minden verziója;
- SCALANCE X208PRO (6GK5208-0HA10-2AA6) minden verziója;
- SCALANCE X212-2 (6GK5212-2BB00-2AA3) minden verziója;
- SCALANCE X212-2LD (6GK5212-2BC00-2AA3) minden verziója;
- SCALANCE X216 (6GK5216-0BA00-2AA3) minden verziója;
- SCALANCE X224 (6GK5224-0BA00-2AA3) minden verziója;
- SCALANCE X302-7 EEC (2x 24V) (6GK5302-7GD00-2EA3) minden verziója;
- SCALANCE X302-7 EEC (2x 24V) (6GK5302-7GD00-2GA3) minden verziója;
- SCALANCE X302-7 EEC (2x 230V) (6GK5302-7GD00-4EA3) minden verziója;
- SCALANCE X302-7 EEC (2x 230V) (6GK5302-7GD00-4GA3) minden verziója;
- SCALANCE X302-7 EEC (24V) (6GK5302-7GD00-1EA3) minden verziója;
- SCALANCE X302-7 EEC (24V) (6GK5302-7GD00-1GA3) minden verziója;
- SCALANCE X302-7 EEC (230V) (6GK5302-7GD00-3EA3) minden verziója;
- SCALANCE X302-7 EEC (230V) (6GK5302-7GD00-3GA3) minden verziója;
- SCALANCE X304-2FE (6GK5304-2BD00-2AA3) minden verziója;
- SCALANCE X306-1LD FE (6GK5306-1BF00-2AA3) minden verziója;
- SCALANCE X307-2 EEC (2x 24V) (6GK5307-2FD00-2EA3) minden verziója;
- SCALANCE X307-2 EEC (2x 24V) (6GK5307-2FD00-2GA3) minden verziója;
- SCALANCE X307-2 EEC (2x 230V) (6GK5307-2FD00-4EA3) minden verziója;
- SCALANCE X307-2 EEC (2x 230V) (6GK5307-2FD00-4GA3) minden verziója;
- SCALANCE X307-2 EEC (24V) (6GK5307-2FD00-1EA3) minden verziója;
- SCALANCE X307-2 EEC (24V) (6GK5307-2FD00-1GA3) minden verziója;
- SCALANCE X307-2 EEC (230V) (6GK5307-2FD00-3EA3) minden verziója;
- SCALANCE X307-2 EEC (230V) (6GK5307-2FD00-3GA3) minden verziója;
- SCALANCE X307-3 (6GK5307-3BL00-2AA3) minden verziója;
- SCALANCE X307-3 (6GK5307-3BL10-2AA3) minden verziója;
- SCALANCE X307-3LD (6GK5307-3BM00-2AA3) minden verziója;
- SCALANCE X307-3LD (6GK5307-3BM10-2AA3) minden verziója;
- SCALANCE X308-2 (6GK5308-2FL00-2AA3) minden verziója;
- SCALANCE X308-2 (6GK5308-2FL10-2AA3) minden verziója;
- SCALANCE X308-2LD (6GK5308-2FM00-2AA3) minden verziója;
- SCALANCE X308-2LD (6GK5308-2FM10-2AA3) minden verziója;
- SCALANCE X308-2LH (6GK5308-2FN00-2AA3) minden verziója;
- SCALANCE X308-2LH (6GK5308-2FN10-2AA3) minden verziója;
- SCALANCE X308-2LH+ (6GK5308-2FP00-2AA3) minden verziója;
- SCALANCE X308-2LH+ (6GK5308-2FP10-2AA3) minden verziója;
- SCALANCE X308-2M (6GK5308-2GG00-2AA2) minden verziója;
- SCALANCE X308-2M (6GK5308-2GG10-2AA2) minden verziója;
- SCALANCE X308-2M PoE (6GK5308-2QG00-2AA2) minden verziója;
- SCALANCE X308-2M PoE (6GK5308-2QG10-2AA2) minden verziója;
- SCALANCE X308-2M TS (6GK5308-2GG00-2CA2) minden verziója;
- SCALANCE X308-2M TS (6GK5308-2GG10-2CA2) minden verziója;
- SCALANCE X310 (6GK5310-0FA00-2AA3) minden verziója;
- SCALANCE X310 (6GK5310-0FA10-2AA3) minden verziója;
- SCALANCE X310FE (6GK5310-0BA10-2AA3) minden verziója;
- SCALANCE X320-1 FE (6GK5320-1BD00-2AA3) minden verziója;
- SCALANCE X320-1-2LD FE (6GK5320-3BF00-2AA3) minden verziója;
- SCALANCE X408-2 (6GK5408-2FD00-2AA2) minden verziója;
- SCALANCE X-300 switch family (beleértve az X408 és SIPLUS NET változatokat is) minden verziója;
- SCALANCE XF201-3P IRT minden verziója;
- SCALANCE XF202-2P IRT minden verziója;
- SCALANCE XF204 (6GK5204-0BA00-2AF2) minden verziója;
- SCALANCE XF204 IRT minden verziója;
- SCALANCE XF204-2 (6GK5204-2BC00-2AF2) minden verziója;
- SCALANCE XF204-2BA IRT minden verziója;
- SCALANCE XF206-1 (6GK5206-1BC00-2AF2) minden verziója;
- SCALANCE XF208 (6GK5208-0BA00-2AF2) minden verziója;
- SCALANCE XR324-4M EEC (2x 100-240VAC/60-250VDC, ports on front) (6GK5324-4GG00-4ER2) minden verziója;
- SCALANCE XR324-4M EEC (2x 100-240VAC/60-250VDC, ports on front) (6GK5324-4GG10-4ER2) minden verziója;
- SCALANCE XR324-4M EEC (2x 100-240VAC/60-250VDC, ports on rear) (6GK5324-4GG00-4JR2) minden verziója;
- SCALANCE XR324-4M EEC (24V, ports on front) (6GK5324-4GG00-1ER2) minden verziója;
- SCALANCE XR324-4M EEC (24V, ports on front) (6GK5324-4GG10-1ER2) minden verziója;
- SCALANCE XR324-4M EEC (24V, ports on rear) (6GK5324-4GG00-1JR2) minden verziója;
- SCALANCE XR324-4M EEC (24V, ports on rear) (6GK5324-4GG10-1JR2) minden verziója;
- SCALANCE XR324-4M EEC (100-240VAC/60-250VDC, ports on front) (6GK5324-4GG00-3ER2) minden verziója;
- SCALANCE XR324-4M EEC (100-240VAC/60-250VDC, ports on front) (6GK5324-4GG10-3ER2) minden verziója;
- SCALANCE XR324-4M EEC (100-240VAC/60-250VDC, ports on rear) (6GK5324-4GG00-3JR2) minden verziója;
- SCALANCE XR324-4M EEC (100-240VAC/60-250VDC, ports on rear) (6GK5324-4GG10-3JR2) minden verziója;
- SCALANCE XR324-12M (24V, ports on front) (6GK5324-0GG00-1AR2) minden verziója;
- SCALANCE XR324-12M (24V, ports on front) (6GK5324-0GG10-1AR2) minden verziója;
- SCALANCE XR324-12M (24V, ports on rear) (6GK5324-0GG00-1HR2) minden verziója;
- SCALANCE XR324-12M (24V, ports on rear) (6GK5324-0GG10-1HR2) minden verziója;
- SCALANCE XR324-12M (230V, ports on front) (6GK5324-0GG00-3AR2) minden verziója;
- SCALANCE XR324-12M (230V, ports on front) (6GK5324-0GG10-3AR2) minden verziója;
- SCALANCE XR324-12M (230V, ports on rear) (6GK5324-0GG00-3HR2) minden verziója;
- SCALANCE XR324-12M (230V, ports on rear) (6GK5324-0GG10-3HR2) minden verziója;
- SCALANCE XR324-12M TS (24V) (6GK5324-0GG00-1CR2) minden verziója;
- SCALANCE XR324-12M TS (24V) (6GK5324-0GG10-1CR2) minden verziója;
- SIMATIC CP 1242-7 GPRS V2 (6GK7242-7KX31-0XE0) minden verziója;
- SIMATIC CP 1243-1 (6GK7243-1BX30-0XE0) minden verziója;
- SIMATIC CP 1243-7 LTE EU (6GK7243-7KX30-0XE0) minden verziója;
- SIMATIC CP 1243-7 LTE US (6GK7243-7SX30-0XE0) minden verziója;
- SIMATIC CP 1243-8 IRC (6GK7243-8RX30-0XE0) minden verziója;
- SIMATIC CP 1542SP-1 (6GK7542-6UX00-0XE0) minden verziója;
- SIMATIC CP 1543-1 (6GK7543-1AX00-0XE0) minden verziója;
- SIMATIC CP 1545-1 (6GK7545-1GX00-0XE0) minden verziója;
- SIMATIC PCS neo minden verziója;
- SIMATIC Process Historian OPC UA Server minden verziója;
- SIMATIC S7-1200 CPU family (beleértve a SIPLUS változatokat is) minden verziója;
- SINEC NMS minden verziója;
- SINEMA Remote Connect Server minden verziója;
- SINEMA Server V14 minden verziója;
- SINUMERIK Operate minden verziója;
- SIPLUS NET CP 1543-1 (6AG1543-1AX00-2XE0) minden verziója;
- SIPLUS S7-1200 CP 1243-1 (6AG1243-1BX30-2AX0) minden verziója;
- SIPLUS S7-1200 CP 1243-1 RAIL (6AG2243-1BX30-1XE0) minden verziója;
- TIA Administrator minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2021-3712)/súlyos
Javítás: Nincs információ
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-244969.pdf

Bejelentés dátuma: 2022.02.08.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) minden verziója;
- RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) minden verziója;
- SCALANCE M804PB (6GK5804-0AP00-2AA2) minden verziója;
- SCALANCE M812-1 ADSL-Router (Annex A) (6GK5812-1AA00-2AA2) minden verziója;
- SCALANCE M812-1 ADSL-Router (Annex B) (6GK5812-1BA00-2AA2) minden verziója;
- SCALANCE M816-1 ADSL-Router (Annex A) (6GK5816-1AA00-2AA2) minden verziója;
- SCALANCE M816-1 ADSL-Router (Annex B) (6GK5816-1BA00-2AA2) minden verziója;
- SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) minden verziója;
- SCALANCE M874-2 (6GK5874-2AA00-2AA2) minden verziója;
- SCALANCE M874-3 (6GK5874-3AA00-2AA2) minden verziója;
- SCALANCE M876-3 (6GK5876-3AA02-2BA2) minden verziója;
- SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) minden verziója;
- SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) minden verziója;
- SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) minden verziója;
- SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) minden verziója;
- SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) minden verziója;
- SCALANCE S615 (6GK5615-0AA00-2AA2) minden verziója;
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SIMATIC CP 1242-7 GPRS V2 (6GK7242-7KX31-0XE0) minden verziója;
- SIMATIC CP 1243-1 (6GK7243-1BX30-0XE0) minden verziója;
- SIMATIC CP 1243-7 LTE EU (6GK7243-7KX30-0XE0) minden verziója;
- SIMATIC CP 1243-7 LTE US (6GK7243-7SX30-0XE0) minden verziója;
- SIMATIC CP 1243-8 IRC (6GK7243-8RX30-0XE0) minden verziója;
- SIMATIC CP 1542SP-1 (6GK7542-6UX00-0XE0) minden verziója;
- SIMATIC CP 1542SP-1 IRC (6GK7542-6VX00-0XE0) minden verziója;
- SIMATIC CP 1543-1 (6GK7543-1AX00-0XE0) minden verziója;
- SIMATIC CP 1543SP-1 (6GK7543-6WX00-0XE0) minden verziója;
- SIMATIC CP 1545-1 (6GK7545-1GX00-0XE0) minden verziója;
- SINEMA Remote Connect Server (6GK1720-1AH01-0BV0) minden verziója;
- SIPLUS ET 200SP CP 1542SP-1 IRC TX RAIL (6AG2542-6VX00-4XE0) minden verziója;
- SIPLUS ET 200SP CP 1543SP-1 ISEC (6AG1543-6WX00-7XE0) minden verziója;
- SIPLUS ET 200SP CP 1543SP-1 ISEC TX RAIL (6AG2543-6WX00-4XE0) minden verziója;
- SIPLUS NET CP 1543-1 (6AG1543-1AX00-2XE0) minden verziója;
- SIPLUS S7-1200 CP 1243-1 (6AG1243-1BX30-2AX0) minden verziója;
- SIPLUS S7-1200 CP 1243-1 RAIL (6AG2243- 1BX30-1XE0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Integer Overflow or Wraparound (CVE-2021-41990)/súlyos
- Integer Overflow or Wraparound (CVE-2021-41991)/súlyos
Javítás: Nincs információ
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-539476.pdf

Bejelentés dátuma: 2022.02.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- spaceLYnk V2.6.2 és korábbi verziói;
- Wiser for KNX (korábbi nevén homeLYnk) V2.6.2 és korábbi verziói;
- fellerLYnk V2.6.2 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-22809)/kritikus
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-22810)/súlyos
- Cross-Site Request Forgery (CVE-2022-22811)/súlyos
- Cross-site Scripting (CVE-2022-22812)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-04

Bejelentés dátuma: 2022.02.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy P40 sorozatú eszközök Q, R és S Ethernet-változatainak minden PX4X firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-22813)/súlyos
- OpenSSL sérülékenységek (CVE azonosító nem elérhető)/súlyos
Javítás: Nincs információ
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-03

Bejelentés dátuma: 2022.02.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Harmony/Magelis iPC sorozatú termékek minden verziója;
- Vijeo Designer minden, V6.2 SP11 Multiple HotFix 4-nél korábbi verziója;
- Vijeo Designer Basic minden, V1.2.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Default Permissions (CVE-2021-22817)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-06

Bejelentés dátuma: 2022.02.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- ClearSCADA minden verziója;
- EcoStruxure Geo SCADA Expert 2019 minden verziója;
- EcoStruxure Geo SCADA Expert 2020 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-24318)/közepes;
- Improper Certificate Validation (CVE-2022-24319)/közepes;
- Improper Certificate Validation (CVE-2022-24320)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2022-24321)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-05

Bejelentés dátuma: 2022.02.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure EV Charging Expert (korábbi nevén EVlink Load Management System) alábbi változataink minden, SP8 (Version 01) V4.0.0.13-nál korábbi verziója:
- HMIBSCEA53D1EDB
- HMIBSCEA53D1EDS
- HMIBSCEA53D1EDM
- HMIBSCEA53D1EDL
- HMIBSCEA53D1ESS
- HMIBSCEA53D1ESM
- HMIBSCEA53D1EML
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Permissive Cross-domain Policy with Untrusted Domains (CVE-2022-22808)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2022-22807)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-02

Bejelentés dátuma: 2022.02.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS Data Server (IGSSdataServer.exe) V15.0.0.22020-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Integer Overflow or Wraparound (CVE-2022-24310)/kritikus;
- Improper Limitation of a Pathname to a Restricted Directory (CVE-2022-24311)/kritikus;
- Improper Limitation of a Pathname to a Restricted Directory (CVE-2022-24312)/kritikus;
- Buffer Copy without Checking Size of Input (CVE-2022-24313)/kritikus;
- Out-of-bounds Read (CVE-2022-24314)/súlyos;
- Out-of-bounds Read (CVE-2022-24315)/súlyos;
- Improper Initialization (CVE-2022-24316)/közepes;
- Missing Authorization (CVE-2022-24317)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-01

Bejelentés dátuma: 2022.02.11.
Gyártó: Moxa
Érintett rendszer(ek):
- EDR-810 sorozatú berendezések 5.9-es és korábbi firmware-verziói;
- EDR-G902 sorozatú berendezések 5.6-es és korábbi firmware-verziói;
- EDR-G903 sorozatú berendezések 5.6-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Hard-coded Credentials (CVE azonosító nem elérhető)/nem ismert
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/edr-g903-g902-810-secure-routers-vulnerability-(1)

Bejelentés dátuma: 2022.02.11.
Gyártó: Moxa
Érintett rendszer(ek):
- MXview 3.2.4-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2021-40390)/kritikus;
- Cleartext Transmission of Sensitive (CVE-2021-34550)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/mxview-network-management-software-vulnerabilities-(1)

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az egyes országok és kontinensek villamosenergia-ellátásának (tetszik, nem tetszik) megkerülhetetlen részét képezik a különböző atomerőművek. A nukleáris energia nemzetközi szabályozó hatósága, a Nemzetközi Atomenergia Ügynökség (International Atomic Energy Agency, IAEA) sok már terület mellett az atomenergia kiberbiztonságával is kiemelten foglalkozik, ennek legújabb példánya a 2021-ben kiadott, Computer Security for Nuclear Security címmel megjelent útmutatójuk.

A kiadványban részletekbe menő tanácsokat adnak a nukleáris létesítémények számítógépes rendszerei számára történő kiberbiztonsági programok és kontrollok fejlesztésével és bevezetésével kapcsolatban. Ezen túlmenően foglalkozik az egyes nemzetállamok és egyéb, atomenergiához kapcsolódó folyamatokban résztvevő szervezetek szerepeivel és felelősségeivel. Az IAEA útmutatója itt érhető el: https://www.iaea.org/publications/13629/computer-security-for-nuclear-security

Bejelentés dátuma: 2022.01.25.
Gyártó: GE Gas Power
Érintett rendszer(ek):
- ToolBoxST OS minden, 07.09.07C-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2021-44477)/súlyos
- Path Traversal (CVE-2018-16202)/közepes
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-025-01

Bejelentés dátuma: 2022.02.01.
Gyártó: Ricon Mobile
Érintett rendszer(ek):
- Ricon Industrial Cellular Router S9922XL 16.10.3-as verziója;
- Ricon Industrial Cellular Router S9922L 16.10.3-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-0365)/kritikus
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-032-01

Bejelentés dátuma: 2022.02.01.
Gyártó: Advantech
Érintett rendszer(ek):
- ADAM-3600 típusú RTU-k 2.6.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Cryptographic Key (CVE-2022-22987)/kritikus
Javítás: A gyártó jelenleg is dolgozik rajta
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-032-02

Bejelentés dátuma: 2022.02.03.
Gyártó: Airspan Networks
Érintett rendszer(ek):
- Mimosa by Airspan hálózatmenedzsment megoldások:
- MMP minden, v1.0.3-nál korábbi verziója;
- PTP C-sorozatú v2.8.6.1-nél korábbi eszköz-verziói;
- PTMP C-sorozatú és A5x típusú eszköz-verzióinak v2.5.4.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2022-21196)/kritikus
- Incorrect Authorization (CVE-2022-21141)/kritikus
- Server-side Request Forgery (CVE-2022-21215)/kritikus
- SQL Injection (CVE-2022-21176)/súlyos
- Deserialization of Untrusted Data (CVE-2022-0138)/súlyos
- OS Command Injection (CVE-2022-21143)/kritikus
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-21800)/közepes
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-034-02

Bejelentés dátuma: 2022.02.03.
Gyártó: Sensormatic Electronics (a Johnson Controls leányvállalata)
Érintett rendszer(ek):
- PowerManage 4.0-tól 4.8-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-44228)/kritikus
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-034-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.