A JBS elleni zsarolóvírus-támadás után néhányan, köztük Joe Weiss is eléggé hangsúlyosan kezdtek foglalkozni az élelmiszer-iparban használt ICS rendszerek biztonsági kérdéseivel. A foodprocessing.com weboldalon június végén Joe egy, a témával foglalkozó podcast-ben is kifejtette az ezzel kapcsolatos gondolatait.

Bejelentés dátuma: 2021.12.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- NMC2-vel szerelt AP7xxxx és AP8xxx Rack PDU-k v6.9.6-os és korábbi verziói;
- NMC3-mal szerelt AP7xxx és AP8xxx Rack PDU-k v1.1.0.3-as és korábbi verziói;
- NMC3-mal szerelt APDU9xxx Rack PDU-k v1.0.0.28-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting/közepes
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-348-02

Bejelentés dátuma: 2021.12.14.
Gyártó: Advantech
Érintett rendszer(ek):
- R-SeeNet monitoring alkalmazás 2.4.16-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- 23 db különböző SQL Injection sérülékenység/súlyos
- Improper Privilege Management/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-348-01

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter STAR-CCM+ Viewer minden, 2021.3.1-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write/súlyos
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siveillance Identity v1.5 minden verziója;
- Siveillance Identity v1.6 minden, v1.6.284.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2021-44522)/súlyos
- Exposure of Resource to Wrong Sphere (CVE-2021-44523)/súlyos
- Exposure of Resource to Wrong Sphere (CVE-2021-44524)/súlyos
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- ModelSim Simulation minden verziója;
- Questa Simulation minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficiently Protected Credentials/kritikus
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC eaSie PCS 7 Skill Package (6DL5424-0BX00-0AV8) minden, 21.00 SP3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal/közepes
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden, v13.2.0.5-nél korábbi verziója;
- Teamcenter Visualization minden, v13.2.0.5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-Bounds Write (CVE-2021-44001)/súlyos
- Out-of-Bounds Write (CVE-2021-44002)/súlyos
- Use of Uninitialized Variable/közepes
- Out-of-Bounds Read (CVE-2021-44004)/alacsony
- Out-of-Bounds Write (CVE-2021-44005)/súlyos
- Out-of-Bounds Write (CVE-2021-44006)/súlyos
- Off-by-One Error/alacsony
- Out-of-Bounds Read (CVE-2021-44008)/alacsony
- Out-of-Bounds Read (CVE-2021-44009)/alacsony
- Out-of-Bounds Read (CVE-2021-44010)/alacsony
- Out-of-Bounds Read (CVE-2021-44011)/alacsony
- Out-of-Bounds Read (CVE-2021-44012)/alacsony
- Out-of-Bounds Read (CVE-2021-44013)/alacsony
- Use-after-Free/súlyos
- Out-of-Bounds Read (CVE-2021-44015)/alacsony
- Out-of-Bounds Read (CVE-2021-44017)/alacsony
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- JT Utilities minden, v13.0.3.0-nál korábbi verziója;
- JTTK minden, v11.0.3.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write/súlyos
- Use after Free/súlyos
- Out-of-bounds Read/alacsony
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- POWER METER SICAM Q100 (7KG9501-0AA01-0AA1, 7KG9501-0AA01-2AA1, 7KG9501-0AA31-0AA1, 7KG9501-0AA31-2AA1) minden, v2.41-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow/kritikus
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Capital VSTAR minden, engedélyezett Ethernet interfésszel használt verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Access of Resource Using Incompatible Type/közepes
- Improper Validation of Specified Quantity in Input (CVE-2021-31345)/súlyos
- Improper Validation of Specified Quantity in Input (CVE-2021-31346)/súlyos
- Out-of-Bounds Read/súlyos
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-31882)/közepes
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-31883)/súlyos
- Improper Null Termination/súlyos
- Integer Underflow/súlyos
- Improper Handling of Inconsistent Structural Elements/súlyos
Javítás: Nincs információ, kockázatcsökkentő intézkedések érhetőek el.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINUMERIK Edge minden, 3.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Certificate Validation/súlyos
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Advantage Navigator Energy & Sustainability minden, 2021-12-13-nál korábbi verziója;
- Advantage Navigator Software Proxy minden verziója;
- Capital minden, 2019.1 SP1912-es és későbbi verziója, ha Teamcenter integration funkció engedélyezve van;
- Cerberus DMS V5.0 és V5.1 verziói, ha az Advanced Reporting EM telepítve van;
- Comos Desktop App minden verziója;
- Desigo CC V3.0, V4.0, V4.1 és V4.2 verziói, ha az Advanced Reporting EM telepítve van;
- Desigo CC V5.0 és V5.1 verziói, ha az Advanced Reporting vagy Info Center EM telepítve vannak;
- E-Car OC Cloud Application minden, 2021-12-13-nál korábbi verziója;
- Energy Engage V3.1 verziója;
- EnergyIP V8.5, V8.6, V8.7 és V9.0 verziói;
- EnergyIP Prepay V3.7 és V3.8 verziói;
- Enlighted Amaze minden, 2021-12-10-nél korábbi verziója;
- Enlighted Where minden, 2021-12-11-nél korábbi verziója;
- Geolus Shape Search V10 minden verziója;
- Geolus Shape Search V11 minden verziója;
- GMA-Manager: minden, V8.6.2j-398-as és újabb és V8.6.2-472-nél korábbi verziója;
- HES UDIS minden verziója;
- Industrial Edge Management App (IEM-App) minden verziója;
- Industrial Edge Management Hub minden, 2021-12-13-nál korábbi verziója;
- Industrial Edge Management OS (IEM-OS) minden verziója;
- Mendix Applications minden verziója;
- MindSphere App Management Cockpits (Developer&Operator) minden, 2021-12-16-nál korábbi verziója;
- MindSphere Asset Manager minden, 2021-12-16-nál korábbi verziója;
- Mindsphere Cloud Foundry minden, 2021-12-14-nél korábbi verziója;
- Mindsphere Cloud Platform minden, 2021-12-11-nél korábbi verziója;
- MindSphere IAM (User Management/ Settings) minden verziója;
- MindSphere Integrated Data Lake minden, 2021-12-16-nál korábbi verziója;
- MindSphere Notification Service minden, 2021-12-16-nál korábbi verziója;
- MindSphere Predictive Learning minden verziója;
- MindSphere Usage Transparency Service minden, 2021-12-16-nál korábbi verziója;
- MindSphere Visual Explorer minden verziója;
- NX minden verziója;
- Opcenter EX CP Process Automation Control minden, V17.2.3-nál újabb és V18.1-nél korábbi verziója;
- Opcenter Intelligence 3.2-es és újabb OEM verziói, amiket Tableau-val együtt szállítottak;
- Operation Scheduler V1.1.3 és újabb verziói;
- SENTRON powermanager V4 V4.1-es és V4.2-es verziói;
- SIGUARD DSA V4.2, V4.3 és V4.4-es verziói;
- Simcenter 3D összes, V2022.1-es és korábbi verziói;
- SiPass integrated V2.80 minden verziója;
- SiPass integrated V2.85 minden verziója;
- Siveillance Command V4.16.2.1-es és újabb verziói;
- Siveillance Control Pro összes verziója;
- Siveillance Identity V1.5 összes verziója;
- Siveillance Identity V1.6 összes verziója;
- Siveillance Vantage összes verziója;
- Solid Edge CAM Pro minden, Solid Edge SE 2020 vagy későbbi verzióval szállított példánya;
- Solid Edge Harness Design minden, 2020 SP2002-es és újabb verziója, ha a Teamcenter integration funkció használatban van;
- Spectrum Power™ 4 V4.70 SP8-as és újabb verziói;
- Spectrum Power™ 7 V2.30 SP2-es és újabb verziói;
- SPPA-T3000 SeS3000 Security Server (6DU7054-0H.00-..A0) minden verziója;
- Teamcenter V13.1-es és újabb verziói;
- Teamcenter Active Workspace V4.3-as és újabb verziói;
- Teamcenter Briefcase Browser V13.1-es és újabb verziói;
- Teamcenter Data Share Manager V13.1-es és újabb verziói;
- Teamcenter Deployment Center V3.1-es és újabb verziói;
- Teamcenter Dispatcher Service V11.3-as és újabb verziói;
- Teamcenter EDA:All versions >= V2.3-as és újabb verziói;
- Teamcenter FMS:All versions >= V11.3-as és újabb verziói;
- Teamcenter Integration Framework V13.2-es és korábbi verziói;
- Teamcenter MBSE Gateway V4.0 és újabb verziói;
- Teamcenter Mendix Connector V1.0
- Teamcenter Microservices Framework V5.1-es és újabb verziói;
- Teamcenter Polarion Integration V5.1-es és újabb verziói;
- Teamcenter Rapid Start V13.1-es és újabb verziói;
- Teamcenter Reporting and Analytics Java SOA kliensenk alapuló V11.3-as és újabb verziói;
- Teamcenter Requirements Integrator Java SOA kliensenk alapuló V11.3-as és újabb verziói;
- Teamcenter Retail Footwear and Apparel V4.3-as és újabb verziói;
- Teamcenter Security Services V11.3-as és újabb verziói;
- Teamcenter Supplier Collaboration V5.1-es és újabb verziói;
- Teamcenter System Modeling Workbench Java SOA kliensenk alapuló V11.3-as és újabb verziói;
- Teamcenter Technical Publishing V2.10-es és újabb verziói;
- VeSys minden, 2019.1 SP1912-es és újabb verziója, ha a Teamcenter integration funkció használatban van;
- Xpedition Enterprise VX.2.6-os és újabb verziói;
- Xpedition IC Packaging VX.2.6-os és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-44228)/kritikus
- Improper Input Validation (CVE-2021-44228)/kritikus
- Improper Input Validation (CVE-2021-45046)/alacsony (csak az SPPA-T3000 SeS3000 Security Server-t érintő sérülékenység)
Javítás: Egyes érintett termékeknél igen (részletek a Siemens ProductCERT publikációjában található)
Linkek a publikációkhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-661247.pdf
https://cert-portal.siemens.com/productcert/pdf/ssa-714170.pdf

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC ITC1500 V3 minden, V3.2.1.0-nál korábbi verziója;
- SIMATIC ITC1500 V3 PRO minden, V3.2.1.0-nál korábbi verziója;
- SIMATIC ITC1900 V3 minden, V3.2.1.0-nál korábbi verziója;
- SIMATIC ITC1900 V3 PRO minden, V3.2.1.0-nál korábbi verziója;
- SIMATIC ITC2200 V3 minden, V3.2.1.0-nál korábbi verziója;
- SIMATIC ITC2200 V3 PRO minden, V3.2.1.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2017-18922)/kritikus
- Out-of-bounds Write (CVE-2018-20019)/kritikus
- Out-of-bounds Write (CVE-2018-20748)/kritikus
- Out-of-bounds Write (CVE-2018-20749)/kritikus
- Out-of-bounds Write (CVE-2018-20750)/kritikus
- Exposure of Sensitive Information to an Unauthorized Actor/súlyos
- Improper Initialization/súlyos
- Integer Overflow or Wraparound (CVE-2019-15690)/kritikus
- Integer Overflow or Wraparound (CVE-2019-20788)/kritikus
- Buffer Copy without Checking Size of Input (‘Classic Buffer Overflow’)/súlyos
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2019-20840)/súlyos
- NULL Pointer Dereference (CVE-2020-14396)/súlyos
- NULL Pointer Dereference (CVE-2020-14397)/súlyos
- Loop with Unreachable Exit Condition (‘Infinite Loop’)/súlyos
- Integer Overflow or Wraparound (CVE-2020-14401)/közepes
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2020-14402)/közepes
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2020-14403)/közepes
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2020-14404)/közepes
- Allocation of Resources Without Limits or Throttling/közepes
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-390195.pdf

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SiPass integrated V2.76 minden verziója;
- SiPass integrated V2.80 minden verziója;
- SiPass integrated V2.85 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2021-44522)/súlyos
- Exposure of Resource to Wrong Sphere (CVE-2021-44523)/súlyos
- Exposure of Resource to Wrong Sphere (CVE-2021-44524)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-160202.pdf

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Teamcenter Active Workspace V4.3 minden, V4.3.11-nél korábbi verziója;
- Teamcenter Active Workspace V5.0 minden, V5.0.10-nél korábbi verziója;
- Teamcenter Active Workspace V5.1 minden, V5.1.6-nál korábbi verziója;
- Teamcenter Active Workspace V5.2 minden, V5.2.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal/közepes
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-133772.pdf

Bejelentés dátuma: 2021.12.16.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GX Works2 1.606G és korábbi verziói;
- MELSOFT Navigator minden verziója;
- EZSockdet minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read/közepes
- Integer Underflow/közepes
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-05

Bejelentés dátuma: 2021.12.16.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GX Works2 1.606G és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Handling of Length Parameter Inconsistency/közepes
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-04

Bejelentés dátuma: 2021.12.16.
Gyártó: Wibu-Systems AG
Érintett rendszer(ek):
- CodeMeter Runtime minden, 7.30a-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-03

Bejelentés dátuma: 2021.12.16.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft 1.01.30-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-02

Bejelentés dátuma: 2021.12.16.
Gyártó: Xylem
Érintett rendszer(ek):
- AquaView (SCADA rendszer) 1.60, 7.x és 8.x verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials/kritikus
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

2021-ben ismét nagy számú, különböző ipari szektorokban tevékenykedő céget ért súlyos kiberbiztonsági incidens, ezekből választott három olyan Daniel Dos Santos, a Forescout munkatársa a HelpnetSecurity.com-on megjelent cikkében, amik fontos tanulságokkal szolgálhatnak mindenkinek, aki folyamatvezérlő rendszerek kiberbiztonságával foglalkozik.

Az első a Colonial Pipeline elleni támadás, amiről én is írtam és ami talán a legnagyobb visszhangot keltett ICS biztonsági esemény volt 2021-ben (bár még van nem egész két hét az évből, szóval talán kicsit korai ez a kijelentésem). A Colonial Pipeline-incidens legnagyobb tanulsága, hogy a folyamatirányító rendszerek esetén egyre fontosabb a megfelelő hálózat-szegmentálás. Sajnos ez itthon és a világban is létező probléma, OT hálózatok esetén nem meglepő, ha egyetlen, ún. flat network-öt találunk, ahol a különböző SCADA/DCS szerverek és munkaállomások ugyanabban a hálózati zónában találhatóak, mint az RTU-k, PLC-k, és egyéb berendezések. Pedig a megoldás alapjául szolgáló Purdue-modellre alapozó biztonságos ICS architektúra-modellek (akár már az Ipari 4.0/ipari IoT/ipari felhőmegoldásokkal felturbózott változatok is) nagyon régen és szabadon elérhetőek. Persze önmagában ez sem fogja megoldani az adott szervezet ICS biztonsági problémáit, csak egy jó alapot adnak, amire az IT és OT hálózati és biztonsági szakemberek már elkezdhetik felépíteni a saját architektúrájukhoz illeszkedő egyedi megoldásaikat. A Colonial Pipeline-incidens másik tanulsága, hogy végképp leáldozott az egyfaktoros (felhasználónév-jelszó-alapú) azonosítást használó VPN-megoldásoknak, ezeket egyszerűen már nem tekinthetjük biztonságosnak, ezek helyett szükséges minimálisan 2 vagy többfaktoros authentikációt használni a távoli hozzáférések esetén.

A második az Oldsmar-i viziközmű cég elleni támadás Floridában, ahol a támadó(k) az ivóvízhez adagolt vegyszer mennyiségét is képesek voltak megváltoztatni. Ugyan a vízmű egyik dolgozója időben felismerte az illetéktelen módosítást és meg tudta előzni, hogy komolyabb baj legyen, az eset vizsgálata rámutatott arra, hogy mennyire fontos a különböző, távoli hozzáférésre használható protokollok és szoftverek (SSH, RDP, VNC különböző változatai, stb.) megfelelő monitorozása és ebben az esetben is előkerült a biztonságos távoli hozzáférés és hálózat-szegmentálás kérdései (a támadó VNC kapcsolaton keresztül jutott be a vízmű egyik Windows 7-et futtató, közvetlenül az Internetről elérhető munkaállomására, ahol már képes volt hozzáférni az ivóvízhez adagolt vegyszerek vezérlését végző rendszerhez). Megfelelő hálózat-szegmentálás, biztonságos és megfelelően monitorozott távoli hozzáférések kialakítása, nem lehet eleget hangsúlyozni ezek fontosságát.

A harmadik eset júliusban történt, amikor támadók bejutottak az iráni állami vasúttársaság IT rendszereibe és egy MeteorExpress-nek elnevezett malware-t terjesztettek szét a rendszerekben. A hivatkozott cikk szerint ez az eset a beszállítói lánc kezelésével kapcsolatos ICS biztonsági kockázatok kiváló példája, bár erre szerintem még 2021-ben is a 2020 végén kipattant SolarWinds-incidens a legjobb és minden érintett számára a leginkább érthető példa.

Bejelentés dátuma: 2021.12.07.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú CMU eszközök 12.4.X firmware-verziói;
- RTU500 sorozatú CMU eszközök 12.6.X firmware-verziói;
- RTU500 sorozatú CMU eszközök 12.7.X firmware-verziói;
- RTU500 sorozatú CMU eszközök 13.0.X firmware-verziói;
- RTU500 sorozatú CMU eszközök 13.1.X firmware-verziói;
- RTU500 sorozatú CMU eszközök 13.2.1 firmware-verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion/súlyos
- Reachable Assertion/súlyos
Javítás: Elérhető (a 12.4.X firmware-verziók javítása 2022. januárban fog megjelennni)
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-341-01

Bejelentés dátuma: 2021.12.07.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- XMC20 minden, R15A-nál korábbi verziója;
- FOX61x minden, R15A-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Weak Password Requirements/kritikus
- Missing Handler/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-341-02

Bejelentés dátuma: 2021.12.07.
Gyártó: FANUC
Érintett rendszer(ek):
- R-30iA, R-30iA Mate; v7: v7.20, v7.30, v7.40, v7.43, v7.50, v.7.63, v7.70;
- R-30iB, R-30iB Mate, R-30iB Compact; v8: v8.10, v8.13, v8.20, v8.23, v8.26, v8.30, v8.33, v8.36;
- R-30iB Plus, R-30iB Mate Plus, R-30iB Compact Plus, R-30iB Mini Plus; v9: v9.10, v9.13, v9.16, v9.30, v9.36, v9.40;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Integer Coercion Error/súlyos
- Out-of-bounds Write/súlyos
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-243-02

Bejelentés dátuma: 2021.12.09.
Gyártó: Hillrom
Érintett rendszer(ek):
- Welch Allyn Q-Stress Cardiac Stress Testing System 6.0.0-tól 6.3.1-ig terjedő verziói;
- Welch Allyn X-Scribe Cardiac Stress Testing System 5.01-tól 6.3.1-ig terjedő verziói;
- Welch Allyn Diagnostic Cardiology Suite 2.1.0 verziója;
- Welch Allyn Vision Express 6.1.0-tól 6.4.0-ig terjedő verziói;
- Welch Allyn H-Scribe Holter Analysis System 5.01-tól 6.4.0-ig terjedő verziói;
- Welch Allyn R-Scribe Resting ECG System 5.01-tól 7.0.0-ig terjedő verziói;
- Welch Allyn Connex Cardio 1.0.0-tól 1.1.1-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel/súlyos
Javítás: A gyártó jelenleg is dolgozik a javított verziókon.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-21-343-01

Bejelentés dátuma: 2021.12.09.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- GMS600 1.2.0 verziója;
- GMS600 1.3.0 verziója;
- GMS600 1.3.1.0 verziója;
- PWC600 1.1.0.0 verziója;
- PWC600 1.1.0.1 verziója;
- PWC600 1.0.1.0 verziója;
- PWC600 1.0.1.1 verziója;
- PWC600 1.0.1.3 verziója;
- PWC600 1.0.1.4 verziója;
- Relion 670/650 sorozatú eszközök 2.2.0 összes revíziója;
- Relion 670/650/SAM600-IO sorozatú eszközök 2.2.1 összes revíziója;
- Relion 670 sorozatú eszközök 2.2.2 összes revíziója;
- Relion 670 sorozatú eszközök 2.2.3 összes revíziója a 2.2.3.4-ig terjedően;
- Relion 670/650 sorozatú eszközök 2.2.4 összes revíziója;
- Relion 670/650/SAM600-IO sorozatú eszközök 2.2.5 összes revíziója a 2.2.5.1-ig terjedően;
- Relion 670/650 sorozatú eszközök 2.1 összes revíziója;
- Relion 670 sorozatú eszközök 2.0 összes revíziója;
- Relion 650 sorozatú eszközök 1.3 összes revíziója;
- Relion 650 sorozatú eszközök 1.2 összes revíziója;
- Relion 650 sorozatú eszközök 1.1 összes revíziója;
- Relion 650 sorozatú eszközök 1.0 összes revíziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Controls/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-343-01

Bejelentés dátuma: 2021.12.09.
Gyártó: WECON
Érintett rendszer(ek): LeviStudioU (HMI programozáshoz használt szoftver) 2019-09-21-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow/súlyos
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-343-02

Továbbá nagyon úgy tűnik, hogy a múlt hét pénteken nyilvánosságra került (és az elmúlt napokban sok kollégát minden másnál jobban foglalkoztató) Log4j sérülékénység az OT rendszereket sem hagyja érintetlenül, erről a Dragos publikációjában írnak részletesebben.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nemrég még az indiai kritikus infrastruktúrák elleni APT-támadásokról írtam, október közepén pedig már olyan hírek jelentek meg, hogy az indiai kormány Energiaügyi Minisztériuma (Power Ministry) és az ország illetékes hatósága (Central Electricity Authority, CEA) a “Central Electricity Authority (Technical Standards for Connectivity to the Grid) (Amendment) Regulations, 2019” című dokumentumba illesztve adott ki útmutató (guidelines), amivel azonban a fejleményről hírt adó TrendMicro szerint minden indiai villamosenergia-szektorban működő cégnek meg kell felelnie. A villamosenergia-szektor cégein túl a velük kapcsolatban álló rendszerintegrátorok, gyártók, beszállítók és szolgáltatók felé is elvárás az új követelményrendszerben megfogalmazottaknak történő megfelelés.

Érdekes látni, hogy szinte minden (magát komolyan vevő) ország vezetésének kell legalább egy súlyosabb incidens ahhoz, hogy lépjenek a kritikus infrastruktúráik kibervédelme terén. Persze a kérdés ebben az esetben is az, hogy vajon a most megfogalmazott elvárások teljesítését ki, hogyan és mikor fogja (fogja-e) ellenőrizni?

Bejelentés dátuma: 2021.11.30.
Gyártó: Xylem
Érintett rendszer(ek): AADI GeoView Webservice webes adatmegjelenítő v2.1.3-nál korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-334-01

Bejelentés dátuma: 2021.11.30.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-R sorozat R00/01/02CPU típusú eszközeinek 24-es és korábbi firmware-verziói;
- MELSEC iQ-R sorozat R04/08/16/32/120(EN)CPU típusú eszközeinek 57-es és korábbi firmware-verziói;
- MELSEC iQ-R sorozat R08/16/32/120SFCPU típusú eszközök minden verziója;
- MELSEC iQ-R sorozat R08/16/32/120PCPU típusú eszközeinek 29-es és korábbi firmware-verziói;
- MELSEC iQ-R sorozat R08/16/32/120PSFCPU típusú eszközök minden verziója;
- MELSEC iQ-R sorozat R16/32/64MTCPU típusú eszközök minden verziója;
- MELSEC iQ-R sorozat R12CCPU-V típusú eszközök minden verziója;
- MELSEC Q sorozat Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU típusú eszközök minden verziója;
- MELSEC Q sorozat Q03/04/06/13/26UDVCPU típusú eszközök 23071-es és korábbi sorozatszámú eszközök közül az első 5 számjegy szerint;
- MELSEC Q sorozat Q04/06/13/26UDPVCPU típusú eszközök 23071-es és korábbi sorozatszámú eszközök közül az első 5 számjegy szerint;
- MELSEC Q sorozat Q12DCCPU-V, Q24DHCCPU-V(G), Q24/26DHCCPU-LS típusú eszközök minden verziója;
- MELSEC Q sorozat MR-MQ100 típusú eszközök minden verziója;
- MELSEC Q sorozat Q172/173DCPU-S1, Q172/172DSCPU típusú eszközök minden verziója;
- MELSEC Q sorozat Q170MCPU, Q170MSCPU(-S1) típusú eszközök minden verziója;
- MELSEC L sorozat L02/06/26CPU(-P), L26CPU-(P)BT típusú eszközök minden verziója;
- MELIPC sorozat MI5122-VW típusú eszközök minden verziója.
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption/súlyos
- Improper Handling of Length Parameter Inconsistency/súlyos
- Improper Input Validation/súlyos
Javítás: Részben már elérhető, részben a jövőben várható
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-334-02

Bejelentés dátuma: 2021.11.30.
Gyártó: Delta Electronics
Érintett rendszer(ek): CNCSoft szoftvermenedzsment platform 1.01.30-as és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-334-03

Bejelentés dátuma: 2021.11.30.
Gyártó: Johnson Controls
Érintett rendszer(ek): CEM Systems AC2000 minden 10.6-nál korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Off-by-one Error/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-334-04

Bejelentés dátuma: 2021.11.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Retail Operations 5.7.3-as és korábbi verziói;
- Counterparty Settlement and Billing (CSB) 5.7.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-334-05

Bejelentés dátuma: 2021.12.02.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric Software Update v2.3.0-tól v2.5.1-ig terjedő verziói, amit egyebek mellett az alábbi termékekben használnak:
- EcoStruxure Augmented Operator Advisor;
- EcoStruxure Control Expert (korábbi nevén Unity Pro);
- EcoStruxure Process Expert (korábbi nevén EcoStruxure Hybrid Distributed Control System);
- EcoStruxure Machine Expert (korábbi nevén SoMachine or SoMachine Motion);
- EcoStruxure Machine Expert Basic;
- EcoStruxure Operator Terminal Expert;
- EcoStruxure Plant Builder;
- EcoStruxure Power Design;
- EcoStruxure Automation Expert;
- EcoStruxure Automation Maintenance Expert;
- Eurotherm Data Reviewer;
- Eurotherm iTools;
- eXLhoist Configuration Software;
- Schneider Electric Floating License Manager;
- Schneider Electric License Manager;
- Harmony XB5SSoft;
- SoMove;
- Versatile Software BLUE;
- Vijeo Designer;
- OsiSense XX Configuration Software;
- Zelio Soft 2;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Entropy/alacsony
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-01

Bejelentés dátuma: 2021.12.02.
Gyártó: Johnson Controls
Érintett rendszer(ek): Entrapass minden, 8.40-esnél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-02

Bejelentés dátuma: 2021.12.02.
Gyártó: Distributed Data Systems
Érintett rendszer(ek): WebHMI SCADA rendszer 4.1-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Primary Weakness/kritikus
- Unrestricted Upload of File with Dangerous Type/kritikus
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-03

Bejelentés dátuma: 2021.12.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú CMU eszközök 12.0 minden firmware-verziója;
- RTU500 sorozatú CMU eszközök 12.2 minden firmware-verziója;
- RTU500 sorozatú CMU eszközök 12.4 minden firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-04

Bejelentés dátuma: 2021.12.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Relion 670/650 sorozatú eszközök 2.2.0 verziójának minden revíziója;
- Relion 670/650/SAM600-IO sorozatú eszközök 2.2.1 verziójának minden revíziója;
- Relion 670 series sorozatú eszközök 2.2.2 verziójának minden revíziója;
- Relion 670 series sorozatú eszközök 2.2.3-tól 2.2.3.3-ig terjedő verzióinak minden revíziója;
- Relion 670/650 sorozatú eszközök 2.2.4 verziójának minden revíziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insecure Default Initialization of Resource/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-05

Bejelentés dátuma: 2021.12.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- APM Edge Version 1.0
- APM Edge Version 2.0
- APM Edge Version 3.0
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Különböző harmadik féltől származó modulokból eredő sérülékenységek (összesen 29 sérülékenység, 1 kritikus, 10 súlyos, 17 közepes és egy alacsony besorolással)
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-06

Bejelentés dátuma: 2021.12.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek): PCM600 Update Manager következő verzió 2.1, 2.1.0.4, 2.2, 2.2.0.1, 2.2.0.2, 2.2.0.23, 2.3.0.60, 2.4.20041.1 és 2.4.20119.2
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Certificate Validation/közepes
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-07

Bejelentés dátuma: 2021.12.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú CMU eszközök 11.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 12.0.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 12.2.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 12.4.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 12.6.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 12.7.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 13.0.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 13.1.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 13.2.1 verziójú firmware-je;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Discrepancy/alacsony
- Buffer Over-read/közepes
- Out-of-bounds Read/súlyos
Javítás: Egyes érintett verziókhoz elérhető, a 12.0.* verziókhoz várhatóan 2022. februárban fogják kiadni a javítást. A 11.* verziókhoz javítás nem készül, mivel ez a főverzió már nem rendelkezik gyártói támogatással.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-08

Bejelentés dátuma: 2021.11.23.
Gyártó: Moxa
Érintett rendszer(ek): NPort IAW5000A-I/O sorozatú eszközök 1.2-es és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of a Hard-coded Cryptographic Key in Firmware/nem ismert
- Exposure of Sensitive Information to an Unauthorized Actor/nem ismert
- Use of Hard-coded Cryptographic Key in Program Module/nem ismert
- Use of Platform-dependent Third-party Components With vulnerabilities/nem ismert
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/nport-iaw5000a-io-serial-device-servers-vulnerabilities-(1)

Bejelentés dátuma: 2021.11.23.
Gyártó: Moxa
Érintett rendszer(ek):
ioLogik E2200 sorozatú eszközök 3.13-as és korábbi firmware-verziói;
ioAdmin Configuration Utility 3.19-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
ioLogik E2200 sorozatú eszközök:
- Improper Authentication/nem ismert
- Use of Client-side Authentication/nem ismert
- Use of Hard-coded Password/nem ismert
- Improper Access Control/nem ismert
- Stack-based Buffer Overflow/nem ismert
- Buffer Copy Without Checking Size of Input/nem ismert
- Stack-based Buffer Overflow/Improper Authorization/nem ismert
- Stack-based Buffer Overflow/Improper Authorization/nem ismert
- Stack-based Buffer Overflow/Improper Authorization/nem ismert
ioAdmin Configuration Utility:
- Weak Password Requirements/nem ismert
- Improper Restriction of Excessive Authentication Attempts/nem ismert
- Cleartext Storage of Sensitive Information in Memory/nem ismert
Javítás: Egyes sérülékenységeket javító újabb verziók már elérhetőek
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/iologik-e2200-ioadmin-configuration-utility-vulnerabilities

Bejelentés dátuma: 2021.11.23.
Gyártó: Moxa
Érintett rendszer(ek):
- ioPAC 8500-2-RJ45-IEC-T 1.4-es és korábbi firmware-verziói;
- ioPAC 8500-2-M12-IEC-T 1.4-es és korábbi firmware-verziói;
- ioPAC 8600-CPU30-M12-IEC-T 1.2-es és korábbi firmware-verziói;
- ioPAC 8600-CPU30-RJ45-IEC-T 1.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Relative path traversal/nem ismert
- Cleartext transmission of sensitive information/nem ismert
- Use of hard-coded cryptographic key/nem ismert
- Unprotected storage of credentials/nem ismert
Javítás: Jelenleg nem elérhető, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/iopac-8500-and-iopac-8600-series-iec-models-controllers-vulnerabilities

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az elmúlt hónapokban ismét több cikk került elém a tengerhajózás kiberbiztonsági kockázatairól és ezek bizony azt mutatják nekem, hogy (hasonlóan más iparágakhoz), jelenleg a tengeri szállítmányozás (és nem utolsó sorban a COViD-19 miatt kisebb részben a tengeri utazás) területén van egyfajta feleszmélés és rácsodálkozás a kiberbiztonsági kockázatokra. Ahogy az újabb és újabb cikkek napvilágra kerülnek, úgy válik egyre nyilvánvalóbbá, hogy ez az iparág sem mentes az olyan kockázatoktól, amiket a különböző közműszolgáltatók esetén már-már meg is szoktunk. Egy dolog viszont mindenképp újdonság: a járvány, majd az azt követő gazdasági felívelés során elég rendesen szétzilálódtak a korábban már alapértelmezettnek tekintett (és főként a tengeri teherszállításra alapozott) ellátási láncok. Láttuk, milyen hatása volt a Szuezi-csatornát eltorlaszoló egyetlen konténerszállító hajónak, ha ehhez mérjük a nagy teherszállító hajók kiberbiztonsági kitettségéből adódó kockázatokat, máris láthatjuk, hogy egyáltalán nem elhanyagolható dolgokról beszélünk.

A Cybersecurity Intelligence cikke a Kikötők Nemzetközi Szervezete (International Association of Ports and Harbors’ - IAPH) által kiadott kiberbiztonsági útmutató kapcsán és a 2017-es NotPetya-támadás Maersk-re gyakorolt súlyos hatásokat felemlegetve írt arról, mire is lenne szüksége a szektornak a témában.

Az IBM SecurityIntelligence.com cikke a tengerhajózás IT-kitettsége mellett arról is ír, hogy az egyre nagyobb fokú IT-függőség ellenére a legtöbb tengerjáró hajón nincsenek IT szakemberek (IT biztonsági szakértőkről pedig már ne is álmodjunk). Ezeket a tényezőket is figyelembe véve nem lehet túlságosan meglepő, hogy a tengerhajózás területén is egyre nő a kibertámadások száma (kíváncsi leszek, mikor találják meg ezeket a személy- és teherszállító hajókat vezérlő rendszereket a zsarolóvírusokkal operáló kiberbűnözői csoportok - képzeljük csak el, mi történne, ha egy nagy tengerjáró utasszállító hajó rendszereit akkor titkosítja egy ransomware, amikor több száz vagy éppen ezer utas tartózkodik a fedélzeten? Vajon melyik hajótársaság nem fog fizetni egy ilyen helyzetben?).

Az IBM szerint az alábbi intézkedésekkel lehet elfogadható szintre csökkenteni a tengerhajózási szektor kiberbiztonsági kockázatait:

- A lehetséges fenyegetések és sérülékenységek azonosítása;
- Kiberbiztonsági akcióterv elindítása a tengerhajózási szektorra szabva;
- Kiberbiztonsági képzések a hajók legénysége és a szektor cégeinél dolgozó egyéb alkalmazottak számára;
- Az üzletmenet-folytonossági tervek kiegészítése a kiberbiztonsági incidensek kezelésére vonatkozó fejezetekkel.

A témát mindenképpen nagyon érdekesnek tartom, bár ez éppenséggel talán nem érinti olyan nagyon közelről a hazai helyzetet (kivéve természetesen a szektorban dolgozó honfitársainkat, őket viszont annál inkább érinthetik a tengerhajózás kiberbiztonsági kérdései).

Az utóbbi időben kevesebb energiám volt a blogon naprakész posztokban beszámolni a különböző, ICS biztonsági incidensekről, de nem szeretném, ha ezekről egyáltalán nem esne szó, ezért arra az elhatározásra jutottam, hogy új sorozat indul, amiben az adott hónapban bekövetkezett, ICS rendszereket illetve ipari szervezeteket/kritikus infrastruktúrákat érintő kiberbiztonsági incidenseket fogok összegyűjteni. Aztán ha lesz olyan hónap (bár ebben egyre kevésbé hiszek, de majd meglátjuk, jó lenne, ha tévednék), amikor nem jelennek meg információk ilyen incidensekről, akkor egyszerűen nem lesz újabb része ennek a blogposzt-sorozatnak.

Az első rész rögtön két hónapot (2021. októbert és novembert) fog lefedni.

Irán kibertámadásra hivatkozik az üzemanyag-ellátási zavarok okaként

Október végén érkezett a hír a SecurityWeek.com-on illetve a CyberSecurityIntelligence.com-on, ami szerint az Iránban tapasztalt üzemanyag-ellátási problémák hátterében a kormány kibertámadás nyomait találta. Az incidens természetéről nem nagyon vannak információk, így azt sem tudjuk egyelőre, hogy milyen jellegű támadásról van szó és az állami olajvállalat mely rendszereit érintette, volt-e a célpontok között ICS rendszer. Az viszont biztos, hogy súlyos incidensről lehetett szó, mert bár a nemzeti olajtársaság gyorsan megkezdte az üzemzavar utáni helyreállítási munkákat, de több, mint egy nappal később még mindig nem csillapodtak az incidens hatására kialakult ellátási zavarok (ahogy erről a másnapi SecurityWeek cikkben írnak).

Kibertámadás érhette az iráni Mahan Air egyes rendszereit

Még mindig Irán, november 22-én érkezett a hír, hogy az atomprogram miatt hosszú ideje nemzetközi embargó által sújtott iráni légközlekedési szektor egyik, Európában is ismert cége, a Mahan Air szenvedhetett kiberbiztonsági incidenst a hírek szerint.

A támadásért egy magát “Hooshyarane Vatan”-nak nevezett csoport vállalt felelősséget. Érdekessége az esetnek, hogy ennek kapcsán az iráni Fars hírügynökség úgy fogalmazott, hasonló támadások már sokszor érték a Mahan Airt, akik állítják, hogy a támadást gyorsan elhárították és nem volt hatással a cég működésére vagy a járataik indulására illetve érkezésére.

Zsarolóvírus-támadás érte a Toronto-i tömegközlekedési vállalat egyes rendszereit

Még október végén érte ransomware-támadás Toronto tömegközlekedési vállalatának, az Ann Arbor Area Transportation Authority-nek (ismertek még a TheRide néven is) rendszereit. A támadásnak nem volt közvetlen hatása a forgalomirányításra, de a járművezetőkkel történő kommunikációra, utazástervezésre, használt rendszereket, utasinformációs rendszereket és a vállalat belső levelezőrendszerét érintette a támadás.

Az incidenssel kapcsolatos részleteket a CyberScoop cikke tartalmaz.

Clop ransomware-támadás érte a Swire Pacific Offshore tengeri szolgáltató céget

A BleepingComputer hozta le a hírt november 26-án, hogy a Swire Pacific Offshore nevű, jelentős részben az energiaszektornak szolgáltató hajózási cég rendszereit a Clop zsarolóvírus fertőzte meg. A cég nyilatkozata szerint az incidens következtében elvesztettek bizalmas kereskedelmi és személyes adatokat, de a cég szolgáltatásaiban a támadás nem okozott fennakadást.

Kibertámadás érte a Vestas dán szélturbina-gyártó rendszereit

Szintén november 22-i a hír, hogy kibertámadás érte a Vestas nevű dán cég rendszereit. A Vestas egy jelentős gyártója a szélerőművi turbináknak, az USA-ban és Kanadában például 40.000 MW beépített kapacitású erőművekben dolgoznak az általuk gyártott turbinák. A vállalat által indított vizsgálatok jelenleg is folynak, de azt már meg lehetett állapítani, hogy a Vestas IT rendszerein tárolt egyes adatokhoz férhettek hozzá a támadók. Bővebb információk (pl. arról, hogy ransomware-támadásról lehet-e szó és kértek-e már váltságdíjat a támadók) egyelőre nem állnak rendelkezésre, amit még tudunk, az az, hogy a Vestas gyártó-, összeszerelő- és szervíz-tevékenységei az incidens ellenére is tovább folynak.

Az esetről a SecurityWeek, a BleepingComputer és a PortSwigger is írt.

Még nyáron írtam meg ennek a sorozatnak az előző (első) posztját, amiben a SANS Institute által addig publikált két, kezdőknek szánt ICS biztonsági posztjáról írtam. Október elején megjelent a SANS sorozatának harmadik része, ami (a COViD-19 járvány következtében mindenhol, így a különböző ipari szektorokban ICS rendszereket használó szervezeteknél is elszaporodott távoli munkavégzés miatt ma talán kiemelten fontos) távoli hozzáférések kérdésével foglalkozik.

A poszt elején az ICS rendszerekhez történő távoli hozzáférések fontosságáról van egy nem is rövid fejezet, itt röviden ismét átveszik az ICS rendszerek múltját (amikor még minden jobb volt, csak azok fértek hozzá az ICS rendszerekhez, akiknek ez volt a feladatuk és még értettek is hozzájuk) és a távoli hozzáférések jelentette előnyöket, de az elmúlt évtized nagy port kavart ICS biztonsági incidenseit példaként felhozva a kockázatok is szóba kerülnek.

A poszt leghosszabb része a távoli hozzáférések és a Purdue referencia architektúra modell kapcsolatát mutatja be, majd az ezután következő fejezet azt is bemutatja, hogy milyen jó gyakorlatok mentén érdemes több DMZ-n keresztül biztosítani a távoli hozzáféréseket az ICS rendszerek hálózataihoz.

Külön fejezet foglalkozik a távoli hozzáférések authentikációs kérdéseivel és itt is megjelenik az a (mára már gyakorlatilag ICS hálózatbiztonsági alapvetésnek számító) ökölszabály, hogy az ICS hálózatokban használt Microsoft AD címtár semmilyen körülmények között ne legyen összekapcsolva a vállalati - enterprise - hálózat AD-jával!

Egy másik fontos biztonsági kontroll pont lehet az ICS rendszerekhez történő távoli hozzáférések esetén az ugró szerverek (vagy jump hostok) használata, amit szintén egész alaposan körüljár a posztban a SANS szerzője, Stephen Mathezer.

A fájlok ICS rendszerek hálózataiba történő bejuttatása és onnan történő kijuttatása is egyre gyakoribb igény, de ennek is megvan a biztonságosnak tekintett módja, amiről szintén egy teljes fejezet szól a fent hivatkozott posztban.

Bár a közvetlen, DMZ-ket és ugrószervereket megkerülő kapcsolatot (különösen az Internet irányából) már több, mint egy évtizede nem ajánlják az ICS biztonsági szakemberek, időnként bizony nincs mód ezek helyett egy biztonságosabb megoldást kialakítani. Stephen Mathezer az ilyen esetekre vonatkozóan is ad tanácsokat, hogy milyen kompenzáló kontrollokkal lehet csökkenteni a közvetlen kapcsolat jelentette kockázatokat.

Az utolsó fontos pontja a témáról írt publikációnak, hogy hogyan lehet megelőzni az engedély nélküli távoli hozzáférések kiépítését az ICS rendszereinkhez.

Egyelőre nem látom, hogy lesz-e folytatása ennek a SANS-os sorozatnak, én viszont találtam egy rakat forrásanyagot, amiket a saját sorozatom további részeiben meg fogok osztani - szóval várhatóak még "ICS biztonság kezdőknek" posztok a jövőben.

Bejelentés dátuma: 2021.11.09.
Gyártó: Siemens
Érintett rendszer(ek): SIMATIC RTLS Locating Manager minden, V2.12-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insertion of Sensitive Information into Log File/közepes
- Cleartext Storage of Sensitive Information/közepes
- Improper Input Validation/közepes
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-145157.pdf

Bejelentés dátuma: 2021.11.09.
Gyártó: Siemens
Érintett rendszer(ek):
- PSS(R)CAPE 14 telepítések, amiket 2021.10.05-nél korábbi telepítőkből installáltak;
- PSS(R)E V34 minden, V34.9.1-nél korábbi verziója;
- PSS(R)E V35 minden, V35.3.2-nél korábbi verziója;
- PSS(R)ODMS V12 minden, V12.2.6.1-nél korábbi verziója;
- SICAM 230 minden verziója;
- SIMATIC Information Server V2019 SP1-es és korábbi verziói;
- SIMATIC PCS neo minden verziója;
- SIMATIC Process Historian (beleértve a Process Historian OPC UA Server-t is) V2019 SP1-es és korábbi verziói;
- SIMATIC WinCC OA V3.17 minden verziója;
- SIMATIC WinCC OA V3.18 minden verziója;
- SIMIT Simulation Platform V10.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management/súlyos
Javítás: Egyes érintett termékekhez elérhetőek javítások
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-580693.pdf

Bejelentés dátuma: 2021.11.09.
Gyártó: Siemens
Érintett rendszer(ek): NX 1980 sorozat V1984-nél korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2021-41533)/alacsony
- Out-of-bounds Read (CVE-2021-41534)/alacsony
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-740908.pdf

Bejelentés dátuma: 2021.11.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siveillance Video DLNA Server 2019 R1;
- Siveillance Video DLNA Server 2019 R2
- Siveillance Video DLNA Server 2019 R3
- Siveillance Video DLNA Server 2020 R1
- Siveillance Video DLNA Server 2020 R2
- Siveillance Video DLNA Server 2020 R3
- Siveillance Video DLNA Server 2021 R1
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal/súlyos
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-755517.pdf

Bejelentés dátuma: 2021.11.16.
Gyártó: FATEK Automation
Érintett rendszer(ek): WinProladder 3.30_24518-as és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write/súlyos
- Stack-based Buffer Overflow/súlyos
Javítás: Nincs információ javításról
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-320-01

Bejelentés dátuma: 2021.11.16.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GOT2000 sorozat
- GT27 modelljének minden verziója;
- GT25 modelljének minden verziója;
- GT23 modelljének minden verziója;
- GT21 modelljének minden verziója;
- GOT SIMPLE sorozat
- GS21 modelljének minden verziója;
- GT SoftGOT2000 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation/súlyos
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-320-02

Bejelentés dátuma: 2021.11.18.
Gyártó: Philips
Érintett rendszer(ek):
- IntelliBridge EC 40 Hub C.00.04-es és korábbi verziói;
- IntelliBridge EC 80 Hub C.00.04-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials/súlyos
- Authentication Bypass Using an Alternate Path or Channel/súlyos
Javítás: A gyártó a javítást várhatóan 2021 végén fogja publikálni.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsma-21-322-01

Bejelentés dátuma: 2021.11.18.
Gyártó: Philips
Érintett rendszer(ek):
- Patient Information Center iX (PIC iX) B.02-es, C.02-es és C.03-as verziói;
- Efficia CM sorozat A.01-től C.0x-ig terjedő és 4.0 revíziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation/közepes
- Use of Hard-coded Cryptographic Key/közepes
- Use of a Broken or Risky Cryptographic Algorithm/közepes
Javítás: Az Improper Input Validation sérülékenység javítása már elérhető, a másik két sérülékenységhez a gyártó a javítást 2022 végére ígéri.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsma-21-322-02

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.