Bejelentés dátuma: 2021.11.04.
Gyártó: AzeoTech
Érintett rendszer(ek): DAQFactory alkalmazásfejlesztési platform 18.1 Build 2347-es és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Inherently Dangerous Function/súlyos
- Deserialization of Untrusted Data/súlyos
- Cleartext Transmission of Sensitive Information/közepes
- Modification of Assumed-Immutable Data (MAID)/közepes
Javítás: A gyártó jelenleg is dolgozik rajta, várhatóan 2022 elején fog megjelenni.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-308-02

Bejelentés dátuma: 2021.11.04.
Gyártó: VISAM
Érintett rendszer(ek): VBASE Pro-RT/ Server-RT (Web Remote) 11.6.0.6-os verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control/súlyos
- Cross-site Scripting/közepes
- Improper Restriction of XML External Entity Reference/közepes
- Using Components with Known Vulnerabilities/közepes
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-308-01

Bejelentés dátuma: 2021.11.04.
Gyártó: Philips
Érintett rendszer(ek): Tasy EMR HTML5 3.06.1803-as és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2021-39375)/súlyos
- SQL Injection (CVE-2021-39376)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsma-21-308-01

Bejelentés dátuma: 2021.11.09.
Gyártó: OSIsoft
Érintett rendszer(ek): PI Web API 2019 SPI és minden korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting/közepes
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-313-06

Bejelentés dátuma: 2021.11.09.
Gyártó: OSIsoft
Érintett rendszer(ek): PI:Vision minden, 2021-es korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting/közepes
- Incorrect Authorization/alacsony
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-313-05

Bejelentés dátuma: 2021.11.09.
Gyártó: mySCADA
Érintett rendszer(ek): myDESIGNER 8.20.0 és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Relative Path Traversal/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-313-04

Bejelentés dátuma: 2021.11.09.
Gyártó: Siemens
Érintett rendszer(ek): Az alábbi, Nucleus RTOS-t használó rendszerek:
- Capital VSTAR minden verziója;
- Nucleus NET minden verziója;
- Nucleus ReadyStart v3 minden, v2017.02.4-esnél korábbi verziója;
- Nucleus ReadyStart v4 minden, v4.1.1-esnél korábbi verziója;
- Nucleus Source Code minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion/közepes
- Improper Validation of Specified Quantity in Input (CVE-2021-31345)/súlyos
- Improper Validation of Specified Quantity in Input (CVE-2021-31346)/súlyos
- Out-of-bounds Read/súlyos
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-31882)/közepes
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-31883)/súlyos
- Improper Null Termination (CVE-2021-31884)/súlyos
- Buffer Access with Incorrect Length Value/súlyos
- Improper Null Termination (CVE-2021-31886)/kritikus
- Improper Null Termination (CVE-2021-31887)/súlyos
- Improper Null Termination (CVE-2021-31888)/súlyos
- Integer Underflow/súlyos
- Improper Handling of Inconsistent Structural Elements/súlyos
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-044112.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-313-03

Bejelentés dátuma: 2021.11.09.
Gyártó: Schneider Electric
Érintett rendszer(ek): GUIcon 2.0 (Build 683.003) és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write/súlyos
- Use After Free/súlyos
- Out-of-bounds Read/közepes
Javítás: Nincs, az érintett rendszerek támogatása 2020-ban megszűnt
Link a publikációhoz (Schneider Electric): https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-07
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-313-02

Bejelentés dátuma: 2021.11.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
Az alábbi UPS termékek:
- NMC2-t (Network Management Card) tartalmazó, 1 fázisú UPS-ek, beleértve a Smart-UPS, Symmetra, és Galaxy 3500-as berendezések NMC2 AOS v6.9.8-as és korábbi verzióit;
- NMC2-t tartalmazó, 3 fázisú UPS-ek, beleértve a Symmetra PX 250/500 (SYPX NMC2 AOS v6.9.6-os és korábbi verzióit;
- NMC2-t tartalmazó, 3 fázisú UPS-ek, beleértve a Symmetra PX 48/96/100/160 kW UPS (PX2), Symmetra PX 20/40 kW UPS (SY3P), Gutor (SXW, GVX és a Galaxy (GVMTS, GVMSA, GVXTS, GVXSA, G7K, GFC, G9KCHU) berendezések NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC3-at (Network Management Card) tartalmazó, 1 fázisú UPS-ek, beleértve a Smart-UPS, Symmetra és a Galaxy 3500-as készülékek NMC3 AOS v1.4.2.1-es és korábbi vverziói;
Az alábbi APC termékek:
- NMC2-t használó APC Rack Power Distribution Units (PDU) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC3-t használó APC Rack Power Distribution Units (PDU) NMC3 AOS v1.4.0 és korábbi verziói;
- NMC2-t használó APC 3 fázisú Power Distribution Products NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó InfraStruxure 150 kVA PDU (X84P) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó InfraStruxure 40/60kVA PDU (XPDU) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó Modular 150/175kVA PDU (XRDP) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó 400 and 500 kVA (PMM) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó Modular PDU (XRDP2G) NMC2 AOS v6.9.6-os és korábbi verziói;
- Rack Automatic Transfer Switches (ATS) NMC2 AOS v6.9.6-os és korábbi verziói;
Valamint az alábbi termékek:
- Environmental Monitoring Unit beágyazott NMC2 (NB250) NetBotz NBRK0250 hálózati interfészek NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2 hálózati interfésszel szerelt hűtő berendezések (cooling products) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2 hálózati interfésszel szerelt AP9922 Battery Management System (BM4) NMC2 AOS v6.9.6-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting/közepes
- Cross-site Scripting/közepes
- Cross-site Scripting/közepes
- Cross-site Scripting/közepes
- Cross-site Scripting/közepes
- Exposure of Sensitive Information to an Unauthorized Actor/közepes
Javítás: Egyes érintett rendszerekhez elérhető
Link a publikációhoz (Schneider Electric): https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-03
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-313-01

Bejelentés dátuma: 2021.11.09.
Gyártó: Philips
Érintett rendszer(ek):
- MRI 1.5T 5.x.x verziói;
- MRI 3T 5.x.x verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control/közepes
- Incorrect Ownership Assignment/közepes
- Exposure of Sensitive Information to an Unauthorized Actor/közepes
Javítás: A gyártó a javításokat 2022. októberben tervezi kiadni.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsma-21-313-01

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek): SENTRON powermanager Version 3 minden verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource/súlyos
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-537983.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-10

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek): Climatix POL909 (AWM modul) minden, v11.34-nél korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Encryption of Sensitive Data/közepes
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-703715.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-09

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
- NX 1953-as sorozat minden, v1973.3700-nál korábbi verziója;
- NX 1980-as sorozat minden, v1988-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free/súlyos
- Access of Uninitialized Pointer/alacsony
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-328042.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-08

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek) az alábbi Nucleus RTOS-t (valósidejű operációs rendszert) használó berendezések:
- APOGEE MBC (PPC) (BACnet) minden verziója;
- APOGEE MBC (PPC) (P2 Ethernet) minden verziója;
- APOGEE MEC (PPC) (BACnet) minden verziója;
- APOGEE MEC (PPC) (P2 Ethernet) minden verziója;
- APOGEE PXC Compact (BACnet) minden verziója;
- APOGEE PXC Compact (P2 Ethernet) minden verziója;
- APOGEE PXC Modular (BACnet) minden verziója;
- APOGEE PXC Modular (P2 Ethernet) minden verziója;
- TALON TC Compact (BACnet) minden verziója;
- TALON TC Modular (BACnet) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion/közepes
- Improper Validation of Specified Quantity in Input (CVE-2021-31345)/súlyos
- Improper Validation of Specified Quantity in Input (CVE-2021-31346)/súlyos
- Out-of-bounds Read/súlyos
- Improper Restriction of Operations within the Bounds (CVE-2021-31882)/közepes
- Improper Restriction of Operations within the Bounds (CVE-2021-31883)/súlyos
- Improper Null Termination (CVE-2021-31884)/súlyos
- Buffer Access with Incorrect Length Value/súlyos
- Improper Null Termination (CVE-2021-31886)/kritikus
- Improper Null Termination (CVE-2021-31887)/kritikus
- Improper Null Termination (CVE-2021-31888)/kritikus
- Integer Underflow/súlyos
- Improper Handling of Inconsistent Structural Elements/súlyos
Javítás: Nincs információ javításról
a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-114589.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-07

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D minden, v8.7.1.3-nál korábbi verziója;
- SCALANCE W1750D 8.7.1.3 és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations Within the Bounds of a Memory Buffer/kritikus
- Command Injection (CVE-2021-37727)/súlyos
- Command Injection (CVE-2021-37730)/súlyos
- Command Injection (CVE-2021-37732)/súlyos
- Path Traversal (CVE-2021-37734)/közepes
- Path Traversal (CVE-2021-37735)/közepes
Javítás: A hibák egy részét a gyártó a v8.7.1.3-as és újabb verziókban javította.
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-917476.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-06

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
Mendix 8 v8.18.13-as és korábbi verzióit használó alkalmazások;
Mendix 9 v9.6.2-es és korábbi verzióit használó alkalmazások;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Authorization (CVE-2021-42025)/közepes
- Incorrect Authorization (CVE-2021-42026)/alacsony
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-779699.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-05

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7 v7.23.26-os és korábbi verzióit használó alkalmazások;
- Mendix 8 v8.18.12-es és korábbi verzióit használó alkalmazások;
- Mendix 9 v9.6.1-es és korábbi verzióit használó alkalmazások;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Web Browser Cache Containing Sensitive Information/közepes
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-338732.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-04

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS 7 v8.2 és korábbi verziójú rendszerek minden verziója;
- SIMATIC PCS 7 v9.0 és korábbi verziójú rendszerek minden verziója;
- SIMATIC PCS 7 v9.1 és korábbi verziójú rendszerek minden verziója;
- SIMATIC WinCC v7.4 és korábbi verziójú rendszerek minden verziója;
- SIMATIC WinCC v7.5 verzió minden, v7.5 SP2 Update 5-nél korábbi verziói;
- SIMATIC WinCC v15 és korábbi verziójú rendszerek minden verziója;
- SIMATIC WinCC v16 minden verziója;
- SIMATIC WinCC v17 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2021-40358)/kritikus
- Path Traversal (CVE-2021-40359)/súlyos
- Insertion of Sensitive Information into Log File/Közepes
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-840188.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-03

Bejelentés dátuma: 2021.11.11
Gyártók: Eclipse, eProsima, GurumNetworks, Object Computing, Inc. (OCI), Real-Time Innovations (RTI), TwinOaks Computing
Érintett rendszer(ek):
- Eclipse CycloneDDS minden, 0.8.0-nál korábbi verzió;
- eProsima Fast DDS minden, 2.4.0 (#2269)-nél korábbi verzió;
- GurumNetworks GurumDDS minden verziója;
- Object Computing, Inc. (OCI) OpenDDS minden, 3.18.1-nél korábbi verzió;
- Real-Time Innovations (RTI) Connext DDS Professional and Connext DDS Secure 4.2x-től 6.1.0-ig terjedő verziói;
- RTI Connext DDS Micro 3.0.0 és későbbi verziói;
- TwinOaks Computing CoreDX DDS minden, 5.9.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Write-what-where Condition/közepes
- Improper Handling of Syntactically Invalid Structure/közepes
- Network Amplification (CVE-2021-38425)/súlyos
- Incorrect Calculation of Buffer Size(CVE-2021-38423)/közepes
- Heap-based Buffer Overflow/súlyos
- Improper Handling of Length Parameter Inconsistency/súlyos
- Amplification/súlyos
- Network Amplification (CVE-2021-38429)/súlyos
- Stack-based Buffer Overflow (CVE-2021-38427)/közepes
- Stack-based Buffer Overflow (CVE-2021-38433)/közepes
- Incorrect Calculation of Buffer Size(CVE-2021-38435)/közepes
- Network Amplification (CVE-2021-38487)/súlyos
- Network Amplification (CVE-2021-43547)/súlyos
Javítás: Egyes érintett gyártók már elérhetővé tették a javításokat.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-315-02

Bejelentés dátuma: 2021.11.11
Gyártó: WECON
Érintett rendszer(ek): PLC Editor: 1.3.8-as és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow/súlyos
- Out-of-bounds Write/súlyos
Javítás: Nincs
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-315-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az ABC News tudósítása

https://abcnews.go.com/WNT/video/intelligence-bulletin-reveals-potential-plot-disrupt-us-electrical-80961140

szerint a szövetségi hatóságok által kiadott figyelmeztetés egy olyan 2020 júliusában történt esetre hivatkozik, amikor egy összetört, kereskedelmi forgalomban kapható, DJI Mavic 2 drónt találtak egy Pennsylvania állambeli áramszolgáltató alállomása mellett. A drónt olyan módon alakították át, hogy képes legyen zárlatot okozni és ezzel kárt tenni az alállomás tranformátorában vagy az elosztóhálózati vezetékben.

A drónok jelentette kockázat a kritikus infrastruktúrákra nézve egy ideje már ismert, de ez a mostani lehet az első dokumentált eset, amikor a villamosnergia-rendszer egyik eleme elleni támadásról van szó (viszont nem az első dróntámadás ipari létesítmény ellen, szerintem többen emlékszük a 2019-ben a Szaúd-arábiai állami olajcég, a Saudi Aramco olajtermináljai elleni dróntámadásokra, amivel egy időre a szaúdi olajtermelést a felére vetették vissza).

A kérdés már csak az, hogy mit fognak tenni a kritikus infrastruktúrák biztonságáért felelős személyek és szervezetek? A kérdés már csak azért is érdekes lehet, mert ez egy hibrid fenyegetés, ami ellen valószínűleg tartom, hogy nem lehet kizárólag fizikai vagy csak logikai intézkedésekkel védekezni, hanem egy jó kombinált megoldás lenne a célravezető. Meglátjuk, vajon tudnak-e a fizikai és logikai (kiber-) biztonsági szakértők együtt dolgozni azért, hogy a jövőbeli hasonló támadási kísérletek ne járjanak sikerrel. Mert azzal kapcsolatban, hogy nem ez volt az utolsó, kommersz drónos támadási kísérlet kritikus infrastruktúra elemek ellen, nincs kétségem. Az már érdekesebb kérdés, hogy vajon mikor történhet ilyen itthon?

Bejelentés dátuma: 2021.11.02.
Gyártó: Sensormatic Electronics (Johnson Controls leányvállalat)
Érintett rendszer(ek): VideoEdge, hálózati videórögzítő rendszer minden v5.7.1-nél korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting/közepes
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-306-01

Bejelentés dátuma: 2021.10.28.
Gyártó: Sensormatic Electronics (Johnson Controls leányvállalat)
Érintett rendszer(ek): victor videó menedzsment megoldás 5.7-es és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Beégetett felhasználói azonosítók használata/magas
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-301-01

Bejelentés dátuma: 2021.10.28.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- V-Server Lite v4.0.12.0-nál korábbi verziói;
- Tellus Lite V-Simulator v4.0.12.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow/magas
- Out-of-bounds Write/magas
- Untrusted Pointer Dereference/magas
- Out-of-bounds Read/magas
- Access of Uninitialized Pointer/magas
- Heap-based Buffer Overflow/magas
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-299-01

Bejelentés dátuma: 2021.10.19.
Gyártó: ABB
Érintett rendszer(ek): PCM600 Update Manager Client 2.7-től 2.10-ig terjedő verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Tanúsítvány-ellenőzési hiba/közepes
Javítás: Elérhető
Link a publikációhoz: https://search.abb.com/library/Download.aspx?DocumentID=2NGA001142&Action=Launch

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Idén először sikerült regisztrálnom a Dragos évenként megrendezésre kerülő, DISC (Dragos Industrial Security Conference) névre hallgató konferenciájára, amit elsősorban az ügyfeleiknek szerveznek. Az idei regisztráció nyitott volt minden ipari folyamatirányító rendszereket üzemeltető szervezetnél dolgozó kolléga számára, így én is beneveztem.

A konferencia egy napos volt (november 5-én), előtte viszont 2-án, magyar idő szerint 18:00-tól volt egy Capture the Flag, amiben többek között bináris fájl elemzését, ICS protokollt (Modbus/TCP) tartalmazó hálózati forgalom elemzését (PCAP fájlban), adathalász e-mailek és csatolmányaik vizsgálatát, hálózati diagramm-elemzést, kriptanalízist, PLC program és logika elemzést, valamint Windows forensics feladatokat is meg kellett oldani.

A feladatokat egyénileg és csapatban is végig lehetett csinálni, én (lévén CTF-téren elég kezdő vagyok) egyedül vágtam bele, de így is voltak megoldható és érdekes feladatok.

A konferencia maga tegnap délután, magyar idő szerint 14:00-kor kezdődött. Az első érdekesebb előadás a konferencián élőben megjelenő résztvevőknek készített, interaktív belépővel kapcsolatos kihívás teljesítéséről szólt. Ellentétben a megszokott (és általában nem túl fantáziadús) konferencia belépőkkel, itt egy programozható és ezért hackelhető belépőt kaptak a Maryland-be ellátogató résztvevők, aminek négy része van, egy-egy kritikus infrastruktúra-szektor (villamosenergia-, víz- és gázszektor illetve egy gyár) működését kellett helyreállítani (itt látható, hogyan is néz ki, 2 AA elemmel teljesen működőképes - gondolom Raspberry PI-alapú kis eszköz).

A következő előadás a hálózati forgalom megfigyeléséhez használt programok esetén a különböző (jellemzően ICS-specifikus) protokollokhoz használható feldolgozó (ún. dissector) modulok fejlesztéséről szólt. A három előadó a Honeywell egyes termékei által használt FTE (Fault Tolerant Ethernet) protokoll, a Yokogawa Vnet/IP protokoll és a feldolgozásáról.

A harmadik előadás a kifinomult (angol eredetijében sophisticated) malware-ekről szólt, de nem a megszokott módon. Az előadó szerint az elhíresült (néha már-már sztárolt) malware-eket is csak átlagos szoftverfejlesztők írják, nem pedig a szuperhős filmek szuper-gonosz antihőseire emlékeztető hacker-félistenek és bizony ezek a malware-fejlesztők is ugyanolyan gyakran vétenek programozási hibákat, mint bármelyik másik fejlesztő. Erre példákként a Triton/TriSIS, az Industroyer/CrashOverride ICS malware-ekben illetve a Mozi nevű cryptominer-ben felfedezett hibákat mutatta be.

Az ebédszünet előtti (ami ebben az esetben magyar idő szerint délután fél 6-kor volt) utolsó előadás a PLC-kben használt fizikai kulcsok és a PLC logika megváltoztatásával kapcsolatos detekciós lehetőségekről szólt.

A szünet után Leslie Carhart és Vern McCandlish ICS incidenskezelési esettanulmányaival folytatódott a program, amiből ismét elsősorban az volt (számomra) a tanulság, hogy az incidenskezelési ismeretek és gyakorlat mellett legalább ugyanilyen fontos, hogy az incidens elhárításában résztvevők őrizzék meg a higgadtságukat és a biztonsági esemény okozta stresszhelyzetben is tudjanak logikusan gondolkozni.

A következő előadás a vasúti folyamatvezérlő rendszerekkel kapcsolatos biztonsági kérdésekről, ideértve az előadók (Anna Skelton, Reid Wightman) által felfedezett, vasúti rendszereket érintő sérülékenységekről és a vasút ICS rendszerekre gyakorolt hatásairól szólt.

A délutáni (esti) szünet előtti utolsó előadásban Kyle O'Meara a különböző APT csoportok által fejlesztett malware-ek és egyéb támadói kódokban felfedezhető hasonlóságok elemzését mutatta be, mint olyan módszert, amivel azonosítani és követni lehet az egyes APT csoportok tevékenységeit.

Az utolsó blokk első előadásában a zsarolóvírusok által használt, célba vett hálózatokon belüli terjedési (lateral movement) technikákról volt szó. Érdekes volt látni, hogy mára 26 olyan ransomware-családot ismerünk már, amiknek volt és van hatásuk OT rendszerekre/hálózatokra.

A következő előadás a fizikai folyamatvezérlés paramétereinek távoli integritás-ellenőrzésének egy lehetőségét mutatta be.

Az utolsó előadást két OT penteszter tartotta, erősen építve az esettanulmányaikat a MITRE ATT&CK for ICS keretrendszerre.

Aztán amikor már úgy nézett ki, hogy vége a 2021-es DISC-nek Robert M. Lee közölte, hogy van még egy esettanulmányuk, amit viszont az eset bizalmasságára tekintettel az addig használt Zoom helyett Microsoft Teams-en fognak megtartni. Az esettanulmány egy, az energiaszektorban működő cég OT rendszerei elleni támadás részleteit mutatták be, amihez a támadók QNAP storage-okat használtak fel, amiket egy 0-day sérülékenységen keresztül tudtak kompromittálni, továbbá 3 Draytek routert is azonosítani tudtak, amiket felhasználtak a támadók a műveleteik során.

Összességében a DISC 2021 egy nagyon jó, minőségi rendezvény volt, a CTF és az előadások is hozták azt a színvonalat, amit előzetesen vártam. Ennél jobb már csak a helyszínen lehetett volna, de erre csak egészen minimális esélyt látok, függetlenül attól, hogy mennyire lesz nehéz vagy könnyű az USA-ba utazni a COViD miatt. Ha máshogy nem is, virtuálisan én jövőre is biztos, hogy részt fogok venni.

A blog eddig vendégposztjainak túlnyomó többsége (négyből három) az USA E.O. 13920-as számú elnöki rendeletével és az annak háttereként szolgáló állításokkal (mely szerint egyes, az USA villamosenergia-rendszerében használt, kínai gyártmányú transzformátorokban nem dokumentált részegységeket, többek között nem ismert és nem dokumentált kommunikációs modulokat találtak) foglalkozik.

A kínai transzformátorok jelentette kockázatok témája úgy tűnik, nem fog ellaposodni, nemrég egy olyan blogposztot találtam, amiben részletes(ebb)en listázzák azokat az alállomásokat, ahol kínai transzformátorok kerültek beépítésre az USA területén. A blogban hivatkozott adatbázisban a poszt megírásának pillanatában 166 darab transzformátorról találhatóak információk, amelyeket például Wyoming, Vermont, Virginia, Utah, Texas, Pennsylvania, Oregon, Oklahoma, New York, Nevada, Új-Mexikó, New Jersey, Nebraska, Montana, Maine, Massachusetts, Kentucky, Kansas, Indiana, Illinois, Iowa, Florida, Colorado és Kalifornia szövetségi államok mellett kanadai alállomásokon azonosítanak. Külön érdekesség, hogy 29 transzformátornál ismeretlenként van megjelölve, hogy pontosan hol is található a berendezés.

Úgy gondolom, hogy a blog olvasói számára ez a publikáció és maga az adatbázis is érdekes részletekkel szolgálhat.

A héten egyéb okok miatt nem volt időm a szokásos módon összefoglalni az elmúlt napokban publikált ICS rendszerekkel kapcsolatos sérülékenységeket (sem időben élesíteni ezt a posztot), ezért egy kicsit tömörebb, új formátumot tesztelek. Majd meglátjuk, életképesnek bizonyul-e az új forma. Ha valakinek van ezzel kapcsolatban véleménye, a komment szekcióban bátran hangot adhat neki...

Gyártó: Trane
Érintett rendszer(ek): Trane SC épületautomatizálási megoldás v3.8-as és korábbi firmware-verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site scripting/súlyos
Javítás: elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-292-02

Gyártó: AUVESY
Érintett rendszer(ek): Versiondog minden, v8.0-nál korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control/kritikus
- Incorrect Permission Assignment for Critical Resource/súlyos
- Use of Hard-coded Cryptographic Key/súlyos
- Out-of-bounds Read/közepes
- Use After Free/súlyos
- Out-of-bounds Write/közepes
- Write-what-where Condition/kritikus
- Use of Potentially Dangerous Function/súlyos
- Unrestricted Upload of File with Dangerous Type/kritikus
- External Control of File Name or Path/kritikus
- External Control of System or Configuration Setting/kritikus
- Improper Input Validation/súlyos
- Uncontrolled Resource Consumption/súlyos
- Uncontrolled Search Path Element/kritikus
- Authentication Bypass by Capture-replay/súlyos
- SQL Injection/súlyos
- Uncontrolled Resource Consumption/súlyos
Javítás: elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-292-01

Gyártó: ICONICS, Mitsubishi Electric
Érintett rendszer(ek):
OPC Foundation modulok:
- GENESIS64 10.97 és korábbi verziók;
- Hyper Historian 10.97 és korábbi verziók;
- AnalytiX 10.97 és korábbi verziók;
- MobileHMI 10.97 és korábbi verziók;
- MC Works64 4.04E és korábbi verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Recursion/súlyos
Javítás: fejlesztése folyamatban
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-294-03

Gyártó: Delta Electronics
Érintett rendszer(ek): DIALink industrial automation server 1.2.4.0 és korábbi verziói
Sérülékenység(ek) neve/darabszáma/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information/súlyos
- Cross-site Scripting/közepes - 5 különböző
- Improper Neutralization of Formula Elements in a CSV File/közepes
- Cleartext Storage of Sensitive Information/high
- Uncontrolled Search Path Element/high
- Incorrect Default Permissions/high
Javítás: fejlesztése folyamatban
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-294-02

Gyártó: ICONICS, Mitsubishi Electric
Érintett rendszer(ek): az alábbi SCADA HMI-ok:
- GENESIS64 minden, 10.97-es és korábbi verziója;
- MC Works64 az MC Works64 4.04E és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read/súlyos
- Out-of-bounds Write/alacsony
Javítás: fejlesztése folyamatban
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-294-01

Gyártó: B. Braun Melsungen AG
Érintett rendszer(ek):
- Battery pack SP with WiFi 028U000061-es és korábbi szoftver-verziói (USA-ban és Kanadában forgalmazott termékek);
- SpaceStation with SpaceCom 2 012U000061-es és korábbi szoftver-verziói (USA-ban és Kanadában forgalmazott termékek);
- Battery Pack SP with Wi-Fi L81-es és korábbi verziói, amiket a Perfusor Space, Infusomat Space és Infusomat Space P megoldásokban alkalmaztak;
- SpaceStation with SpaceCom 2 minden, L81-es és korábbi verziói;
- Data module compactPlus minden A10-es és A11-es verziói, amiket a Perfusor compactPlus, Infusomat compactPlus és Infusomat P compactPlus eszközökben használtak;
Sérülékenység(ek) neve/darabszáma/CVSSv3 szerinti besorolása:
- Unrestricted Upload of File with Dangerous Type/közepes
- Cleartext Transmission of Sensitive Information/közepes
- Missing Authentication for Critical Function/közepes
- Insufficient Verification of Data Authenticity/kritikus
- Improper Input Validation/közepes
Javítás: elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsma-21-294-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Még 2019-ben megjelent egy cikk a SecurityWeek-en Eduard Kovacstól (a név nem véletlen, 2019-ben találkoztunk az ICS Cyber Security Conference nevű SecurityWeek-es rendezvényen és kiderült, hogy egy erdélyi magyar felmenőkkel rendelkező, kifejezetten ICS biztonsági témákra szakosodott újságíró a kolléga), amiben különböző, ICS biztonsági területen (is) tevékenykedő cégek (Kaspersky Lab, Indegy, Nozomi Networks, Radiflow, FireEye) munkatársai meséltek rövid történeteket a saját tapasztalataik alapján.

Nemrég megjelent a sorozat második része, amiben újabb cégek (Verve Industrial Protection, OTORIO, Applied Risk, NCC Group, aeCyberSolutions, Pdondurance, Positive Technologies, Owl Cyber Defense) emberei osztottak meg további történeteket az általuk tapasztalt érdekes és nem ritkán problémás ICS biztonsági helyzetekről.

Az első rész itt, a második rész pedig itt érhető el.

Sérülékenységek Advantech WebAccess HMI-okban

Natnael Samson, a ZDI-vel együttműködve két sérülékenységet jelentett a DHS CISA-nak, amiket az Advantech WebAccess HMI platformjának 9.02-es és korábbi verzióiban talált.

A gyártó a hibát a 9.1.1-es verzióban javította. A sérülékenységek részleteiről az ICS-CERT publikációjából lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-21-285-02

Advantech WebAccess SCADA sérülékenység

Peter Cheng, az Elex CyberSecurity-hez tartozó kutatóintézet munkatársa egy sérülékenységről osztott meg információkat a DHS CISA-val, ami az Advantech WebAccess/SCADA 9.0.3-es és korábbi verzióit érinti.

A gyártó a hibát a 9.1.1-es verzióban javította. A sérülékenységgel kapcsolatos további információkat az ICS-CERT bejelentése tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsa-21-285-01

Sérülékenység Mitsubishi Electric rendszerekben

Ivan Speziale, a Nozomi Networks munkatársa egy sérülékenységet jelentett a DHS CISA-nak, amit a Mitsubishi Electric alábbi, MELSEC Safety CPU/SIL2 Process CPU moduljaiban fedezett fel:

- R08/16/32/120SFCPU minden verziója;
- R08/16/32/120PSFCPU minden verziója.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről bővebben az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-287-03

Uffizio GPS Tracker sérülékenységek

Harshit Shukla összesen 5 sérülékenységet azonosított és jelentett a DHS CISA-nak az Uffizio GPS Tracker minden verziójával kapcsolatban.

A hibákkal kapcsolatban a gyártó mostanáig nem adott ki javítást vagy más információt. A sérülékenységek részleteit az ICS-CERT publikációjában lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-287-02

Sérülékenységek Schneider Electric Modicon berendezésekben

A Schneider Electric bejelentése szerint az alábbi, Modicon termékcsaládba tartozó berendezéseiket érintik az AMNESIA:33 sérülékenységek:

- TM5CSLC100FS safety vezérlők V2.56-os és korábbi firmware-verziói;
- TM5CSLC200FS safety vezérlők V2.56-os és korábbi firmware-verziói;
- TM5NS31: sercos III kommunikációis modlok V2.78-as és korábbi firmware-verziói;
- TM5NEIP1 EtherNet/IP modulok V3.10-es és korábbi firmware-verziói;
- TM5NEIP1K: EtherNet/IP FieldBus KIT-ek V3.10-es és korábbi firmware-verziói.

A gyártó a hibákat az érintett termékek újabb verzióiban javította. A sérülékenységek részletei a Schneider Electric bejelentésében érhetőek el.

Schneider Electric Conext termékcsalád sérülékenységei

A Schneider Electric által közzétett információk szerint a Conext termékcsalád alábbi tagjaiban 11 sérülékenységet fedeztek fel:

- Conext Advisor 2 Cloud 2.02-es és korábbi verziói;
- Conext Advisor 2 Gateway 1.28.45-ös és korábbi verziói;
- Conext Control V2 Gateway 2.6-os és korábbi verziói.

A gyártó a hibákat javító Windows 10 verzióra történő frissítést javasolja. A sérülékenységekkel kapcsolatos további információkat a Schneider Electric weboldalán lehet megtalálni.

Sérülékenység Schneider Electric Modicon M218-as vezérlőkben

Wang Yuanbo, Li Qianmu, Qi Han és Hou Jun, a Henan RTSEC Technology Co. munkatársai egy sérülékenységet találtak a Schneider Electric Modicon M218-as típusú logikai vezérlőinek v5.1.0.6-os és korábbi firmware-verzióiban.

A gyártó a hibát a v5.1.0.8-as firmware-verzióban javította. A sérülékenység részleteiről a Schneider Electric publikációjából lehet tájékozódni.

Schneider Electric IGSS sérülékenységek

Vyacheslav Moskvin a ZDI-vel együttműködve 4 sérülékenységről közölt információkat a DHS CISA-val, amiket a Schneider Electric IGSS Data Collector nevű termékének v15.0.0.21243-as és korábbi verzióiban fedezett fel.

A gyártó a hibákat a 15.0.0.21244-es verzióban javította. A sérülékenységről további információkat a Schneider Electric és az ICS-CERT bejelentései tartalmaznak.

Sérülékenység Schneider Electric ConneXium Network Manager rendszerekben

David Yesland a ZDI-vel együttműködve egy sérülékenységről tájékoztatta a DHS CISA-t a Schneider Electric ConneXium Network Manager-ben. A hiba a CNM minden verzióját érinti.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységről további részleteket a Schneider Electric és az ICS-CERT webodalain lehet elérni.

Schneider Electric termékek sérülékenysége

Tony Marcel Nasr egy sérülékenységet fedezett fel az alábbi Schneider Electric termékekben:

- spaceLYnk V2.6.1-es és korábbi verziói;
- Wiser for KNX V2.6.1-es és korábbi verziói;
- fellerLYnk V2.6.1-es és korábbi verziói.

A gyártó a hibát az érintett rendszerek v2.6.2-es verzióiban javította. A sérülékenység részleteiről a Schneider Electric publikációjából érdemes tájékozódni.

Sérülékenység Siemens SINUMERIK vezérlőkben

A Qi An Xin csoport ICS laborja egy sérülékenységről tájékoztatta a Siemens-t, ami a SINUMERIK alábbi változatait érinti:

- SINUMERIK 808D minden verziója;
- SINUMERIK 828D minden, v4.95-nél korábbi verziója.

A SINUMERIK 828D-hez a gyártó már kiadta a hibát javító újabb verziót, a 808D-hez kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységgel kapcsolatos további információkat a Siemens ProductCERT és az ICS-CERT bejelentései tartalmaznak.

Siemens SINEC hálózatmenedzsment megoldás sérülékenységei

Noam Moshe, a Claroty munkatársa 15 sérülékenységet jelentett a Siemens-nek, amiket a SINEC NMS (hálózatmenedzsment) megoldásának v1.0 SP2 Update1 előtti verzióiban talált.

A gyártó a hibákat a SINEC NMS újabb verzióiban javította. A sérülékenységek részleteit a Siemens ProductCERT és az ICS-CERT webodalain lehet elolvasni.

Sérülékenység Siemens RUGGEDCOM ROX rendszerekben

A Siemens egy sérülékenységről osztott meg információkat a DHS CISA-val, ami a RUGGEDCOM ROX termékcsalád alábbi tagjait érinti:

- RUGGEDCOM ROX MX5000 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1400 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1500 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1501 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1510 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1511 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1512 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1524 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1536 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX5000 minden, v2.14.1-nél korábbi verziója.

A gyártó a hibát a v2.14.1-es és újabb verziókban javította. A sérülékenységről további részleteket a Siemens ProductCERT és az ICS-CERT publikációi tartalmazzák.

Siemens SCALANCE rendszerek sérülékenységei

A Siemens 15, az alábbi Siemens SCALANCE rendszerekkel kapcsolatos sérülékenységről közölt információkat a DHS CISA-val:

- SCALANCE W1750D minden v8.7.1.3-as és korábbi verziói;
- SCALANCE W1750D v8.7.1.3-as és későbbi verziói (a 15-ből csak 8 érinti ezeket a verziókat).

A gyártó a hibák (egy részével) kapcsolatban a v8.7.1.3 vagy későbbi verziókra történő frissítést és kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységekről részleteket a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenység Siemens SIMATIC történeti adatbázisokban

A Siemens egy kritikus sérülékenységet talált a SIMATIC Process Historian nevű termékeinek alábbi verzióiban:

- SIMATIC Process Historian 2013 és korábbi kiadások minden verziója;
- SIMATIC Process Historian 2014 minden, SP3 Update 6-nál korábbi verziója;
- SIMATIC Process Historian 2019 minden verziója;
- SIMATIC Process Historian 2020 minden verziója.

A hiba javításával és a sérülékenység további információival kapcsolatban a Siemens ProductCERT és az ICS-CERT weboldalain lehet tájékozódni.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nagyjából egy hónapja adott ki figyelmeztetést az FBI, amiben elsősorban az élelmiszer-iparban tevékenykedő cégek elleni, növekvő számú ransomware-támadások veszélyeire hívták fel a figyelmet.

Ahogy korábban én is írtam erről a blogon, már eddig is számos élelmiszeripari és italgyártó céget értek támadások, amik gyakran a készletnyilvántartási rendszereket is közvetlenül érintettek voltak és közvetetten a termelési folyamatokra is hatással voltak (az ilyen jellegű kiberbiztonsági incidensekre mostanáig legalábbis legnagyobb hatású példája, a Colonial Pipeline-incidens sem a folyamatirányítási rendszereket tette használhatatlanná a forrásom szerint). A mostani FBI publikációban szó esik például egy amerikai pékségről, ahova a REvil ransomware a cégnek szolgáltató MSP (Managed Service Provider) IT rendszerén keresztül jutott be.

Az FBI figyelmeztetésének két tanulsága is van: egyrészt, az élelmiszer-ipari szektorban tevékenykedő cégek IT rendszereit is elérték a különböző célú (egyelőre főként ransomware-) támadások, másrészt pedig a beszállítói láncon keresztül érkező támadásokra mind jobban fel kell készülnie minden szervezetnek, függetlenül attól, milyen szektorban tevékenykednek.

Aztán a poszt írása közben jött szembe egy cikk a SecurityMagazine.com-on, ami szerint egy héten belül két amerikai termelőszövetkezet rendszereit érte zsarolóvírus-támadás. A kritikus infrastruktúrák elleni ransomware-támadások tehát nem hogy alább hagynának, de inkább egyre gyakoribbá válnak. A kérdés már csak az, hogy Magyarországon mit tesznek az illetékesek a fenyegetés ellen?

Sérülékenységek Honeywell vezérlőkben

Rei Henigman és Nadav Erez, a Claroty munkatársai 3 sérülékenységet azonosítottak a Honeywell Experion PKS folyamatvezérlő termékcsaládjának alábbi tagjaiban:

- C200-as vezérlők minden verziója;
- C200E típusú vezérlők minden verziója;
- C300-as és ACE vezérlők minden verziója.

A hibával kapcsolatban a gyártói dokumentáció és az ICS-CERT publikációja tartalmaz további részleteket.

Emerson WirelessHART Gateway sérülékenységek

Amir Preminger, a Claroty munkatársa 6 sérülékenységet fedezett fel az Emerson WirelessHART Gateway nevű hálózati eszközeinek alábbi változataiban:

- WirelessHART 1410 Gatewayminden, v4.7.94-nél korábbi verziója;
- WirelessHART 1410D Gatewayminden, v4.7.94-nél korábbi verziója;
- WirelessHART 1420 Gatewayminden, v4.7.94-nél korábbi verziója.

A gyártó a hibával kapcsolatban a v4.7.105-ös verzióra történő frissítést javasolja. A sérülékenységek részleteit az ICS-CERT bejelentésében lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-278-02

Sérülékenységek Mitsubishi Electric vezérlőkben

A Mitsubishi Electric 4 sérülékenységről közölt információkat a DHS CISA-val, amik az alábbi termékeiket érintik:

- GOT2000 sorozat GT21-es modelljének
- GT2107-WTBD változat minden verziója;
- GT2107-WTSD változat minden verziója;
- GT2104-RTBD változat minden verziója;
- GT2104-PMBD változat minden verziója;
- GT2103-PMBD változat minden verziója;
- GOT SIMPLE sorozat GS21-es modelljének
- GS2110-WTBD változat minden verziója;
- GS2107-WTBD változat minden verziója;
- GS2110-WTBD-N változat minden verziója;
- GS2107-WTBD-N változat minden verziója;
- Tension vezérlők
- LE7-40GU-L változat minden verziója.

A gyártó jelenleg is dolgozik a hibákat javító új verziókon. A sérülékenységek részleteiről az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-278-01

FATEK Automation Communication Server sérülékenység

Natnael Samson, a ZDI-vel együttműködve egy sérülékenységet jelentett a DHS CISA-nak, amit a FATEK Automation Communication Server 1.13-as és korábbi verzióiban fedezett fel.

A gyártó mostanáig nem reagált a sérülékenységgel kapcsolatos megkeresésekre. További részletek az ICS-CERT publikációjában érhetőek el: https://us-cert.cisa.gov/ics/advisories/icsa-21-280-07

Sérülékenységek FATEK Automation WinProladder szoftverekben

xina1i és Natnael Samson, a ZDI-vel közösen 7 sérülékenységről közöltek információkat a DHS CISA-val, amiket a FATEK Automation WinProladder 3.30-as és korábbi verzióiban találtak.

A gyártó mindezidáig nem válaszolt a hibákkal kapcsolatos megkeresésekre. A sérülékenységekről bővebb információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-280-06

InHand Networks hálózati eszközök sérülékenységei

Haviv Vaizman, Hay Mizrachi, Alik Koldobsky, Ofir Manzur és Nikolay Sokolik, az OTORIO munkatársai 13 sérülékenységet azonosítottak az InHand Networks IR615 típusú routereinek 2.3.0.r4724-es és 2.3.0.r4870-es verzióiban.

Az InHand Networks a mai napig nem válaszolt a hibákkal kapcsolatos megkeresésekre. A sérülékenységek részleteiről az ICS-CERT weboldalán lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-21-280-05

Mitsubishi Electric vezérlők sérülékenysége

A Mitsubishi Electric egy sérülékenységről tájékoztatta a DHS CISA-t, ami a MELSEC iQ-R C-sorozatú vezérlő moduljai közül az R12CCPU-V változatok minden verzióját érinti.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységgel kapcsolatos további információkat az ICS-CERT publikációjában lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-280-04

Sérülékenység Johnson Controls exacqVision rendszerekben

A Tenable Research egy sérülékenység részleteit osztotta meg a Johnson Controls-szal, az Exacq Technologies anyavállalatával, amit az exacqVision Server 32-bites változatának 21.06.11.0 és korábbi verzióiban találtak.

A gyártó a hibával kapcsolatban az exacqVision Server 32-bites változatának 21.09-es verzióra vagy az exacqVision Server 64-bites változatára történő frissítést javasolja. A sérülékenység részletei az ICS-CERT bejelentésében találhatóak: https://us-cert.cisa.gov/ics/advisories/icsa-21-280-03

Mobile Industrial Robots termékek sérülékenységei

Victor Mayoral Vilches, az Alias Robotics munkatársa 10 sérülékenységről tájékoztatta a DHS CISA-t, amit a Mobile Industrial Robots alábbi termékeiben fedezett fel:

- MiR100, MiR200, MiR250, MiR500, MiR1000 a MiR Robot Software 2.10.2.1-nél korábbi verzióiban;
- MiR Fleet a MiR Fleet Software 2.10.2.1-nél korábbi verzióiban.

A MiR Hook és Shelf Carrier termékeket ez a hiba nem érinti.

A gyártó a hibákat az érintett termékek legújabb verziójában javította. A sérülékenységgel kapcsolatos további információk az ICS-CERT weboldalán érhetőek el: https://us-cert.cisa.gov/ics/advisories/icsa-21-280-02

exacqVision Web Service sérülékenység

A Tenable Research egy sérülékenységet jelentett a Johnson Controls-nak, az Exacq Technologies anyavállalatának, amit az exacqVision Web Service 21.06.11.0 és korábbi verzióiban fedeztek fel.

A gyártó a hibát a 21.09-es verzióban javította. A sérülékenység részleteiről az ICS-CERT publikációjából lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-21-280-01

Sérülékenység Hikvision kamerarendszerekben

A Watchful_IP oldalán megjelent információk szerint egy távoli kódfuttatásra lehetőséget adó sérülékenységet találtak a Hikvision alábbi kamerarendszereiben:

- DS-2CVxxx1 210625-ösnél korábbi Build verziói;
- DS-2CVxxx6 210625-ösnél korábbi Build verziói;
- HWI-xxxx 210625-ösnél korábbi Build verziói;
- IPC-xxxx 210625-ösnél korábbi Build verziói;
- DS-2CD1xx1 210625-ösnél korábbi Build verziói;
- DS-2CD1x23G0 210625-ösnél korábbi Build verziói;
- DS-2CD1x23G0E(C) 210625-ösnél korábbi Build verziói;
- DS-2CD1x43(B) 210625-ösnél korábbi Build verziói;
- DS-2CD1x43(C) 210625-ösnél korábbi Build verziói;
- DS-2CD1x43G0E 210625-ösnél korábbi Build verziói;
- DS-2CD1x53(B) 210625-ösnél korábbi Build verziói;
- DS-2CD1x53(C) 210625-ösnél korábbi Build verziói;
- DS-2CD1xx7G0 210625-ösnél korábbi Build verziói;
- DS-2CD2xx6G2 210625-ösnél korábbi Build verziói;
- DS-2CD2xx6G2(C) 210625-ösnél korábbi Build verziói;
- DS-2CD2xx7G2 210625-ösnél korábbi Build verziói;
- DS-2CD2xx7G2(C) 210625-ösnél korábbi Build verziói;
- DS-2CD2x21G0 210625-ösnél korábbi Build verziói;
- DS-2CD2x21G0(C) 210625-ösnél korábbi Build verziói;
- DS-2CD2x21G1 210625-ösnél korábbi Build verziói;
- DS-2CD2x21G1(C) 210625-ösnél korábbi Build verziói;
- DS-2CD2xx3G2 210625-ösnél korábbi Build verziói;
- DS-2CD3xx6G2 210625-ösnél korábbi Build verziói;
- DS-2CD3xx6G2(C) 210625-ösnél korábbi Build verziói;
- DS-2CD3xx7G2 210625-ösnél korábbi Build verziói;
- DS-2CD3xx7G2(C) 210625-ösnél korábbi Build verziói;
- DS-2CD3xx7G0E 210625-ösnél korábbi Build verziói;
- DS-2CD3x21G0 210625-ösnél korábbi Build verziói;
- DS-2CD3x21G0(C) 210625-ösnél korábbi Build verziói;
- DS-2CD3x51G0(C) 210625-ösnél korábbi Build verziói;
- DS-2CD3xx3G2 210625-ösnél korábbi Build verziói;
- DS-2CD4xx0 210625-ösnél korábbi Build verziói;
- DS-2CD4xx6 210625-ösnél korábbi Build verziói;
- iDS-2XM6810 210625-ösnél korábbi Build verziói;
- iDS-2CD6810 210625-ösnél korábbi Build verziói;
- DS-2XE62x2F(D) 210625-ösnél korábbi Build verziói;
- DS-2XC66x5G0 210625-ösnél korábbi Build verziói;
- DS-2XE64x2F(B) 210625-ösnél korábbi Build verziói;
- DS-2CD8Cx6G0 210625-ösnél korábbi Build verziói;
- (i)DS-2DExxxx 210625-ösnél korábbi Build verziói;
- (i)DS-2PTxxxx 210625-ösnél korábbi Build verziói;
- (i)DS-2SE7xxxx 210625-ösnél korábbi Build verziói;
- DS-2DYHxxxx 210625-ösnél korábbi Build verziói;
- DS-2DY9xxxx 210625-ösnél korábbi Build verziói;
- PTZ-Nxxxx 210625-ösnél korábbi Build verziói;
- HWP-Nxxxx 210625-ösnél korábbi Build verziói;
- DS-2DF5xxxx 210625-ösnél korábbi Build verziói;
- DS-2DF6xxxx 210625-ösnél korábbi Build verziói;
- DS-2DF6xxxx-Cx 210625-ösnél korábbi Build verziói;
- DS-2DF7xxxx 210625-ösnél korábbi Build verziói;
- DS-2DF8xxxx 210625-ösnél korábbi Build verziói;
- DS-2DF9xxxx 210625-ösnél korábbi Build verziói;
- iDS-2PT9xxxx 210625-ösnél korábbi Build verziói;
- iDS-2SK7xxxx 210625-ösnél korábbi Build verziói;
- iDS-2SK8xxxx 210625-ösnél korábbi Build verziói;
- iDS-2SR8xxxx 210625-ösnél korábbi Build verziói;
- iDS-2VSxxxx 210625-ösnél korábbi Build verziói;
- DS-2TBxxx 210702-esnél korábbi Build verziói;
- DS-Bxxxx 210702-esnél korábbi Build verziói;
- DS-2TDxxxxB 210702-esnél korábbi Build verziói;
- DS-2TD1xxx-xx 210702-esnél korábbi Build verziói;
- DS-2TD2xxx-xx 210702-esnél korábbi Build verziói;
- DS-2TD41xx-xx/Wx 210702-esnél korábbi Build verziói;
- DS-2TD62xx-xx/Wx 210702-esnél korábbi Build verziói;
- DS-2TD81xx-xx/Wx 210702-esnél korábbi Build verziói;
- DS-2TD4xxx-xx/V2 210702-esnél korábbi Build verziói;
- DS-2TD62xx-xx/V2 210702-esnél korábbi Build verziói;
- DS-2TD81xx-xx/V2 210702-esnél korábbi Build verziói;
- DS-76xxNI-K1xx(C) V4.30.210 Build201224 és V4.31.000 Build210511 közötti verziói;
- DS-76xxNI-Qxx(C) V4.30.210 Build201224 és V4.31.000 Build210511 közötti verziói;
- DS-HiLookI-NVR-1xxMHxx-C(C) V4.30.210 Build201224 és V4.31.000 Build210511 közötti verziói;
- DS-HiLookI-NVR-2xxMHxx-C(C) V4.30.210 Build201224 és V4.31.000 Build210511 közötti verziói;
- DS-HiWatchI-HWN-41xxMHxx(C) V4.30.210 Build201224 és V4.31.000 Build210511 közötti verziói;
- DS-HiWatchI-HWN-42xxMHxx(C) V4.30.210 Build201224 és V4.31.000 Build210511 közötti verziói;
- DS-71xxNI-Q1xx(C) V4.30.300 Build210221 és V4.31.100 Build210511 közötti verziói;
- DS-HiLookI-NVR-1xxMHxx-D(C) V4.30.300 Build210221 és V4.31.100 Build210511 közötti verziói;
- DS-HiLookI-NVR-1xxHxx-D(C) V4.30.300 Build210221 és V4.31.100 Build210511 közötti verziói;
- DS-HiWatchI-HWN-21xxMHxx(C) V4.30.300 Build210221 és V4.31.100 Build210511 közötti verziói;
- DS-HiWatchI-HWN-21xxHxx(C) V4.30.300 Build210221 és V4.31.100 Build210511 közötti verziói;

A hibát javító firmware-verziókat a gyártó már elérhetővé tette. A sérülékenység részleteit a Hikvision és a Watchful_IP weboldalain lehet megtalálni.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.