GéPé kolléga feszült figyelemmel kíséri az USA-ban az előző (Trump-) adminisztráció által hozott, energetikai vészhelyzetről szóló elnöki rendelet sorsát, a héten történt fejleményeket az alábbiakban foglalja össze:

Előző posztjaimban (itt és itt) érintettem a 2021. május 1-én az USA átviteli hálózatának biztonságáról kiadott elnöki rendeletet (E.O. 13920, Executive Order on Securing the United States Bulk-Power System, a továbbiakban: EO), amely energetikai vészhelyzetet hirdetett ki. Az EO-ban foglaltak szerint 90 nappal később ki kellett volna adni a végrehajtás részleteit is. Erre nem került sor. Végül nagy késéssel a DOE (Department of Energy) csak egy a kritikus védelmi létesítményekbe történő, egyes kínai eredetű villamos berendezések beépítésére vonatkozó tilalmi rendelkezést adott ki. Idén január 20-án Biden elnök első rendelkezései egyikeként az EO 90 napos felfüggesztés mellett döntött. Annak leteltével, április 20-án a DOE ismét hatályba helyezte az EO-t, egyben meghatározta a következő 100 nap teendőit. Ennek részletei még nem ismertek, mindössze csak annyi, hogy a tavaly nyári RFI (RFI: Request for Information) után újabb RFI került kiadásra (45 napos válaszadási határidővel).

Felmerülhet a kérdés, hogy ennek a kacskaringós történetnek mi köze van az ICS-ek – azon belül a villamosenergetikai ICS-ek – kiberbiztonságához?!

Nos, egyrészt „csak” annyi, hogy az EO (és a tilalmi rendelkezés) az új beszerzésű (sőt, már jelenleg is üzemelő) külföldi eredetű, vagy érdekeltségű kritikus villamos berendezések (pl. transzformátorok, mérőváltók, védelmi és irányítástechnikai berendezések) üzemeltetése és létesítése kapcsán fogalmaz meg kemény teendőket és korlátozásokat. Mindezt az USA villamosenergia rendszerét e berendezések ellátási lánca révén fenyegető kiberveszélyek miatt!

Főleg Kína nyomulása kapcsán az USA mostanában különösen kényes az ellátási láncát érő fenyegetésekre. Idén február 24-én került kiadásra az USA ellátási láncaira vonatkozó elnöki rendelet (E.O. 14017, America's Supply Chains), amely 100 napos határidővel előírta az ellátási lánc kockázatok felülvizsgálatát, sok egyéb mellett pl. a nagyteljesítményű akkumulátorok vonatkozásában (amelyek különös fontosságúak a kritikus infrastruktúrák ICS/SCADA-i megbízható tápellátása szempontjából). Ezt a felülvizsgálatot 1 éves határidővel az energetikai szektor egésze szempontjából is el kell végezni.

Másrészt időközben robbant ki az ICS/OT rendszerekre is sokkoló tanulságokkal szolgáló SolarWinds/Orion botrány, melynek kapcsán kiderült az USA kibervédelmének – és ennek részeként az ICS-ek kibervédelmének – vaksága, mondhatni csődje.

Harmadrészt az USA továbbra is jelentős kockázatnak tekinti a kritikus infrastruktúráiba egyre nagyobb számban beépített és beépítésre kerülő kínai eredetű berendezéseket. Mint az RFI fogalmaz: „A kínai eredetű kulcsfontosságú villamos berendezések alapvető fenyegetést jelentenek, mivel a kínai törvények lehetőséget biztosítanak Kína számára, hogy kihasználja az USA kritikus infrastruktúráiban használt – Kínában gyártott vagy szállított berendezések – sebezhetőségeit.”

Az ismételt hatályba helyező rendelkezés tartalma és gyakorlati következményei több kérdést is felvetnek. Pl.

• Mitől lehetne most éppen 100 nap alatt kezelni egy olyan – sőt azóta „még olyanabb” (lásd SolarWinds/Orion) – helyzetet, amelyet egyszer már 90 nap alatt nem sikerült?!

• A „stabil politikai környezet megteremtése” elégséges indok-e az elmúlt időszak egyetlen érdemi (és indokolt) fejleménye – a kritikus védelmi létesítményekre vonatkozó decemberi tilalmi rendelkezés – visszavonására?!

• Az érintett villamosenergetikai cégek miként tudnak megfelelni annak az elvárásnak, hogy a most kezdődött 100 napban az EO előírásai szellemében tevékenykedjenek, ha a végrehajtás részletei jó esetben csak a 100 nap leteltével lesznek megismerhetők?!

• Hogyan kerülnek finanszírozásra az EO-ban foglaltak végrehajtásának várhatóan horribilis költségei?!

Tehát továbbra is izgalmas hónapoknak nézünk elébe.

És egy pillanatig ne gondoljuk, hogy mindez tőlünk messze, a távolban történik, melyhez nekünk itt Magyarországon semmi közünk. A mai globalizált ellátási láncokat érő fenyegetések minket is érnek! Azaz a kritikus infrastruktúrák – azon belül hangsúllyal a villamosenergia-rendszer – kiberbiztonsága hazai illetékeseinek nagyon is érdemes elgondolkodniuk azon, hogy vajon az USA miért is nyomja ennyire a csengőt!?

Siemens LOGO! Soft Comfort sérülékenységek

A Siemens publikációja szerint Mashav Sapir, a Claroty munkatársa két sérülékenységet talált, amik a LOGO! Soft Comfort nevű termékük minden verzióját érintik.

A gyártó a hibákkal kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységek részleteiről a Siemens ProductCERT és az ICS-CERT publikációiban lehet tájékozódni.

Sérülékenységek Siemens SINEMA Remote Connect Server-ekben

A Siemens két sérülékenységről közölt információkat a DHS CISA-val, amiket a SINEMA Remote Connect Server v3.0-nál korábbi verzióiban találtak.

A gyártó a hibákkal kapcsolatban a SINEMA Remote Connect Server v3.0 verziójára történő frissítést javasolja. A sérülékenységekről bővebben a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet olvasni.

Siemens SCALANCE X200 webszerver sérülékenységek

A Siemens két, puffer-túlcsordulás sérülékenységet jelentett a DHS CISA-nak, amik a SCALANCE X200-as termékcsalád alábbi tagjait érintik:

- SCALANCE X200-4P IRT minden, 5.5.1-nél korábbi verziója;
- SCALANCE X201-3P IRT minden, 5.5.1-nél korábbi verziója;
- SCALANCE X201-3P IRT PRO minden, 5.5.1-nél korábbi verziója;
- SCALANCE X202-2 IRT minden, 5.5.1-nél korábbi verziója;
- SCALANCE X202-2P IRT minden, 5.5.1-nél korábbi verziója (beleértve a SIPLUS NET változatokat is);
- SCALANCE X202-2P IRT PRO minden, 5.5.1-nél korábbi verziója;
- SCALANCE X204 IRT minden, 5.5.1-nél korábbi verziója;
- SCALANCE X204 IRT PRO minden, 5.5.1-nél korábbi verziója;
- SCALANCE X204-2 minden verziója (beleértve a SIPLUS NET változatokat is);
- SCALANCE X204-2FM minden verziója;
- SCALANCE X204-2LD minden verziója (beleértve a SIPLUS NET változatokat is);
- SCALANCE X204-2LD TS minden verziója;
- SCALANCE X204-2TS minden verziója;
- SCALANCE X206-1 minden verziója;
- SCALANCE X206-1LD minden verziója;
- SCALANCE X208 minden verziója (beleértve a SIPLUS NET változatokat is);
- SCALANCE X208PRO minden verziója;
- SCALANCE X212-2 minden verziója (beleértve a SIPLUS NET változatokat is);
- SCALANCE X212-2LD minden verziója;
- SCALANCE X216 minden verziója;
- SCALANCE X224 minden verziója;
- SCALANCE XF201-3P IRT minden, 5.5.1-nél korábbi verziója;
- SCALANCE XF202-2P IRT minden, 5.5.1-nél korábbi verziója;
- SCALANCE XF204 minden verziója;
- SCALANCE XF204 IRT minden, 5.5.1-nél korábbi verziója;
- SCALANCE XF204-2 minden verziója (beleértve a SIPLUS NET változatokat is);
- SCALANCE XF204-2BA IRT minden, 5.5.1-nél korábbi verziója;
- SCALANCE XF206-1 minden verziója;
- SCALANCE XF208 minden verziója.

A gyártó az alábbi termékek esetén az 5.5.1-es verzióban javította a hibákat:

- SCALANCE X200-4P IRT;
- SCALANCE X201-3P IRT;
- SCALANCE X201-3P IRT PRO;
- SCALANCE X202-2 IRT;
- SCALANCE X202-2P IRT (beleértve a SIPLUS NET változatokat is);
- SCALANCE X202-2P IRT PRO;
- SCALANCE X204 IRT;
- SCALANCE X204 IRT PRO;
- SCALANCE XF201-3P IRT;
- SCALANCE XF202-2P IRT;
- SCALANCE XF204 IRT;
- SCALANCE XF204-2BA IRT.

A sérülékenységekkel kapcsolatos további információk a Siemens ProductCERT és az ICS-CERT weboldalain érhetőek el.

Sérülékenységek Siemens Solid Edge szoftvereszközökben

Francis Provencher és rgod, a ZDI-vel együttműködve 5 sérülékenységet találtak a Siemens Solid Edge szoftvereinek alábbi verzióiban:

- Solid Edge SE2020 MP13-as és minden korábbi verziója;
- Solid Edge SE2021 minden, SE2021MP4-nél korábbi verziója.

A gyártó a hibákat az érintett szoftverek újabb verzióiban javította. A sérülékenységekről bővebben a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Siemens/PKE Control Center Server sérülékenységek

Raphaël Rigo, az Airbus Security Lab munkatársa egy tucatnyi sérülékenységet talált a Siemens és a PKE által fejlesztett, Control Center Server nevű videó menedzsment megoldás alábbi verzióiban:

- A v1.5.0-nál korábbi verziókat minden sérülékenység érinti;
- A v1.5.0 és újabb verziókat csak a CVE-2019-18340 azonosítóval ellátott sérülékenység érinti.

A gyártók a hibák nagy részét a v1.5.0 és újabb verziókban javították. A sérülékenységek részleteit a Siemens ProductCERT és az ICS-CERT bejelentései tartalmazzák.

Siemens Nucleus IPv6 sérülékenységek

A Siemens két sérülékenységet azonosított, amik a Nucleus termékcsalád alábbi tagjaiban használt IPv6 stack-jeit érintik:

- Nucleus 4 minden, v4.1.0-nál korábbi verziója;
- Nucleus NET minden verziója;
- Nucleus ReadyStart minden verziója;
- Nucleus Source Code minden verziója, ami az érintett IPv6 stack-et használja;
- VSTAR minden verziója, ami az érintett IPv6 stack-et használja.

A gyártó az érintett termékekhez készült javításokat már elérhetővé tette. A sérülékenységekkel kapcsolatos bővebb információk a Siemens ProductCERT és az ICS-CERT weboldalain találhatóak meg.

Sérülékenységek Siemens Nucleus DNS modulokban

Daniel dos Santos, a Forescout Technologies munkatársa összesen három sérülékenységet talált a Siemens Nucleus termékcsalád alábbi tagjaiban használt DNS modulokban:

- Nucleus NET minden verziója (a háromból két sérülékenység, a CVE-2020-15795 és a CVE-2020-27009, a v5.2-nél korábbi verziókat érintik);
- Nucleus RTOS érintett DNS modulokat használó verziói;
- Nucleus Source Code érintett DNS modulokat használó verziói;
- VSTAR érintett DNS modulokat használó verziói;
- Nucleus ReadyStart minden, V2013.08-nál korábbi verziója (csak a CVE-2021-27393 érinti).

A gyártó a hibákat javító újabb verziókat már elérhetővé tette. A sérülékenységekről további információk a Siemens ProductCERT és az ICS-CERT publikációiban érhetőek el.

Sérülékenység Siemens Siveillance Video Open Network Bridge rendszerekben

A Siemens egy kritikus sérülékenységről hozott nyilvánosságra információkat, ami a Siveillance Video Open Network Bridge rendszereik alábbi verzióit érinti:

Siveillance Video Open Network Bridge 2020 R3;
Siveillance Video Open Network Bridge 2020 R2;
Siveillance Video Open Network Bridge 2020 R1;
Siveillance Video Open Network Bridge 2019 R3;
Siveillance Video Open Network Bridge 2019 R2;
Siveillance Video Open Network Bridge 2019 R1;
Siveillance Video Open Network Bridge 2018 R3;
Siveillance Video Open Network Bridge 2018 R2.

A gyártó a hibát javító patch-eket már elérhetővé tette. A sérülékenység részleteit a Siemens ProductCERT bejelentésében lehet elolvasni.

Sérülékenység Siemens termékekben

A Siemens ProductCERT által közzé tett információk alapján az alábbi termékeknél használt SmartClient Installation technológia (ClickOnce) által használt lejárt tanúsítvány jelentős kockázatokat hordoz az érzékeny ügyféladatokra nézve. Az érintett rendszerek:

Opcenter Quality minden, V12.2-nél korábbi verziója;
QMS Automotive, minden, V12.30-nál korábbi verziója.

A gyártó az érintett tanúsítványt visszavonási listára tette és általános kockázatcsökkentő intézkedések bevezetésére vonatkozó javasolatokat is tett. A sérülékenységgel kapcsolatos részleteket a Siemens ProductCERT weboldalán lehet megtalálni.

Sérülékenységek Siemens TIM 4R-IE eszközökben

A Siemens ProductCERT publikációja szerint 14 régebbi NTP-sérülékenység érinti a gyártó alábbi eszközeit (különböző egyéb termékeiben használt kommunikációs moduljait) is:

- TIM 4R-IE minden verziója (beleértve a SIPLUS NET változatokat is);
- TIM 4R-IE DNP3 minden verziója (beleértve a SIPLUS NET változatokat is).

A gyártó a hibákkal kapcsolatban kockázatcsökkentő intézkedések alkalmazását és újabb termékekre történő migrációt javasol. A sérülékenységekről további részleteket a Siemens ProductCERT publikációjában lehet találni.

Siemens Tecnomatix RobotExpert sérülékenység

A ZDI-vel és a DHS CISA-val együttműködve a Siemens ProductCERT egy sérülékenységről hozott nyilvánosságra információkat, ami a Tecnomatix RobotExpert V16.1-nél korábbi verzióit érinti.

A gyártó a hibát a V16.1-es és újabb verziókban javította. A sérülékenységről részleteket a Siemens ProductCERT bejelentése tartalmaz.

Sérülékenység Siemens Mendix alkalmazásokban

A Siemens egy sérülékenységet azonosított a FlowFabric BV segítségével, ami az alábbi termékeiket érinti:

- Mendix 7 minden, V7.23.19-nél korábbi verziója;
- Mendix 8 minden, V8.17.0-nál korábbi verziója;
- Mendix 8 (V8.12) minden, V8.12.5-nél korábbi verziója;
- Mendix 8 (V8.6) minden, V8.6.9-nél korábbi verziója;
- Mendix 9 minden, V9.0.5-nél korábbi verziója.

A hibát javító újabb verziókat a gyártó már elérhetővé tette ügyfelei számára. A sérülékenységgel kapcsolatos további információk a Siemens ProductCERT weboldalán érhetőek el.

Siemens SIMOTIC CONNECT 400 sérülékenységek

Daniel dos Santos, a Forescout Technologies munkatársa 4 sérülékenységet talált a Siemens alábbi berendezéseiben:

- SIMOTICS CONNECT 400 minden, V0.5.0.0 és korábbi verziója;
- SIMOTICS CONNECT 400 V0.5.0.0 és újabb verzióit csak a CVE-2021-25677 sérülékenység érinti.

A gyártó a hibák nagy részét a V0.5.0.0 verzióban javította, továbbá kockázatcsökkentő intézkedések bevezetésére vonatkozó javasolatokat tett. A sérülékenységekkel kapcsolatosan bővebb információk a Siemens ProductCERT publikációjában érhetőek el.

Sérülékenység JTEKT rendszerekben

Younes Dragoni, a Nozomi Networks munkatársa egy sérülékenységet talált a JTEKT alábbi berendezéseiben:

TOYOPUC-PC10 sorozat:
- PC10G-CPU TCC-6353 minden verziója;
- PC10GE TCC-6464 minden verziója;
- PC10P TCC-6372 minden verziója;
- PC10P-DP TCC-6726 minden verziója;
- PC10P-DP-IO TCC-6752 minden verziója;
- PC10B-P TCC-6373 minden verziója;
- PC10B TCC-1021 minden verziója;
- PC10B-E/C TCU-6521 minden verziója;
- PC10E TCC-4737 minden verziója;

TOYOPUC-Plus sorozat:
- Plus CPU TCC-6740 minden verziója;
- Plus EX TCU-6741 minden verziója;
- Plus EX2 TCU-6858 minden verziója;
- Plus EFR TCU-6743 minden verziója;
- Plus EFR2 TCU-6859 minden verziója;
- Plus 2P-EFR TCU-6929 minden verziója;
- Plus BUS-EX TCU-6900 minden verziója;

TOYOPUC-PC3J/PC2J sorozat:
- FL/ET-T-V2H THU-6289 minden verziója;
- 2PORT-EFR THU-6404 minden verziója.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenység részleteit az ICS-CERT bejelentése tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsa-21-103-03

Advantech WebAccess/SCADA rendszerek sérülékenysége

Chizuru Toyama, a TrendMicro TXOne IoT/ICS Security Research Labs munkatársa egy sérülékenységet azonosított az Advantech WebAccess/SCADA 9.0.1-es és korábbi verzióiban.

A gyártó a hibát a 9.0.3-as és újabb verzióiban javította. A sérülékenységgel kapcsolatban további információkat az ICS-CERT weboldalán lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-103-02

Sérülékenység az EIPStackGroup OpENer Ethernet/IP protokoll-implementációjában

Tal Keren és Sharon Brizinov, a Claroty munkatársai négy sérülékenységet jelentettek a DHS CISA-nak, amiket a OpENer EtherNet/IP 2021. február 10-e előtti, https://github.com/EIPStackGroup/OpENer/ hivatkozáson elérhető commit-jaiban és verzióiban találtak.

Az OpENer projekt fejlesztői a hibákkal kapcsolatban a legújabb elérhető verzió használatát javasolják. A sérülékenységek részleteiről az ICS-CERT publikációjában lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-21-105-02

Schneider Electric C-Bus Toolkit sérülékenységek

rgod, a ZDI-vel együttműködve öt sérülékenységről közölt információkat a DHS CISA-val, amiket a Schneider Electric C-Bus Toolkit v1.15.7-es és korábbi verzióiban talált.

A gyártó a hibákat a C-Bus Toolkit legújabb verziójában javította. A sérülékenységekkel kapcsolatos bővebb információk a Schneider Electric és az ICS-CERT weboldalain érhetőek el.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az USA Igazságügyi Minisztériuma (Department of Justice, DoJ) által publikált információk szerint egy 22 éves, Kansas állambeli férfit fognak szövetségi bíróság előtt perbe fogni a szintén Kansas állambeli Ellsworth megyei vízmű ICS rendszereihez történő jogosulatlan hozzáférés miatt. A Környezetvédelmi Ügynökség (Environmental Protection Agency, EPA) bűnügyi nyomozó részlegét vezető ügynök szerint az illegális hozzáféréssel és a vízmű rendszereiben végrehajtott módosításokkal a vádlott az ivóvíz-hálózatot és azon keresztül a közösség biztonságát veszélyeztette. A nyilvánosságra hozott információk nem tartalmaznak azzal kapcsolatban részleteket, hogy az illegális módosítások sikeresek voltak-e illetve hogy hogyan észlelték ezeket a változtatásokat, viszont a vádlott jelenleg 25 évig terjedő (szövetségi börtönben letöltendő) szabadságvesztés és 500.000 dollárig terjedő bírsággal néz szembe.

Nem ez volt az első és nem is az utolsó kiberbiztonsági incidens az amerikai viziközmű cégek életében, elég csak az floridai Oldsmar vízművének rendszerében történt incidensre gondolni, de az izraeli vízmű cégek elleni támadás-sorozat sem volt olyan régen. Ráadásul a DoE 2016-ban kiadott információi szerint már 2015-ben is legalább 25 kiberbiztonsági incidenst regisztráltak különböző (kisméretű) amerikai viziközmű szolgáltatók rendszereiben, tehát az utóbbi idők eseményei korántsem előzmény nélküliek.

Az egyre nyilvánvalóbb, hogy az USA-ban immár a legmagasabb (szövetségi) szinten és több hatalmi ágban (végrehajtói - a blogon többször hivatkozott elnöki rendeletekben is leírtak szerint - és bírói - vagy legalább is ügyészi szinten - hatalmi ágakban) is egyre fontosabbnak értékelik a nemzeti kritikus infrastruktúrák kiberbiztonságának kérdését. Vajon itthon mikor indulunk el hasonló úton? Mert az nem lehet kérdés, hogy (ebben a témában mindenképp) követnünk kéne az USA-t, a kérdés inkább csak az, mi kell ahhoz, hogy ezt a magyar döntéshozók is kellően fontosnak érezzék?

Bár Magyarországon a viziközmű cégek egészen más méretűek, ezáltal pedig (feltételezéseim szerint) más problémákkal, kihívásokkal szembesülnek, a kisméretű közmű cégek problémái szerintem itthon is jelen vannak, csak éppen másik szektort kell vizsgálni. Az elmúlt években gombamód szaporodó és az állam által is támogatott kis- és háztáji naperőművek hasonló kiberbiztonsági kockázatokat hordozhatnak. Egyenként ezek a naperőművek nem jelentenek érezhető beépített teljesítmény az országos villamosenergia-rendszer szempontjából, de figyelembe véve, hogy milyen sokat ezek közül alig néhány gyártó azonos technológiára épülő illetve sok esetben egy sorozatba tartozó eszközeiből építenek fel és ezek publikus hálózatokon kommunikálnak az adott terület áramszolgáltatójának rendszereivel, már látható, hogy adott esetben már komolyabb kockázatok is megjelenhetnek.

Vasárnap számos híroldal (NY Times, BBC, CNN, Al Jazira, The Guardian, itthon többek között a Telex és a 444.hu is) és több IT biztonsági forrás (pl. SecurityWeek) hozta a hírt, hogy komoly áramkimaradás volt a Natanz-i urándúsító létesítményben és egyes források szerint számos, az urándúsítási folyamatban fontos eszköz meg is hibásodott az áramkimaradás következtében. Némely források az áramkimaradás hátterében kibertámadást, mások robbanásokat emlegetnek.

Irán szinte azonnal erős kijelentéseket tett (nukleáris terrorizmust emlegettek és a Nemzetközi Atomenergia Ügynökség, az IAEA közbelépését sürgette). Bár még szinte semmilyen konkrétumot nem lehet tudni és éppen ezért én is tartózkodnék a konkrétabb megállapításoktól, az mindenképp látszik, hogy egy adott ország kritikus infrastruktúrája egyre nagyon mértékben ki van téve a kibertérből érkező támadásoknak, különösen, ha az adott országnak van egy vagy több elszánt ellenlábasa.

Egyes források szerint az incidens ismét jelentősen (egy helyen 9 hónapot olvastam) visszaveti az iráni nukleáris programot a fejlődésben.

Ha az iráni illetékesek nukleáris terrorizmusra vonatkozó kijelentéseit vizsgáljuk, akár még arra a megállapításra is juthatunk, hogy akár igazuk is lehet, hiszen a civil kritikus infrastruktúrák elleni támadásokat simán lehet terrorcselekményként kezelni, azonban az iráni atomprogrammal kapcsolatban annak elejétől kezdve komoly kétségek vannak szerte a világban a békés, civil voltát illetően.

Ezt a posztot igyekszem majd frissíteni, amikor a konkrét esetről további, megerősített információk látnak napvilágot.

Rockwell Automation rendszerek sérülékenységei

Sharon Brizinov és Amir Preminger, a Claroty munkatársai 9 sérülékenységet fedeztek fel a Rockwell Automation FactoryTalk AssetCentre nevű megoldásának v10.00 és korábbi verzióiban.

A gyártó a hibákat az AssetCentre v11-es és újabb verzióiban javította. A sérülékenységek részleteiről további információkat az ICS-CERT publikációjában lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-091-01

Sérülékenység Hitachi ABB Power Grids termékekben

Markus Mahrla a GAI NetConsult GmbH és Lars Lengersdorf, az Amprion GmbH munkatársa egy sérülékenységet azonosítottak a Hitachi ABB Power Grids alábbi termékeiben:

- Relion 670 sorozat 1.1-es verzió minden revíziója;
- Relion 670 sorozat 1.2.3-as verzió minden revíziója;
- Relion 670 sorozat 2.0-es verzió minden revíziója;
- Relion 670/650 sorozatok 2.1-es verzió minden revíziója;
- Relion 670/650 sorozatok 2.2.0-es verzió minden revíziója;
- Relion 670/650/SAM600-IO sorozatok 2.2.1-es verzió minden revíziója;
- Relion 670 sorozatok 2.2.2-es verzió minden revíziója;
- Relion 670 sorozatok 2.2.3-as verzió minden revíziója;
- Relion 650 sorozatok 1.1-es verzió minden revíziója;
- Relion 650 sorozatok 1.2-es verzió minden revíziója;
- Relion 650 sorozatok 1.3-as verzió minden revíziója;
- RTU500 CMU 7.x firmware-verziók;
- RTU500 CMU 8.x firmware-verziók;
- RTU500 CMU 9.x firmware-verziók;
- RTU500 CMU 10.x firmware-verziók;
- RTU500 CMU 11.x firmware-verziók;
- RTU500 CMU 12.x firmware-verziók;
- REB500 7.3;
- REB500 7.4;
- REB500 7.5;
- REB500 7.6;
- REB500 8.2;
- REB500 8.3;
- TEGO1 FOX615 service unit-jai R1D02-es és korábbi ESW-vel futó példányai;
- MSM minden, 2.1.0-nál régebbi verziója;
- GMS600 1.3.0 és korábbi verziói;
- PWC600 Version 1.0;
- PWC600 Version 1.1.

A hibát a gyártó az érintett termékek újabb verzióiban javította. A sérülékenység részleteit az ICS-CERT bejelentésében lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-096-01

FATEK Automation rendszerek sérülékenysége

Francis Provencher, a ZDI-vel együttműködve egy sérülékenységről közölt információkat a DHS CISA-val, ami a FATEK Automation WinProladder PLC-inek 3.30-as és korábbi verzióit érinti.

A gyártó jelenleg is dolgozik a hibát javító újabb verzión. A sérülékenységgel kapcsolatosan bővebb információkat az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-098-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az USA kritikus infrastruktúráinak kiberbiztonsága meglehetősen forró témának számít, ismét történtek fontos dolgok a tengeren túlon, amiről (szokása szerint) GéPé kolléga ismét készített egy rövid összefoglalót. Íme.

Az USA 2020-ban jól érzékelhetően fokozta a villamosenergia-rendszere kiberbiztonságát érő fenyegetések elleni erőfeszítéseit. Ennek egyik markáns jele volt az EO 13920 (Executive Order on Securing the United States Bulk-Power System, 2020. május 1.) elnöki rendelet kiadása. Bár Biden elnök az EO alkalmazását 2021. január 20-án 90 napra felfüggesztette, de nem valószínű, hogy az USA-t az elmúlt hónapokban ért kibertámadások – hangsúllyal a SolarWind/Orion incidens – tükrében az EO végleges visszavonásáról, vagy akár enyhítéséről születne döntés.

További lényeges lépésnek tekinthető, hogy az USA Energiaügyi Minisztériuma (DoE: Department of Energy) 2020. november 30-án a Villamosenergetikai Tanácsadó Bizottság (EAC: Electricity Advisory Committee) létrehozta a Nemzetbiztonsági Bizottság Villamosenergia-hálózat Ellenállóképességéért felelős albizottságát (GRNS: Grid Resilience for National Security). A GRNS feladata egyebek mellett utat mutatni a villamosenergia-rendszert érő egyre nagyobb fenyegetések előrejelzésére, valamint a kockázatkezelés és a veszély mérséklés új megközelítésére.

Bár a GRNS-t még a Trump adminisztráció hozta létre, de az USA töretlen elkötelezettségét jól mutatja, hogy a DoE április 5-én 8 millió USD (mintegy 2,5 milliárd HUF!) értékben támogatási keretet hirdetett meg a villamosenergia-rendszer kiberbiztonságát és ellenállóképességét erősítő kutatások és fejlesztések finanszírozására. A DoE célként tűzi ki rugalmas, öngyógyító és autonóm eszközök, technológiák kutatását, fejlesztését. Ezt támogatandó a DoE fontosnak tartja az állami és magánszereplők együttműködésének (PPT: Public-Private Partnerships) kibővítését.

Ezek után különösen jelzésértékű lesz a 90 napos felfüggesztésének vége felé járó EO 13920 további sorsa…

És persze fontos lenne, ha Magyarországon is létrejöhetne mind az EAC, mind a GRNS hazai megfelelője, nem beszélve a kapcsolódó kutatás-fejlesztés dedikált forrásáról…

Súlyos tévedés lenne abban bízni, hogy mivel hazánk nem elsődleges célországa a kibertámadásoknak, ezért felelősséggel ki is lehetne zárni pl. a villamosenergia-rendszerünket érintő támadás lehetőségét…

A Hexane/Lyceum névre keresztelt támadók (Hexane-nek a Dragos, Lyceum-nak a MITRE ATT&CK for ICS framework nevezi ezt az ICS rendszereket támadó csoportot) legkésőbb 2018. óta aktívak és a tevékenységükben növekedés figyelhető meg 2019. eleje-közepe óta.

Módszereik közé a célzott adathalász támadások (jellemzően Excel fájlok felhasználásával célba jutattott malware-ek célbajuttatásával együtt gyűjtik a legitim felhasználói adatokat), közbeékelődéses támadások (Man-in-the-Middle) tartoznak, ezek mellett Visual Basic makrókat és PowerShell scripteket, valamint standard HTTP és DNS protokollokat használnak a támadásaik során.

A Hexane/Lyceum csoport is azoknak a támadóknak a sorát gyarapítja, akik előszeretettel támadnak olyan cégeket, akiken keresztül utána könnyebben juthatnak be a valódi célpontjaikat képező (ennek a csoportnak az esetében a telekommunikációs vállalatok mellett az olaj- és gázszektor cégei képezik a célpontokat) szervezetek rendszereibe.

A Hexane/Lyceum a Dragos elemzése szerint mutat bizonyos hasonlóságokat a Magnallium/APT33 és a Chrysene/APT34 csoportokkal, mindhárom csoport fókuszában az olaj- és gázipari szektor cégei tartoznak és további hasonlóságokat is fel lehet fedezni a TTP-ik (tactics, techniques, and procedures) terén.

A téma és a csoport iránt érdeklődők számára a Dragos fent hivatkozott cikke mellett a MITRE ATT&CK for ICS Hexane/Lyceum-ról szóló írása is érdekes lehet.

Sérülékenység Philips orvosi megoldásokban

Jean George, a CHU UCL Namur kutatóintézet munkatrása egy sérülékenységet talált a Philips alábbi PET/CT orvosi rendszereiben:

- 882300 Gemini 16 Slice;
- 882160 Gemini Dual;
- 882400 Gemini GXL 10 Slice;
- 882390 Gemini GXL 6 Slice;
- 882410 Gemini GXL 16 Slice;
- 882412 GEMINI LXL;
- 882473 Gemini TF Ready;
- 882470 Gemini TF 16 w/ TOF Performance;
- 882471 Gemini TF 64 w/ TOF Performance;
- 882476 Gemini TF Big Bore;
- 882438 TruFlight Select PET/CT.

A hibával kacpsolatban a gyártó kockázatcsökkentő intézkedések alkalmazásást javasolja. A sérülékenységgel kapcsolatban további információkat az ICS-CERT publikációjában lehet találni: https://us-cert.cisa.gov/ics/advisories/icsma-21-084-01

Weintek EasyWeb cMT berendezések sérülékenységei

Marcin Dudek, a CERT.PL munkatársa három sérülékenységet fedezett fel a Weintek cMT berendezéseinek alábbi modelljeiben és operációs rendszereiben:

- cMT-SVR-1xx/2xx 20210305-nél korábbi verziói;
- cMT-G01/G02 20210209-nél korábbi verziói;
- cMT-G03/G04 20210222-nél korábbi verziói;
- cMT3071/cMT3072/cMT3090/cMT3103/cMT3151 20210218-nál korábbi verziói;
- cMT-HDM 20210204-nél korábbi verziói;
- cMT-FHD 20210208-nál korábbi verziói;
- cMT-CTRL01 20210302-nél korábbi verziói.

A hibákat javító újabb verziókat a gyártó már elérhetővé tette. A sérülékenységek részleteit az ICS-CERT bejelentésében lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-082-01

Sérülékenységek GE eszközökben

Tom Westenberg, a Thales UK munkatársa három sérülékenységet talált a GE MU320E típusú készülékeinek v04A00.1-esnél korábbi firmware-verzióiban.

A gyártó a hibát a v04A00.1-es és újabb firmware-ekben javította. A sérülékenységekről további információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-082-02

GE Reason DR60-as készülékek sérülékenységei

A Thales OT Security csapata három sérülékenységről közölt részleteket a GE-vel, amik a gyártó DR60-as típusú digitális hibarögzítő berendezéseinek minden, 02A04.1-nél korábbi firmware-verzióit érintik.

A gyártó a hibákat a 02A04.1-es és újabb firmware-verziókban javította. A sérülékenységekről bővebben az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-082-03

Sérülékenységek Ovarro TBox RTU-kban

Uri Katz, a Claroty munkatársa 5 sérülékenységet azonosított az Ovarro alábbi RTU-iban:

- TBoxLT2 (minden modell);
- TBox MS-CPU32;
- TBox MS-CPU32-S2;
- TBox RM2 (minden modell);
- TBox TG2 (minden modell);
- Minden, TWinSoft 12.4-nél és Firmware 1.46-nél korábbi verzió.

A gyártó a hibákat a TWinSoft 12.4-es és az 1.46-es firmware-ben javította. A sérülékenységek részleteit az ICS-CERT publikációja tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsa-21-054-04

Moxa VPort IP kamerák sérülékenységei

Qian Chen, a Qihoo 360 Nirvan csapat tagja három sérülékenységet jelentett a Moxa-nak, amik a gyártó VPort 06EC-2V sorozatú IP kameráinak 1.1-es és korábbi firmware-verzióit érintik.

A hibával kapcsolatban a gyártó a Moxa Technical Support-tal történő kapcsolatfelvételt javasolja az érintett verziókat használó ügyfeleinek. A sérülékenységekkel kapcsolatos további információkat a Moxa bejelentése tartalmazza.

Sérülékenységek Moxa routerekben

A BDU FSTEC munkatársai összesen 10 sérülékenységet azonosítottak a Moxa EDR-810 sorozatú routereinek 5.7-es és korábbi firmware-verzióiban.

A gyártó a hibákat javító újabb verziókat már elérhetővé tette. A sérülékenységek részleteiről a Moxa weboldalán lehet tájékozódni.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Dale Peterson a jelenkori ICS biztonsági közösség egyik ismert és elismert tagja. A mai podcast-nek az ő egyik felvételét választottam, amiben Otis Alexander-rel a MITRE ATT&CK for ICS keretrendszeréről beszélgetnek, mintegy 50 percben: https://dale-peterson.com/2020/09/30/attck-for-ics-evaluations/

Két napon belül 2 jelentős ICS gyártót, a kanadai Sierra Wireless-t és az amerikai Honeywell-t is zsarolóvírus támadások értek a hírek szerint.

A Sierra Wireless közleménye szerint az incidens az IT rendszereik egy részét, köztük a cég webes megjelenését kiszolgáló rendszereket is érintette, azonban a közlemény arra is kitér, hogy az incidens következtében a gyártósorokat is leállították.

A Sierra Wireless munkatársai a hírek szerint mostanra sikeresen felülkerekedtek a malware-támadáson és állítják, hogy az incidens csak a cég belső rendszereit érintette, az ügyfeleik által igénybe vehető termékeket és szolgáltatásokat nem.

A Honeywell-t ér zsarolóvírus támadás a gyártóóriás szerint csak "limitált számú" IT rendszerük működésben okozott fennakadását és hogy a támadók nem tudtak ügyféladatokat megszerezni.

Ezek a hírek, együtt az elmúlt hetekben nyílvánosságra került más ipari szereplők elleni ransomware-támadásokkal, egyre világosabban mutatják, hogy a különböző automatizálási rendszerekre építő ipari vállalatok is a kiberbűnözők vagy más támadói csoportok figyelmének középpontjába kerültek. A kérdés csak az, kinek meddig tart ki a szerencséje - vagy inkább az, hogy ki eszmél még időben?