Siemens SINEMA Remote Connect Server sérülékenységek

A Siemens ProductCERT két sérülékenységről közölt információkat a DHS CISA-val, amik a SINEMA Remote Connect Server nevű termékük 3.0-nál korábbi verzióit érintik.

A hibákat a gyártó a 3.0 és újabb verziókban javította. A sérülékenységek részleteiről a Siemens ProductCERT és az ICS-CERT publikációiból lehet tájékozódni.

Sérülékenység Siemens SCALANCE és RUGGEDCOM berendezésekben

A Siemens ProductCERT egy sérülékenységről hozott nyilvánosságra információkat, ami az alábbi termékeiket érinti:

- RUGGEDCOM RM1224 v6.3-as firmware-verzió;
- SCALANCE M-800 v6.3-as firmware-verzió;
- SCALANCE: S615 v6.3-as firmware-verzió;
- SCALANCE SC-600-as v2.1-től v2.1.3-ig terjedő verziói.

A gyártó a hibát a SCALANCE SC-600-as készülékek esetében a v2.1.3-as és újabb firmware-verziókban javította, a többi érintett eszköz esetén kockázatcsökkentő intézkedések használatát javasolja. A sérülékenységgel kapcsolatban további információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet megtalálni.

Schneider Electric IGSS sérülékenységek

Kimiya, a ZDI-vel együttműködve négy sérülékenységről osztott meg információkat a DHS CISA-val, amik a Schneider Electric IGSS (Interactive Graphical SCADA System) nevű megoldásához tartozó IGSS Definition (Def.exe) komponens 15.0.0.21041-es és korábbi verzióit érintik.

A gyártó a hibákat a 15.0.0.21042-es verzióban javította. A sérülékenységek részleteiről a Schneider Electric és az ICS-CERT weboldalain lehet olvasni.

Sérülékenység Schneider Electric PowerLogic villamosenergia mérőórákban

Tal Keren és Rei Henigman, a Claroty munkatársai egy sérülékenységet találtak a Schneider Electric alábbi termékeiben:

- ION8650 minden, V4.40.1-nél korábbi verziója;
- ION8800 minden, V372-nél korábbi verziója;
- ION7650 (4 és korábbi hardver-verziók) minden, V376-nál korábbi verziója;
- ION7650 (5 és korábbi hardver-verziók) minden, V416-nál korábbi verziója;
- ION7700/73xx minden verziója;
- ION83xx/84xx/85xx/8600 minden verziója.

Egy másik sérülékenységet pedig az alábbi mérőórákban azonosítottak:

- ION7400 minden, V3.0.0-nál korábbi verzió;
- ION9000 minden, V3.0.0-nál korábbi verzió;
- PM8000 minden, V3.0.0-nál korábbi verzió.

A gyártó a hibát (az ION7700/73xx és ION83xx/84xx/85xx/8600 típusok kivételéve, amiknél már megszűnt a gyártói támogatás) az újabb verziókban javította. A sérülékenységről bővebb információkat a Schneider Electric publikációi tartalmaznak.

Libcurl-sérülékenység Siemens SCALANCE és SIMATIC berendezésekben

A Siemens ProductCERT bejelentése szerint a libcurl-ben talált sérülékenység érinti a gyártó alábbi termékeit:

- SCALANCE SC600 termékcsalád v2.0-nál korábbi verziói;
- SIMATIC NET CM 1542-1 minden verziója.

A gyártó a hibát a SCALANCE SC-600-asok esetén a v2.0 és későbbi verziókban javította, a SIMATIC készülékek esetén kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységről további részleteket a Siemens ProductCERT bejelentésében lehet találni.

Sérülékenység Siemens Mendix Forgot Password Appstore modulban

A Siemens ProductCERT weboldalán megjelent információk szerint egy sérülékenységet találtak a Mendix Forgot Password Appstore modul minden, V3.2.1-nél korábbi verziójában.

A gyártó a hibát a V3.2.1-es és újabb verziókban javította. A sérülékenységgel kapcsolatos további információkat a Siemens ProductCERT publikációjában lehet elérni.

Luxion KeyShot sérülékenységek Siemens Solid Edge rendszerekben

A Siemens ProductCERT bejelentése szerint a Luxion KeyShot termékében talált sérülékenységek érintik a Siemens Solid Edge alábbi verzióit is:

- Solid Edge SE2020 minden verziója;
- Solid Edge SE2021 minden verziója.

A hiba a KeyShot V10.1 és újabb verziókban került javításra. A sérülékenységről bővebben a Siemens ProductCERT bejelentéséből lehet tájékozódni.

Sérülékenység Advantech WebAccess rendszerekben

Chizuru Toyama, a TrendMicro-hoz tartozó TXOne IoT/ICS Security Research Labs munkatársa egy sérülékenységet talált az Advantech WebAccess/SCADA 9.0 és korábbi verzióiban.

A gyártó a hibát a 9.0.1-es és újabb verziókban javította. A sérülékenység részleteiről az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-075-01

Sérülékenységek GE védelmekben és vezérlőkben

A SCADA-X, az Idaho National Labs-hoz tartozó CyTRICS, a Verve Industrial és VuMetric összesen 9 sérülékenységről közöltek információkat a GE-vel, amik az alábbi védelmeiket és vezérlőiket érintik:

- UR termékcsalád B30 típusú berendezések;
- UR termékcsalád B90 típusú berendezések;
- UR termékcsalád C30 típusú berendezések;
- UR termékcsalád C60 típusú berendezések;
- UR termékcsalád C70 típusú berendezések;
- UR termékcsalád C95 típusú berendezések;
- UR termékcsalád D30 típusú berendezések;
- UR termékcsalád D60 típusú berendezések;
- UR termékcsalád F35 típusú berendezések;
- UR termékcsalád F60 típusú berendezések;
- UR termékcsalád G30 típusú berendezések;
- UR termékcsalád G60 típusú berendezések;
- UR termékcsalád L30 típusú berendezések;
- UR termékcsalád L60 típusú berendezések;
- UR termékcsalád L90 típusú berendezések;
- UR termékcsalád M60 típusú berendezések;
- UR termékcsalád N60 típusú berendezések;
- UR termékcsalád T35 típusú berendezések;
- UR termékcsalád T60 típusú berendezések.

A gyártó a hibákat az érintett eszközökhöz kiadott 8.10-es és újabb firmware-verziókban javította. A sérülékenységekkel kapcsolatos további információkat az ICS-CERT publikációában lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-075-02

Hitachi ABB Power Grids berendezések sérülékenysége

A Hitachi ABB Power Grids által a DHS CISA-val közölt információk alapján egy sérülékenységet azonosítottak az alábbi, AFS sorozatú készülékeikben:

- AFS660/AFS665 7.0.07-es verziója, beleértve az alábbi változatokat:
- AFS660-SR;
- AFS665-SR.

A hibát javító újabb verziót a gyártó már elérhetővé tette. A sérülékenység részleteiről az ICS-CERT bejelentésében lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-075-03

Sérülékenység Exacq Technologies rendszerekben

Milan Kyselica egy sérülékenységet jelentett a Johnson Controlsnak, amit a cég leányvállalatának, az Exacq Technologies-nak az exacqVision Web Service nevű termékének v20.12.02.0 és korábbi verzióiban talált.

A Johnson Controls tájékoztatása szerint a hibát az exacqVision Web Service v21.03 és újabb verzióiban javították. A sérülékenységgel kapcsolatos bővebb információkat az ICS-CERT weboldalán lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-077-01

Hitachi ABB Power Grids eSOMS sérülékenység

A Hitachi ABB Power Grids egy sérülékenységről tájékoztatta a DHS CISA-t, ami az alábbi termékeiket érinti:

- eSOMS 6.0 verziói a 6.0.4.2.2 előtt;
- eSOMS 6.1 verziói a 6.1.4 előtt;
- eSOMS 6.3-asnál korábbi verziói.

A gyártó a hibát az eSOMS újabb verzióiban javította. A sérülékenységről további információk az ICS-CERT publikációjában érhetőek el: https://us-cert.cisa.gov/ics/advisories/icsa-21-077-02

Sérülékenységek Hitachi ABB Power Grids eSOMS Telerik rendszerekben

A Hitachi ABB Power Grids hét különböző sérülékenységet talált az eSOMS termékeik 6.3-nál korábbi verzióiban, amik a Telerik szoftvereket használják.

A gyártó a hibát az eSOMS 6.3-as verziójában javította. A sérülékenységek részleteiről az ICS-CERT bejelentéséből lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-21-077-03

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Lassan eljutunk oda, hogy már abban sem lehetünk biztosak, mennyire stabil a föld a lábunk alatt. Legalábbis erről írt egy cikket Michael Samios, az athéni (Amerikai Egyesült Államok) nemzeti obszervatóriumának munkatársa a kollégáival közösen. A cikkben a szeizmológiai (gyakorlatilag a földrengések megfigyeléséhez és a földrengés-paraméterek minél pontosabb meghatározásához használt, a földrengéshullámokat regisztráló) berendezések kiberbiztonsági kockázatait ismerteti. A dolgozat szerint támadók a rendszerek biztonsági réseit kihasználva akár hamis földrengés-riadókat is előidézhetnek, aminek következtében megrengethetik a földrengések előrejelzésébe vetett bizalmat, ami pedig végső soron emberéletekbe is kerülhet - elég arra gondolni, hogy csak az elmúlt néhány évben hány nagyon komoly, sok áldozattal járó földrengést láttunk szerte a világon.

Az Internetre csatlakoztatott szeizmológiai megfigyelő rendszerek semmivel sem hordoznak kevesebb sérülékenységet, mint más, fizikai folyamatokat monitorozó rendszerek. Titkosítatlan adattovábbítás, nem biztonságos protokollok használata, gyenge authentikáció - az IT biztonság és ICS biztonság területén már ismert problémák közül nagyjából semmi sem hiányzik a szeizmológiai rendszerek sérülékenységi listájáról sem, ezek pedig nagyon könnyű prédává teszik ezeket a rendszereket (is) a támadóknak.

Michael Samios (szerintem igen helyesen) első lépésként a szeizmológusok biztonságtudatossági képzését jelöli meg, mint legfontosabb fejlesztésre szoruló területet. Ezzel párhuzamosan szerintem a szeizmológiai rendszerek fejlesztőinek oktatására is hangsúlyt kéne helyezni.

A cikk ezen túlmenően további megoldási javaslatokkal nem szolgál, de amit az ICS kiberbiztonság területén már lassan egy évtizede látok, az szerintem komolyabb változtatások nélkül ezen a területen is alkalmazható lenne. A kérdés már csak az, vajon itthon hány szeizmológiai rendszer/berendezés érhető el az Internetről és vajon a hazai szakemberekhez eljut-e ez a bejegyzés, hogy legalább elgondolkodhassanak az ilyen kérdéseken?

A különböző (főként, de nem kizárólag) termelésirányítási rendszereket használó vállalatok elleni ransomware-támadások ma már egyáltalán nem számítanak ritkának, de az, hogy egy héten belül két sörgyár rendszerei elleni zsarolóvírus támadásról jussanak el hozzám információk, az azért (még?) nem számít mindennaposnak.

Múlt heti a hír, ami szerint a Molson Coors sörgyár rendszereit feltételezhetően ransomware-támadás érte. A cég nem közölt információkat még az incidens jellegéről sem, ezért azt sem lehet tudni, hogy a termelési és logisztikai folyamataik automatizálásához használt rendszerek érintettek lehettek-e.

A másik incidensről még ennyit sem lehet tudni, hozzám is csak suttogó pletykaként jutott el az információ, ami szerint az egyik nagy magyar sörgyár egyes rendszereit is kibertámadás érte. ICS érintettségről itt sem szólt a forrásom, de mivel ez csak abszolút pletyka-szintű információ, nem is találgatnék egyelőre többet. Az viszont mindenképp érdekes, hogy nem ez az első eset, amiről hallok és ahol hazai viszonylatban nagy méretű vállalat esik zsarolóvírus áldozatává (az ipari szektorban).

Update: a Molson Coors-incidenssel kapcsolatban a CyberScoop forrásai alapján arról ír, hogy a feltételezett ransomware bizony a sörfőzésben használt rendszereket is elérte.

Sérülékenységek Siemens Solid Edge rendszerekben

Francis Provencher és rgod, a ZDI-vel együttműködésben négy sérülékenységet jelentettek a DHS CISA-nak a Siemens alábbi rendszereivel kapcsolatban:

- Solid Edge SE2020 minden, SE2020MP13-nál korábbi verziói;
- Solid Edge SE2021 minden, SE2021MP3-nál korábbi verziói.

A gyártó a hibát az érintett termékek újabb verzióiban javította. A sérülékenységek részleteit a Siemens ProductCERT és az ICS-CERT publikációk tartalmazzák.

Siemens SIMATIC S7 PLC-k sérülékenységei

A Siemens három sérülékenységről közölt információkat a DHS CISA-val, amik a SIMATICS S7-PLCSIM v5.4 minden verzióját érinti.

A hibákkal kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekkel kapcsolatban további információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenység Siemens SCALANCE és RuggedCom eszközökben

A Siemens egy sérülékenységről osztott meg információkat a DHS CISA-val, ami az alábbi termékeiket érinti:

- RUGGEDCOM RM1224 v4.3-as és későbbi verziói;
- SCALANCE M-800 v4.3-as és későbbi verziói;
- SCALANCE S615 v4.3-as és későbbi verziói;
- SCALANCE SC-600-as család minden, v2.0 és korábbi, de v2.1.3-nál újabb verziója;
- SCALANCE X300WG minden, v4.1-nél korábbi verziója;
- SCALANCE XM400 minden, v6.2-nél korábbi verziója;
- SCALANCE XR500 minden, v6.2-nél korábbi verziója;
- SCALANCE Xx200-as család minden, v4.1-nél korábbi verziója.

A gyártó a hibát egyes érintett termékeinek újabb verzióiban javította. A sérülékenységről bővebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Siemens Energy PLUSCONTROL sérülékenység

A Siemens egy sérülékenységet fedezett fel a PLUSCONTROL termékének első generációjának összes verziójában.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések használatát ajánlja. A sérülékenységgel kapcsolatos további részletek a Siemens ProductCERT és az ICS-CERT publikációiban érhetőek el.

AMNESIA:33 TCP/IP stack sérülékenységek Siemens SENTRON eszközökben

Daniel dos Santos, Stanislav Dashevskyi, Jos Wetzels és Amine Amri, a Forescout Research Labs munkatársai derítették ki, hogy az AMNESIA:33 TCP/IP stack sérülékenységek a Siemens SENTRON temrékcsalád alábbi tagjait is érintik:

- SENTRON 3VA COM100/800 minden verziója;
- SENTRON 3VA DSP800 minden verziója;
- SENTRON PAC2200 (CLP jóváhagyással rendelkező készülékek) minden verziója;
- SENTRON PAC2200 (MID jóváhagyással rendelkező készülékek) minden verziója;
- SENTRON PAC2200 (MID jóváhagyással rendelkező készülékek) minden verziója;
- SENTRON PAC3200 minden, v2.4.7-nél korábbi verzió;
- SENTRON PAC3200T minden verziója;
- SENTRON PAC3220 minden, v3.2.0-nál korábbi verziója;
- SENTRON PAC4200 minden, v2.3.0-nál korábbi verziója.

A gyártó egyes érintett eszközökhöz kiadta a hibákat javító újabb verziókat, a többihez pedig kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről további információkat a Siemes ProductCERT és az ICS-CERT bejelentéseiben lehet megtalálni.

Sérülékenységek Siemens SIMATIC MV400-as készülékekben

A Siemens két sérülékenységet azonosított a SIMATIC MV400-as termékcsaládjának minden, v7.0.6-nál korábbi verziójában.

A gyártó a hibákat a v7.0.6-os verzióban javította. A sérülékenységekkel kapcsolatos bővebb információkat a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Siemens SCALANCE és SIMATIC rendszerek sérülékenysége

A Siemens egy sérülékenységről közölt információkat a DHS CISA-val, ami az alábbi termékeit érinti:

- SCALANCE SC600 család minden, v2.0-nál korábbi verziója;
- SIMATIC NET CM 1542-1 minden verziója.

A gyártó a SCALANCE SC600 termékcsalád esetén javította a hibát illetve kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenység részleteiről a Siemens ProductCERT és az ICS-CERT publikációiból lehet tájékozódni.

Sérülékenység Siemens LOGO! 8 BM PLC-kben

Max Bäumler egy sérülékenységet jelentett a Siemens-nek, ami a LOGO! 8 BM típusú PLC-k (a SIPLUS variánsok is érintett) minden verziójában.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések alkalmazását ajánlja ügyfeleinek. A sérülékenységgel kapcsolatos információkat a Siemens ProductCERT és az ICS-CERT bejelentései tartalmazzák.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A mai poszt viszonylag rövid lesz. Nemrég találtam meg az Idaho National Lab által készített CCE (Consequence-driven Cyber-informed Engineering) esettanulmányt, ami a 2015-ös és 2016-os ukrán villamosenergia-szektor cégei elleni kibertámadások alapján egy fiktív ország (Baltavia) villamosenergia-rendszere elleni támadást írja le.

Az 55 oldalas esettanulmány az INL digitális könyvtárában érhető el.

Hitachi ABB Power Grids rendszerek sérülékenységei

A Hitachi ABB Power Grids két sérülékenységről közölt információkat a DHS CISA-val, ami az Ellipse Enterprise Asset Management nevű megoldásuk 9.0.25-ös és korábbi verzióit érinti.

A hibák egyikét a 9.0.23-as verzió, mindkettőt pedig a 9.0.26-os verzió javítja. A sérülékenységekről további információk az ICS-CERT publikációjában érhetőek el: https://us-cert.cisa.gov/ics/advisories/icsa-21-061-01

Sérülékenység Rockwell Automation CompactLogix vezérlőkben

Yeop Chang egy sérülékenységet jelentett a DHS CISA-nak a Rockwell Automation alábbi vezérlőivel kapcsolatban:

- Armor Compact GuardLogix 5370 vezérlők 33-as és korábbi firmware-verziói;
- Armor GuardLogix, Safety vezérlők 33-as és korábbi firmware-verziói;
- CompactLogix 5370 L1 vezérlők 33-as és korábbi firmware-verziói;
- CompactLogix 5370 L2 vezérlők 33-as és korábbi firmware-verziói;
- CompactLogix 5370 L3 vezérlők 33-as és korábbi firmware-verziói;
- Compact GuardLogix 5370 vezérlők 33-as és korábbi firmware-verziói;
- ControlLogix 5570 vezérlők 33-as és korábbi firmware-verziói.

A gyártó a hibát a 33.011-es és későbbi firmware-verziókban javította. A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-061-02

MB connect line rendszerek sérülékenységei

Az OTORIO munkatársai összesen 18 sérülékenységet azonosítottak az MB connect line alábbi termékeiben:

- mymbCONNECT24 v2.6.1 és korábbi verziói;
- mbCONNECT24 v2.6.1 és korábbi verziói.

A gyártó a hibák egy részét az érintett termékek 2.71-es és későbbi verzióiban javította, a többi esetében a javításon jelenleg is dolgozik. A sérülékenységekkel kapcsolatban további részleteket az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-061-03

Sérülékenységek Rockwell Automation kommunikációs modulokban

Adam Eliot, a Loon Security Team tagja két sérülékenységet jelentett a Rockwell Automation-nek, amik az 1734-AENTR típusú kommunikációs moduljaik alábbi példányait érintik:

- B-sorozatú eszközök 4.001-től 4.005-igy és 5.011-től 5.017-ig terjedő firmware-verziói;
- C-sorozatú eszközök 6.011-es és 6.012-es firmware-verziói.

A gyártó a hibákat a B-sorozatú eszközöknél az 5.018-as, a C-sorozatú eszközök esetén a 6.013-as firmware-verzióban javították. A sérülékenység részleteit az ICS-CERT publikációjában lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-063-01

Schneider Electric EcoStruxure Building Operation termékek sérülékenységei

Luis Vázquez, Francisco Palma és Diego León, a Zerolynx munkatársai, az INCIBE-bal együttműködve, valamint Alessandro Bosco, Luca Di Giuseppe, Alessandro Sabetta és Massimiliano Brolli, a TIM Security Red Team Research munkatársai 7 sérülékenységet fedezetek fel a Schneider Electric EcoStruxure Building Operation nevű termékcsaládjának alábbi tagjaiban:

- WebReports v1.9-től v3.1-ig terjedő verziói;
- WebStation v2.0-tól v3.1-ig terjedő verziói;
- Enterprise Server telepítő v1.9-től v3.1-ig terjedő verziói;
- Enterprise Central telepítő v2.0-tól v3.1-ig terjedő verziói.

A gyártó a hibákat az EcoStruxure Building Operation 3.2-es verziójában javította. A sérülékenységekkel kapcsolatban további információkat az ICS-CERT bejelentésében lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-063-02

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A SANS minden év tavaszán egy nagyszabású, általában 6-8 napos, ICS témájú rendezvényt szervez, hagyományosan Floridába. Idén, a COViD-19 miatt ez is rendhagyó módon került megrendezésre és 2021 többi SANS biztonsági Summit-jához hasonlóan, a március 4-5-i ICS Security Summit is ingyenes volt.

Maga az esemény március 3-án, egy SANS-Dragos ICS CTF-fel kezdődött, amin idén sajnos nem volt lehetőségem részt venni (bár nem vagyok egy nagy hacker/forensics guru, de ezek a CTF-ek szórakozásnak és tanulási lehetőségnek sem utolsók).

Viszont a Summit két igazi napja egyetlen hatalmas, bő 30 órán át majdnem folyamatosan (valahol 5-én, magyar idő szerint 04:30 és 09:00 között volt némi szünet) mentek az előadások, panel-beszélgetések, díjátadók.

Számos érdekes előadást lehetne kiemelni, én most csak arról a keynote-ról írnék, ahol Anne Neuberger, a Biden-adminisztráció által frissen kinevezett, kiberbiztonsági ügyekért felelős helyettes tanácsadója és a nemzetbiztonsági biztottság tagja beszélt az ICS kiberbiztonság helyzetéről és fontosságáról. Nem csak azt volt érdekes felfedezni, hogy érti a téma súlyát, hanem az előadása után kérdezni is lehetett és a kérdésekre adott válaszok is azt mutatták, hogy átlátja és érti ezt a kérdéskört.

Kíváncsi lennék, itthon mikor jutunk el arra a szintre, amikor a hazai kritikus infrastruktúrák biztonságáért felelős vezetők (és általában a nemzeti kiberbiztonsági kérdésekben illetékesek) ilyen hozzáállással fordulnának a szakmai közösséghez.

A 2021-es ICS Securty Summit teljes programja itt érhető el, én úgy gondolom, hogy ez megint egy kifejezetten jól szervezett, nagyon érdekes rendezvény volt. Ha már a járvány ennyire korlátozza az életünket, jó, hogy legalább a szakmai vonalon van lehetőség ebben a helyzetben is fejlődni, tájékozódni.

Frissítés: Anne Neuberger keynote-ja és utána a kérdésekre adott válaszai itt nézhetőek meg.

Korábban már írtam az indiai Kudankulam-i atomerőmű (Kudankulam Nuclear Power Plant - KKNPP) elleni kibertámadásról, március 1-jén, kora hajnalban azonban a Recorded Future nevű threat intelligenc szolgáltató kiadta ezt a jelentést, amiben az elemzésük szerint kínai APT-csoport(ok?) által az indiai kritikus infrastruktúrák, elsősorban az indiai villamosenergia-szektor cégei elleni kibertámadásokról írnak részletesebben.

Az elemzés alapján a támadók a Kaspersky által ShadowPad-nek nevezett malware-t juttaták be a célba vett szervezetek beszállítóin keresztül (vagyis a SolarWinds- és Centreon-támadások után rövid időn belül itt a harmadik nagyon komoly támadás, ami a beszállítói lánc elleni támadásként kategorizálható).

A Recorded Future elemzői szerint a támadások már 2017-ben folyamatban lehettek (ekkor találták az első ShadowPad malware-mintát a Netsarang-incidens során), de a támadások a 2020. májusi, Ladakh-tó környékén elfajult kínai-indiai határincidensek után szaporodtak el. A támadások 10 különböző indiai villamosenergia-ipari céget, köztük az ötből négy reginális teherelosztót (Európában ma ezeket már rendszerirányítóknak nevezik) is érintett, rajtuk kívül pedig több erőmű (köztük egy széntűzelésű hőerőmű) is a megtámadott létesítmények között van, a villamosenergia-szektoron túl pedig többek között kikötői rendszereket is értek támadások.

Az egyre inkább látszik, hogy az országok közötti nézeteltérések nem hagyják érintetlenül az adott országok polgári kritikus infrastruktúráit sem, az ukrán villamosenergia-rendszer utáni 2015-ben és 2016-ban történt támadások után lehetett arról olvasni/hallani, hogy az oroszok az USA villamosenergia-rendszerében, az amerikai szolgálatok pedig az orosz rendszerekhez rendelkeznek rejtett hozzáférésekkel (amolyan modern, kibertérben megvalósított kölcsönösen biztosított megsemmítés-elv szerűen), de ez az eset (és a hasonlók) arra utalnak, hogy a nukleáris fegyverek terjedésével ellentétben a kibertér-képességeit sokkal több ország fejleszti nagyon gyors ütemben. A kérdés már csak az, hogy a magyar illetékesek vajon mit tesznek ebben a témában, különösen a védekezés oldalán?

PerFact OpenVPN kliens sérülékenység

Sharon Brizinov, a Claroty munkatársa egy sérülékenységet jelentett a DHS CISA-nak, amit a PerFact OpenVPN kliensének 1.4.1.0 és korábbi verziókban fedezett fel.

A gyártó a hibát az 1.6.0 verzióban javította. A sérülékenységről további információkat az ICS-CERT publikációjában lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-056-01

Sérülékenységek Fatek rendszerekben

Francis Provencher és rgod, a ZDI-vel együtt dolgozva 5 sérülékenységről közöltek részleteket a DHS CISA-val. A sérülékenységek a Fatek FvDesigner nevű, HMI-ok tervezésére és fejlesztésére használható megoldásának 1.5.76-os és korábbi verzióit érintik.

A gyártó jelenleg is dolgozik a feltárt hibák javításán. A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-056-02

Rockwell Automation Logix vezérlők sérülékenysége

Eunseon Jeong, Youngho An, Junyoung Park, Insu Oh és Kangbin Yim a Soonchunhyang Egyetem Information Systems Security Assurance laboratóriumának munkatársai, a Kaspersky, valamint Sharon Brizinov és Tal Keren, a Claroty munkatársai egymástól függetlenül találtak egy kritikus besorolású sérülékenységet a Rockwell Automation alábbi termékeiben:

- RSLogix 5000 szoftverek 16-ostól 20-asig terjedő verziói;
- Studio 5000 Logix Designer szoftverek 21-es és későbbi verziói;
- CompactLogix 1768 vezerlők;
- CompactLogix 1769 vezerlők;
- CompactLogix 5370 vezerlők;
- CompactLogix 5380 vezerlők;
- CompactLogix 5480 vezerlők;
- ControlLogix 5550 vezerlők;
- ControlLogix 5560 vezerlők;
- ControlLogix 5570 vezerlők;
- ControlLogix 5580 vezerlők;
- DriveLogix 5560 vezerlők;
- DriveLogix 5730 vezerlők;
- DriveLogix 1794-L34 vezerlők;
- Compact GuardLogix 5370 vezerlők;
- Compact GuardLogix 5380 vezerlők;
- GuardLogix 5570 vezerlők;
- GuardLogix 5580 vezerlők;
- SoftLogix 5800 vezerlők.

A hibával kapcsolatban a gyártó kockázatcsökkentő és a biztonságot növelő intézkedések és jó gyakorlatok kombinálására bíztatja. A sérülékenységgel kapcsolatban további információkat az ICS-CERT weboldalán lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-056-03

ProSoft Technology berendezések sérülékenysége

Maxim Rupp egy sérülékenységet jelentett a DHS CISA-nak a ProSoft Technology alábbi termékeivel kapcsolatban:

- ICX35-HWC-A típusú ipari mobil-átjárók 1.9.62-es és korábbi verziói;
- ICX35-HWC-E típusú ipari mobil-átjárók 1.9.62-es és korábbi verziói.

A gyártó a hibát az érintett termékek firmware-jeinke 1.10.30-as verziójában javította. A sérülékenységről bővebb információkat az ICS-CERT publikációjában lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-056-04

Sérülékenység Rockwell Automation FactoryTalk Services Platform termékekben

A Rockwell Automation egy kritikus hibáról közölt információkat a DHS CISA-val, ami a FactoryTalk Services Platform nevű termékük 6.10.00 és 6.11.00 verzióit érinti.

A gyártó a hibát javító új verziót már elérhetővé tette. A sérülékenység részleteiről az ICS-CERT bejelentésében lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-054-01

Advantech Spectre RT ipari routerek sérülékenységei

Ilya Karpov és Evgeniy Druzhinin, a Rostelecom-Solar, valamint Vlad Komarov, a ScadaX munkatársai öt sérülékenységet találtak az Advantech alábbi berendezéseiben:

- Spectre RT ERT351-es típusú ipari routerek 5.1.3 és korábbi firmware-verziói.

A gyártó a hibákat a 6.2.7-es firmware-verzióban javította. A sérülékenységekről további információkat az ICS-CERT weboldalán lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-054-03

Sérülékenység Advantech berendezésekben

Egy névtelenségét őrző biztonsági kutató a ZDI-vel együttműködve egy kritikus sérülékenységről közölt a DHS CISA-val, amit az Advantech BB-ESWGP506-2SFP-T típusú ipari switch-einek 1.01.09-es és korábbi firmware-verzióiban talált.

A gyártó már felhagyott a BB-ESWGP506-2SFP-T típusú eszközök támogatásával, így a hiba javításával sem foglalkozik. A sérülékenységgel kapcsolatban további részleteket az ICS-CERT publikációja tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-054-02

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A 104-es protokoll (hivatalosabb nevén az IEC 60870-5-104 protokoll) elsősorban az európai villamosenergia-rendszerek területén elterjedt kommunikációs protokoll, a Snort pedig a legtöbb hagyományos hálózati vagy host-IDS/IPS megoldás alapja. A SANS Reading Room-ban nemrég egy nagyon jó publikációt találtam. A dolgozat szerzője, Adrian Aron nem csak egy teljes, 104-es protokollra vonatkozó protokoll-elemzést nyújt a publikációban, de öt példa Snort-szabályon meg is mutatja, hogy hogyan tudnak a villamosenergia-rendszerek biztonságáért felelős szakemberek a saját környezetük és rendszereik egyedi igényeihez igazított IDS szabályokat készíteni, ezzel is javítva a hálózati forgalom feletti ellenőrzés hatékonyságát.

A publikációt a SANS Reading Room-ban lehet megtalálni.