Sérülékenységek Siemens SCALANCE X termékekben

A Siemens három, az alábbi SCALANCE X termékcsaládba tartozó rendszereit érintő sérülékenységről közölt információkat a DHS CISA-val:

- SCALANCE X-200 switch család (beleértve a SIPLUS NET változatokat is) minden verziója;
- SCALANCE X-200IRT switch család (beleértve a SIPLUS NET változatokat is) minden verziója;
- SCALANCE X-300 switch család (beleértve az X408 és SIPLUS NET változatokat is) minden, v4.1.0-nál korábbi verziója.

A hibával kapcsolatban a gyártó a SCALANCE X-300-as switch-ekhez javítást, a többi érintett eszközhöz kockázatcsökkentő intézkedésekre vonatkozó javaslatokat adott ki. A sérülékenységekről bővebb információkat a Siemens ProductCERT és az ICS-CERT publikációiban lehet találni.

Siemens JT2Go és Teamcenter Visualization rendszerek sérülékenységei

rgod, a ZDI-vel együttműködve és Carsten Eiram, a Risk Based Security munkatársa összesen 18 sérülékenységet találtak a Siemens alábbi rendszereiben:

- JT2Go minden, v13.1.0 és korábbi verziója;
- Teamcenter Visualization V13.1.0 és korábbi verziói.

A gyártó a hibákat javító újabb verziókat már elérhetővé tették. A sérülékenységekről további részleteket a Siemens ProductCERT és az ICS-CERT bejelentéseiből lehet tájékozódni.

Sérülékenységek Siemens Solid Edge rendszerekben

rgod, a ZDI-vel közösen 6 sérülékenységet jelentett a DHS CISA-nak a Siemens Solid Edge minden, SE2021MP2-nél korábbi verziójával kapcsolatban.

A gyártó a hibákat az SE2021MP2 és újabb verziókban javította. A sérülékenységekről bővebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Siemens SCALANCE X switch-ek sérülékenységei

A Siemens ProductCERT részleteket közölt a DHS CISA-val az alábbi termékeikben talált sérülékenységről:

- SCALANCE X-200 switch család (beleértve a SIPLUS NET változatokat is) minden verziója;
- SCALANCE X-200IRT switch család (beleértve a SIPLUS NET változatokat is) minden verziója;
- SCALANCE X-300 switch család (beleértve az X408 és SIPLUS NET változatokat is) minden, v4.1.0-nál korábbi verziója.

A hibával kapcsolatban a gyártó a SCALANCE X-300-as switch-ekhez javítást tartalmazó újabb verziókat, az X-200-as és X-200IRT eszközökhöz pedig kockázatcsökkentő intézkedésekre vonatkozó ajánlásokat adott ki. A sérülékenységekről további részleteket a Siemens ProductCERT és az ICS-CERT publikációi tartalmaznak.

Sérülékenységek SOOIL orvostechnikai rendszerekben

Julian Suleder, Birk Kauer, Raphael Pavlidis és Nils Emmerich, az ERNW Research GmbH munkatársai 9 sérülékenységet találtak a SOOIL alábbi orvostechnikai rendszereiben:

- Dana Diabecare RS minden, 3.0-nál korábbi verziója;
- AnyDana-i minden, 3.0-nál korábbi verziója;
- AnyDana-A minden, 3.0-nál korábbi verziója.

A gyártó a hibákat javító újabb verziókat már elérhetővé tette. A sérülékenységekkel kapcsolatban részletes információkat az ICS-CERT bejelentésében lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsma-21-012-01

Schneider Electric EcoStruxure Power sérülékenység

rgod - szokása szerint a ZDI-vel együttműködve - egy sérülékenységet jelentett a DHS CISA-nak a Schneider Electric EcoStruxure Power Build - Rapsody nevű termékének 2.1.13-as és korábbi verzióival kapcsolatban.

A gyártó a hibát a tervek szerint 2021. első félévében fogja javítani. A sérülékenység részleteivel kapcsolatos további információkat az ICS-CERT weboldalán lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-012-01

Treck HTTP Server sérülékenység Schneider Electric Sepam ACE850 védelmekben

A Schneider Electric publikációja szerint a Treck HTTP Server sérülékenység megtalálható a Sepam ACE850 védelmek kommunikációs interfészeinek minden verziójában.

A sérülékenységgel kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenység részleteiről a Schneider Electric publikációjában lehet tájékozódni.

Sérülékenység Schneider Electric HMI rendszerekben

A Schneider Electric bejelentése egy sérülékenység részleteit tartalmazza, ami az alábbi rendszereket érinti:

- Az alábbi Harmony HMI-okon futó EcoStruxure™ Operator Terminal Expert 3.1 Service Pack 1A és korábbi verziói:
- HMIST6 sorozat;
- HMIG3U a HMIGTU sorozatból;
- HMISTO sorozat;
- Pro-face BLUE 3.1 Service Pack 1A and prior running on Pro-face HMIs:
- ST6000 sorozat;
- SP-5B41 a SP5000 sorozatból;
- GP4100 sorozat.

A gyártó a hibát javító újabb verziókat már elérhetővé tette. A sérülékenységről további információkat a Schneider Electric weboldalán lehet találni.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Már a blog valamivel több, mint 5 évvel ezelőtti elindulása után röviddel megfogalmazódott a kérdés, hogy adok-e lehetőséget vendégposztoknak is? Nekem tetszett az ötlet, mégis, különböző okok miatt egészen a mai napig kellett várni az első olyan bejegyzésre, amit nem én írtam. Nem is húznám tovább a bevezetőt, íme az első vendégposzt, GéPé tollából:

Az elmúlt hónapok történéseit helikopter-nézetből szemlélve két egymástól távoli – első ránézésre tényleges összefüggés nélküli – fejleményt emelnék ki: egyrészt a múlt év május 1-jén kiadott elnöki rendeletet (energetikai vészhelyzet kihirdetéséréről az USA-ban, E.O. 13920), másrészt a decemberi SolarWinds/Orion esetet.

Az elnöki rendelet az USA átviteli hálózatát akár beszállítói, akár tulajdonosi, akár üzemeltetői pozícióban, akár már beépített, akár a jövőben beépítésre kerülő egyes villamos berendezések esetében állapít meg nemzetbiztonsági kockázatot egyes külföldi szereplők vonatkozásában. Bár konkrét publikus bizonyíték nem érhető el, de a szelek olyan híreket fújdogálnak, melyek szerint a 2019-ben, a Houston-i kikötőben lefoglalt, majd Albuquerque-be, a Sandia National Laboratories-ba beszállított kínai gyártmányú transzformátor elektronikájában tényleg találhattak valamiféle „gyárilag beépített” sérülékenységet, hardware backdoor-t. Erősíti a „valami van” érzetet, hogy az elnökválasztás körüli botrányok közepette, nem kivárva az új elnök beiktatását, decemberben a DoE sürgőséggel formálisan is megtiltotta az USA nemzetbiztonságilag kockázatos objektumait betápláló villamosenergetikai létesítményekbe meghatározott kínai gyártmányok (közte transzformátok!) beépítését.

A SolarWinds esetnél pedig nem is feltételezés, hanem bizonyított tény, hogy valamely külföldi hatalom képes még kiadás előtt hozzáférni az Orion alkalmazás új verziójához. Képes volt backdoor-t elhelyezni, amely frissítéskor az új verzióval észrevétlenül és akadálytalanul feltelepült a frissítést gyanútlanul – és amúgy helyesen! – végrehajtó cégek rendszereibe. Mint ismeretes az USA számos szenzitív kormányzati szervezetének informatikai rendszerei érintettek. A támadás részleteinek elemzése, a kárfelmérés, a teendők meghatározása jelenleg is zajlik és vélhetően még számos információ csak a jövőben lesz elérhető, már ha egyáltalán...

És mi köti össze a két eseményt? Nos az, hogy mindkét eset a supply chain, azaz az ellátási lánc intaktságát érinti. Ráadásul mindkét esetben kifejezetten innovatív, a meglévő védelmi vonalakat „könnyedén” kikerülő támadásokról lehet szó. Mert ki gondolna arra, hogy a villamosenergia-ellátás folyamatossága pl. a transzformátor ún. hűtésautomatikájába esetleg „gyárilag” beépített hardware backdoor-on keresztül fenyegethető?! Avagy ki gondolna arra, hogy egy eddig elképzelhetetlen módon, egy éppen a megbízhatóságot növelni hivatott szoftver frissítés „eredményeként” válhat „ajtó-ablak nyitva” a támadó számára?!

Mindeddig egyik eset sem volt reálisan elképzelhető. És lám, mára mindkettő immár talán maga a valóság.

Mintha az élet igazolni kezdené Joe Weiss elsőre meredeknek tűnő figyelmeztetését az informatikai – hangsúllyal OT – rendszerek „Maginot vonalait” megkerülő backdoor-okra. Hiszen mindkét említett esetben hatástalanok a védelem jelenlegi eszközei.

Úgyhogy helyzet van! Nem árt, ha akiknek ez dolga, azok mostantól erősebb paranoiával végzik a dolgukat. Mert mint tudjuk az, hogy üldözési mániád van, messze nem jelenti azt, hogy tényleg ne üldöznének…

Utóirat: a Solarwinds/Orion eset következményei azért is beláthatatlanok, mert érvet adnak az OT rendszerek eddig sem a gyakori frissítéseikről híres üzemeltetőinek kezébe. Azaz tovább nő annak esélye, hogy ismertté váló sérülékenységek megszüntetése még inkább gyatra tempóban történjen. Ha egyáltalán… Szóval úgy hiányzott ez az eset, mint üveges tótnak a hanyatt esés...

Delta Electronics CNCSoft ScreenEditor sérülékenység

A Kimiya néven ismert biztonsági kutató, a ZDI-vel együttműködésben egy sérülékenységet jelentett a DHS CISA-nak, ami a Delta Electronics CNCSoft ScreenEditor nevű termékének 1.01.26-os és korábbi verzióit érinti.

A gyártó a hibát az 1.01.28-as verzióban javította. A sérülékenység részleteit az ICS-CERT publikációja tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsa-21-005-06

Sérülékenységek Delta Electronics DOPSoft szoftverekben

Kimiya, a ZDI-vel együttműködve két sérülékenységről közölt információkat a DHS CISA-val, amik a Delta Electronics DOPSoft, egy, a Delta Electronics DOP-100-as sorozatú HMI-aihoz használható szoftver 4.0.8.21 és korábbi verzióit érintik.

A gyártó már elérhetővé tette a hibát javító újabb verziókat. A sérülékenységről további információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-005-05

Sérülékenységek Red Lion rendszerekben

Marco Balduzzi, Ryan Flores, Philippe Lin, Charles Perine, Ryan Flores és Rainer Vosseler, a ZDI-vel közösen három sérülékenységet jelentettek a DHS CISA-nak. A sérülépkenységek a Red Lion DA10D protokoll konverterhez használható Crimson 3.1-es verziójának 3119.001-nél korábbi build-jeit érintik.

A gyártó a hibákat a 3119.001-es build-ben és későbbi verziókban javította. A sérülékenységgel kapcsolatban további részleteket az ICS-CERT weboldalán lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-005-04

Sérülékenységek GE rendszerekben

Tom Westenberg, a Thales UK munkatársa két sérülékenységet jelentett a GE-nek a gyártó Reason RT430-as, RT431-es és RT434-es GNSS óráinak minden, 08A06-osnál korábbi firmware-verziójával kapcsolatban.

A gyártó a hibákkal kapcsolatban minden, Reason RT43X sorozatú berendezéseket használó ügyfelének a 08A06 vagy újabb firmware-verzióra történő frissítést javasolja. A sérülékenységek részletesebb információit az ICS-CERT publikációjában lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-005-03

Panasonic FPWIN Pro sérülékenység

Francis Provencher a ZDI-vel közösen egy sérülékenységet jelentett a DHS CISA-nak, ami a Panasonic FPWIN Pro, egy az FP sorozatú PLC-k programozásához használható szoftver 7.5.0.0 és korábbi verzióiban.

A gyártó a hibát az FPWIN Pro 7.5.1.0 verzióban javította. A sérülékenységgel kapcsolatban bővebb információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-005-02

Sérülékenységek Delta Electronics szoftver menedzsment megoldásban

Kimiya, a ZDI-vel együttműködve összesen négy sérülékenységet talált a Delta Electronics CNCSoft-B nevű szoftver menedzsment megoldásának 1.0.0.2-es és korábbi verzióiban.

A gyártó a hibákat a CNCSoft-B 1.0.0.3-as verziójában javította. A sérülékenységekről további részleteket az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-007-04

Eaton EASYsoft sérülékenységek

Francis Provencher a ZDI-vel együttműködésben két sérülékenységet talált az Eaton EASYsoft 7.20-as és korábbi verzióiban.

A gyártó a jelentések szerint várhatóan január végén fogja kiadni a hibákat javító újabb verziót. A sérülékenységekről bővebb információkat az ICS-CERT publikációjában lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-007-03

Sérülékenységek Omron rendszerekben

rgod, a ZDI-vel közösen három sérülékenységet talált az Omron alábbi rendszereiben:

CX-One 4.60 és korábbi verziói, beleértve az alábbi alkalmazásokat:
- CX-Protocol 2.02 és korábbi verziói;
- CX-Server 5.0.28 és korábbi verziói;
- CX-Position 2.52 és korábbi verziói.

A gyártó a hibákat az elérhető legújabb verziókban javította. A sérülékenységekről részletesebb információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-007-02

Innokas Yhtymä rendszerek sérülékenységek

Julian Suleder, Nils Emmerich és Birk Kauer, az ERNW Research GmbH, valamint Dr. Oliver Matula, ERNW Enno Rey Netzwerke GmbH munkatársai két sérülékenységet találtak a finn Innokas Yhtymä Oy által gyártott alábbi orvosi rendszerekben:

- Vital Signs Monitors VC150 1.7.15-nél korábbi verziói.

A gyártó a hibákat az 1.7.15b és későbbi verziókban javította. A sérülékenységekkel kapcsolatban bővebb információkat az ICS-CERT weoldalán lehet találni: https://us-cert.cisa.gov/ics/advisories/icsma-21-007-01

Sérülékenység Hitachi ABB Power Grids rendszerekben

A Hitachi ABB Power Grids egy sérülékenységről közölt információkat a DHS CISA-val, ami az alábbi termékeiket érinti:

- CESM1/CESM2-t használó FOX61x R1 berendezések cesne_r1h07_12.esw-nél korábbi verziói;
- CESM1/CESM2-t használó FOX61x R2 berendezések cesne_r2d14_03.esw-nél korábbi verziói.

A hibákat javító verziókat a gyártó már elérhetővé tette. A sérülékenység részleteit az ICS-CERT publikációja tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsa-21-007-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az IBM biztonsági kutatóit már a Proventia nevű cég 2000-es évek derekán történt felvásárlás óta az X-Force néven emlegetett csapat adja. Az elmúlt közel másfél évtizedben számos fontos felfedezést tettek a kiberbiztonság területén, most pedig ennek a csapatnak egy tagja, Camille Singleton és a Dragos kutatója, Selena Larson közösen vizsgálták az ICS rendszereket érő ransomware-támadásokat.

A kutatók legfontosabb következtetései az alábbiak:

- 2020-ban az ipari szervezetek elleni ransomware-támadások száma több, mint 500%-kal(!) nőtt, elsősorban a gyártásautomatizálási (az összes incidens harmada tartozott ide) és közüzemi ICS rendszereket használó szervezetek (az esetek 10%-ában) estek ilyen támadások áldozataiul (én is legalább 13 esetben írtam ilyen incidensekről a blogon csak az elmúlt egy évben)

- Az újabb zsarolóvírusok akár már az ipari folyamatok vezérlésébe is képesek beavatkozni, akár le is tudják állítani a vezérelt fizikai folyamatokat!
- A ransomware-eket fejlesztő csoportok egyre inkább építenek a fontos adatok titkosítása mellett a bizalmas adatok ellopására, majd ezeknek az adatoknak a nyilvánosságra hozatalával történő zsarolásra is.
- Az ipari szervezetektől ilyen módon ellopott és az Interneten vagy a Dark weben publikált adatokat később fel lehet használni az érintett szervezetek elleni további támadások során.
- Az ICS rendszerek elleni célzott támadások ellen a mélységi védelem (defense-in-depth) és a biztonsági megfontolásokat megfelelő szinten beépítő hálózat- és rendszertervezési tevékenység nyújthat elfogadható szintű biztonságot, ha a megelőzés az elsődleges szempont.

A kutatók teljes, 13 oldalas publikációját (regisztráció után) a Dragos weboldalán lehet elérni.

2020 sem volt eseménytelen év az ICS biztonság és az ipari szektorokban tevékenykedő vállalatok világában. Nemrég egy cikket találtam a Kaspersky oldalán, amiben már a 2021-re vonatkozó ICS biztonsági várakozásaikat foglalja össze Evgeny Goncharow. A fontosabb előrejelzések:

- Az ICS rendszerek elleni malware-támadások egyre kevésbé lesznek véletlenszerűek, ahogy a kiberbűnözők egyre inkább kiismerik az ipari szervezetek IT (és OT) rendszereit és felismerik, hogy mekkora bevételük lehet ezeknek a szervezeteknek és rendszereknek a támadásából;
- Az ICS rendszerek elleni ransomware-támadások terén is egyre növekvő számokkal és súlyossággal számolnak, miután a kiberbűnözők rájöttek, hogy az ipari szervezetek hajlamosak lehetnek fizetni egy zsarolóvírus-támadás esetén;
- A kibertérben történő kémkedés fokozódása is növeli az ICS rendszerek fenygetettségeit, miután évről-évre egyre több ipari szervezetet ér támadás azért, hogy a bizalmas adataikat (know-how és egyéb intellektuális tulajdonok) szerezzék meg;
- A különböző nemzetállami háttérrel rendelkező APT-csoportok is egyre komolyabb figyelmet fordítanak az ICS rendszerekre, mivel az ötödik hadszíntér (a kibertér) egyre fontosabbá válik a különböző (régiós és világszinten) hatalmi tényezőnek számító vagy ilyen pozícióra törő országok számára.

Mindezeken felül a COViD-19 alaposan megváltoztatta a különböző méretű szervezetek mindennapjait, nem képeznek kivételt ez alól a különböző ipari szektorokban működő vállalatok sem, aminek egyenes következménye, hogy az általuk használt és üzemeltetett ICS rendszerek biztonságára is hatással van a jelenlegi járvány.

A fentieken túl még jó néhány gondolatot fogalmaztak meg a Kaspersky publikációjában, amit itt lehet elolvasni: https://securelist.com/ics-threat-predictions-for-2021/99613/

Emerson rendszerek sérülékenysége

Maxim Rupp egy sérülékenységet jelentett a DHS CISA-nak az Emerson Rosemount X-STREAM gáz elemző szoftvereinek alábbi verzióival kapcsolatban:

- X-STREAM enhanced XEGP minden verziója;
- X-STREAM enhanced XEGK minden verziója;
- X-STREAM enhanced XEFD minden verziója;
- X-STREAM enhanced XEXF minden verziója.

A gyártó a hibát az érintett termékekhez kiadott legújabb firmware-verzióban javította. A sérülékenységről bővebben az ICS-CERT publikácójában lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-20-352-01

Sérülékenységek PTC Kepware KEPServerEX komponensekben

Uri Katz, a Claroty munkatársa 3 sérülékenységet fedezett fel a PTC Kepware KEPServerEX platformjának alábbi termékeiben:

- KEPServerEX v6.0-tól v6.9-ig terjedő verziói;
- ThingWorx Kepware Server v6.8-tól v6.9-ig terjedő verziói;
- ThingWorx Industrial Connectivity minden verziója;
- OPC-Aggregator minden verziója;

Az alábbi termékek esetében lehetséges, hogy érintettek a most publikált sérülékenységek által:

- Rockwell Automation KEPServer Enterprise;
- GE Digital Industrial Gateway Server v7.68.804-től v7.66-ig terjedő verziói;
- Software Toolbox TOP Server minden 6.x verziója.

A gyártó a hibákat az érintett termékei legújabb verzióiban javította. A sérülékenységekkel kapcsolatban bővebb információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-20-352-02

PTC Kepware LinkMaster sérülékenység

Yuri Kramarz, a Cisco Talos munkatársa egy sérülékenységet talált a PTC Kepware LinkMaster nevű rendszerének 3.0.94.0 és korábbi verzióiban.

A gyártó a hibával kapcsolatban a 3.0.99-es verzióra történő frissítést javasolja. A sérülékenységről további információkat az ICS-CERT weboldalán lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-20-352-03

Sérülékenységek Treck TCP/IP Stack implementációkban

Az Intel munkatársai 4 sérülékenységet találtak a Treck TCP/IP stack 6.0.1.67-es és korábbi verzióiban az alábbi komponensekben:

- HTTP Server;
- IPv6;
- DHCPv6.

A Treck a hibákat a TCP/IP Stack 6.0.1.68-as és későbbi verzióiban javította. A sérülékenységek részleteiről az ICS-CERT publikácójából lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-20-353-01

Treck TCP/IP stack sérülékenységek Schneider Electric termékekben

Az előzőekben ismertetett Treck TCP/IP stack sérülékenységek a Schneider Electric egyes termékeit is érintik.

Az IPv6 komponens sérülékenysége az alábbi termékeket érinti:

- ATV340E Altivar Machine Drives minden, V3.2IE25-nél korábbi verziója;
- ATV630/650/660/680/6A0/6B0 Altivar Process Drives minden, V3.3IE33-nál korábbi verziója;
- ATV930/950/960/980/9A0/9B0 Altivar Process Drives minden, V3.3IE26-nál korábbi verziója;
- 6VW3A3720, VW3A3721 Altivar Process Communication Modules minden, V1.15IE25-nél korábbi verziója;
- APC Network Management Card 2 (NMC2) - AP9630/30CH/30J, AP9631/31CH/31J, AP9635/35CH, AP9537SUM minden, AOS V6.9.6-nál korábbi verziója;
- APC Network Management Card 3 (NMC3) - AP9640, AP9641 minden, AOS V1.4.0-nál korábbi verziója;
- TM3 Bus Coupler EIP Firmware V2.1.50.2 és korábbi verziói;
- ATV6000 Medium Voltage Altivar Process Drives minden verziója;
- eIFE Ethernet Interface for MasterPact MTZ drawout circuit breakers minden verziója;
- IFE Ethernet Interface for ComPact, PowerPact, and MasterPact circuit breakers minden verziója;
- IFE Gateway minden verziója;
- Acti9 Smartlink IP minden verziója;
- Acti9 PowerTag Link/HD minden verziója;
- Acti9 Smartlink SI D minden verziója;
- Acti9 Smartlink SI B minden verziója;
- EGX150/Link150 Ethernet Gateway minden verziója.

A HTTP Server komponens sérülékenységei az alábbi termékekben található meg:

- TM3 Bus Coupler – EIP 2.1.50.2 és korábbi firmware-verziók;
- TM3 Bus Coupler – SL 2.0.50.2 és korábbi firmware-verziók;
- TM3 Bus Coupler – CANOpen 2.0.50.2 és korábbi firmware-verziók.

A hibákra kiadott javításokról és a sérülékenységek további információiról a Schneider Electric által kiadott dokumentációkból lehet tájékozódni.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A mai posztban egy kicsit távolabb megyünk az ICS kiberbiztonság világától (illetve majd a poszt végén röviden megmutatom, miért is nincs ez a téma olyan távol a blog szokásos témáitól) és kicsit az árampiac, illetve hivalatosabb nevén (ahogy a HUPX Magyar Szervezett Villamosenergia-piac Zrt. nevében is megjelenik) a villamosenergia-piac kiberbiztonságával fogunk foglalkozni.

Ahogy a megújuló energiatermelési formák (főként a nap- és szélerőművek illetve egyes európai országokban, pl. Ausztriában és Norvégiában a vízerőművek) egyre nagyobb részarányt szereznek az európai villamosenergia-termelésben, illetve ezzel párhuzamosan a liberalizált villamosenergia-piac folyamatai a villamosáramot is egy (viszonylag) szabadon kereskedhető termékké tették. Más hasonló termékekkel szemben azonban a villamosenergiának vannak olyan sajátosságai (pl. a tárolhatóságban meglévő korlátok), amik miatt ezen a területen ugyanolyan időkritikusak lesznek a kereskedési folyamatok, mint a pénz- és értékpapír piacokon és az itt mozgó pénzek is nagyon gyorsan elérhetik a sok milliárdos összegeket (nem feltétlenül csak Forintban értve). Ez pedig azt jelenti, hogy az árampiaci kereskedésekhez használt rendszerek várhatóan ugyanúgy célpontjai lesznek a kiberbűnözőknek, mint ahogy a banki és más pénzügyi szektorban működő cégek rendszerei már évtizedek óta folyamatosan célkeresztben vannak. Ez pedig azt jelenti, hogy ezeknek a rendszereknek a védelmére is fokozottan fel kell készülni.

Annyiban nem veszélyes ez a helyzet, hogy a szervezett villamosenergia-piaci rendszerek jellemzően ugyanolyan IT komponensekből épülnek fel, mint a legtöbb (nagy)vállalati IT rendszer, az a fajta időkritikus működés pedig, ami az egyik legkomolyabb követelményként jelentkezik ezeknél a rendszereknél, szintén nem ismeretlen pl. az azonnali átutalások világára évek óta készülő banki rendszerek környékén edződött IT és IT biztonsági szakemberek számára.

Mindezekből azt a következtetést lehet levonni, hogy a pénzügyi szektorral szemben támasztott követelmények mintájára hasznos lenne mielőbb egy nagyon hasonló kiberbiztonsági követelményrendszert kidolgozni és kötelezővé tenni a szervezett villamosenergia-piacon működő cégek számára és egy megfelelően felkészült, képzett szakmai auditorokkal rendelkező felügyeleti szervet kijelölni ezeknek a követelményeknek a betartatására (hasonlóan az MNB-ben működő pénzügyi felügyeleti feladatokkal foglalkozó részlegéhez).

Ami pedig az árampiaci rendszerek és az ICS rendszerek összefüggését illeti, már jelenleg is igaz, a jövőben pedig ez fokozottan igaz lesz, hogy az árampiaci ügyletek nyomán történő szerződések egyre inkább hatással vannak egy-egy régió vagy ország villamosenergia-rendszerének működésére, akár úgy is, hogy egyes árampiaci rendszerekből érkező adatok meghatározhatják a DCS vagy SCADA rendszerek bizonyos működési paramétereit. Ha pedig innen nézzük az árampiaci rendszerek kiberbiztonságát, már nem is tűnik olyan távolinak a téma a minket érdeklő ICS rendszerek kiberbiztonságától.

A BleepingComputer cikke szerint még novemberben, az amerikai hálaadás idején DoppelPaymer ransomware-támadás érte a világ legnagyobb elektronikai gyártó vállalatának, a kínai Foxconn-nak a rendszereit. A támadók 34 millió amerikai dollárnak megfelelő váltságdíjat követeltek ("természetesen" Bitcoin-ban) és már el is kezdték publikálni az ellopott, bizalmas adatokat.

A hírek szerint a Foxconn Mexikóban, Ciudad Juárez-ben lévő gyárát érte támadás, amiben végül (a támadók állítása szerint) több, mint 1000 szervert kompromittáltak és 100 GB-nyi adatot loptak el. A feltételezések szerint a Foxconn többi létesítményét nem érintette az incidens.

Az esetről további részleteket a BleepingComputer weboldalán lehet olvasni.

December 8-án jelentette be a FireEye nevű IT biztonsági cég, hogy egy nagyon összetett és kifinomult támadás következtében számos olyan, általuk fejlesztett és sérülékenység vizsgálatok során használt eszközöket (exploit-okat) loptak el a rendszereikből. Mivel az incidensről szóló első hírek után számos IT (és néhány OT) biztonsági cég is reagált az ellopott eszközök jelentette fenyegetésekre, ezért ezt még önmagában nem tartottam annyira fontosnak, hogy írjak róla.

December 13-án azonban kiderült, hogy a FireEye incidensnél a támadók a SolarWinds nevű, IT menedzsment és IT biztonsági megoldásokat gyártó cég egyik termékén, az Orion nevű monitoring rendszeren keresztül jutottak be a FireEye hálózatába, méghozzá nem is akárhogy!

Az elmúlt 5 napban egyre több részlet látott napvilágot arról a beszállítói-lánc támadásról (supply-chain attack), ami mostanra az USA egyik legnagyobb IT biztonsági incidensévé kezd válni. A támadók első lépésként egy (egyes hírek szerint egy Github-on meglehetősen könnyelműen, sima szöveges formában szabadon elérhető) felhasználónév-jelszó párral authentikálva jutott be a SolarWinds egyik, termékek buildelésére használt szerverére és még nem teljesen világos, hogy hogyan, de képesek voltak backdoor-t elhelyezni a a SolarWinds Orion binárisaiban. Más források szerint több, viszonylag friss Orion verziót backdoor-oltak a támadók, amiket aztán nagy számú (legalább 18.000) ügyfél töltött le és telepített a saját hálózatában működő SolarWinds Orion telepítésére. Ezután a backdoor-olt Orion-okat felhasználva (amennyiben azok tudtak az Interneten keresztül kommunikálni a támadók infrastruktúrájával) a támadók már viszonylag könnyen képesek voltak hozzáférni az immár kompromittált hálózatban működő rendszerekhez - hiszen a monitoring rendszereket jellemzően még a legjobban szegmentált hálózatokban is engedik kommunikálni szinten az összes rendszerrel.

Az eddig megjelent információk alapján a legalább 18.000 érintett szervezet között sok más mellett a Fortune 500-as listán szereplő cégek közül kb. 400 érintett lehet, mások mellett a Microsoft is, a BleepingComputer cikke szerint.

Cégek mellett számos amerikai kormányzati szerv is az érintett (és kompromittált) szervezetek listáján van, többek között az amerikai államkincstár (U.S. Department of the Treasury), a Külügyminisztérium (U.S. Department of State), a Belbiztonsági Minisztérium (U.S. Department of Homeland Security - DHS), ahova többek között a CISA és az amerikai ICS-CERT is tartozik és a sok más mellett az amerikai atomfegyverek őrzéséért is felelős Energiaügyi Minisztérium (U.S. Department of Energy - DoE) is. Részben ez is indokolta a DHS CISA részéről a 21-01-es sorszámú vészhelyzeti irányelv kiadását december 13-án, amiben számos, az incidens hatásainak és a kockázatok mérséklésére irányuló intézkedést rendeltek el.

Ezután a némileg hosszú felvezetés után lássuk, mi köze lehet ennek a valóban szokatlanul kiterjedt és kifinomult támadás-sorozatnak az ICS rendszerek biztonságához?

Ahogy az ipari folyamatirányító rendszereket használó szervezetek a digitalizálás útján gyorsabban vagy lassaban, de haladnak előre, úgy nő az esélye annak is, hogy egy SolarWinds Orion rendszer megjelenik az OT rendszerek és akár a level1/level0 eszközök monitorozása szerepkörben is. Ráadásul egyes források (konkrétan Joe Weiss az Unfettered blogon) részletesen írnak arról is, hogy a SolarWinds Orion által az eszközök monitorozására használt SNMP protokoll használatával nem csak számos IT rendszert, hanem bizony sok ICS berendezést is kompromittálni lehet. Mivel jelenleg csak sejteni lehet, hogy a SolarWinds incidensben érintett sok ezer cég közül hány helyen üzemelhetnek ICS rendszerek (az én személyes és bátor tippem az lenne, hogy kb. 18.000+, mert ha mást nem, hát a szervertermek, adatközpontok épületautomatizálási rendszerei szinte biztos, hogy minden érintett szervezetnél jelen vannak), ezért azt nem lehet megjósolni, hogy a konkrét incidens közvetlenül mekkora és milyen hatással lesz egyes ICS rendszerek biztonságára.

Amit viszont már most látni lehet:

1. A supply-chain attack-jellegű támadások a szállító-ügyfél között eddig meglévő bizalmi kapcsolatokat alapjaiban aknázhatja alá. Eddig is lehetett olyan véleményeket hallani, hogy a hibajavítások telepítése az ismert sérülékenységek újakra cserélését jelenti és ez a hozzáállás az OT üzemeltetői mérnökök között alapvetően meglévő, patch-elést elutasító viselkedést csak tovább erősíti, hihetetlen nagy károkat okozhat, hiszen a patch-elési folyamatok minden hibája és az összes eddig látott beszállítói-lánc támadás ellenére is a hibajavítások telepítése nagyjából az egyetlen létező módja annak, hogy kezelhető szinten tartsuk az IT és OT rendszerek fenyegetettségét.

2. A SolarWinds Orion backdoor-olása nagyon tisztán megmutatja, mennyire fontos (lenne) úgy az IT, mint az OT rendszerek esetén egy, a biztonságot is fókuszban tartó tervezéssel kezdeni mindenfajta fejlesztési (sőt, bármilyen változtatási) folyamatot. Ha ugyanis a mostani incidensben backdoor-olt SolarWinds Orion monitoring rendszerek egy általánosan (és nem extrém paranoid módon) biztonságosra tervezett hálózatban működnének, ami azt is jelenti, hogy ha nem szükséges, akkor semmilyen Internetes kapcsolatuk nincs, ha pedig bármilyen ok miatt szükséges, akkor a minimális Internetes kommunikációt engedélyezik ezeknek a szervereknek, akkor a mostani incidensek száma a jelenlegi töredéke lehetne.

Az incidensről számos helyen írtak, én most a SANS Emergency Webcast-ját emelném ki, ahol Jake Williams foglalta össze a legfontosabb információkat: https://www.youtube.com/watch?v=qP3LQNsjKWw

Frissítés: Két nagyon jó blogbejegyzést is találtam a DomainTools.com oldalon Joe Slowik (veterán biztonsági kutató, jelentős ICS biztonsági tapasztalatokkal) tollából/billentyűzetéből erről az incidensről:

Unraveling Network Infrastructure Linked to the SolarWinds Hack

Continuous Eruption: Further Analysis of the SolarWinds Supply Chain Incident

Sérülékenységek beágyazott rendszerek TCP/IP stack-jeiben

A DHS CISA publikációja szerint az AMNESIA:33 néven ismertté vált sérülékenységek (összesen 33) számos, ipari környezetekben is használt megoldást érintenek. A poszt írásának pillanatában az alábbiak ismertek:

- uIP-Contiki-OS (EOL - a termék már elérte életciklusa végét, várhatóan nem fog hibajavítás megjelenni hozzá) 3.0 és korábbi verziói;
- uIP-Contiki-NG 4.5 és korábbi verziói;
- uIP (EOL) 1.0 és korábbi verziói;
- open-iscsi 2.1.12 és korábbi verziói;
- picoTCP-NG 1.7.0 és korábbi verziói;
- picoTCP (EOL) 1.7.0 és korábbi verziói;
- FNET 4.6.3 és korábbi verziói;
- Nut/Net 5.1 és korábbi verziói.

A fentieken túl az alábbi gyártók egyes termékei is érintettek:

- Devolo;
- EMU Electronic AG;
- FEIG;
- Genetec;
- Harting;
- Hensoldt;
- Microchip;
- Nanotec;
- NT-Ware;
- Tagmaster;
- Uniflow;
- Yanzi Networks.

A hibákkal kapcsolatban az egyes gyártók bejelentései mellett az ICS-CERT publikációja is további részleteket tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-20-343-01

Sérülékenység Siemens SiMATIC vezérlők webszervereiben

A Siemens ProductCERT publikációja szerint egy sérülékenységet találtak az alábbi SiMATIC vezérlők webszervereiben:

- SIMATIC ET 200SP Open Controller (beleértve a SIPLUS változatokat is) 20.8-as verziója;
- SIMATIC S7-1500 Software Controller 20.8-as verziója.

A gyártó a hibát az érintett termékek 21.8-as verziójában javította. A sérülékenység részleteiről a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Sérülékenységek Siemens SiMATIC termékekben

A Kaspersky még 2019 végén talált több sérülékenységet egyes Siemens SIMATIC termékekbe beépített TightVNC komponensben. Az érintett termékek és verzióik az alábbiak:

- SIMATIC HMI Comfort Outdoor Panelek 7 és 15 colos sorozatainak (beleértve a SIPLUS változatokat is) minden, 16 update 3-nál korábbi verziója;
- SIMATIC HMI Comfort Panel 4-től 22 colosig terjedő sorozatainak (beleértve a SIPLUS változatokat is) minden, 16 update 3-nál korábbi verziója;
- SIMATIC HMI KTP400F, KTP700, KTP700F, KTP900 és KTP900F típusú KTP mobil panelek minden, 16 update 3-nál korábbi verziója;
- SIMATIC ITC1500 v3.1 minden verziója;
- SIMATIC ITC1500 v3.1 PRO minden verziója;
- SIMATIC ITC1900 v3.1 minden verziója;
- SIMATIC ITC1900 v3.1 Pro minden verziója;
- SIMATIC ITC2200 v3.1 minden verziója;
- SIMATIC ITC2200 v3.1 PRO minden verziója;
- SIMATIC WinCC Runtime Advanced minden, 16 update 3-nál korábbi verziója;
- SIMATIC WinCC Runtime Professional minden, 16 update 3-nál korábbi verziója.

A gyártó kiadta a hibát javító újabb verziókat. A sérülékenységekkel kapcsolatban további információkat a Siemens ProductCERT és az ICS-CERT bejelentései tartalmaznak.

Siemens SICAM rendszerek sérülékenysége

Sam Hamra, a KTH Royal Institute of Technology munkatársa egy sérülékenységet fedezett fel a Siemens SICAM RTU-inak alábbi verzióiban:

- SICAM A8000 CP-8000 minden,16-osnál régebbi verziója;
- SICAM A8000 CP-8021 minden,16-osnál régebbi verziója;
- SICAM A8000 CP-8022 minden,16-osnál régebbi verziója.

A hibával kapcsolatban érintett RTU-kat használó ügyfeleinek a gyártó a 16-os verzióra történő frissítést javasolja. A sérülékenységről bővebb információkat a Siemens ProductCERT és az ICS-CERT weboldalain lehet találni.

Sérülékenységek Siemens XHQ Operations Intelligence rendszerekben

A Siemens 7 sérülékenységet talált az XHQ Operations Intelligence nevű termékük minden, 6.1-nél korábbi verzióiban.

A gyártó a hibával kapcsolatban a 6.1-es verzióra történő frissítést illetve az XHQ dokumentációban található, Internet Information Services (IIS) webszerverek biztonságos konfigurálásával kapcsolatos ajánlásainak alkalmazását javasolja. A sérülékenységek részleteit a Siemens ProductCERT és az ICS-CERT publikációiban lehet megtalálni.

Beágyazott TCP/IP stack sérülékenység (AMNESIA:33) Siemens termékekben

Daniel dos Santos, Stanislav Dashevskyi, Jos Wetzels és Amine Amri, a Forescout Research Labs munkatársai több, IoT rendszereket érintő sérülékenységet találtak, amelyek közül egy a Siemens egyes ipari rendszereit is érinti:

- SENTRON PAC3200 2.4.5-ös és korábbi verziók;
- SENTRON PAC4200 2.0.1-es és korábbi verziók;
- SIRIUS 3RW5 Modbus/TCP kommunikációs modulok minden verziója.

A gyártó a hibával kapcsolatban a SENTRON termékekhez frissítet verziókat, a SIRIUS kommunikációs modulokat használó ügyfeleinek pedig kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről további részletek a Siemens ProductCERT és az ICS-CERT bejelentéseiben érhetőek el

Mitsubishi Electric rendszerek sérülékenysége

A Mitsubishi Electric egy sérülékenységről közölt információkat a DHS CISA-val, ami az alábbi rendszereiket érinti:

- GOT2000 sorozat, GT21-es modelljének
- GT2107-WTBD változata, minden verzió;
- GT2107-WTSD változata, minden verzió;
- GT2104-RTBD változata, minden verzió;
- GT2104-PMBD változata, minden verzió;
- GT2103-PMBD változata, minden verzió;
- GOT SIMPLE sorozat, GS21-es modelljének
- GS2110-WTBD változata, minden verzió;
- GS2107-WTBD változata, minden verzió;
- Tension vezérlők
- LE7-40GU-L változatának minden verziója.

A gyártó a hiba javítását tartalmazó új verziók kiadását a közeli jövőre tervezi. A sérülékenység részleteiről az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-20-343-02

Sérülékenységek GE orvostechnikai eszközökben

Lior Bar Yosef és Elad Luz, a CyberMDX munkatársai 2 sérülékenységet találtak a GE alábbi orvostechnikai rendszereiben:

MR rendszerek:
- 3.0T Signa HDxt/3.0T Signa HDx, HD16 és HD23 verziók;
- 1.5T Brivo MR355/Optima MR360, SV20.1 és SV23.0 verziók;
- 1.5T Signa HDx/1.5T Signa HDx, Signa HDi/Signa VIBRANT, HD16 és HD23 verziók;

Ultrahang, általános képalkotó rendszerek:
- LOGIQ 5 [BT03];
- LOGIQ 7 (BT03, BT04, BT06];
- LOGIQ 9 [BT02, BT03, BT04, BT06];

Ultrahang, kardiovaszkuláris rendszerek:
- Vivid I [BT06];
- Vivid 7 {BT02-BT06];
- EchoPAC (Turnkey) [BT06];
- Image Vault (Turnkey) [4.3];

Ultrahang, nőgyógyászati rendszerek:
- Voluson 730 [BT05, BT08];

Fejlett vizualizációs megoldások:
- AW 4.0-tól 4.6-ig terjedő verziók;
- AWS2.0-tól 3.0-ig terjedő verziók;

Intervenciós rendszerek:
- Innova 2000, 3100, 4100, 2100-IQ, 3100-IQ, 4100-IQ, 212-IQ, 313-IQ verziók;
- Optima 320, CL320i, CL323i, CL320, 3100 verziók;
- Optima IGS 320, 330; Innova IGS 5x0, 6x0, 7x0 verziók;

Röntgen-megoldások:
- Brivo XR118, XR383, XR515, XR575;
- Definium 5000, 6000, 8000, AMX 700;
- Discovery XR650, XR656, XR656+;
- Optima XR640, XR646, XR220amx, XR200amx;
- Precision 500D, WDR1;

Mammográfiai megoldások:
- Seno 200D, DS, Essential;
- Senographe Pristina;

Computer tomográfiai rendszerek
- BrightSpeed Elite, Elite Select, Edge, Edge Select;
- Brivo CT385;
- Discovery CT590RT, CT750HD;
- LightSpeed VCT, Pro16, RT16;
- Optima Advance, CT520, CT540, CT660, CT580, CT580RT, CT580W, CT670, CT680 Quantum, Expert & Professional;
- Revolution EVO,HD,ACT, ACTs, CT, Discovery CT, Frontier, Frontier ES;

PET/CT rendszerek:
- Brivo NM 615;
- Discovery NM 630, NM 750b, NM D530c, NM/CT D570c, NM/CT 670;
- Infinia;
- Discovery NM830, NM/CT 860, NM/CT850, NM/CT 870, MI MI DR, IQ;
- Optima NM/CT 640;
- Ventri;
- Xeleris;
- PET Discovery IQ, IQ upgrade;
- PETrace 800.

A hibákkal kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről további részleteket az ICS-CERT publikációjában lehet találni: https://us-cert.cisa.gov/ics/advisories/icsma-20-343-01

Host Engineering rendszerek sérülékenysége

Uri Katz, a Claroty munkatársa egy sérülékenységet azonosított a Host Engineering ECOM100 típusú Ethernet kommunikációs modul (PLC rendszerekhez) alábbi verzióiban:

- H0-ECOM100 Modul:
- Hardware 6x és korábbi verziói 4.0.348 és korábbi firmware-verziókkal;
- Hardware 7x verziói 4.1.113 és korábbi firmware-verziókkal;
- Hardware 9x verziói 5.0.149 és korábbi firmware-verziókkal;
- H2-ECOM100 Modul:
- Hardware Versions 5x és korábbi verziói 4.0.2148 és korábbi firmware-verziókkal;
- Hardware Version 8x verziói 5.0.1043 és korábbi firmware-verziókkal;
- H4-ECOM100 Modulok 4.0.2148 és korábbi firmware-verziókkal.

A gyártó a hibával kapcsolatban a legújabb elérhető verziókra történő frissítést javasolja. A sérülékenységgel kapcsolatos további információkat az ICS-CERT bejelentésében lehet elérni:
https://us-cert.cisa.gov/ics/advisories/icsa-20-345-02

Sérülékenység Mitsubishi Electric eszközökben

A Mitsubishi Electric egy sérülékenységről közölt részleteket a DHS CISA-val, ami a MELSEC iQ-F sorozatú eszközeik FX5U(C) CPU modullal szerelt példányait érinti, ha azok az 1.060-as és korábbi firmware-verziót használják.

A gyártó a hibát az 1.061-es firmware-ben javította. A sérülékenység részletiről az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-20-345-01

Sérülékenységek Medtronic orvostechnikai rendszerekben

A Sternum nevű izraeli cég munkatársai, valamint kutatók (Eric Gustafson, Sara Rampazzi, Paul Grosen, Christopher Kruegel és Giovanni Vigna) a Kaliforniai Santa Barbara Egyetemről, a Floridai Egyetemről és a Michigan-i Egyetemről 3 sérülékenységet találtak a Medtronic Smart Model 25000 Patient Reader nevű megoldásában. A sérülékenység a rendszer összes verziójában megtalálható.

A gyártó a hibát javító újabb firmware-verziót már elérhetővé tette. A sérülékenységekről részletesebb információkat az ICS-CERT publikációja tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsma-20-345-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.