GE Digital APM Classic rendszerek sérülékenységei

Guido Marilli, az Accenture Security munkatársa két sérülékenységet jelentett a GE Digital-nak, amik a gyártó APM Classic 4.4 és korábbi verzióit érintik.

A gyártó a hibákat a 4.5-ös verzióban javította. A sérülékenységekről további információkat az ICS-CERT publikációjában lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-20-266-01

Sérülékenység Cisco ipari routerekben

A Cisco publikációja szerint egy sérülékenységet találtak az alábbi, ipari környezetekbe szánt hálózati eszközeikben:

- 807 Industrial ISR eszközök;
- 809 Industrial ISR eszközök;
- 829 Industrial ISR eszközök;
- CGR1000 router-ek.

A gyártó már elérhetővé tette a hibát javító újabb firmware-verziót. A sérülékenységről bővebben a Cisco weboldalán lehet olvasni.

Sérülékenység GE ipari hálózati eszközökben

Az IOActive egy sérülékenységről közöl információkat a GE-vel, ami az alábbi, ipari környezetekben használt hálózati eszközeiket érinti:

- S2020 összes, 07A06-nál korábbi firmware-verziója;
- S2024 összes, 07A06-nál korábbi firmware-verziója.

A hibát a gyártó a 07A06 és későbbi firmware-verziókban javította. A sérülékenységgel kapcsolatban részleteket az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-20-266-02

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nagyjából két hete láttak napvilágot az első hírek arról a düsseldorfi egyetemi kórház elleni ransomware-támadásról, aminek az eredménye egy beteg halála lett. Sokat gondolkodtam azon, hogy érdemes-e erről írnom, mert már az első hírekből is le lehetett szűrni, hogy a tragédia közvetlen oka nem a ransomware-támadás volt (a zsarolóvírus nem egy egészségügyi folyamatirányító rendszert tett használhatatlanná, hanem a kórház IT rendszereinek egy jelentős részét érintette). Az újabb hírek már arról is szólnak, hogy a német rendőrség gondatlanságból elkövetett emberölésként kezeli ezt a zsarolóvírus-támadást.

Ami miatt végül mégis a blogposzt megírása mellett döntöttem, az az, hogy a tényekből az is világosan látszik, hogy a kritikus infrastruktúrák elleni kibertámadások (gyakorlatilag mindegy, hogy milyen jellegű kibertámadásokról beszélünk) közvetve vagy közvetlenül safety-incidenseket képesek generálni és ahogy egyre nő az ilyen támadások száma, egyre inkább nő a hasonló, emberéleteket követelő incidensek esélye is. A kérdés igazán már csak az, hogy a ransomware-eket terjesztő támadók maradnak-e a viszonylag könnyű célpontot jelentő IT rendszereket vagy megpróbálják célba venni a kritikus infrastruktúrák legfontosabb (gyakran folyamatirányításért) felelős rendszereit is?

Philips orvostechnikai rendszerek sérülékenységei

A Northridge Hospital Medical Center öt sérülékenységet talált a Philips Clinical Collaboration Platform nevű, HMI adatmegjelenítő rendszerének 12.2.1-es és korábbi verzióiban.

A gyártó a hibákat a 2020 júniusában kiadott új verziókban javította. A sérülékenységek részleteiről az ICS-CERT publikációjából lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsma-20-261-01

Sérülékenység Advantech WebAccess rendszerekben

Mat Powell, a ZDI munkatársa egy sérülékenységet jelentett a DHS CISA-nak, ami az Advantech HMI platformjának, a WebAccess Node-nak 9.0.1-nél korábbi verzióit érinti.

A gyártó a hibát a 9.0.1-es verzióban javította. A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-20-261-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nemrég találtam rá a Belden 8 részes, ingyenesen (egy regisztráció után) elérhető, ICS biztonsági webinar-sorozatára.

Az átlagosan egy órás előadások az ipari folyamatirányítás változatos területeit mutatják be, az általánosabb témáktól (mint pl. az OT hálózatok biztonsági problémáira adható válaszok), a valós idejű IIoT hálózatok biztonsági kérdésein keresztül a vasúti jelzőberendezések időkritikus hálózati kommunikációjáig. Ezeken felül számos további webinar és esettanulmány is elérhető a Belden weboldalán.

Sérülékenységek Siemens SIMATIC rendszerekben

A Siemens három sérülékenységről közölt információkat a DHS CISA-val, amik a SIMATIC RTLS Locating Manager termékük minden, v2.10.2-nél korábbi verzióját érintik.

A gyártó a hibákat a v2.10.2-es verzióban javította. A sérülékenységgel kapcsolatos részleteket a Siemens ProductCERT és az ICS-CERT publikációiban lehet megtalálni.

Siemens S7 berendezések sérülékenysége

Hyunguk Yoo, a New Orleans-i Egyetem és Irfan Ahmed valamint Adeen Ayub, a Virginia Commonwealth Egyetem munkatársai egy sérülékenységet találtak a Siemens alábbi, S7-es termékcsaládjába tartozó rendszerekben:

- SIMATIC S7-300 CPU család (beleértve a kapcsolód ET200 CPU-kat és a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-400 CPU family család (beleértve a SIPLUS változatokat is) minden verziója.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenység részleteiről a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet olvasni.

Sérülékenység Siemens licenc-kezelő alkalmazásokban

A német Bundesamt für Sicherheit in der Informationstechnik (BSI) egy sérülékenységet jelentett a Siemens-nek, ami a License Management Utility nevű licenc-kezelő megoldásuk v2.4-esnél régebbi verzióit érinti.

A gyártó a hibát a v2.4-es verzióban javította. A sérülékenységgel kapcsolatos további információkat a Siemens ProductCERT és az ICS-CERT weboldalain lehet elérni.

Siemens Spectrum Power sérülékenységek

Can Demirel, a Cyberwise munkatársa két sérülékenységet azonosított a Siemens Spectrum Power nevű SCADA rendszerének v4.70 SP8-nál korábbi verzióiban.

A gyártó a hibát javító új verziót és kockázatcsökkentő intézkedésekre vonatkozó, valamint konfigurációs javaslatokat tett közzé. A sérülékenységekről a Siemens ProductCERT és az ICS-CERT publikáció tartalmaznak további részleteket.

Sérülékenységek Siemens Polarion Subversion kliensekben

Li Yifan két sérülékenységet jelentett a Siemens-nek, amik a gyártó Polarion Subversion webes kliensének minden verzióját érintik.

A gyártó közlése szerint a shareware módon elérhetővé tett termékük támogatása már megszűnt, így javítás sem várható a most publikált hibákhoz. A sérülékenységekről további részleteket a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Siemens ipari termékek sérülékenysége

Alyssa Milburn, Hany Ragab, Kaveh Razavi, Herbert Bos és Cristiano Giuffrida, a VUSec csoport tagjai egy sérülékenységet jelentettek az Intel-nek, ami a Siemens alábbi, ipari környezetekben használt termékeit érinti:

- SIMATIC Field PG M4 minden verziója;
- SIMATIC Field PG M5 minden verziója;
- SIMATIC Field PG M6 minden verziója;
- SIMATIC IPC3000 SMART minden verziója;
- SIMATIC IPC347E minden verziója;
- SIMATIC IPC427D (a SIPLUS változatokat is beleértve) minden verziója;
- SIMATIC IPC427E (a SIPLUS változatokat is beleértve) minden verziója;
- SIMATIC IPC477D minden verziója;
- SIMATIC IPC477E minden verziója;
- SIMATIC IPC477E Pro minden verziója;
- SIMATIC IPC527G minden verziója;
- SIMATIC IPC547E minden verziója;
- SIMATIC IPC547G minden verziója;
- SIMATIC IPC627D minden verziója;
- SIMATIC IPC627E minden verziója;
- SIMATIC IPC647D minden verziója;
- SIMATIC IPC647E minden verziója;
- SIMATIC IPC677D minden verziója;
- SIMATIC IPC677E minden verziója;
- SIMATIC IPC827D minden verziója;
- SIMATIC IPC847D minden verziója;
- SIMATIC IPC847E minden verziója;
- SIMATIC ITP1000 minden verziója;
- SIMOTION P320-4E minden verziója;
- SIMOTION P320-4S minden verziója;
- SINUMERIK 828D (PPU.4 / PPU1740) minden verziója;
- SINUMERIK 840D sl (NCU730.3B) minden verziója;
- SINUMERIK ONE (NCU1750 / NCU1760) minden verziója.

A gyártó jelenleg is dolgozik a hiba javításán. A sérülékenység részleteiről a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Sérülékenységek Siemens SIMATIC HMI-okban

Joseph Gardiner, a Bristol-i Egyetem biztonsági kutatócsoportjának munkatársa két sérülékenységet fedezett fel a Siemens SIMATIC HMI-ok alábbi verzióiban:

- Második generációs SIMATIC HMI Basic panelek (a SIPLUS változatokat is beleértve) 14-es és újabb valamint az XX verziónál korábbi verziók;
- SIMATIC HMI Comfort panelek (a SIPLUS változatokat is beleértve) minden verziója;
- SIMATIC HMI Mobile panelek minden verziója;
- SIMATIC HMI United Comfort panelek minden verziója.

A gyártó dolgozik a hibajavításokat tartalmazó új verziókat és addig is kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekkel kapcsolatos bővebb információkat a Siemens ProductCERT és az ICS-CERT publikációiban lehet megtalálni.

Siemens Siveillance videó kliens sérülékenység

A Siemens ProductCERT egy sérülékenységről közölt információkat a DHS CISA-val, ami Siveillance videó kliensük minden verzióját érinti.

A hibával kapcsolatban a gyártó kiadott egy patch-et és kockázatcsökkentő intézkedésekre vonatkozó ajánlásokat tett közzé. A sérülékenység részleteit a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet elérni.

Sérülékenység Wibu-Systems rendszerekben (és azokat tartalmazó Siemens termékekben)

Sharon Brizinov és Tal Keren, a Claroty munkatársai hat sérülékenységet jelentettek a DHS CISA-nak, amik a Wibu-Systems CodeMeter Runtime, egy licensz menedzser alkalmazás minden verzióját érinti.

Ezt a licensz menedzsert az alábbi Siemens rendszerekben is használják:

- Information Server 2019 SP1 és későbbi verziók;
- Process Historian (beleértve a Process Historian OPCUA Server-t is) 2019 és későbbi verziói;
- SIMATIC PCS neo minden verziója;
- SIMATIC WinCC OA V3.17;
- SIMIT Simulation Platform V10.0 és későbbi verziói;
- SINEC INS minden verziója;
- SINEMA Remote Connect minden verziója;
- SPPA-S2000 (S7) V3.04-es és V3.06-os verziói;
- SPPA-S3000 V3.04-es és V3.06-os verziói;
- SPPA-T3000 R8.2 SP2.

A gyártó a hibákkal kapcsolatban a CodeMeter Runtime legújabb verziójának használatát és kockázatcsökkentő intézkedések alkalmazását javasolja. Egyes Siemens termékekhez szintén elérhetőek már javítások.

A CodeMeter Runtime sérülékenységeivel kapcsolatos részleteket az ICS-CERT bejelentésében, a Siemens termékekkel kapcsolatos további információkat pedig a Siemens ProductCERT weboldalán lehet megtalálni.

HMS Networks rendszerek sérülékenysége

Parth Srivastava , a Protiviti India Member Private Limited munkatársa egy sérülékenységet jelentett az HMS Networks-nek, ami a Ewon termékcsaládjuk Flexy és Cosy termékeinek 14.1-nél korábbi változatait érinti.

A gyártó a hibával kapcsolatban a legújabb elérhető firmware-verzióra történő frissítést és kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységgel kapcsolatban további részleteket az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-20-254-03

Sérülékenység FATEK Automation rendszerekben

Natnael Samson, a ZDI-vel együttműködve egy sérülékenységről közölt információkat a DHS CISA-val, ami a FATEK Automation PLC WinProladder 3.28-as és korábbi verzióit érinti.

A gyártó nem reatált a CISA megkeresésére, így jelenleg nincs információ a hiba javításáról. A sérülékenység részleteiről az ICS-CERT publikációjából lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-20-254-02

Sérülékenység AVEVA rendszerekben

Yuri Kramarz, a Cisco Talos munkatársa egy SQL injection sérülékenységet talált az AVEVA Enterprise Data Management Web v2019 és korábbi verzióiban.

A gyártó a hibát az Enterprise Data Management Web v2019 SP1 verzióban javította. A sérülékenységről további információkat az Aveva és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenységek Philips orvostecnikai rendszerekben

Julian Suleder, Nils Emmerich és Birk Kauer, az ERNW Research GmbH, Dr. Oliver Matula, az ERNW Enno és a Rey Netzwerke GmbH munkatársai nyolc sérülékenységről osztottak meg információkat a Bundesamt für Sicherheit in der Informationstechnik (BSI) munkatársaival a ManiMed (Manipulation of medical devices) projekt keretében. A sérülékenységek az alábbi Philips orvostecnikai rendszereket érinti:

- Patient Information Center iX (PICiX) B.02, C.02 és C.03 verziói;
- PerformanceBridge Focal Point A.01 verziója;
- IntelliVue betegmonitorok MX100, MX400-MX850 és MP2-MP90 típusok N és korábbi verziói;
- IntelliVue X3 és X2 típusok N és korábbi verziói.

A gyártó a hibákat várhatóan 2020 végén, 2021-ben és 2023-ban fogja javítani. A sérülékenységek részleteiről az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsma-20-254-01

Sérülékenységek Schneider Electric SCADAPack rendszerekben

Amir Preminger, a Claroty munkatársa öt sérülékenységet talált a Schneider Electric alábbi rendszereiben:

- SCADAPack 7x Remote Connect V3.6.3.574 és korábbi verziói;
- SCADAPack x70 Security Administrator V1.2.0 és korábbi verziói.

A gyártó a hibákat javító új verziót már elérhetővé tette. A sérülékenységekről részleteket a Schneider Electric publikációjában lehet megtalálni.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szerdán napközben láttak napvilágot az első hírek arról, hogy a Netwalker ransomware-támadás érte a K-Electric nevű, a Pakisztán legnépesebb városának, Karacsinak a villamosenergia-ellátásáért felelős vállalatát.

A hírek szerint a támadás első jeleit szeptember 7-én tapasztalták, ekkor a K-Electric ügyfelei már nem fértek hozzá a cég weboldalain a szolgáltatások használatához szükséges felhasználói fiókjaikhoz.

Egyelőre a hírekben nincs említés arról, hogy az incidens érintené a K-Electric ICS rendszereit, de a Ransom Leak szerint belső szoltáltatások érintettek.

Részleteket az alábbi forrásokban lehet olvasni:

SecurityAffairs.co
BleepingComputer.com
Times of Islamabad
Tripwire

Mitsubishi Electric rendszerek sérülékenysége

Ta-Lun Yen, a TrendMicro IoT/ICS kutatólaborjának, a TXOne-nak a munkatársa egy sérülékenységet fedezett fel, ami a Mitsubishi Electric termékpalettájának 57 különböző tagját érinti (pontos listát az ICS-CERT alábbi hivatkozott bejelentése tartalmaz).

A gyártó a hibát néhány érintett termékében javította és kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenység részleteit az ICS-CERT publikációja tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsa-20-245-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az ICS biztonság több, mint egy évtizedes története során folyamatosan azt lehet látni, hogy a vállalati IT rendszerek biztonságának javítására használt eszközöket (tűzfalakat, IDS/IPS rendszereket, adat-diódákat, SIEM rendszereket, végpontvédelmi megoldásokat, stb.) és megközelítéseket, módszereket és eljárásokat (sérülékenység vizsgálat, patch menedzsment, hardening, biztonságos hálózati architektúra-tervezés, stb.) próbálnak (próbálunk) meg bevezetni az OT hálózatok és ICS berendezések, rendszerek esetén. Ezek a próbálkozások hol több, hol kevesebb sikerrel járnak, gyakran éppen az ICS rendszerek vállalati IT rendszerekétől alapvetően eltérő működési jellemzői miatt.

Nem kifejezetten meglepő, hogy az IT biztonságban néhány éve megfogalmazott, ún. Zero trust-megközelítés esetében is felmerült, hogy alkalmazni kéne az ICS rendszerek és OT hálózatok biztonságosabbá tételére.

A Zero trust koncepció alapja az az elv, hogy a hálózaton belül és azon kívül elhelyezkedő és ezekről a helyekről kommunikáló felek közül senkiben nem bízunk, minden egyes erőforrás-hozzáféréshez az adott kommunikációs partner ellenőrzése és előzetes jóváhagyás szükséges.

Jake Brodsky, az amerikai ICS biztonsági közösség egyik veteránja egy nemrég publikált blogposztjában a Zero trust megközelítés ICS rendszerek esetében történő alkalmazhatóságát tekinti át. Végkövetkeztetése az, hogy a valósidejű (illetve közel valósidejű) kommunikációt igényő ICS rendszerek és berendezések esetén a Zero trust koncepciót nem lehet megvalósítani, de egyes esetekben (pl. esemény-orientált SCADA rendszerek esetén) lehetséges alkalmazni a Zero trust megközelítést.

B&R Automation rendszerek sérülékenysége

Az ABB csoporthoz tartozó B&R Automation egy sérülékenységről hozott nyilvánosságra információkat, ami az Automation Runtime 4.7x és korábbi verzióit érinti.

A gyártó a hibát javító patch-eket a 4.2x és újabb verziókhoz már elérhetővé tette (kivéve a 4.6x verziókat, amikhez várhatóan 2020. harmadik negyedévben adják ki majd ki). A sérülékenységről bővebben a B&R Automation publikációjában

https://www.br-automation.com/downloads_br_productcatalogue/assets/1595163815396-de-original-1.0.pdf

lehet olvasni.

Sérülékenység WECON rendszerekben

Natnael Samson a ZDI-vel együttműködve egy sérülékenységet jelentett a DHS CISA-nak, amit a WECON alábbi rendszereiben talált:

- LeviStudioU 2019-09-21-es és korábbi verziói.

A hibával kapcsolatban született gyártói megoldásokért a WECON ügyfélszolgálatát lehet megkeresni. A sérülékenységgel kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-20-238-03

Emerson SCADA rendszerek sérülékenysége

Roman Lozko, a Kaspersky munkatársa egy sérülékenységet jelentett az Emerson-nak, amit a gyártó OpenEnterprise SCADA rendszerének 3.3.5-ösnél korábbi verzióit érinti.

A gyártó a hibát a 3.3.6-os verzióban javította. A sérülékenység részleteit az ICS-CERT weboldalán lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-20-238-02

Advantech iView sérülékenység

KPC, a Trend Micro ZDI munkatársa egy sérülékenységet fedezett fel az Advantech iView 5.7-es és korábbi verzióiban.

A gyártó a hibát az 5.7.02-es verzióban javította. A sérülékenységgel kapcsolatban további információkat az ICS-CERT publikációjában lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-20-238-01

Sérülékenységek Red Lion N-Tron berendezésekben

Thomas Weber, a SEC Consult Vulnerability Lab munkatársa 5 sérülékenységről közölt információkat a DHS CISA-val, amik a Red Lion alábbi, ipari hálózati eszközeit érintik:

- N-Tron 702-W minden verziója;
- N-Tron 702M12-W minden verziója.

A gyártó a 702-W sorozat támogatását 2018-ban megszüntette, ezért hibajavítás sem fog érkezni hozzá. A sérülékenységgel kapcsolatos további részletek az ICS-CERT bejelentésében érhetőek el: https://us-cert.cisa.gov/ics/advisories/icsa-20-240-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az idei DefCon a járványhelyzet miatt szintén virtuális konferencia formában került megrendezésre. Ahogy az elmúlt években egyre inkább ez volt a tendencia, idén is egyre több ICS biztonsági témájú előadás volt, elsősorban az ICS Village nevű szekcióban.

Az elsőadásokat a YouTube-on az alábbi videókban lehet megnézni:

1. nap: https://www.youtube.com/watch?v=PVV7Ich0Axk
2. nap: https://www.youtube.com/watch?v=wSKYXVq-NuI

Néhány érdekesebb előadás:

- Tim Yardley: Building a Physical Testbed for Blackstart Restoration under Cyber Fire
- Chris Kubecka: Operationalizing Cyber Norms: Critical Infrastructure Protection
- Octavio Fernander, Victor Gomez: Industrial Cybersecurity in Mexico
- Can Kurnaz: ICS SecOps: Active Defense Concept with Effective Incident Resoponse in Industrial Control Systems
- Marina Krotofil: Confessiona of an Offensive ICS Cyber Security Researcher
- Can Demirel, Serkan Temel: Playing with Electricity: Hacking into Distribution Companies
- atlas of d00m and ac0rn: Vivisecting PowerPC
- Marie Collins and Otis Alexander: MITRE ICS ATT&CK