Sérülékenységek Mitsubishi Electric rendszerekben

A Mitsubishi Electric 6 sérülékenységről közölt részleteket a DHS CISA-val, amik a GOT2000 CoreOS Y és korábbi verzióit használó alábbi rendszereiket érintik:

- GT27-es modell;
- GT25-ös modell;
- GT23-as modell.

A gyártó a hibákat az érintett szoftverek újabb verzióiban javította. A sérülékenységekről részletes információkat az ICS-CERT publikációjában lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-20-189-02

Grundfos rendszerek sérülékenysége

Marcin Dudek, a CERT.PL munkatársa 2 sérülékenységet jelentett a DHS CISA-nak, amik a Grundfos CIM 500 v06.16.00-nál korábbi verzióit érintik.

A gyártó a hibákat a v06.16.00 verzióban javította. A sérülékenységekkel kapcsolatban részleteket az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-20-189-01

Sérülékenység Rockwell Automation rendszerekben

Az Incite Team tagjai és a Claroty kutatói egy sérülékenységet azonosítottak a Rockwell Automation Logix Designer Studio 5000-es szoftverének alábbi verzióiban:

- 32.00;
- 32.01;
- 32.02.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről további információkat az ICS-CERT weboldalán lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-20-191-02

Moxa MGate sérülékenységek

A Moxa publikációja szerint két sérülékenységet találtak az MGate 5105-MB-EIP sorozatú eszközök 4.2-es és korábbi verzióiban.

A gyártó a hibákat a legújabb firmware-verzióban javította. A sérülékenységekkel kapcsolatos részletes információk a Moxa weboldalán találhatóak: https://www.moxa.com/en/support/support/security-advisory/mgate-5105-mb-eip-series-protocol-gateways-vulnerabilities

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Proofpoint nevű biztonsági cég nemrég publikált cikke szerint 2019 nyarán egy legalább két hónapig észrevétlen malware-támadás nyomaira bukkantak, ami elsősorban amerikai közműszolgáltatókat célzott. Az elemzés szerint a támadók a közműszolgáltatók munkatársainak küldött, 30 napos ingyenes képzési lehetőségeket kínáló e-mailekben terjesztették a FlowCloud néven hivatkozott malware-t, amit az első támadási hullám során egy hordozható végrehajtható állományba (PE fájlba) rejtettek. 2019 júliusa és szeptembere között jellemzően ezeket a PE fájlokat csatolták az e-mailekhez, majd változtattak a támadáshoz használt eszközökön (a PE fájlokat Microsoft Word dokumentumokra cserélték), a célpontjaik azonban változatlanul az amerikai közműszolgáltatásban fontos szerepet betöltő szervezetek maradtak.

A Proofpoint elemzői munkájuk során több hasonlóságot találtak a FlowCloud malware-t és a korábbi, LookBack malware-t szintén amerikai közműszolgáltatóknál terjesztői támadók között, akiket ők TA410 néven hivatkoznak.

Sérülékenységek Mitsubishi Electric rendszerekben

A Mitsubishi Electric két sérülékenységről közölt részleteket a DHS CISA-val, amik a Factory Automation szoftverük alábbi verzióit érintik:

- CPU Module Logging Configuration Tool 1.94Y és korábbi verziói;
- CW Configurator 1.010L és korábbi verziói;
- EM Software Development Kit (EM Configurator) 1.010L és korábbi verziói;
- GT Designer3（GOT2000) 1.221F és korábbi verziói;
- GX LogViewer 1.96A és korábbi verziói;
- GX Works2 1.586L és korábbi verziói;
- GX Works3 1.058L és korábbi verziói;
- M_CommDTM-HART 1.00A és korábbi verziói;
- M_CommDTM-IO-Link 1.02C és korábbi verziói;
- MELFA-Works 4.3 és korábbi verziói;
- MELSEC-L Flexible High-Speed I/O Control Module Configuration Tool 1.004E és korábbi verziói;
- MELSOFT FieldDeviceConfigurator 1.03D és korábbi verziói;
- MELSOFT iQ AppPortal 1.11M és korábbi verziói;
- MELSOFT Navigator 2.58L és korábbi verziói;
- MI Configurator 1.003D és korábbi verziói;
- Motion Control Setting 1.005F és korábbi verziói;
- MR Configurator2 1.72A és korábbi verziói;
- MT Works2 1.156N és korábbi verziói;
- RT ToolBox2 3.72A és korábbi verziói;
- RT ToolBox3 1.50C és korábbi verziói.

A gyártó a hibákat az érintett szoftverek újabb verzióiban javította. A sérülékenységekkel kapcsolatos részleteket az ICS-CERT publikációjában lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsa-20-182-02

Delta Electronics rendszerek sérülékenységei

Natnael Samson, a ZDI-vel együttműködve két sérülékenységet jelentett a DHS CISA-nak, amik a Delta Electronics DOPSoft nevű HMI szerkesztő szoftverének 4.00.08.15-ös és korábbi verzióit érintik.

A gyártó a hibákat javító 4.00.08.17-es verziót valamikor július hónap folyamán tervezi kiadni. A sérülékenységekről további részleteket az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-182-01

Sérülékenység ABB rendszerekben

William Knowles, az Applied Risk munkatársa egy sérülékenységet jelentett az ABB-nek, ami a gyártó alábbi rendszereit érinti:

- System 800xA Information Manager 5.1 Rev E/5.1 FP4 Rev E TC6-nál korábbi verziói;
- System 800xA Information Manager 6.0.3.3 RU1-nél korábbi verziói;
- System 800xA Information Manager 6.1 RU1-nél korábbi verziói.

A gyártó a hibát az újabb verziókban javította. A sérülékenységről bővebben az ICS-CERT weboldalán lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-184-02

Nortek Linear eMerge sérülékenységek

Gjoko, az Applied Risk munkatársa öt sérülékenységet jelentett a DHS CISA-nak a Nortek Linear eMerge 50P/5000P rendszerének 4.6.07 (revision 79330) és korábbi verzióival kapcsolatban.

A gyártó a hibákat a v32-09a verzióban javította. A sérülékenységek részletei az ICS-CERT publikációjában találhatóak: https://www.us-cert.gov/ics/advisories/icsa-20-184-01

Sérülékenységek OpenClinic GA rendszerekben

Brian D. Hysell 12 sérülékenységet talált a Source Forge-on elérhető, nyílt forráskódú OpenClinic GA rendszer alábbi verzióiban:

- OpenClinic GA 5.09.02;
- OpenClinic GA 5.89.05b.

A fejlesztő közösség a mostani hibákkal kapcsolatban még nem adott információkat, az ICS-CERT javaslata az elérhető összes hibajavítás telepítésére vonatkozik. A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsma-20-184-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az EvilCorp. néven emlegetett támadói csoport a Symantec és az NCC Group kutatói szerint több, mint 30 amerikai nagyvállalat ellen indítottak összetett és kifinomult támadásokat. Az érintett szervezetek között gyártóvállalatok, az energia- és vegyipari szektorok cégei mellet szállítmányozással foglalkozó szervezetek és az egészségügyi szektor egyes szervezetei is érintettek.

A támadás során egy kompromittált weboldalról töltik le a SocGholish keretrendszer egy ZIP fájlba tömörített változatát. Ez tartalmazza azt a rosszindulatú Javascriptet, ami Chrome böngésző frissítésnek álcázza magát. Egy második Javascript futtatásával indítják el a támadók a PowerShellt, amivel Cobalt Strike malware-t indítják el, ezen keresztül hajtva végre későbbi parancsokat és megfertőzve további rendszerfolyamatokat. Emellett a PsExec-et használva állítják le a megtámadott rendszereken futó Windows Defender példányokat. Amikor ezzel végeztek, indítják el a WastedLocker zsarolóvírust, ami titkosítja az áldozat adatait és törli a rendszerben létező mentéseket (shadow volume copy).

Bár a WastedLocker nem kifejezett ICS rendszereket támadó ransomware, de a 31 már ismert áldozat több, mint harmada köthető különböző ipari szektorokhoz, vagyis egyértelmű, hogy ez a ransomware és támadói csoport is komoly fenyegetést jelentenek az ipari szervezetekre és a Windows-alapú ICS rendszerekre.

A WastedLocker-ről eddig megismert részleteket a Symantec és az NCC Group publikációiban lehet megtalálni.

ABB Device Library Wizard sérülékenység

William Knowles, az Applied Risk munkatársa egy sérülékenységet talált az ABB Device Library Wizard 6.0.X, 6.0.3.1 és 6.0.3.2-es verzióiban.

A gyártó elérhetővé tette a hibát javító új verziókat. A sérülékenységgel kapcsolatban bővebb információkat az ICS-CERT publikációjában lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsa-20-175-03

Sérülékenységek Honeywell berendezésekben

Nikolay Sklyarenko, a Kaspersky munkatársa két sérülékenységet fedezett fel a Honeywell alábbi ICS eszközeiben:

- ControlEdge PLC R130.2, R140, R150 és R151;
- ControlEdge RTU R101, R110, R140, R150 és R151.

A hibák javításával kapcsolatos információkat a Honeywell weboldalán lehet elérni (bejelentkezés után). A sérülékenység részleteit az ICS-CERT bejelentése tartalmazza: https://www.us-cert.gov/ics/advisories/icsa-20-175-02

Mitsubishi Electric Melsec sérülékenység

Shunkai Zhu, Rongkuan Ma és Peng Cheng, a Zhejiang University NESC laborjának munkatársai egy sérülékenységet jelentettek a Mitsubishi Electric-nek, ami az alábbi rendszereiket érinti:

- MELSEC iQ-R, iQ-F, Q, L és FX sorozatú CPU modulokkal szerelt rendszereik összes verziója.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedés alkalmazását javasolja. A sérülékenységről bővebben az ICS-CERT weboldalán lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-175-01

Rockwell Automatin FactoryTalk View sérülékenységek

Ilya Karpov és Evgeny Druzhinin, a független ScadaX Security csoport tagjai két sérülékenységet azonosítottak a Rockwell Automation alábbi rendszereiben:

- FactoryTalk View SE 9.0 és korábbi verziói;
- FactoryTalk View SE 10.0.

A gyártó a hibát a legújabb verzióban javította. A sérülékenységekről további információkat az ICS-CERT publikációjában lehet elérni: https://www.us-cert.gov/ics/advisories/icsa-20-177-03

Sérülékenység Rockwell Automatin FactoryTalk Services Platform szoftverekben

Az Applied Risk munkatársai egy sérülékenységet találtak a Rockwell Automatin FactoryTalk Services Platform 6.11.00 és korábbi verzióiban.

A hibával kapcsolatban a gyártó a 25612-es és 1092746-os tudásbázis cikkek elolvasását javasolja (bejelentkezést igényel). A sérülékenységről bővebb információkat az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-177-02

ENTTEC világításvezérlő rendszerek sérülékenységei

Mark Cross négy sérülékenységről közölt információkat a DHS CISA-val, amik az ENTEC alábbi rendszereinek 70044_update_05032019-482 és korábbi firmware-verzióit érintik:

- Datagate Mk2;
- Storm 24;
- Pixelator;
- E-Streamer Mk2.

A gyártó jelenleg vizsgálja a most felfedezett sérülékenységeket, de még nem adott ki javításokat tartalmazó új verziót. A sérülékenységek részleteiről az ICS-CERT weboldalán lehet tájékozódni: https://www.us-cert.gov/ics/advisories/icsa-20-177-01

Sérülékenység Philips ultrahang rendszerekben

A Philips egy sérülékenységet talált és jelentett a DHS CISA-nak az alábbi ultrahangos orvosi berendezéseivel kapcsolatban:

- Ultrasound ClearVue 3.2 és korábbi verziói;
- Ultrasound CX 5.0.2 és korábbi verziói;
- Ultrasound EPIQ/Affiniti VM5.0 és korábbi verziói;
- Ultrasound Sparq 3.0.2 és korábbi verziói;
- Ultrasound Xperius minden verziója.

A gyártó a hibát javító új verziókat a Ultrasound ClearVue, CX és Sparq rendszerekhez tervezi. A sérülékenységgel kapcsolatos további részleteket az ICS-CERT publikációjában lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsma-20-177-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Alig több, mint két hete írtam a Lion ausztrál sörgyár elleni támadásokról. Az elmúlt hetekben több cikk is napvilágot látott, amik további részleteket közöltek ezekről az incidensekről:

Ransomware Attack Confirmed by Australia-Based Beverage Manufacturer

Australia's Lion brewery hit by second cyber attack as nation staggers under suspected Chinese digital assault

Az utóbbi időben látványosan megnőttek a célzottnak tartott, ipari szervezeteket érő ransomware-támadások, amik már nem csak a fontos információk titkosításával próbálják zsarolni az érintett szervezeteket, hanem el is lopják a bizalmas adatokat, aztán pedig ezek nyilvánosságra hozatalával is fenyegetik az áldozataikat.

Mindent figyelembe véve nem igazán meglepőek ezek a fejlemények, mert már 1-2 évvel ezelőtt is voltak ICS biztonsági szakértők, akik számítottak arra, hogy a ransomware-eket terjesztő csoportok (akik között kiberbűnözők éppúgy lehetnek, mint állami hátterű, ún. APT-csoportok) következő logikus célpontjai az ipari folyamatirányító rendszereket üzemeltetők szervezetek lehetnek. A meglepő (és kifejezetten szomorú) ezekben az incidensekben éppen az, hogy bár volt idejük az ipari szervezeteknek felkészülni ezekre a támadásokra, a jelek szerint sokaknak nem sikerült ezt a felkészülést eredményesen elvégezni.

Az elmúlt években, talán már egy évtizede is egy olyan, egyre gyorsuló világban élünk, ahol már nem csak az IT, hanem az OT rendszerek fejlesztése és teljes életciklusa egyre gyorsabb üteművé vált. Ez magával vonta azt is, hogy a biztonsági követelmények megfogalmazására, majd betartására egyre kevesebb idő és energia jutott és ennek ma már az ICS rendszerek világában is egyre nyilvánvalóbb jelei vannak - elég csak megnézni az évről-évre egyre nagyobb számban publikált, ICS rendszereket érintő sérülékenységeket és a különböző ipari, gyakran közmű cégeket érő, mind súlyosabb kibertámadásokat.

A kérdés, hogy mit is lehet tenni azért, hogy a jelenlegi helyzet ne romoljon tovább, hanem lehetőség szerint inkább javuljon. Erről írt Isiah Jones egy 26 oldalas publikációt, ami a SANS Reading Room-ban jelent meg.

Írásában Isiah Jones külön fejezetet szentel az ICS rendszerek széles körének bemutatásának, megemlítve DCS (Distributed Control Systems), PCS (Process Control Systems), SCADA (Supervisory Control And Data Acquisition), BMS/BCS (Building Management Systems/Building Control Systems) és safety (Safety Instrumented Systems, SIS) mellett ECS (Energy vagy Electric Control Systems) rendszereket és PLC (Programmable Logic Controller), RTU (Remote Terminal Unit), IED (Intelligent Electronic Device) és sok más egyéb berendezést is, valamint megemlíti az ipari környezetekben is egyre gyakoribb IoT és IIoT eszközöket is. Külön szóba kerülnek a 4. ipari forradalom által elhozott változások is és az utóbbi években egyre komolyabb szerepet játszó, TCP/IP hálózatokon kommunikáló orvosi berendezések is.

Egy-egy fejezet foglalkozik a neves gyártók (pl. Siemens, Schneider, Rockwell, stb.) és az ICS világában névről nem igazán ismert, de legalább ennyire meghatározó OEM gyártókkal, integrátorokkal, az ICS rendszerek és eszközök tulajdonosaival és üzemeltetőivel és végül, de nem utolsósorban az ICS kiberbiztonsági közösséggel, akik az elmúlt kb. 10 évben egy elkötelezett és globális közösséget építettek fel, képzettek és tapasztaltak (bár döntő többségük az IT biztonság világából érkezett), azonban létszámuk és képességeik még nem érik el azt a szintet, amit az ICS világ többi szereplője a saját területén fel tud mutatni. Isiah szerint a gyártóknak (legyenek bár a nagy gyártók egyike vagy egy OEM), integrátoroknak és az ICS rendszerek tulajdonosainak és üzemeltetőinek fel kell ismerniük, hogy nem csak hallgatniuk érdemes az ICS kiberbiztonsági szakemberek tanácsaira, de helyesen tennék, ha minden, az ICS rendszerekkel kapcsolatba kerülő szervezet (legyen gyártó, integrátor vagy végfelhasználó) el kéne kezdjen saját ICS biztonsági csoportot építeni, akiknek a képességeire (és gyakran szervezet- és rendszer-specifikus tudására) építve az ICS rendszerekkel kapcsolatos minden döntésben és feladatban szerepet kell biztosítani.

Az ezek után következő fejezetek (szám szerint öt) három szabványt mutatnak be röviden. Az NIST SP 800-160 a biztonsági fókuszú rendszertervezéssel, az ISA/IEC 62443 különböző fejezetei a biztonságos ICS rendszerek fejlesztését, rendszer- illetve eszköz és komponens-szintű képességeit foglalják össze, az IEC 61511 pedig a safety rendszerek biztonsági képességeiről szól.

Akit esetleg érdekel Isiah Jones dolgozata a témában, megtalálja a SANS Reading Room-ban: https://www.sans.org/reading-room/whitepapers/ICS/ics-ot-systems-security-engineering-dead-39485

Sérülékenységek Cisco ipari hálózati eszközökben

A Cisco június elején 25 sérülékenységről közölt információkat, amik különböző, ipari hálózatokban használt hálózati eszközeikben azonosítottak.

A sérülékenységekről bővebb információt a Cisco publikációjában lehet megtalálni: https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-73388

Moxa berendezések sérülékenysége

Tal Keren, a Claroty munkatársa egy sérülékenységet talált a Moxa alábbi termékeiben:

- EDR-G902 sorozatú berendezések 5.4-es és korábbi firmware-verziói;
- EDR-G903 sorozatú berendezések 5.4-es és korábbi firmware-verziói.

A gyártó a hibát az érintett termékek legújabb firmware-verziójában javította. A sérülékenység részleteiről a Moxa bejelentésében lehet olvasni.

Sérülékenységek Treck TCP/IP stack-et használó ICS termékekben

Shlomi Oberman és Moshe Kol 19 sérülékenységet találtak a Treck TCP/IP stack-jében, amik az alábbi protokollokat érintik:

- IPv4;
- IPv6;
- UDP;
- DNS;
- DHCP;
- TCP;
- ICMPv4;
- ARP.

A sérülékenységek számos ICS terméket gyártó vállalat termékeit érintik, többek között a B.Braun, Baxter, Caterpillar, Green Hills Software, Rockwell és Schneider Electric által gyártott egyes rendszereket.

A hibákat a Treck TCP/IP stack 6.0.1.67-es verzióban javították. A sérülékenységekről, az érintett ICS termékekről és azok javításairól az ICS-CERT weboldalán és az innen elérhető gyártói weboldalakon lehet tájékozódni: https://www.us-cert.gov/ics/advisories/icsa-20-168-01

Rockwell Automation FactoryTalk sérülékenység

Az ICS-CERT publikációja egy, a Rockwell Automation FactoryTalk minden verzióját érintő sérülékenységről számol be. A sérülékenységről bővebb információkat a Rockwell Automation tudásbázis cikkében lehet találni (csak authentikáció után érhető el).

Sérülékenység ICONICS és Mitsubishi Electric rendszerekben

Tobias Scharnowski, Niklas Breitfeld, Ali Abbasi és Yehuda Anikster, a Claroty, Pedro Ribeiro és Radek Domanski, a Flashback, Ben McBride, az Oak Ridge National Laboratory valamint Steven Seeley és Chris Anastasio, az Incite munkatársai összesen öt sérülékenységet találtak ICONICS és Mitsubishi Electric rendszerekben:

Érintett ICONICS rendszerek:
- GENESIS64
- Hyper Historian
- AnalytiX
- MobileHMI
- GENESIS32
- BizViz

Érintett Mitsubishi Electric rendszerek:
- MC Works64 4.02C (10.95.208.31) és korábbi verziói;
- MC Works32 3.00A (9.50.255.02) verziója.

A gyártók a hibákat az érintett termékek legújabb verzióiban javította. A sérülékenységekkel kapcsolatban további részleteket az ICS-CERT bejelentéseiben lehet elérni:

https://www.us-cert.gov/ics/advisories/icsa-20-170-03
https://www.us-cert.gov/ics/advisories/icsa-20-170-02

Exacq Technologies rendszerek sérülékenysége

Michael Norris egy sérülékenységet jelentett a Johnson Controlsnak (az Exacq Technologies anyavállalatának), ami az exacqVision alábbi verzióit érinti:

- exacqVision Web Service v20.03.2.0 és korábbi verziói;
- exacqVision Enterprise Manager v20.03.2.0 és korábbi verziói.

A gyártó a hibát az érintett termékek v20.06.2.0 és későbbi verzióiban javította. A sérülékenységről bővebben az ICS-CERT weboldalán lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-170-01

Sérülékenység BD Alaris rendszerekben

A Becton, Dickinson and Company (BD) egy, a Linux Kernel v4.4.97 verziójában megtalálható Wireless Module WB40N sérülékenységről tájékoztatta a DHS CISA-t, ami a BD Alaris PC Unit 9.13-as, 9.19-es, 9.33-as és 12.1-es verzióit érinti.

A gyártó a sérülékenységgel kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről részleteket az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsma-20-170-06

BIOTRONIK orvostechnikai rendszerek sérülékenységei

Guillaume Bour, Anniken Wium Lie és Marie Moe összesen öt sérülékenységet jelentettek a DHS CISA-nak, amik a BIOTRONIK alábbi orvostechnikai rendszereit érintik:

- CardioMessenger II-S T-Line T4APP 2.20
- CardioMessenger II-S GSM T4APP 2.20

A hibával kapcsolatban a gyártó nem fog javítást kiadni, de kockázatcsökkentő intézkedésekre vonatkozó javaslatokat publikált. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet elérni: https://www.us-cert.gov/ics/advisories/icsma-20-170-05

Sérülékenységek Baxter Sigma Spectrum infúziós rendszerekben

A Baxter Healthcare hat sérülékenységről közölt információkat a DHS CISA-val, amik a Sigma Spectrum infúziós rendszereik alábbi változatait érintik:

- Sigma Spectrum v6.x model 35700BAX;
- Baxter Spectrum v8.x model 35700BAX2;
- Sigma Spectrum v6.x Wireless Battery Modules v9, v11, v13, v14, v15, v16, - v20D29, v20D30, v20D31 és v22D24;
- Baxter Spectrum v8.x with Wireless Battery Modules v17, v20D29, v20D30, v20D31 és v22D24;
- Baxter Spectrum Wireless Battery Modules v17, v20D29, v20D30, v20D31 és v22D24;
- Baxter Spectrum LVP v8.x with Wireless Battery Modules v17, v20D29, v20D30, v20D31 és v22D24.

A hibákkal kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységek részletes információit az ICS-CERT weboldalán lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsma-20-170-04

Baxter hemodialízis rendszerek sérülékenysége

A Baxter egy sérülékenységet jelentett a DHS CISA-nak, ami a Phoenix hemodialízis rendszerük SW 3.36-os és 3.40-es verzióit érinti.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések bevezetését ajánlja. A sérülékenységről bővebben az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsma-20-170-03

Sérülékenységek Baxter PrismaFlex és PrisMax rendszerekben

A Baxter három sérülékenységet jelentett a DHS CISA-nak, amik az alábbi termékeiket érintik:

- PrismaFlex minden verziója;
- PrisMax 3.x-nél régebbi verziója.

A hibákat a gyártó a termékek újabb verzióiban javította. A sérülékenységekről és a javításokat tartalmazó verziókról részleteket az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsma-20-170-02

Baxter ExactaMix rendszerek sérülékenységei

A Baxter Healthcare hét sérülékenységet jelentett a DHS CISA-nak az ExactaMix rendszerük alábbi verzióival kapcsolatban:

- ExactaMix EM2400 1.10, 1.11, 1.13 és 1.14-es verziók;
- ExactaMix EM1200 1.1, 1.2, 1.4 és 1.5-ös verziók.

A gyártó a hibákat az érintett termékek újabb verzióiban javította. A sérülékenységek részleteit az ICS-CERT weboldalán lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsma-20-170-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Még márciusban találkoztam a FireEye egyik kutatásával, amiben arra keresték a választ a cég kutatói, hogy milyen, ICS-specifikus, támadásokhoz használható eszközöket lehet összegyűjteni az Internetről? A válasz nagyon röviden az, hogy gyakorlatilag bármi. A legtöbb eszközt az elmúlt 10 évben (vagyis azóta, hogy a Stuxnet nyilvánosságra kerülésével nyilvánvalóvá vált, hogy az ICS rendszerek és eszközök igenis támadhatóak és sebezhetőek a kibertér irányából és IT biztonsági szempontból nemhogy jobb, de inkább rosszabb helyzetben vannak, mint a vállalati IT rendszerek). A legtöbb, kifejezetten ICS rendszerek támadásához készült eszköz a leginkább elterjedt gyártók eszközeire/rendszereire fókuszáltan készültek. Találhatóak közöttük egyedi eszközök éppúgy, mint ismert és népszerű (és sok esetben szintén az Interneten szabadon elérhető) támadói keretrendszerekbe modulként beépülő eszközök.

A két legnagyobb eszközcsoportot a FireEye felmérése szerint a hálózatfelderítésre illetve az szoftveres sérülékenységek kihasználására (exploitálására) használható eszközök, de ugyanígy megtalálhatóak rádiókommunikációhoz fejlesztett támadói eszközök, fuzzerek, Internetes felderítésre használható eszközök, malware-ek, tudásbázisok és különböző hardver-eszközök, köztük még infravörös kommunikációt használó ICS eszközök és rendszerek elleni támadásokhoz használható megoldások is.

Gyártók szerint csoportosítva a legtöbb elérhető támadói eszköz az alábbi gyártók eszközeihez érhetőek el:

- Advantech/Broadwin
- Schneider Electric
- Siemens
- Cogent Real-Time Systems
- GE
- ICONICS
- 7-Technologies
- Moxa
- Wellintech
- Ecava
- Yokogawa
- Datac/Realflex

A FireEye elemzése teljes terjedelmében itt érhető el.

Mitsubishi Electric rendszerek sérülékenysége

Yossi Reuven, a SCADAfence munkatársa egy sérülékenységet jelentett a Mitsubishi Electricnek, ami a MELSEC iQ-R sorozatú eszközeik alábbi változatait érinti:

- R04/08/16/32/120CPU, R04/08/16/32/120ENCPU 39-es és korábbi firmware-verziói;
- R00/01/02CPU 7-es és korábbi firmware-verziói;
- R08/16/32/120SFCPU 20-as és korábbi firmware-verziói;
- R08/16/32/120PCPU minden verziója;
- R08/16/32/120PSFCPU minden verziója;
- RJ71EN71 minden verziója.

A gyártó a hibával kapcsolatban tűzfalas hálózatszegmentálás kialakítását javasolja. A sérülékenységről további információkat az ICS-CERT publikációjában lehet találni: https://www.us-cert.gov/ics/advisories/icsa-20-161-02

Sérülékenység Advantech WebAccess rendszerekben

A Z0mb1E néven ismert biztonsági kutató, a ZDI-vel együttműködve egy sérülékenységet jelentett a DHS CISA-nak, ami az Advantech WebAccess Node 8.4.4-es és korábbi verzióit érinti.

A gyártó kiadta a Node 8.4.4-es verziójához a hibát javító patch-et. A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-161-01

Rockwell Automation FactoryTalk sérülékenységek

Sharon Brizinov és Amir Preminger, a Claroty munkatársai négy sérülékenységet jelentettek a Rockwell Automation-nek és a CISA-nak, amik a gyártó alábbi termékeit érintik:

- FactoryTalk Linx 6.00, 6.10 és 6.11-es verziói;
- RSLinx Classic v4.11.00 és korábbi verziói.

Fentiek mellett a sérülékenységek érintik az alábbi, FactoryTalk Linx szoftvert használó Rockwell Automation termékeket is:

- Connected Components Workbench 12-es és korábbi verziói;
- ControlFLASH 14-es és későbbi verziói;
- ControlFLASH Plus 1-es és későbbi verziói;
- FactoryTalk Asset Centre 9-es és későbbi verziói;
- FactoryTalk Linx CommDTM 1-es és későbbi verziói;
- Studio 5000 Launcher 31-es és későbbi verziói;
- Studio 5000 Logix Designer 32-es és későbbi verziói.

A gyártó a hibákat a legújabb verziókban javította. A sérülékenységekről további információkat az ICS-CERT weboldalán találhatóak: https://www.us-cert.gov/ics/advisories/icsa-20-163-02

OSISoft rendszerek sérülékenysége

Dor Yardeni és Eliad Mualem, az OTORIO munkatársai az OSISoft-tal együttműködve egy sérülékenységet jelentettek a DHS CISA-nak, ami a PI Web API 2019 Patch 1 (1.12.0.6346) és korábbi verzióit érinti.

A gyártó a hibát a PI Web API 2019 SP1-ben javította. A sérülékenység részleteiről az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-163-01

Sérülékenység Philips IntelliBridge rendszerekben

Az indianai egyetemi kórház egy sérülékenységről adott át információkat a Philips-nek, ami a gyártó ntelliBridge Enterprise (IBE) rendszereinek B.12 és korábbi verzióit érinti.

A gyártó a hibát javító IBE B.13-as verzió kiadását 2020. negyedik negyedévére tervezi. A sérülékenységről bővebb információkat az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsma-20-163-01

Moxa ipari videó szerverek sérülékenysége

Xinjie Ma, a Beijing Chaitin Future Technology Co. munkatársa egy sérülékenységet talált a Moxa VPort 461 sorozatú ipari videó szervereinek 3.4-es és korábbi firmware-verzióiban.

Az érintett termék elérte életciklusa végét, így a gyártó a Moxa műszaki támogatóközpontjához irányítja az érintett rendszereket használó ügyfeleit. A sérülékenységgel kapcsolatban további részleteket a Moxa weboldalán lehet találni.

Sérülékenység Schneider Electric Modicon vezérlőkben

A CNCERT egy sérülékenységet talált a Schneider Electric Modicon M218-as vezérlőinka 4.3-as és korábbi firmware-verzióiban.

A gyártó jelenleg a hibát javító patch-et még nem, de kockázatcsökkentő intézkedésekre vonatkozó javaslatokat kiadott. A sérülékenységről bővebben a Schneider Electric publikációjában lehet olvasni.

Sérülékenység Schneider Electric szoftverekben

Yang Dong, a DingXiang Dongjian Security Lab munkatársa egy sérülékenységet talált a Schneider Electric alábbi szoftvereiben:

- Unity Loader minden verziója;
- OS Loader minden verziója.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenység részleteit a Schneider Electric bejelentésében lehet elérni.

URGENT/11 sérülékenység Schneider Electric Modicon LMC078 vezérlőkben

A Schneider Electric bejelentése szerint a VxWorks-ben felfedezett URGENT/11 sérülékenység érinti a Modicon LMC078 vezérlők V1.51.15.05 és későbbi verzióit is.

A hibával kapcsolatban a gyártó kockzatcsökkentő intézkedésekre vonatkozó információkat publikált. A sérülékenységgel kapcsolatban bővebb információkat a Schneider Electric weboldalán lehet találni.

Sérülékenységek Schneider Electric Easergy T300 rendszerekben

Ilya Karpov és Evgeniy Druzhinin, a Rostelecom-Solar munkatársai 11 sérülékenységet találtak a Schneider Electric Easergy T300-as, középfeszültségű villamosenergia-hálózatok automatizálásához használt megoldásának 1.5.2-es és korábbi firmware-verzióiban.

A gyártó a hibákat a 2.7-es firmware-verzióban javította. A sérülékenységről további részleteket a Schneider Electric publikációjában lehet olvasni.

Sérülékenységek Schneider Electric Easergy Builder szoftverekben

Ilya Karpov és Evgeniy Druzhinin, a Rostelecom-Solar munkatársai 6 sérülékenységet találtak a Schneider Electric Easergy Builder 1.4.7.2-es és korábbi verzióiban.

A gyártó a hibákat az 1.6.3.0 verzióban javította. A sérülékenységekről további információkat a Schneider Electric bejelentésében lehet találni.

Sérülékenységek Siemens SINUMERIK rendszerekben

A Siemens 22 sérülékenységről közölt információkat a DHS CISA-val, amik az alábbi, SINUMERIK termékcsaládjukba tartozó rendszereket érintik:

- SINUMERIK Access MyMachine/P2P 4.8-nál korábbi verziói;
- SINUMERIK PCU base Win10 software/IPC 14.00-nál korábbi verziói;
- SINUMERIK PCU base Win7 software/IPC 12.01 HF4-nél korábbi verziói.

A gyártó a hibákat az érintett termékei legújabb verzióiban javította. A sérülékenységekről részletesen a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Siemens LOGO! sérülékenység

Alexander Perez-Palma, a Cisco Talos és Emanuel Almeida, a Cisco Systems munkatársai egy sérülékenységet találtak a Siemens LOGO!8 BM (beleértve a SIPLUS változatokat is) minden verziójában.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését ajánlja. A sérülékenység részletei a Siemens ProductCERT és az ICS-CERT bejelentéseiben találhatók.

Sérülékenységek Siemens SIMATIC és SINAMICS rendszerekben

Uri Katz, a Claroty munkatársa két sérülékenységet talált az alábbi Siemens rendszerekben:

- SIMATIC PCS 7 minden verziója;
- SIMATIC PDM minden verziója;
- SIMATIC STEP 7 v5.X minden 5.6 SP2 HF3-nál korábbi verziója;
- SINAMICS STARTER (a STEP 7 OEM verzió is) minden, 5.4 HF1-nél korábbi verziója.

A gyártó a SIMATIC STEP 7 és a SINAMICS STARTER termékekhez kiadta a hibákat javító új verziókat, a többi érintett termékét használó ügyfelének kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről bővebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Sérülékenység Siemens rendszerekben

Ander Martinez, a Titanium Industrial Security és az INCIBE egy sérülékenységet jelentettek a Siemens-nek, ami az alábbi termékeiket érinti:

- SIMATIC Automation Tool minden verziója;
- SIMATIC NET PC software minden, v16-nál későbbi és v16 Upd3-nál korábbi verziója;
- SIMATIC PCS 7 minden verziója;
- SIMATIC PCS neo minden verziója;
- SIMATIC ProSave minden verziója;
- SIMATIC S7-1500 Software Controller minden verziója;
- SIMATIC STEP 7 minden, v5.6 SP2 HF3-nál régebbi verziója;
- SIMATIC STEP 7 (TIA Portal) v13 minden verziója;
- SIMATIC STEP 7 (TIA Portal) v14 minden verziója;
- SIMATIC STEP 7 (TIA Portal) v15 minden verziója;
- SIMATIC STEP 7 (TIA Portal) v16 minden verziója;
- SIMATIC WinCC OA v3.16 minden, P018-nál régebbi verziója;
- SIMATIC WinCC OA v3.17 minden, P003-nál régebbi verziója;
- SIMATIC WinCC Runtime Professional v13 minden verziója;
- SIMATIC WinCC Runtime Professional v14 minden verziója;
- SIMATIC WinCC Runtime Professional v15 minden verziója;
- SIMATIC WinCC Runtime Professional v16 minden verziója;
- SIMATIC WinCC v7.4 minden, v7.4 SP1 Update 14-nél régebbi verziója;
- SIMATIC WinCC v7.5 minden, v7.5 SP1 Update 3-nál régebbi verziója;
- SINAMICS Startdrive minden verziója;
- SINEC NMS minden verziója;
- SINEMA Server minden verziója;
- SINUMERIK ONE virtual minden verziója;
- SINUMERIK Operate minden verziója.

A gyártó egyes érintett termékeihez kiadta a hibát javító újabb verziókat, a többi termék esetén kockázatcsökkentő intézkedések alkalmazását ajánlja. A sérülékenységgel kapcsolatos részletes információkat a Siemens ProductCERT és az ICS-CERT publikációiban lehet megtalálni.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.