Az elmúlt néhány napban ismét több, ipari szervezetet ért kibertámadásról szóló hír jutott el hozzám.

Ransomware-támadás érte a Honda rendszereit

Több forrás szerint június 8-án ransomware-támadás érte a Honda autógyár rendszereit, ami gyártást, az értékesítést és a fejlesztési folyamatokat is érintette. Egyes hírek szerint az incidensért a kifejezetten ipari rendszereket támadó SNAKE/EKANS ransomware-t fejlesztő csoport a felelős.

Ransomware-támadás az ENEL-csoport rendszerei ellen

Ugyancsak a SNAKE/EKANS ransomware-t teszik felelőssé az Edesur S.A., az argentín ENEL leányvállalat, valamint az európai ENEL csoport elleni, célzottnak tartott ransomware-támadásokért. Az ENEL csoport közleménye szerint a villamosenergia-termelésért és elosztásért felelős rendszereiket nem érintette az incidens.

Egyes források szerint mind a Honda, mind az ENEL hálózatában megtalálhatóak voltak a publikus hálózatokról RDP-n elérhető hostok, amiket a támadás kezdeti fázisában kompromittálhattak a támadók.

Kibertámadás érte a Lion ausztrál sörgyár rendszereit

Június 9-én kibertámadás érte a Lion nevű ausztrál sörgyártó rendszereit, ami miatt átmenetileg manuális folyamatokkal fogadják és dolgozzák fel a beérkező megrendeléseket. Az incidenssel kapcsolatban további részletek nem ismertek, de egyes híroldalak ebben az esetben is a zsarolóvírus-támadást valószínűsítik.

A fenti hírek ismét csak azt mutatják, hogy az ipari szervezetek elleni kibertámadások száma egyre csak nő és még ha egy-egy incidens az ICS rendszereket nem is érinti, akkor is nagyon súlyos negatív hatásokkal jár az adott szervezet működésére. Ideje lenne végre a különböző iparágakban aktív cégek menedzsmentjének komolyan venni a kiberbiztonsági kockázatokat és nem csak egy egyszerű megfelelőségi kérdésként tekinteni az IT-val és az IT biztonsággal kapcsolatos kötelezettségeikre.

Sérülékenységek ABB System 800xA rendszerekben

William Knowles, az Applied Risk munkatársa két sérülékenységet talált az ABB System 800xA rendszereinek alábbi verzióiban:

- OPC Server for AC 800M 6.0 és korábbi verziói;
- Control Builder M Professional 6.1 és korábbi verziói;
- MMS Server for AC 800M Versions 6.1 és korábbi verziói;
- Base Software for SoftControl6.1 és korábbi verziói;
- ABB System 800xA Base 6.1 és korábbi verziói.

A gyártó a hibákat az érintett rendszerek legújabb verzióiban fogja javítani. A sérülékenység részleteiről az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-154-01

ABB System 800xA Base rendszerek sérülékenysége

William Knowles egy sérülékenységet azonosított az ABB System 800xA Base 6.0 és korábbi verzióiban (nem azonos az előző fejezetben említett két sérülékenységgel).

A gyártó a hibát a következő verzióban fogja javítani. A sérülékenységgel kapcsolatban további információkat az ICS-CERT bejelentésében lehet találni: https://www.us-cert.gov/ics/advisories/icsa-20-154-02

Sérülékenység ABB System 800xA rendszerekben

William Knowles 7 sérülékenységet (egyik sem azonos a korábbi fejezetekben említettekkel) talált az ABB alábbi rendszereiben:

- OPC Server for AC 800M minden verziója;
- MMS Server for AC 800M minden verziója;
- Base Software for SoftControl minden verziója;
- ABB System 800xA Base minden verziója;
- 800xA for DCI minden verziója;
- 800xA for MOD 300 minden verziója;
- 800xA RNRP minden verziója;
- 800xA Batch Management minden verziója;
- 800xA Information Management minden verziója.

A gyártó a hibákat az érintett verziók egy következő verziójában fogja javítani. A sérülékenységek részletei az ICS-CERT weboldalán érhetőek el: https://www.us-cert.gov/ics/advisories/icsa-20-154-03

ABB központi licenckezelő rendszerek sérülékenységei

William Knowles 5 sérülékenységet azonosított az ABB alábbi termékeiben:

- ABB Ability System 800xA kapcsolódó termékek 5.1, 6.0 és 6.1-es verziói;
- Compact HMI 5.1 és 6.0 verziói;
- Control Builder Safe 1.0, 1.1 és 2.0 verziói;
- ABB Ability Symphony Plus – S+ Operations 3.0-tól 3.2-ig terjedő verziói;
- ABB Ability Symphony Plus – S+ Engineering 1.1-től 2.2-ig terjedő verziói;
- Composer Harmony 5.1, 6.0 és 6.1-es verziói;
- Composer Melody (beleértve az SPE for Melody 1.0 SPx verziókat is) 5.3, 6.1, 6.2 és 6.3-as verziói;
- Harmony OPC Server (HAOPC) Standalone 6.0, 6.1 és 7.0 verziói;
- ABB Ability System 800xA/Advant OCS Control Builder A 1.3 és 1.4-es verziói;
- Advant OCS AC 100 OPC Server 5.1, 6.0 és 6.1-es verziói;
- Composer CTK 6.1, 6.2-es verziói;
- AdvaBuild 3.7 SP1 és 3.7 SP2 verziói;
- OPC Server MOD 300 (a nem 800xA verziók) 1.4-es verziói;
- OPC Data Link 2.1-es és 2.2-es verziói;
- ABB Ability Knowledge Manager 8.0, 9.0 és 9.1-es verziói;
- ABB Ability Manufacturing Operations Management 1812 és 1909 verziói.

A gyártó a hibákat az érintett szoftverek legújabb verzióiban javította. A sérülékenységekről további információkat az ICS-CERT publikációjában lehet elérni: https://www.us-cert.gov/ics/advisories/icsa-20-154-04

Sérülékenység GE rendszerekben

Ehab Hussein, az IOActive munkatársa egy sérülékenységet talált a GE Grid Solutions Reason RT átmeneti időszinkronizációs rendszereinek RT430, RT431 és RT434-es típusainak minden, 08A05 előtti firmware-verzióiban.

A gyártó a hibát javító 08A05 verzió mellett kockázatcsökkentő intézkedésekre vonatkozó javasolatok is kiadott. A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-154-05

Swarco Traffic Systems rendszerek sérülékenysége

Martin Aman egy sérülékenységet jelentett a CERT@VDE-vel együttműködve, ami a Swarco Traffic Systems által gyártott CPU LS4000 típusú közlekedési lámpáinak minden olyan változatát érinti, amiket a G4-gyel kezdődő operációs rendszer verzióval használnak.

A gyártó elérhetővé tette a hibát javító patch-et. A sérülékenység részleteiről az ICS-CERT weboldalán lehet tájékozódni: https://www.us-cert.gov/ics/advisories/icsa-20-154-06

Belden-Hrischmann ipari hálózati eszközök sérülékenysége

A gyártó bejelentése szerint egy sérülékenységet találtak a Hirschmann Owl routerek 06.2.04-nél korábbi firmware-verzióiban.

A Hirschmann a hibát a 06.2.04-es firmware-verzióban javította. A sérülékenység részleteit a Belden-Hirschmann weboldalán lehet megtalálni.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az indiai Kudankulam Atomerőmű (Kudankulam Nuclear Power Plant - KKNPP) elleni támadásról 2019. novemberben én is írtam a blogon, a támadás elemzése után az azt végrehajtó csoportot nevezték el Wassonite-nak a Dragos elemzői csapata.

Az eddig feltárt részletek alapján úgy látszik, hogy a Wassonite csoport számos ICS rendszert is üzemeltető szervezet ellen indított támadásokat, elsősorban Indiában és a feltételezések szerint esetleg Dél-koreai és japán célpontok ellen. Mindezidáig nincs bizonyíték arra, hogy a Wassonite csoport valaha is képes lett volna olyan támadások kivitelezésére, amivel megzavarta volna az ipari folyamatirányító rendszerek működését vagy rombolta volna az ICS rendszereket. Az eddigi elemzések alapján tevékenységük megmarad az ICS Cyber Kill Chain első szintjén, vagyis céljuk hozzáférést szerezni a célba vett ipari szervezetek IT hálózataihoz és rendszereihez.

A Wassonite eszköztárában kiemelt szerepet kap a DTrack malware (amiről én is írtam a KKNPP elleni támadásról szóló posztban, a Kaspersky elemzése pedig itt olvasható)

Egyes feltételezések szerint a Wassonite és a szintén Dragos-nevezéktan szerint Covellite, más kiberbiztonsági cégek által Lazarus néven hivatkozott csoportok között kapcsolat lehet (ezt elsősorban a DTrack és más, ahhoz kapcsolódó malware-ek használata miatti hasonlóságokra alapozzák), a két csoport képességei és az általuk használt infrastruktúra további bizonyítékokat nem ad ennek a feltételezésnek a bizonyítására.

A Dragos összefoglalója a Wassonite csoportról itt érhető el: https://dragos.com/resource/wassonite/

Április elején indított blog-sorozatot a Com-Forth ügyvezetője, Bóna Péter a cég weboldalán. A Com-Forth azon kevés hazai, ipari automatizálással foglalkozó cégek egyike, akik már nyilvánosan is beszélnek az ICS kiberbiztonság kérdéséről (még tavaly októberben én is írtam egy, a témában tartott rendezvényükről), amit mindenképp örvendetes dolognak tartok, mert bár lassan nő azoknak a cégeknek és szakembereknek a száma itthon, akik felismerik az ICS kiberbiztonság témájának fontosságát, még mindig csak kicsivel jobb a helyzet, mint amikor 2015. végén elindítottam ezt a blogot.

A Com-Fort blog-sorozatában áprilisban négy poszt jelent meg, az első a "velem ez nem történhet meg"-gondolkodást veszi górcső alá a COViD-járvány és az ICS biztonság hasonlóságai mentén, a második rész a termelésirányításban használt rendszerek biztonságát érinti Hóringer Tamás. A harmadik részben Kocsis Tamás az ICS biztonsággal kapcsolatos a szemléletváltás fontosságát emeli ki, míg a negyedik (és mostanáig utolsó) részben a COViD-19 okozta változások ICS biztonságra gyakorolt hatásairól és az olyan, méltatlanul elhanyagolt területekről ír, mint például az incidenskezelési tervek kidolgozása.

A Com-Forth blogbejegyzéseit itt lehet olvasni: https://blog.comforth.hu/topic/ics-kiberbiztons%C3%A1g

Sérülékenységek Rockwell Automation rendszerekben

Sharon Brizinov és Amir Preminger, a Claroty munkatársai két sérülékenységet találtak a Rockwell Automation alábbi rendszereiben használt EDS Subsystem-ében:

- FactoryTalk Linx (korábbi nevén RSLinx Enterprise) 6.00, 6.10 és 6.11-es verziói;
- RSLinx Classic 4.11.00 és korábbi verziói;
- RSNetWorx software 28.00.00 és korábbi verziói;
- Studio 5000 Logix Designer 32-es és korábbi verziói.

A hibákkal kapcsolatban a gyártó patch-elésre és kockázatcsökkentő intézkedések alkalmazására vonatkozó tanácsokat adott ki. A sérülékenységekről részleteket az ICS-CERT publikációjában lehet találni: https://www.us-cert.gov/ics/advisories/icsa-20-140-01

Emerson OpenEnterprise sérülékenységek

Roman Lozko, a Kaspersky Lab munkatársa három sérülékenységet fedezett fel az Emerson OpenEnterprise 3.3.4-es és korábbi verzióiban.

A gyártó a hibát a 3.3.5-ös verzióban javította. A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-140-02

Sérülékenység Sensormatic Electronics rendszerekben

A Johnson Controls egy sérülékenységet jelentett a CISA-nak, ami a Sensormatic Electronics nevű leányvállalata által gyártott alábbi rendszereket érinti:

- Software House C-CURE 9000 2.70-es verziója;
- American Dynamics victor Video Management System 5.2-es verziója.

A gyártó a hibák javításaként az érintett termékek legújabb verzióra történő frissítését javasolja. A sérülékenységgel kapcsolatban további információkat az ICS-CERT weboldalán lehet elérni: https://www.us-cert.gov/ics/advisories/icsa-20-142-01

Schneider Electric EcoStruxure rendszerek sérülékenységei

Sharon Brizinov és Amir Preminger, a Claroty munkatársai, Steven Seeley és Chris Anastasio of Incite Team tagjai, valamint Fredrik Østrem, Emil Sandstø és Cim Stordal, a Cognite munkatársai jelentettek összesen 5 sérülékenységet a Schneider Electric-nek, amik a gyártó alábbi rendszereit érintik:

- EcoStruxure Operator Terminal Expert 3.1 Service Pack 1 és korábbi (még Vijeo XD néven ismert) verziói.

A gyártó a hibákat az EcoStruxure Operator Terminal Expert 3.1 Service Pack 1A verzióban javította. A sérülékenységről további információkat az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-142-02

Kantech rendszerek sérülékenysége

A Johnson Controls egy sérülékenységet jelentett a CISA-nak, ami a Kantech nevű leányvállalatának EntraPass szoftverének alábbi változatait érinti:

- Special Edition v8.22 és korábbi verziói;
- Corporate Edition v8.22 és korábbi verziói;
- Global Edition v8.22 és korábbi verziói.

A gyártó a hibát az érintett kiadások v8.23-as verziójában javította. A sérülékenységgel kapcsolatban részleteket az ICS-CERT bejelentésében lehet találni: https://www.us-cert.gov/ics/advisories/icsa-20-147-02

Sérülékenységek Inductive Automation Ignition rendszerekben

Pedro Ribeiro, Radek Domanski, Chris Anastasio és Steven Seeley három sérülékenységet azonosítottak az Inductive Automation Ignition 8 típusú átjáróinak 8.0.10-esnél korábbi verzióiban.

A gyártó a hibákat a 8.0.10-es verzióban javította. A sérülékenység részletei az ICS-CERT weboldalán olvashatóak: https://www.us-cert.gov/ics/advisories/icsa-20-147-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Microsoft-ról sokaknak sokminden eszébe jut az IT és az IT biztonság világában is, arra sokan nem gondolnak, hogy az ICS rendszerek világában is komoly szereplőnek számítanak, nagyon sok ICS rendszer épül különböző Microsoft termékekre és van valós idejű Windows operációs rendszer is a termékeik között.

Az utóbbi időben azonban két olyan dologgal is találkoztam, ami nekem is újdonság volt. Először egy (mostanáig) három részes cikksorozatot találtam a microsoft.com-on, ami a villamosenergia-rendszer beszállítói láncai elleni támadásokról és a támadások elleni védekezés lehetőségeiről szólt (első rész, második rész, harmadik rész), majd szembejött egy cikk arról, hogy a Microsoft-nak szándékában áll megvásárolni az Izraelben alapított és az elsősorban az ICS és IoT világban tevékenykedő CyberX-et.

Szerintem mindenképpen érdekes helyzetet teremtene, ha egy, a Microsoft méreteivel és az IT világra gyakorolt befolyással rendelkező cég jelenne meg az ICS biztonság területén.

Sérülékenység 3S Codesys rendszerekben

Carl Hurd, a Cisco Talos munkatársa egy sérülékenységet fedezett fel a 3S (3S-Smart Software Solutions Gmbh) Codesys Runtime szoftveres PLC-inek 3.5.14.30-as verziójában.

A hibával kapcsolatban egyelőre nincs információ javításról. A sérülékenység részleteit a Talos bejelentésében érhetőek el: https://talosintelligence.com/vulnerability_reports/TALOS-2020-1003

Fazecast rendszerek sérülékenysége

Ryan Wincey, a Securifera munkatársa a ZDI-vel együttműködve egy sérülékenységet azonosított a Fazecast jSerialComm nevű, Java-alapú, platformfüggetlen soros kommunikációs megoldásának 2.2.2-es és korábbi verzióiban. A publikáció szerint a sérülékenység a Schneider Electric EcoStruxure IT Gateway-ek 1.5.x, 1.6.x és 1.7.x verzióit is érinti.

A hibát a Fazecast a jSerialComm 2.2.3-aa és újabb, a Schneider Electric az EcoStruxure IT Gateway 1.8.1-es és újabb verzióiban javította. A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/ICSA2012601

Sérülékenységek SAE IT-systems RTU-kban

Murat Aydemir of Biznet Bilisim A.S. munkatársa két sérülékenységet jelentett a DHS CISA-nak, amik a SAE IT-systems FW-50 RTU-i közül az 5. sorozat, CPU-5B típusú CPU második verziójával szerelt, 6-os CPLD verzióját érintik.

A hibákkal kapcsolatban a gyártó kockázatcsökkentő intézkedésekre (RTU webszerverének letiltása, CPU kártya cseréje) tett javaslatokat. A sérülékenységek részletei az ICS-CERT weboldalán találhatóak: https://www.us-cert.gov/ics/advisories/ICSA2012602

Advantech WebAccess sérülékenységek

Natnael Samson és egy Z0mb1E néven ismert biztonsági kutató a ZDI-vel együttműködve 8 sérülékenységről hoztak nyilvánosságra részleteket. A sérülékenységek az Advantech WebAccess alábbi verzióit érinti:

- WebAccess Node 8.4.4 és korábbi verziói;
- WebAccess Node 9.0.0 verzió.

A gyártó a hibákat a 8.4.4.P0320844 és 9.0.0.P0320900 patch-ekben javította. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-128-01

Schneider Electric Pro-face GP-Pro sérülékenység

Kirill Kruglov, a Kaspersky Lab munkatársa egy sérülékenységet talált a Schneider Electric GP-Pro EX V1.00-tól V4.09.100-ig terjedő verzióban.

A gyártó a hibát a GP-Pro EX V4.09.120-as verzióban javította. A sérülékenységről részleteket a Schneider Electric publikációja tartalmaz.

Sérülékenység Schneider Electric Vijeo rendszerekben

Jie Chen, az NSFOCUS munkatársa egy sérülékenységet azonosított, ami a Schneider Electric Vijeo alábbi verzióit érinti:

- Vijeo Designer Basic V1.1 HotFix 16 és korábbi verziók;
- Vijeo Designer V6.2 SP9 és korábbi verziói.

A gyártó a hibát a Vijeo Designer Basic V1.1 HotFix 17-ben javította és a Vijeo Designer következő javítócsomagjában fogja javítani. A sérülékenység részleteiről a Schneider Electric bejelentésében lehet olvasni.

Schneider Electric U.motion szerverek és érintőpanelek sérülékenységei

Rgod és Zhu Jiaqi két sérülékenységet találtak a Schneider Electric alábbi termékeiben:

- MTN6501-0001 – U.Motion – KNX Server minden verziója;
- MTN6501-0002 – U.Motion – KNX Server Plus minden verziója;
- MTN6260-0410 – U.Motion KNX server Plus, Touch 10 minden verziója;
- MTN6260-0415 – U.Motion KNX server Plus, Touch 15 minden verziója;
- MTN6260-0310 – U.Motion KNX Client Touch 10 minden verziója;
- MTN6260-0315 – U.Motion KNX Client Touch 15 minden verziója.

A hibákat a gyártó az érintett termékek 1.4.2-es verziójában javította. A sérülékenységek részleteit a Schneider Electric weboldalán lehet megtalálni.

Sérülékenységek Siemens villamosenergia mérő berendezésekben

A Siemens ProductCERT bejelentése szerint 10 sérülékenységet találtak a kis- és nagyfeszültségű villamos mérőberendezéseikben található Wind River VxWorks valós idejű operációs rendszerében. A sérülékenység az alábbi berendezéseket érinti:

- Siemens Power Meters Series 9410 V2.2.1-nél korábbi összes verziója;
- Siemens Power Meters Series 9810 minden verziója.

A gyártó a hibákat a 9410-es sorozat esetén a V2.2.1-es verzióban javította, a 9810-es sorozatot használó ügyfeleinek kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről bővebben a Siemens ProductCERT publikációjában lehet olvasni.

Eaton rendszerek sérülékenységei

Sivathmican Sivakumaran, a Trend Micro ZDI munkatársa két sérülékenységet talált az Eaton Intelligent Power Manager v1.67 és korábbi verzióiban.

A gyártó a hibát az 1.68-as verzióban javította. A sérülékenységgel kapcsolatban részleteket az ICS-CERT weboldalán lehet találni: https://www.us-cert.gov/ics/advisories/icsa-20-133-01

Sérülékenységek OSISoft rendszerekben

William Knowles, az Applied Risk munkatársa az OSISoft-tal közösen 10 sérülékenységet azonosított a gyártó alábbi rendszereiben:

- A PI Asset Framework (AF) kliens 2018 SP3 Patch 1, 2.10.7.283 és korábbi verzióit használó alkalmazások;
- A PI Software Development Kit 2018 SP1, 1.4.7.602 és korábbi verzióit használó alkalmazások;
- PI API for Windows Integrated Security 2.0.2.5 és korábbi verziói;
- PI API 1.6.8.26 és korábbi verziói;
- PI Buffer Subsystem 4.8.0.18 és korábbi verziói;
- PI Connector for BACnet 1.2.0.6 és korábbi verziói;
- PI Connector for CygNet 1.4.0.17 és korábbi verziói;
- PI Connector for DC Systems RTscada 1.2.0.42 és korábbi verziói;
- PI Connector for Ethernet/IP 1.1.0.10 és korábbi verziói;
- PI Connector for HART-IP 1.3.0.1 és korábbi verziói;
- PI Connector for Ping 1.0.0.54 és korábbi verziói;
- PI Connector for Wonderware Historian 1.5.0.88 és korábbi verziói;
- PI Connector Relay 2.5.19.0 és korábbi verziói;
- PI Data Archive 2018 SP3, 3.4.430.460 és korábbi verziói;
- PI Data Collection Manager 2.5.19.0 és korábbi verziói;
- PI Integrator for Business Analytics 2018 R2 SP1, 2.2.0.183 és korábbi verziói;
- PI Interface Configuration Utility (ICU) 1.5.0.7 és korábbi verziói;
- PI to OCS 1.1.36.0 és korábbi verziói;
- PI Data Archive 2018 és 2018 SP2.
- PI Data Archive 2018 SP2 és korábbi verziói;
- PI Vision 2019 és korábbi verziói;
- PI Manual Logger 2017 R2 Patch 1 és korábbi verziói;
- RtReports Version 4.1 és korábbi verziói;
- PI Vision 2019 és korábbi verziói;

A gyártó a hibákkal kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről bővebb információkat az ICS-CERT weboldalán találhatóak: https://www.us-cert.gov/ics/advisories/icsa-20-133-02

Opto 22 SoftPAC sérülékenységek

Mashav Sapir, a Claroty munkatársa 5 sérülékenységet talált az Opto 22 SoftPAC Project 9.6 és korábbi verzióiban.

A gyártó a hibát a 10.3-as verzióban javította. A sérülékenységek részleteit az ICS-CERT weboldalán lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsa-20-135-01

Sérülékenység Emerson WirelessHART Gateway-ekben

Az Emerson egy sérülékenységet talált a WirelessHART Gateway termékcsaládjának alábbi tagjaiban:

- Wireless 1410 Gateway 4.6.43-tól 4.7.84-ig terjedő verziói;
- Wireless 1420 Gateway 4.6.43-tól 4.7.84-ig terjedő verziói;
- Wireless 1552WU Gateway 4.6.43-tól 4.7.84-ig terjedő verziói.

A gyártó a hibát a hibát javító új firmware-verziót már elérhetővé tette. A sérülékenységgel kapcsolatban további részleteket az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-135-02

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Hírszerzési információk alapján a The Washington Post arról számolt be, hogy Irán állhat az izraeli viziközmű cégek ellen végrehajtott kibertámadások mögött, amikről május elején én is írtam, és amik során egyes hírek szerint a PLC-kig is eljutottak a támadók. Szokás szerint izraeli hivatalos források nem kommentálták a híreket, iráni illetékesek pedig tagadnak, de nem kell hozzá túl bátornak lenni, hogy feltételezhessük, Irán és izrael között csak súlyosbodni fognak a hasonló konfliktusok. Sajnos ebből esélyesen a hazai rendszerek és számítógépek sem fognak kimaradni - a mostani források szerint az izraeli viziközmű vállalatok elleni támadásokhoz Észak-amerikai és európai számítógépeket használtak a támadók, hogy elfedjék valódi kilétüket. A kérdés már csak az: mit teszünk mi, itt, Magyarországon, hogy képesek legyünk megvédeni a saját (IT és OT) rendszereinket?

Tegnap megjelent hírek szerint kibertámadás érte az Elexon nevű a brit villamosenergia-piac működtetéséért felelős cég IT rendszereit. Az Elexon saját publikációi ugyan kifejezetten szűkszavúak, de a sorok között olvasva én valamilyen ransomware-támadásra tippelnék.

Bár a villamosenergia-piaci folyamatoknak általában nincs közvetlen kapcsolata ICS rendszerekhez vagy eszközökhöz, a megújuló energiatermelés egyre nagyobb részaránya mellett a villamosenergia-piac egyre fontosabbá válik a szektorban. Egyes vélemények szerint a piaci folyamatok már-már fontosabbak a villamosenergia-ipari cégek számára, mint maga az üzemirányítás - ez ugyan elég furcsán hangozhat, azt is figyelembe kell venni, hogy a villamosenergia-ipari cégek számára a piaci tevékenységük biztosítja a jövedelmezőséget és ez hatalmas összegeket jelent. Így talán nem is olyan meglepő az a várakozásom, hogy a jövőben bizony szaporodni fognak a piacműködtetéshez használt rendszerek és azzal foglalkozó cégek elleni kibertámadások, hiszen ez a szektornak az a része, ami a különböző kiberbűnözői csoportok számára is vonzó lehet.

Sérülékenységek LAquis SCADA rendszerekben

Natnael Samson a ZDI-vel együttműködve két sérülékenységről közölt információkat a DHS CISA-val, amik az LCDS LAquis SCADA rendszerének 4.3.1-es és korábbi verzióit érintik.

A gyártó a hibákat a legújabb verzióban javította. A sérülékenység részleteiről az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-119-01

Moxa NPort sérülékenység

A Moxa bejelentése szerint Maayan Fishelov, a SCADAfence munkatársa egy sérülékenységet talált az NPort 5100A sorozatú eszközeik 1.5-ös és korábbi firmware-verzióiban.

A gyártó a legújabb firmware-verzióban javította. A sérülékenységgel kapcsolatban bővebb információkat a Moxa bejelentése tartalmaz.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.