Emerson OpenEnterprise SCADA Server sérülékenység
Roman Lozko, a Kaspersky ICS CERT részlegének munkatársa egy sérülékenységet fedezett fel az Emerson OpenEnterprise SCADA Server termékének alábbi verzióiban:
- OpenEnterprise Server 2.83, ha a Modbus vagy ROC interfészeket telepítették és használják;
- OpenEnterprise 3.1-től 3.3.3-ig terjedő összes verziója.
A gyártó a hibát a 3.3.4-es verzióban javította. A sérülékenységről további részleteket az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-049-02
Sérülékenység Honeywell INNCOM rendszerekben
A Honeywell egy sérülékenységről közölt információkat a DHS CISA-val, ami az INNCOM INNControl 3 3.21-es és korábbi verzióit érinti.
A gyártó az érintett rendszerek frissítését és kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységgel kapcsolatban részleteket az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-049-01
GE ultrahang-készülékek sérülékenysége
Marc Ruef és Rocco Gagliardi, a scip AG, valamint Michael Aguilar, a Secureworks és Jonathan Bouman, aProtozoan.nl munkatársai egy sérülékenységet jelentettek a GE-nek, ami az alábbi, ultrahangos vizsgáló berendezéseiket érinti:
- Vivid termékcsalád minden verziója;
- LOGIQ minden verziója, a LOGIQ 100 Pro kivételével;
- Voluson minden verziója;
- Versana Essential minden verziója;
- Invenia ABUS Scan station minden verziója;
- Venue minden verziója, kivéve a Venue 40 R1-3 és Venue 50 R4-5 verziókat.
A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenység részleteit az ICS-CERT weboldalán lehet elérni: https://www.us-cert.gov/ics/advisories/icsma-20-049-02
Sérülékenység Spacelabs termékekben
A Spacelabs információkat adott át a DHS CISA a Microsoft által felfedezett és BlueKeep néven ismertté vált Remote Desktop Protocol-sérülékenység által érintett alábbi termékeikkel kapcsolatban:
- Xhibit Telemetry Receiver (XTR), 96280-es modelszámú berendezése v1.0.2-es verziói;
- Arkon (99999) minden verziója.
A gyártó az XTR berendezések esetén a hibát a v1.2.1-es verzióban javította, az Arkon (99999) termékvonal forgalmazása és támogatása viszont már megszűnt, így ehhez javítás sem készül. A sérülékenységről bővebb információkat az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsma-20-049-01
Sérülékenységek Auto-Maskin rendszerekben
Az ICS-CERT az Auto-Masking alábbi rendszereivel kapcsolatos sérülékenységekről hozott nyilvánosságra információkat:
- RP210E remote panel termékek 3.7-es és korábbi verziói;
- DCU210E digitális vezérlő egység 3.7-es és korábbi verziói.
A gyártó a hibákat a legújabb firmware-verzióban javította. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet elérni: https://www.us-cert.gov/ics/advisories/icsa-20-051-04
Honeywell Notifier Web Server sérülékenységek
Gjoko Krstikj két sérülékenységet azonosított a Honeywell Notifier Web Server nevű termékének 3.50-es és korábbi verzióiban.
A gyártó a hibákat a legújabb firmware-verzióban javította. A sérülékenységekről bővebben az ICS-CERT weboldalán lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-051-03
Sérülékenység Rockwell Automation FactoryTalk Diagnostics rendszerekben
rgod a ZDI-vel együttműködve egy, a Rockwell Automation FactoryTalk Diagnostics minden verzióját érintő sérülékenységről közölt információkat a DHS CISA-val.
A gyártó jelenleg is dolgozik a hiba javításán, annak kiadásáig kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységgel kapcsolatban az ICS-CERT publikációja tartalmaz részleteket: https://www.us-cert.gov/ics/advisories/icsa-20-051-02
B&R Industrial Automation rendszerek sérülékenysége
Yehuda Anikster és Amir Preminger, a Claroty munkatársai egy SNMP sérülékenységet találtak a B&R alábbi termékeiben, amely authentikáció nélküli konfiguráció módosítást tesz lehetővé:
- Automation Studio 2.7, 3.0.71, 3.0.80, 3.0.81, 3.0.90, 4.0-tól 4.6.4-ig terjedő és 4.7.2-es verziói;
- Automation Runtime 2.96, 3.00, 3.01, 3.06, 3.07, 3.08 to 3.10, 4.00 to 4.03, 4.04-től 4.03-ig, 4.04-től 4.63-ig terjedő, valamint 4.72 és újabb verziói.
A gyártó közlése szerint jelenleg nincs mód megszüntetni az SNMP felhasználói adatok módosíthatóságát és emiatt kockázatcsökkentő intézkedések alkalmazását javasolja, amíg elkészülnek a hibát javító új verziókkal. A sérülékenységről bővebb információkat az ICS-CERT bejelentésében lehet találni: https://www.us-cert.gov/ics/advisories/icsa-20-051-01
Sérülékenységek Honeywell WIN-PAK rendszerekben
A Honeywell 3, a WIN-PAK 4.7.2 Web és korábbi verziókat érintő sérülékenységről osztott meg információkat a DHS CISA-val.
A hibákat a gyártó a WIN-PAK 4.7.2 B1072.3.4-es verzióban javította. A sérülékenység részletei az ICS-CERT weboldalán érhetőek el: https://www.us-cert.gov/ics/advisories/icsa-20-056-05
Moxa EDS-sorozatú Ethernet switch-ek sérülékenységei
Ilya Karpov és Evgeniy Druzhinin, a Rostelecom-Solar, valamint Georgy Zaytsev, a Positive Technologies munkatársai 7 sérülékenységet azonosítottak a Moxa alábbi Ethernet switch-eiben:
- EDS-G516E sorozatú eszközök 5.2-es és korábbi firmware-verziói;
- EDS-510E sorozatú eszközök 5.2-es és korábbi firmware-verziói.
A gyártó az EDS-G516E sorozathoz kiadta a hibát javító firmware-verziót, az EDS-510E sorozatot használó ügyfeleit pedig a Moxa Technical Support-tal történő kapcsolatfelvételre kéri, valamint kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységekről további részleteket az ICS-CERT publikációjában lehet találni: https://www.us-cert.gov/ics/advisories/icsa-20-056-04
Moxa PT-sorozatú Ethernet switch-ek sérülékenységei
Ilya Karpov és Evgeniy Druzhinin, a Rostelecom-Solar, valamint Georgy Zaytsev, a Positive Technologies munkatársai 6 sérülékenységet azonosítottak a Moxa alábbi Ethernet switch-eiben:
- PT-7528 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- PT-7828 sorozatú eszközök 3.9 és korábbi firmware-verziói.
A gyártó a hibát javító verziókat a Moxa Technical Support-on keresztül tette elérhetővé. A sérülékenységekkel kapcsolatban bővebb információkat az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-056-03
Sérülékenységek Moxa ioLogik vezérlő rendszerekben
Ilya Karpov és Evgeniy Druzhinin, a Rostelecom-Solar munkatársai 3 sérülékenységet találtak a Moxa alábbi termékeiben:
- ioLogik 2500 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- IOxpress konfigurációs eszköz 2.3.0 és korábbi verziói.
A gyártó a hibákat javító új verziókat már elérhetővé tette. A sérülékenységekről részleteket az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-056-02
Moxa protokoll gateway sérülékenységek
Ilya Karpov és Evgeniy Druzhinin, a Rostelecom-Solar munkatársai 9 sérülékenységet fedeztek fel a Moxa alábbi berendezéseiben:
- MB3170 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MB3270 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MB3180 sorozatú eszközök 2.0 és korábbi firmware-verziói;
- MB3280 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- MB3480 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- MB3660 sorozatú eszközök 2.2 és korábbi firmware-verziói.
A gyártó a hibákat javító legújabb firmware-verziókat már letölthetővé tette. A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-056-01
A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.