2019-re az ICS rendszerek eljutottak oda, hogy - a nyár elején publikált 2019-es SANS ICS kiberbiztonsági kérdőív (regisztráció után elérhető) szerint az ICS rendszerek harmada érhető el az Internetről és közel kétharmaduk csatlakozik valamilyen privát (általában az adott szervezet ügyviteli) hálózathoz. Ez egyértelmű bizonyítéka az IT-OT konvergencia és az IT komponensek ICS rendszerekben történő térnyerésének.

Ez azonban nem hozta magával az IT és az OT területeken dolgozók közötti együttműködés és párbeszéd kialakulását. Még mindig sokkal gyakrabban tapasztalom az IT és az OT területeken dolgozók közötti összeütközéseket, félreértéseket, értetlenséget és bizalmatlanságot. Nem egyszer tapasztaltam már ICS biztonsági konferenciákon, hogy egyes, néha kifejezetten idős OT mérnökök félig-meddig tréfásan vagy teljesen komolyan azzal vádolják az IT és IT biztonsági területekről érkező szakembereket, hogy nem értik az ICS rendszerek világát és felelőtlenségükkal üzemzavarokat fognak előidézni. Ugyanakkor persze az IT irányból érkezőket sem kell félteni, akik maradi és túlzottan óvatoskodó embereknek tartják az OT mérnököket, akik mindenféle megfontolás vagy a kiberbiztonsági kockázatok bármiféle elemzése nélkül söpörnek le az asztalról változtatási (patch-elési, illetve a biztonsági szint emelésére vonatkozó egyéb) javasolatokat.

Ez a helyzet nem tolerálható tovább. Azzal, hogy az IT komponensek egyre több ICS rendszerben és berendezésben jelennek meg és az IT egyre nagyobb szerepet kap a folyamatvezérlő rendszerekben, elkerülhetetlenné válik, hogy ez a bizalmatlan és néha bizony ellenséges hangulat az IT és OT területek szakemberei között megváltozzon. Az ICS rendszereknek több olyan sajátosságuk van, amiket egy, a jelenleginél jobb IT-OT együttműködéssel megalapozva ki lehetne használni egy olyan kiberbiztonsági rendszer felállítására, amivel az ICS rendszereket akár a normál vállalati IT rendszereknél sokkal hatékonyabban lehetne védeni. Az ICS rendszerek statikussága és az a tudás, amivel az OT mérnökök ezekről a rendszerekről és berendezésekről rendelkeznek, megtámogatva a megfelelően kiválasztott IT biztonsági eszközökkel (és időnként az elérhető, kifejezetten ICS biztonsági megoldásokkal) kiemelkedő eredményeket mutathat fel mind a kiberbiztonsági incidensek megelőzésében és észlelésében.

Ehhez mindkét szakterületnek lépéseket kell tennie. Az IT irányából érkező szakembereknek tiszteletben kell tartaniuk, hogy az ICS rendszerek és berendezések mások, mint amikhez a vállalati hálózatokban hozzászoktak, más megkötések és prioritások mentén történik az üzemeltetésük és meg kell hallgatniuk az OT mérnököket ezekről a szempontokról és követelményekről, az OT mérnököknek pedig el kell fogadniuk, hogy a kiberbiztonsági kockázatok egyre inkább realitássá válnak az ICS rendszerek és berendezések mindennapjaiban is és ezeknek a kockázatoknak a csökkentése nem lesz lehetséges az IT biztonsági eszközök és az azokat ismerő szakemberek nélkül. Tudomásul kell venniük továbbá, hogy bár a legtöbb IT és IT biztonsági mérnök valóban keveset (vagy éppen semmit sem) tud az ICS rendszerek működéséről, az ismeretek átadása terén az OT mérnökök feladat és felelőssége a nagyobb, hiszen nekik kell megtanítaniuk az IT és IT biztonsági szakembereknek legalább azt a minimumot, amivel már el lehet kezdeni az érdemi közös munkát az ICS rendszerek biztonsági szintjének növelése érdekében.

Cisco ipari hálózati eszközök sérülékenysége

A Cisco múlt heti bejelentése szerint egy sérülékenységet találtak az alábbi ipari környezetekbe szánt termékeikben:

- Cisco 800-as sorozatú Industrial Integrated Services routerek;
- Cisco 1000-es sorozatú Connected Grid Routers (CGR 1000).

A gyártó a hibával kapcsolatban javított firmware-verziót és kockázatcsökkentő intézkedésekre vonatkozó javaslatokat is kiadott. A sérülékenységről további információkat a Cisco weboldalán lehet találni.

Sérülékenységek Moxa hálózati eszközökben

A Moxa publikációja szerint 7 különböző sérülékenységet találtak az alábbi hálózati eszközeikben:

- EDS-G516E sorozatú Ethernet switch-ek 5.2-es vagy korábbi firmware-verziói;
- EDS-510E sorozatú Ethernet switch-ek 5.2-es vagy korábbi firmware-verziói.

A hibákra vonatkozóan a gyártó kockázatcsökkentő intézkedések bevezetését javasolja illetve kiadott egy új firmware-verziót is. A sérülékenységek részletei a Moxa publikációjában érhetőek el: https://www.moxa.com/en/support/support/security-advisory/eds-g516e-510e-ethernet-switches-vulnerabilities

Moxa ioLogik vezérlők sérülékenységei

A Moxa bejelentése szerint több sérülékenységet azonosítottak az alábbi rendszereikben:

- ioLogik 2500-as sorozatú vezérlők 3.0 és korábbi firmware-verziói;
- IOxpress Configuration Utility 2.3.0 és korábbi verziói.

A gyártó a hibával kapcsolatban minden érintett ügyfelének azt javasolja, hogy vegyék fel a kapcsolatot a Moxa Technical Support-tal, akiktől megkaphatják a szükséges hibajavítást. A sérülékenységekről bővebben a Moxa bejelentésében lehet olvasni: https://www.moxa.com/en/support/support/security-advisory/iologik-2542-hspa-series-ioxpress-vulnerabilities

Sérülékenységek Moxa Protocol Gateway-ekben

A Moxa weboldalán megjelent információk szerint 9 sérülékenységet azonosítottak az alábbi termékeikben:

- MB3170 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MB3270 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MB3180 sorozatú eszközök 2.0 és korábbi firmware-verziói;
- MB3280 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- MB3480 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- MB3660 sorozatú eszközök 2.2 és korábbi firmware-verziói.

A hibák orvoslására a gyártó firmware-frissítést és kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységek részleteit a Moxa weboldalán lehet elérni: https://www.moxa.com/en/support/support/security-advisory/mb3710-3180-3270-3280-3480-3660-vulnerabilities

Sérülékenységek Moxa Ethernet switch-ekben

A Moxa publikációja szerint 7 sérülékenységet azonosítottak az alábbi Ethernet switch-ikkel kapcsolatban:

- PT-7528 sorozatú eszközök 4.0 és korábbi verziói;
- PT-7828 sorozatú eszközök 4.0 és korábbi verziói.

A hibákkal kapcsolatban a gyártó elérhetővé tett egy új, javított firmware-verziót és kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységről további információkat a Moxa publikációjában lehet olvasni: https://www.moxa.com/en/support/support/security-advisory/pt-7528-7828-ethernet-switches-vulnerabilities

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Dragos által Chrysene névre keresztelt csoportra (a Symantec Greenbug, a Palo Alto Networks OilRig néven említi őket az elemzéseikben) először 2012-ben, a Saudi Aramco elleni Shamoon támadások vizsgálatakor figyeltek fel a biztonsági kutatók. A Saudi Aramco a 2012-es támadások következtében több tízezer munkaállomását vesztette el átmenetileg, amikor a támadók törölték az érintett számítógépek merevlemezeit.

A Chrysene csoport az elemzők szerint több más csoporttal együttműködve hajtják végre a támadásaikat, ők azok, akik egy adott rendszer kezdeti kompromittálásáért felelősek és amikor kiépítették a későbbi műveletekhez szükséges hátsó ajtókat, akkor a rendszerekben történő további műveleteket átadják más csoportoknak.

A csoport tevékenységének nyomait felfedezték már Irakban, Pakisztánban, Izraelben, Nagy-Britanniában és az Arab öbölben is.

Eszköztárukra jellemzőek a 64-bites malware-ek (amik csak 64-bites operációs rendszereken tudnak futni), valamint az ún. watering hole-támadások. Elsődleges célpontjaik az ICS rendszereket használó szervezetek, de 2017 óta a Dragos megfigyelései szerint újra aktívak és immár nem csak ICS rendszerek kompromittálását próbálják watering hole-támadásokkal elérni.

A csoportról több elemzés is elérhető az alábbi linkeken:
Dragos: https://dragos.com/resource/chrysene/
Symantec: https://www.symantec.com/connect/blogs/greenbug-cyberespionage-group-targeting-middle-east-possible-links-shamoon
Palo Alto Networks Unit 42: https://unit42.paloaltonetworks.com/behind-the-scenes-with-oilrig/
Marco Ramili elemzései: https://marcoramilli.com/2019/06/27/similarities-and-differences-between-muddywater-and-apt34/

https://marcoramilli.com/2019/05/02/apt34-glimpse-project/
https://marcoramilli.com/2019/04/23/apt34-webmask-project/

Sérülékenység Honeywell IP kamerákban

Ismail Bulbil egy sérülékenységet jelentett a DHS CISA-nak, ami a Honeywell alábbi, Performance sorozatú IP kameráit és NVR berendezéseit érinti:

Performance IP kamerák:

- HBD3PR2;
- H4D3PRV3;
- HED3PR3;
- H4D3PRV2;
- HBD3PR1;
- H4W8PR2;
- HBW8PR2;
- H2W2PC1M;
- H2W4PER3;
- H2W2PER3;
- HEW2PER3;
- HEW4PER3B;
- HBW2PER1;
- HEW4PER2;
- HEW4PER2B;
- HEW2PER2;
- H4W2PER2;
- HBW2PER2;
- H4W2PER3;
- HPW2P1.

Performance NVR-ek:

- HEN08104;
- HEN08144;
- HEN081124;
- HEN16104;
- HEN16144;
- HEN16184;
- HEN16204;
- HEN162244;
- HEN16284;
- HEN16304;
- HEN16384;
- HEN32104;
- HEN321124;
- HEN32204;
- HEN32284;
- HEN322164;
- HEN32304;
- HEN32384;
- HEN323164;
- HEN64204;
- HEN64304;
- HEN643164;
- HEN643324;
- HEN643484;
- HEN04103;
- HEN04113;
- HEN04123;
- HEN08103;
- HEN08113;
- HEN08123;
- HEN08143;
- HEN16103;
- HEN16123;
- HEN16143;
- HEN16163;
- HEN04103L;
- HEN08103L;
- HEN16103L;
- HEN32103L.

A gyártó a hibával kapcsolatban minden érintett típusú berendezéshez elérhetővé tette a javított firmware-verziót. A sérülékenységről további információkat az ICS-CERT publikációjában lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-260-03

Advantech WebAccess sérülékenységek

Peter Cheng, az Elex CyberSecurity Inc., a VenusTech-hez tartozó ADLab és Mat Powell, a Zero Day Initiative munkatársa négy sérülékenységet találtak az Advantech WebAccess 8.4.1 és korábbi verzióiban.

A gyártó a hibákat a WebAccessNode 8.4.2-es verziójában javította. A sérülékenységekről bővebben az ICS-CERT weboldalán lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-260-01

Sérülékenységek Tridium Niagara rendszerekben

Johannes Eger és Fabian Ullrich, a Secure Mobile Networking Lab munkatársai két sérülékenységet azonosítottak az alábbi Tridium termékekben:

- Niagara AX 3.8u4 (JACE 3e, JACE 6e, JACE 7, JACE-8000);
- Niagara 4.4u3 (JACE 3e, JACE 6e, JACE 7, JACE-8000);
- Niagara 4.7u1 (JACE-8000, Edge 10).

A sérülékenységek nem érintik a Windows és Linux Supervisor telepítéseket.

A hibákat a gyártó az érintett termékek újabb verzióiban javította. A sérülékenységekkel kapcsolatban részletek az ICS-CERT bejelentésében érhetőek el: https://www.us-cert.gov/ics/advisories/icsa-19-262-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Másfél hete jelent meg a Dragos új elemzése a 2016. decemberében az Ukrenergo elleni kibertámadásról. Ahogy korábban én is írtam a második, ukrán ICS rendszerek ellen elkövetett támadás végül mindössze alig egy órán át tartó üzemzavart okozott, azonban még így is több fogyasztót érintett, mint a 2015-ben 4 Nyugat-ukrajnai áramszolgáltató elleni támadás.

A 2016. decemberi incidens után megjelent, a támadáshoz használt, CrashOverride/Industroyer néven ismert moduláris malware-ről szóló elemzések után most a Dragos egy részletesebb elemzést adott ki, amiben az egyik vezető kutatójuk, Joe Slowik újraértékelte a rendelkezésre álló információkat. Ezek alapján úgy véli, hogy a támadók célja egy, a végül bekövetkezettnél jóval szélesebb körű üzemzavar előidézése volt, ami pusztító hatású eseményekhez vezethetett volna.

Azt már korábban is tudni lehetett, hogy a CrashOverride/Industroyer malware egyik modulját kifejezetten a megszakítók vezérlésére tervezték, hogy az RTU-k vezérlésével idézzenek elő üzemzavart. Egy másik modulban egy ún. wiper célja a fontosabb konfigurációs és egyéb rendszerfájlok törlése volt, ezzel nehezítve az üzemzavar-elhárításához szükséges helyreállítást (hasonlóan, mint a 2015-ös támadás esetén, ahol a támadók nagy számú RTU-t tettek használhatatlanná, egyes hírek szerint még 2016. áprilisában is voltak olyan RTU-k, amiket az Nyugat-ukrajnai áramszolgáltatók nem tudtak kicserélni).

A CrashOverride/Industroyer eredeti elemzése során a kutatók egy olyan modult is felfedeztek, aminek a feladata egy, a Siemens SIPROTEC védelmekben még 2015-ben felfedezett sérülékenység (CVE-2015-5374) kihasználása volt, amivel egy szolgáltatás-megtagadásos támadással használhatatlanná lehet tenni a védelmet. Joe Slowik feltételezése szerint ennek a modulnak a feladata az lehetett, hogy az üzemzavar elhárítása után használhatatlanná tegye a védelmet, ami így nem lett volna képes megóvni az átviteli rendszer berendezéseit egy későbbi túlfeszültség esetén, ami egy időben jóval hosszabb és talán nagyobb kiterjedésű üzemzavarhoz vezetett volna.

Végül a támadók azért nem érték el a céljaikat, mert a szolgáltatás-megtagadásos támadáshoz használni tervezett programkód hibái miatt nem voltak képesek használhatatlanná tenni a SIPROTEC védelmeket és nem tudták kompromittálni azt a több száz vezérlő berendezést, amiket célba vettek.

A Dragos által Electrum-nak nevezett csoport 2016-os támadásáról készült részletes, 16 oldalas elemzés itt érhető el.

Sérülékenység Siemens SIMATIC TDC rendszerekben

A Siemens egy sérülékenységről közölt információkat a DHS CISA-val, amik a SIMATIC TDC CP51M1 típusú multiprocesszoros automatizálási rendszerének minden, 1.1.7-nél korábbi verzióját érinti.

A gyártó a hibát az 1.1.7-es és későbbi verziókban javította. A sérülékenységről részleteket a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Siemens WirelessHART átjárók sérülékenysége

A Siemens egy sérülékenységgel kapcsolatban adott ki információkat, ami az IE/WSN-PA Link WirelessHART Gateway termékének minden verzióját érinti.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetésére tett javaslatot. A sérülékenységről további információkat a Siemens ProductCERT és az ICS-CERT weboldalain lehet találni.

Siemens SINETPLAN sérülékenység

A Siemens egy sérülékenységet azonosított a SINETPLAN 2.0 verziójában, amit a TIA Administrator 1.0 SP1 Upd1 verzióra történő frissítéssel tanácsol javítani és kockázatcsökkentő intézkedések alkalmazását javasolja.

A sérülékenységgel kapcsolatban további részleteket a Siemens ProductCERT és az ICS-CERT bejelentései tartalmaznak.

Sérülékenységek Siemens ipari termékekben

A Siemens három sérülékenységet fedezett fel (ezek együtt TCP sack panic néven váltak ismertté) az alábbi, ipari automatizálási területeken használt termékeiben:

- CM 1542-1 minden verziója;
- CP 1242-7 minden verziója;
- CP 1243-1 minden verziója;
- CP 1243-7 LTE EU minden verziója;
- CP 1243-7 LTE US minden verziója;
- CP 1243-8 IRC minden verziója;
- CP 1542SP-1 minden verziója;
- CP 1542SP-1 IRC minden verziója;
- CP 1543-1 minden verziója;
- CP 1543SP-1 minden verziója;
- CloudConnect 712 minden, 1.1.5-nél korábbi verziója;
- ROX II minden verziója (de csak a CVE-2019-11479 sérülékenység érinti);
- RUGGEDCOM RM1224 minden verziója;
- S7-1500 CPU 1518(F)-4 PN/DP MFP minden verziója;
- SCALANCE M800 minden verziója;
- SCALANCE M875 minden verziója;
- SCALANCE S615 minden verziója;
- SCALANCE SC-600: minden, 2.0.1-nél korábbi verziója;
- SCALANCE W-700 (IEEE 802.11n) minden verziója;
- SCALANCE W1700 minden verziója;
- SCALANCE WLC711 minden verziója;
- SCALANCE WLC712 minden verziója;
- SIMATIC ITC1500 minden verziója;
- SIMATIC ITC1500 PRO minden verziója;
- SIMATIC ITC1900 minden verziója;
- SIMATIC ITC1900 PRO minden verziója;
- SIMATIC ITC2200 minden verziója;
- SIMATIC ITC2200 PRO minden verziója;
- SIMATIC MV500 minden verziója;
- SIMATIC RF166C minden verziója;
- SIMATIC RF185C minden verziója;
- SIMATIC RF186C minden verziója;
- SIMATIC RF186CI minden verziója;
- SIMATIC RF188C minden verziója;
- SIMATIC RF188CI minden verziója;
- SIMATIC RF600R minden verziója;
- SIMATIC Teleserver Adapter IE Advanced minden verziója;
- SIMATIC Teleserver Adapter IE Basic minden verziója;
- SINEMA Remote Connect Server: minden, 2.0 SP1-nél korábbi verziója;
- SINUMERIK 808D minden verziója;
- SINUMERIK 828D minden verziója;
- SINUMERIK 840D sl minden verziója;
- TIM 1531 IRC minden verziója.

A gyártó általános kockázatcsökkentő intézkedésekre tett javaslatot, valamint az alábbi termékeihez kiadta a hibák javítását is:

- CloudConnect 712: v1.1.5;
- SCALANCE M875: a hardware SCALANCE M876-4-re vagy RUGGEDCOM RM1224-re frissítése és az ott elérhető javítás telepítése;
- SCALANCE SC-600: v2.0.1.

A sérülékenységekkel kapcsolatban bővebbn információkat a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

SINEMA Remote Connect Server sérülékenységek

Hendrik Derre és Tijl Deneut, a HOWEST munkatársai négy sérülékenységgel kapcsolatban osztottak meg információkat a Siemens-szel, amik a SINEMA Remote Connect Server V2.0 SP1-nél korábbi verzióiban találhatóak meg.

A gyártó a hibákat a V2.0 SP1 verzióban javította. A sérülékenységekről részleteket a Siemens ProductCERT publikációjában lehet elérni.

Sérülékenységek RUGGEDCOM termékekben

A Siemens ProductCERT bejelentése szerint a RUGGEDCOM WIN70xx és WIN72xx Base Station rendszereit érintik a Wind River VxWorks nemrég publikált sérülékenységei.

A gyártó a hibákkal kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről további információk a Siemens ProductCERT weboldalán érhetőek el.

Sérülékenységek Siemens Healthineers rendszerekben

A Siemens ProductCERT bejelentése szerint az Healthineers termékeket érinti a DejaBlue néven ismertté vált Microsoft Remote Desktop Services sérülékenység:

- Aptio by Inpeco minden verziója;
- Aptio by Siemens minden verziója;
- Atellica Data Manager minden verziója;
- Atellica Process Manager minden verziója;
- Atellica Solution minden verziója;
- CentraLink minden verziója;
- Iontris VA11, VA12, VB11 verziók;
- MAGNETOM Vida, MAGNETOM Sola, MAGNE-TOM Lumina, MAGNETOM Altea, MAGNETOMAmira és MAGNETOM Sempra VA10A, VA10A-SP01, VA11A, VA11B, VA12M verziói;
- MagicLinkA minden verziója;
- MagicView1000W minden verziója;
- MagicView300 minden verziója;
- Medicalis Clinical Decision Support minden verziója;
- Medicalis Referal Management minden verziója;
- Medicalis Workflow Orchestrator minden verziója;
- Screening Navigator minden verziója;
- Somatom Go.Up, Somatom Go.Now, SomatomGo.Top, Somatom go.All VA10A, VA20A verziói;
- VM SIS Virtual Server, Sensis High End SISServer VD10B, VD11A, VD11B verziói;
- syngo Dynamics minden verziója;
- syngo Imaging minden verziója;
- syngo Virtual Cockpit minden verziója;
- syngo Workflow MLR minden verziója;
- syngo Workflow SLR minden verziója;
- syngo.plaza minden verziója;
- syngo.via minden verziója;
- syngo.via View & GO minden verziója;
- syngo.via WebViewer minden verziója;
- teamplay vevőberendezés minden verziója.

A gyártó a hibával kapcsolatban kockázatcsökkentő intzkedések bevezetését javasolja. Egyes termékek esetén elérhető javítás illetve a Microsoft által kiadott javítás telepítéséhez szükséges új verzió. A sérülékenységgel kapcsolatban további részleteket a Siemens ProductCERT publikációja tartalmaz.

OSISoft PI SQL kliens sérülékenység

Az OSISoft egy, a PI SQL Client 2018-as verzióját érintő sérülékenységről közölt információkat a DHS CISA-val.

A gyártó a hibát a PI SQL Client 2018 R2 verziójában javította. A sérülékenységről további részleteket az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-253-06

Sérülékenység Delta Electrics rendszerekben

kimiya, a 9sg biztonsági csoport tagja a ZDI-vel együttműködve három sérülékenységet azonosított, amik a Delta Electrics TPEditor nevű, Delta szöveges panelek programozásához használható szoftverének 1.94-es és korábbi verzióit érintik.

A gyártó a hibát a TPEditor 1.95-ös verziójában javította. A sérülékenységekről bővebb információkat az ICS-CERT weboldalán lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-253-01

Sérülékenység CODESYS rendszerekben

Martin Hartmann, a cirosec GmbH munkatársa egy sérülékenységet talált a 3S-Smart Software Solutions CODESYS termékcsaládjának alábbi tagjaiban:

- CODESYS Control for BeagleBone;
- CODESYS Control for emPC-A/iMX6;
- CODESYS Control for IOT2000;
- CODESYS Control for Linux;
- CODESYS Control for PFC100;
- CODESYS Control for PFC200;
- CODESYS Control for Raspberry Pi;
- CODESYS Control RTE V3;
- CODESYS Control RTE V3 (for Beckhoff CX);
- CODESYS Control Win V3 (a CODESYS Development System eleme);
- CODESYS Control V3 Runtime System Toolkit;
- CODESYS V3 Safety SIL2;
- CODESYS Gateway V3;
- CODESYS HMI V3;
- CODESYS V3 Simulation Runtime (a CODESYS Development System eleme).

A gyártó a hibát az érintett termékekhez kiadott 3.5.15.0 verziójú frissítésben javította. A sérülékenység részleteiről az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-255-05

CODESYS Control V3 OPC UA Server sérülékenység

A 3S-Smart Software Solutions GmbH egy sérülékenységet jelentett a DHS CISA-nak, ami a CODESYS Control V3 OPC UA Server alábbi verzióit érinti:

- CODESYS Control for BeagleBone;
- CODESYS Control for emPC-A/iMX6;
- CODESYS Control for IOT2000;
- CODESYS Control for Linux;
- CODESYS Control for PFC100;
- CODESYS Control for PFC200;
- CODESYS Control for Raspberry Pi;
- CODESYS Control RTE V3;
- CODESYS Control RTE V3 (for Beckhoff CX);
- CODESYS Control Win V3 (a CODESYS Development System eleme);
- CODESYS Control V3 Runtime System Toolkit.

A gyártó a hibát a 3.5.15.0 verzióban javította. A sérülékenységről további információkat az ICS-CERT publikációjában lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-255-04

Sérülékenység CODESYS Control V3 Online User Management komponensekben

A 3S-Smart Software Solutions GmbH által szolgáltatott információk szerint a CODESYS termékcsalád alábbi tagjaiban használt Online User Management komponensben egy sérülékenységet találtak:

- CODESYS Control for BeagleBone;
- CODESYS Control for emPC-A/iMX6;
- CODESYS Control for IOT2000;
- CODESYS Control for PFC100;
- CODESYS Control for PFC200;
- CODESYS Control for Raspberry Pi;
- CODESYS Control RTE V3;
- CODESYS Control RTE V3 (for Beckhoff CX);
- CODESYS Control Win V3 (a CODESYS Development System eleme);
- CODESYS V3 Simulation Runtime (a CODESYS Development System eleme);
- CODESYS HMI V3.

A gyártó a hibát a 3.5.15.0 verzióban javította. A sérülékenységgel kapcsolatban további információkat az ICS-CERT weboldalán lehet elérni: https://www.us-cert.gov/ics/advisories/icsa-19-255-03

Cross-site scripting sérülékenység CODESYS rendszerekben

Heinz Füglister, a WRH Walter Reist Holding AG munkatársa egy XSS sérülékenységet fedezett fel, ami a 3S-Smart Software Solutions GmbH minden 32 és 64 bites CODESYS Development System V3-as verzióját érinti a 3.5.15.0 verzió előtt.

A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsa-19-255-02

Sérülékenységek CODESYS V3 webszerverekben

Ivan Cheyrezy, a Schneider Electric munkatársa két sérülékenységet azonosított a CODESYS V3 termékcsalád alábbi tagjaiban használt webszerverekben:

- CODESYS Control for BeagleBone;
- CODESYS Control for emPC-A/iMX6;
- CODESYS Control for IOT2000;
- CODESYS Control for Linux;
- CODESYS Control for PFC100;
- CODESYS Control for PFC200;
- CODESYS Control for Raspberry Pi;
- CODESYS Control RTE V3;
- CODESYS Control RTE V3 (for Beckhoff CX);
- CODESYS Control Win V3 (a CODESYS Development System eleme);
- CODESYS HMI V3;
- CODESYS Control V3 Runtime System Toolkit;
- CODESYS V3 Embedded Target Visu Toolkit;
- CODESYS V3 Remote Target Visu Toolkit.

A gyártó a hibákat a legújabb verziókban javította. A sérülékenységekről további részleteket az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-19-255-01

Sérülékenységek Philips orvostechnikai berendezésekben

Shawn Loveric a Finite State, Inc. munkatársa két sérülékenységet talált az alábbi Philips termékekben:

- IntelliVue MP monitorok MP20-MP90 (M8001A/2A/3A/4A/5A/7A/8A/10A) WLAN A verzió, A.03.09-es firmware-verziója;
- IntelliVue MP monitorok MP5/5SC (M8105A/5AS) WLAN A verzió, A.03.09-es firmware-verziója;
- IntelliVue MP monitorok MP2/X2 (M8102A/M3002A) WLAN B verzió, A.01.09-es firmware-verziója;
- IntelliVue MP monitorok MX800/700/600 ((865240/41/42)WLAN B verzió, A.01.09-es firmware-verziója.

A gyártó a hibákat a WLAN C verziójának B.00.31-es verziójában javította. A sérülékenységekről bővebb információkat az ICS-CERT weboldalán lehet találni: https://www.us-cert.gov/ics/advisories/icsma-19-255-01

Sérülékenységek Schneider Electric U.motion Server termékekben

Zhu Jiaqi és Constantin-Cosmin Craciun hat sérülékenységet azonosítottak a Schneider Electric alábbi termékeiben:

- MEG6501-0001 - U.motion KNX server;
- MEG6501-0002 - U.motion KNX Server Plus;
- MEG6260-0410 - U.motion KNX Server Plus, Touch 10;
- MEG6260-0415 - U.motion KNX Server Plus, Touch 15.

A gyártó a hibákat az érintett rendszerekhez kiadott 1.3.7-es verzióban javította. A sérülékenységekről további részleteket a Schneider Electric publikációjában lehet olvasni.

Sérülékenység Schneider Electric Modicon vezérlőkben

A Schneider Electric bejelentése szerint egy sérülékenység található a Modicon Quantum 140 NOE771x1 típusú vezérlőik 6.9-es és korábbi verzióiban.

A gyártó a hibát az érintett vezérlők 7.0-s firmware-verziójában javította. A sérülékenységről bővebb információk a Schneider Electric bejelentésében találhatóak.

Sérülékenységek Schneider Electric TwidoSuite rendszerekben

A Schneider Electric két sérülékenységről közölt információkat a weboldalán, amik a TwidoSuite v2.20.11-es verzió Windows 7 SP1 32-bites operációs rendszerein futó telepítéseit érintik.

A TwidoSuite termék 2016 decemberében elérte életciklusa végét, a gyártó ezért az érintett terméket használó ügyfeleinek a Modicon M221-es vagy más Modicon PLC-kre történő váltást javasolja. A sérülékenységekről további információkat a Schneider Electric weboldalán lehet találni.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Néhány napja jelent meg az IT biztonsági szaksajtóban a hír, hogy 2019. március 5-én egy meg nem nevezett, az USA villamosenergia-rendszerben működő szervezetet ért kibertámadás. Az incidensnek alacsony hatása volt a NERC (az Észak-amerikai villamosenergia-ipari szabályozó szervezet, North American Electric Reliability Corporation - NERC) szerint és nem okozott áramkimaradást, de a 10 órán át tartó támadást az érintett szervezet elég súlyosnak ítélte, hogy jelentse a NERC-nek.

A NERC vizsgálata és az incidens tapasztalatait összefoglaló publikációja szerint a támadók a szervezet egyik Internetes tűzfalának webes interfészén talált sérülékenységet kihasználva, egymás után sokszor újraindítva a tűzfalat, gyakorlatilag egy szolgáltatás-megtagadásos támadást indítottak a cég ellen. Ami még súlyosabbá tette az incidenst, hogy ez a tűzfal az adott villamosenergia-ipari szervezet vezérlőközpontja és távoli erőművi alállomásai közötti kommunikációt kiszolgáló távközlési vonalak védelméért felelt, így azonban az állandó újraindulások miatt kimaradások voltak a központ és az alállomások közötti kommunikációban.

Az incidens utáni vizsgálatok rámutattak, hogy a szervezet elmulasztotta a tűzfalhoz rendelkezésre álló legújabb firmware telepítését, amivel megelőzhető lett volna a támadás. Az incidensről részleteket az E&E News cikkében és a NERC esetről készült publikációjában lehet olvasni.

Az esetből több tanulságot is le lehet vonni. Egyrészt a publikus hálózatokra (elsősorban az Internetre) csatlakoztatott eszközök elérhető frissítéseinek telepítését a lehető leggyorabban ki kell értékelni, azt vizsgálva, milyen következményekkel járhat a telepítésük és csak nagyon súlyos üzembiztonsági kockázatok esetén érdemes mérlegelni a telepítés elhalasztását. Másrészt a különböző, out-of-band menedzsment felületekkel rendelkező eszközök esetén a menedzsment felületeket nem szabad publikus hálózatokból elérhetővé tenni. Ha olyan eszközt használ a szervezet, aminek van dedikált menedzsment portja, azt célszerű egy erre a célra kialakított, a publikus hálózatoktól és a szervezet más hálózataitól (belső ügyviteli hálózatok, DMZ-k, stb.) elkülönített menedzsment célokra fenntartott hálózati szegmensbe bekötni és szigorúan a minimumra szabályozni, hogy ki és honnan érheti el ezeket az eszközöket.

Az incidens nyomán Joe Weiss az Unfettered blogon ismét hangot adott annak a véleményének, hogy hamisak az olyan állítások, amik szerint az USA villamosenergia-rendszerét mostanáig nem érték volna kibertámadások. Saját adatbázisa alapján Joe állítja, hogy az amerikai villamosenergia-rendszer ellen már 2001-ben is történt kibertámadás, amikor kínai támadók próbáltak hozzáférést szerezni a kaliforniai rendszerirányító SCADA rendszeréhez, de akkor végül nem jártak sikerrel.

Ez a hír, illetve a héten szerdán és csütörtökön a sajtót és a hazai IT biztonsági szakmát rendesen felkavaró MFK-s incidens együtt megint fel kell, hogy elevenítse a mindmáig megválaszolatlan kérdést: vajon Magyarországon a villamosenergia-ipari szereplők ellen hány kibertámadás történt az elmúlt években és az állam (aki gyakran tulajdonosa is ezek közül a szervezetek közül soknak) mikor fog végre olyan előírásokat kötelezővé tenni, amik egyrészt kikényszerítik egy minimális biztonsági szint elérését, másrészt kötelezik a nemzetgazdaság számára nélkülözhetetlen villamosenergia-ipari szervezeteket a kiberbiztonsági incidensek jelentésére legalább az MEKH és az NKI felé?

Sérülékenységek EZAutomation rendszerekben

A DHS CISA két sérülékenységről szerzett információkat a 9sg biztonsági csoport tagjaitól, amik az alábbi EZAutomation rendszereket érintik:

- EZ PLC Editor 1.8.41 és korábbi verziói;
- EZ Touch Editor 2.1.0 és korábbi verziói.

Az EZ PLC Editor-okban egy, az alkalmazás által lefoglalt memóriaterületeken kívül végzett műveleteket lehetővé tevő hibát, az EZ Touch Editor-ban egy puffer-túlcsordulásra visszavezethető hibát azonosítottak.

A gyártó a hibákat a PLC Editor 1.9.0 és későbbi illetve a Touch Editor 2.2.0 és későbbi verzióiban javította. A sérülékenységekről további részleteket az ICS-CERT publikációiban lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-246-02
https://www.us-cert.gov/ics/advisories/icsa-19-246-01

Sérülékenységek Red Lion Controls rendszerekben

Michael DePlante, Anthony Fuller és Todd Manning, a ZDI munkatársai 4 sérülékenységet találtak a Red Lion Controls alábbi termékeiben:

- Crimson 3.0 és korábbi verziói;
- Crimson 3.1 3112.00-ás kiadást megelőző verziói.

A gyártó a hibákat a 3.1-es verzió 3112.00-ás kiadásában javította. A sérülékenységekkel kapcsolatban részleteket az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-19-248-01

BD Pyxis rendszerek sérülékenysége

A Becton, Dickinson and Company (BD) egy sérülékenységről tájékoztatta a DHS CISA-t, ami az alábbi termékeit érinti:

- Pyxis ES az 1.3.4-es verziótól az 1.6.1-es verzóig;
- Pyxis Enterprise Server Windows Server-re telepített 4.4-estől 4.12-ig terjedő verziói.

A gyártó a hibát a Pyxis ES 1.6.1.1-es verziójában javította és kockázatcsökkentő intézkedéseket javasol az érintett termékeit használó ügyfelei számára. A sérülékenység részleteit az ICS-CERT weboldalán lehet elérni: https://www.us-cert.gov/ics/advisories/icsma-19-248-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A viziközmű cégek ICS rendszereinek biztonságával sokkal ritkábban szoktak foglalkozni, mint például a villamosenergia-rendszer kiberbiztonságával, nincs ez igazán másképp ezen a blogon sem, de júliusban egy egészen jó, alapvető biztonsági intézkedésekről készült gyűjteményre bukkantam az amerikai Water ISAC weboldalán.

15 alapvető biztonsági intézkedést gyűjtöttek össze, amik alkalmazása jelentősen javíthatja egy ICS rendszerek működését a középpontba állító szervezet kiberbiztonsági helyzetét. A Water ISAC az alábbi intézkedések bevezetését javasolja:

1. Eszközleltár (én ehhez újabban már hozzá szoktam tenni azt is, hogy a hardver- és szoftverleltár mellett egy teljes körű hálózati áttekintő ábra és engedélyezett hálózati forgalom leltár is nagyon hasznos tud lenni);
2. Kockázatelemzések végzése;
3. Az ICS rendszerek kitettségének minimalizálása (elsősorban a külső hálózatok, leginkább az Internet felé);
4. Felhasználói hozzáférések ellenőrzésének kikényszerítése;
5. Illetéktelen fizikai hozzáférések elleni védelmi intézkedések alkalmazása;
6. Egymástól független kiber-fizikai rendszerek telepítése;
7. Sérülékenység-menedzsment folyamatok kialakítása;
8. Megfelelő (kiber)biztonsági kultúra kialakítása;
9. Kiberbiztonsági szabályzatok és eljárások kidolgozása és bevezetése;
10. Monitoring rendszerek és eljárások bevezetése a fenyegetések észlelésére;
11. Incidens-, vészhelyzet- és katasztrófa-elhárítási tervek kidolgozása (és amit én legalább ilyen fontosnak tartok, ezek rendszeres tesztelése!);
12. Védekezés a belső fenyegetések ellen;
13. A beszállítói lánc biztonságának megteremtése;
14. A különböző okos (IoT, IIoT) eszközök biztonságával törödni kell!
15. Részvétel (szektorális) információ megosztó közösségekben (ISAC).

A teljes, 56 oldalas Water ISAC ajánlás itt érhető el: https://www.waterisac.org/system/files/articles/15%20Cybersecurity%20Fundamentals%20%28WaterISAC%29.pdf

Magelis HMI Panelek sérülékenysége

A Schneider Electric bejelentése szerint egy sérülékenységet találtak a Magelis termékcsalád alábbi tagjaiban:

- Magelis HMIGTO sorozat - minden firmware-verzió;
- Magelis HMISTO sorozat - minden firmware-verzió;
- Magelis XBTGH sorozat - minden firmware-verzió;
- Magelis HMIGTU sorozat - minden firmware-verzió;
- Magelis HMIGTUX sorozat - minden firmware-verzió;
- Magelis HMISCU sorozat - minden firmware-verzió;
- Magelis HMISTU sorozat - minden firmware-verzió;
- Magelis XBTGT sorozat - minden firmware-verzió;
- Magelis XBTGC sorozat - minden firmware-verzió;
- Magelis HMIGXO sorozat - minden firmware-verzió;
- Magelis HMIGXU sorozat - minden firmware-verzió.

A sérülékenységgel kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységről részleteket a Schneider Electric bejelentésében lehet találni.

Sérülékenység Schneider Electric Modicon vezérlőkben

A Schneider Electric által publikált információk szerint egy sérülékenységet azonosítottak a Modicon M340-es vezérlők firmware-jének minden verziójában.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységgel kapcsolatban további információkat a Schneider Electric weboldalán lehet olvasni.

Sérülékenységek Schneider Electric Ethernet-soros konverterekben

A Schneider Electric több sérülékenységet fedezett fel a BMXNOR0200H sorozatú Ethernet-soros konverterekben, amik minden firmware-verziót érintenek.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedésekre tett javaslatot. A sérülékenységekről részletesebb információkat a Schneider Electric publikációjában lehet találni.

Schneider Electric TelvisGo sérülékenységek

A Kaspersky Lab 22 sérülékenységet jelentett a Schneider Electric-nek, amik a TelvisGo 2019. július 15-e előtt gyártott berendezéseket érintik.

A gyártó a hibákat az érintett eszközökben egy hotfix-szel javította. A sérülékenységek részleteiről a Schneider Electric bejelentésében lehet olvasni.

Sérülékenység a Schneider Electric Software Update egyik komponensében

Amir Preminger, a Claroty munkatársa egy sérülékenységet azonosított a Schneider Electric Software Update (SESU) SUT Service komponensének 2.1.1 és 2.3.0 közötti verzióiban.

A gyártó a hibát a 2.3.1-es verzióban javította. A sérülékenységről bővebb információkat a Schneider Electric weboldalán lehet elérni.

Sérülékenység Schneider Electric rendszerekben

Sumedt Jitpukdebodin egy sérülékenységet talált a Schneider Electric alábbi termékeiben:

- spaceLYnk minden, 2.4.0-nál korábbi verziója;
- Wiser for KNX (régebbi nevén homeLYnk) minden, 2.4.0-nál korábbi verziója.

A gyártó a hibát az érintett szoftvere 2.4.0 verziójában javította. A sérülékenységgel kapcsolatban további részleteket a Schneider Electric publikációjában lehet találni.

Sérülékenység Schneider Electric SoMachine HVAC rendszerekben

Yongjun Liu, az nsfocus biztonsági csoport tagja egy sérülékenységet fedezett fel a Schneider Electric SoMachine HVAC rendszerek programozásához használható szoftverének v2.4.1 és korábbi verzióiban.

A gyártó a hibát a termék (amit időközben EcoStruxure Machine Expert HVAC névre neveztek át) 1.1.0 verziójában javította. A sérülékenységről bővebben a Schneider Electric bejelentésében lehet olvasni.

Zebra ipari nyomtatók sérülékenysége

Tri Quach egy sérülékenységet jelentett a CISA-nak, ami a Zebra minden ipari nyomtatóját érinti.

A hibát a gyártó a weboldalán elérhető új szoftververzióban javította. A sérülékenységről részleteket az ICS-CERT weboldalán lehet elérni: https://www.us-cert.gov/ics/advisories/icsa-19-232-01

Sérülékenység Datalogic vonalkód olvasó berendezésekben

Tri Quach és Blake Johnson, az Amazon munkatársai egy sérülékenységet találtak a Datalogic AV7000-es vonalkód olvasó berendezéseinek 4.6.0.0-nál korábbi firmware-verzióiban.

A gyártó a hibát az érintett eszközök legújabb firmware-verziójában javította. A sérülékenységgel kapcsolatos részletek az ICS-CERT publikációjában olvashatóak: https://www.us-cert.gov/ics/advisories/icsa-19-239-02

Delta Controls vezérlők sérülékenysége

Douglas McKee és Mark Bereza egy sérülékenységet azonosítottak a Delta Controls alábbi vezérlőiben:

- enteliBUS Manager 3.40 R5 build 571848 és korábbi verziójú firmware-jei;
- enteliBUS Manager Touch (eBMGR-TCH) 3.40 R5 build 571848 és korábbi verziójú firmware-jei;
- enteliBUS Controller (eBCON) 3.40 R5 build 571848 és korábbi verziójú firmware-jei.

A gyártó a hibával kapcsolatban a 3.40 R6 build 612850 verzióra történő frissítést javasolja. A sérülékenységről további információkat az ICS-CERT bejelentésében lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-239-01

Sérülékenység Philips ultrahang készülékekben

A Check Point egy sérülékenységet jelentett a Philips-nek, ami a HDI 4000 ultrahang rendszereket érinti, amennyiben azok elavult operációs rendszereken (pl. Windows 2000) futnak.

A Philips HDI 4000 ultrahang rendszerek gyártói támogatása 2013 végén megszűnt, így a gyártó csak kockázatcsökkentő intézkedések alkalmazására tett javaslatot a hibával kapcsolatban. A sérülékenységgel kapcsolatban részletek az ICS-CERT weboldalán találhatóak: https://www.us-cert.gov/ics/advisories/icsma-19-241-02

Sérülékenység Change Healthcare kardiológiai rendszerekben

Alfonso Powers és Bradley Shubin, az Asante Information Security munkatársai egy sérülékenységről tájékoztatták a Change Healthcare-t, ami a gyártó alábbi kardiológiai rendszereit érinti:

- Horizon Cardiology 11.x és korábbi verziók;
- Horizon Cardiology 12.x;
- McKesson Cardiology 13.x;
- McKesson Cardiology 14. x;
- Change Healthcare Cardiology 14.1.x.

A gyártó a hibát javító patch-et már elkészítette, minden, érintett rendszert használó ügyfelének azt javasolja, hogy vegyék fel a kapcsolatot a terméktámogatási központjukkal. A sérülékenység részleteiről az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsma-19-241-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.