Egy üdvözlendő e-mailt kaptam valamelyik nap, a Com-Forth ipari informatikával foglalkozó cég ipari IoT biztonsági szakmai napot fog tartani november 21-én. A tervezett program szerint lesz előadás az IIoT legnagyobb veszélyeiről, az ICS hálózatok védelméről (angol nyelven), élő hálózatmenedzsment demó, esettanulmányok és végül kerekasztal/panel-beszélgetés az ICS kiberbiztonság kérdéseiről.

Mindenképp örömtelinek tartom, hogy végre mozgolódás látszik az ICS biztonság területén és (amennyire én tudom) első alkalommal végre valaki tematikus ICS biztonsági konferenciát, szakmai napot szervez.

Kíváncsian várom, hogy milyen lesz a rendezvény és milyen visszhangja lesz.

Részletek és regisztrációs lehetőség az esemény weboldalán: https://info.comforth.hu/ipari-iot-szakmai-nap-2019

Siemens SIMATIC WinAC sérülékenység

Tal Keren, a Claroty munkatársa egy sérülékenységet talált a Siemens SIMATIC WinAC RTX (F) 2010 összes verziójában. A gyártó a sérülékenységgel kapcsolatban kockázatcsökkentő intézkedések alkalmazására tett javaslatot.

A sérülékenységről további információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenységek GE Mark VIe vezérlőkben

Sharon Brizinov, a Claroty munkatársa két sérülékenységet azonosított a GE Mark VIe sorozatú vezérlőinek összes verziójában. A hibához a gyártó kockázatcsökkentő intézkedéseket jelentetett meg, javításról jelenleg nincs információ. A sérülékenységgel kapcsolatban részleteket az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-281-02

SMA Solar Technology rendszerek sérülékenysége

Borja Merino és Eduardo Villaverde, a León-i egyetem munkatársai az INCIBE-CERT-tel együttműködésben egy sérülékenységről publikáltak részleteket amik az SMA Solar Technology Sunny WebBox 1.6-os és korábbi firmware-verzióit érinti.

Az érintett termékek elérték életciklusuk végét, ezért javítás sem készül a hibára. A sérülékenységről bővebben az ICS-CERT weboldalán lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-281-01

Sérülékenység Siemens ipari termékekben

A WATERSURE és a KIANDRA IT egy sérülékenységről közölt információkat a Siemens-szel, ami az alábbi, ipari rendszereiket érinti:

- Primary Setup Tool (PST) minden, v4.2 HF1-nél korábbi verziója;
- SIMATIC IT Production Suite minden, v7.0 SP1 HFX 2-nél korábbi verziója;
- SIMATIC NET PC-Software minden, v14-nél korábbi verziója;
- SIMATIC PCS 7 v7.1 és korábbi verziói;
- SIMATIC PCS 7 v8.0 minden verziója;
- SIMATIC PCS 7 v8.1 minden verziója;
- SIMATIC PCS 7 v8.2 minden, v8.2 SP1-nél korábbi verziója;
- SIMATIC STEP 7 (TIA Portal) v13 minden, v13 SP2-nél korábbi verziója;
- SIMATIC STEP 7 v5.X minden, v5.5 SP4 HF11-nél korábbi verziója;
- SIMATIC WinAC RTX (F) 2010 SP2 minden, SIMATIC WinAC RTX 2010 SP3-nál korábbi verziója;
- SIMATIC WinCC (TIA Portal) Basic, Comfort, Advanced minden, v14-nél korábbi verziója;
- SIMATIC WinCC (TIA Portal) Professional v13 minden, v13 SP2-nél korábbi verziója;
- SIMATIC WinCC (TIA Portal) Professional v14 minden, v14 SP1-nél korábbi verziója;
- SIMATIC WinCC Runtime Professional v13 minden, v13 SP2-nél korábbi verziója;
- SIMATIC WinCC Runtime Professional v14 minden, v14 SP1-nél korábbi verziója;
- SIMATIC WinCC v7.0 SP2 minden, v7.0 SP2 Update 12-nél korábbi verziója;
- SIMATIC WinCC v7.0 SP3 minden, v7.0 SP3 Update 8-nál korábbi verziója;
- SIMATIC WinCC v7.2 minden, v7.2 Update 14-nél korábbi verziója;
- SIMATIC WinCC v7.3 minden, v7.3 Update 11-nél korábbi verziója;
- SIMATIC WinCC v7.4 minden, v7.4 SP1-nél korábbi verziója;
- SIMIT minden, v9.0 SP1-nél korábbi verziója;
- SINEMA Remote Connect Client minden, v1.0 SP3-nál korábbi verziója;
- SINEMA Server minden, v13 SP2-nél korábbi verziója;
- SOFTNET Security Client v5.0 minden verziója;
- Security Configuration Tool (SCT) minden, v4.3 HF1-nél korábbi verziója;
- TeleControl Server Basic minden, v3.0 SP2-nél korábbi verziója.

A gyártó a hibával kapcsolatban javított verziókat adott ki az érintett termékekhez és a hivatalos telepítési útmutatóban leírtak szerzinti telepítést javasolja, mert az azt követve telepített rendszereket nem érinti a most publikált sérülékenység. A sérülékenységről a Siemens ProductCERT és az ICS-CERT publikációiban lehet további részleteket találni.

Philips orvostechnikai rendszerek sérülékenységei

A Philips három sérülékenységgel kapcsolatban közölt részleteket az ICS-CERT-tel, amik az alábbi orvostechnikai rendszereiket érintik:

- Brilliance 64 2.6.2 és korábbi verziói;
- Brilliance iCT 4.1.6 és korábbi verziói;
- Brilliance iCT SP 3.2.4 és korábbi verziói;
- Brilliance CT Big Bore 2.3.5 és korábbi verziói;
- MX8000 Dual EXP Systems.

A hibákkal kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről további információkat az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/ICSMA-18-123-01

Sérülékenység Siemens PROFINET eszközökben

A Siemens egy sérülékenységről publikált részleteket, ami az alábbi PROFINET termékcsaládba tartozó rendszereket érinti:

- Fejlesztő/tesztelő készletek PROFINET IO rendszerekhez:
- DK Standard Ethernet Controller minden verziója;
- EK-ERTEC 200 minden verziója;
- EK-ERTEC 200P minden verziója;
- SIMATIC CFU PA minden, 1.2.0-nál korábbi verzió;
- SIMATIC ET 200AL minden verziója;
- SIMATIC ET 200M minden verziója;
- SIMATIC ET 200MP IM 155-5 PN BA minden, 4.2.3-nál korábbi verzió;
- SIMATIC ET 200MP IM 155-5 PN HF minden verziója;
- SIMATIC ET 200MP IM 155-5 PN ST minden verziója;
- SIMATIC ET 200S minden verziója;
- SIMATIC ET 200SP IM 155-6 PN BA minden verziója;
- SIMATIC ET 200SP IM 155-6 PN HA minden verziója;
- SIMATIC ET 200SP IM 155-6 PN HF minden, 4.2.2-nél korábbi verzió;
- SIMATIC ET 200SP IM 155-6 PN HS minden verziója;
- SIMATIC ET 200SP IM 155-6 PN ST minden verziója;
- SIMATIC ET 200SP IM 155-6 PN/2 HF minden, 4.2.2-nél korábbi verzió;
- SIMATIC ET 200SP IM 155-6 PN/3 HF minden, 4.2.1-nél korábbi verzió;
- SIMATIC ET 200ecoPN minden verziója (kivéve a 6ES7148-6JD00-0AB0 és 6ES7146-6FF00-0AB0 sorozatszámú eszközöket);
- SIMATIC ET 200pro minden verziója;
- SIMATIC HMI Comfort Outdoor Panels 7" & 15" minden verziója;
- SIMATIC HMI Comfort Panels 4" - 22" minden verziója;
- SIMATIC HMI KTP Mobile Panels minden verziója;
- SIMATIC PN/PN Coupler minden verziója;
- SIMATIC PROFINET Driver minden, 2.1-nél korábbi verzió;
- SIMATIC S7-1200 CPU family minden verziója;
- SIMATIC S7-1500 CPU family minden, 2.0-nál korábbi verzió;
- SIMATIC S7-300 CPU family minden verziója;
- SIMATIC S7-400 PN/DP V7 minden verziója;
- SIMATIC S7-400 V6 és korábbi modellek minden verziója;
- SIMATIC S7-400H V6 minden, 6.0.9-nél korábbi verzió;
- SIMATIC S7-410 V8 minden verziója;
- SIMATIC WinAC RTX (F) 2010 minden, SP3-nál korábbi verzió;
- SINAMICS DCM minden, 1.5 HF1-nél korábbi verzió;
- SINAMICS DCP minden verziója;
- SINAMICS G110M v4.7 (PN Control Unit) minden, 4.7 SP10 HF5-nél korábbi verzió;
- SINAMICS G120 v4.7 (PN Control Unit) minden, 4.7 SP10 HF5-nél korábbi verzió;
- SINAMICS G130 v4.7 (Control Unit and CBE20) minden verziója;
- SINAMICS G150 (Control Unit and CBE20) minden verziója;
- SINAMICS GH150 v4.7 (Control Unit) minden verziója;
- SINAMICS GL150 v4.7 (Control Unit) minden verziója;
- SINAMICS GM150 v4.7 (Control Unit) minden verziója;
- SINAMICS S110 (Control Unit) minden verziója;
- SINAMICS S120 v4.7 (Control Unit and CBE20) minden verziója;
- SINAMICS S150 (Control Unit and CBE20) minden verziója;
- SINAMICS SL150 v4.7 (Control Unit) minden verziója;
- SINAMICS SM120 v4.7 (Control Unit) minden verziója;
- SINUMERIK 828D minden, 4.8 SP5-nél korábbi verzió;
- SINUMERIK 840D sl minden verziója;

A gyártó számos érintett eszközhöz kiadta a hiba javítását tartalmazó új verziókat. A sérülékenység részleteit a Siemens ProductCERT és az ICS-CERT publikációiban lehet elérni.

Sérülékenység Siemens valós idejű operációs rendszert futtató eszközeiben

A Siemens egy sérülékenységet jelentett a DHS CISA-nak, ami az alábbi, valós idejű operációs rendszert futtató eszközeit érinti:

- CP1604/CP1616 minden, 2.8-nál korábbi verziója;
- Fejlesztői/tesztelői készleteket PROFINET IO rendszerekhez:
- DK Standard Ethernet Controller minden, 4.1.1 Patch 05-nél korábbi verziója;
- EK-ERTEC 200 minden, 4.5.0 Patch 01-nél korábbi verziója;
- EK-ERTEC 200P minden, 4.5.0-nál korábbi verziója;
- SCALANCE X-200IRT minden, 5.2.1-nél korábbi verziója;
- SIMATIC ET 200M minden verziója;
- SIMATIC ET 200S minden verziója;
- SIMATIC ET 200ecoPN minden verziója (kivéve a 6ES7148-6JD00-0AB0 és a 6ES7146-6FF00-0AB0 sorozatszámú eszközöket);
- SIMATIC ET 200pro minden verziója;
- SIMATIC PN/PN Coupler 6ES7158-3AD01-0XA0 sorozatú eszközök minden verziója;
- SIMATIC S7-300 CPU family (incl. F) minden verziója;
- SIMATIC S7-400 (incl. F) v6 and below minden verziója;
- SIMATIC S7-400 PN/DP v7 (incl. F) minden verziója;
- SIMATIC WinAC RTX (F) 2010 minden, SP3-nál korábbi verziója;
- SIMOTION minden verziója;
- SINAMICS DCM minden, 1.5 HF1-nél korábbi verziója;
- SINAMICS DCP minden verziója;
- SINAMICS G110M v4.7 (Control Unit) minden, 4.7 SP10 HF5-nél korábbi verziója;
- SINAMICS G120 v4.7 (Control Unit) minden, 4.7 SP10 HF5-nél korábbi verziója;
- SINAMICS G130 v4.7 (Control Unit) minden, 4.7 HF29-nél korábbi verziója;
- SINAMICS G150 (Control Unit) minden, 4.8-nál korábbi verziója;
- SINAMICS GH150 v4.7 (Control Unit) minden verziója;
- SINAMICS GL150 v4.7 (Control Unit) minden verziója;
- SINAMICS GM150 v4.7 (Control Unit) minden verziója;
- SINAMICS S110 (Control Unit) minden verziója;
- SINAMICS S120 v4.7 (Control Unit and CBE20) minden, 4.7 HF34-nél korábbi verziója;
- SINAMICS S150 (Control Unit) minden, 4.8-nál korábbi verziója;
- SINAMICS SL150 v4.7 (Control Unit) minden verziója;
- SINAMICS SM120 v4.7 (Control Unit) minden verziója;
- SINUMERIK 828D minden, 4.8 SP5-nél korábbi verziója;
- SINUMERIK 840D sl minden verziója.

A gyártó a hibát az érintett termékek legújabb verzióiban javította. A sérülékenységgel kapcsolatban további részletek a Siemens ProductCERT és az ICS-CERT weboldalain találhatóak.

Siemens SIMATIC IT UADM rendszerek sérülékenysége

A Siemens egy sérülékenységet jelentett a DHS CISA-nak, ami a SIMATIC IT UADM 1.3-nál korábbi verzióit érinti.

A gyártó a hibát az 1.3-as verzióban javította. A sérülékenységről bővebben a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet olvasni.

Sérülékenységek Schneider Electric rendszerekben

Jared Rittle és Patrick DeSantis, a Cisco Talos munkatársai számos sérülékenységet találtak különböző Schneider Electric Modicon termékcsaládhoz tartozó berendezésben. Az érintett eszközök az alábbiak:

- Modicon M580 minden firmware-verziója;
- Modicon M340 minden firmware-verziója;
- Modicon Premium minden firmware-verziója;
- Modicon Quantum minden firmware-verziója;
- Modicon BMxCRA and 140CRA modulok minden firmware-verziója;
- Modicon BMENOC 0311;
- Modicon BMENOC 0321.

A gyártó a hibákkal kapcsolatban kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységekről további információkat az alábbi bejelentésekben lehet olvasni:

- SEVD-2019-281-01;
- SEVD-2019-281-02;
- SEVD-2019-281-03;
- SEVD-2019-281-04;

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Korábban a blogon én is többször írtam a Triton/TriSIS malware-támadásról, ami a (nem megerősített) feltételezések szerint egy szaúdi olajfinomító safety rendszereit fertőzte meg. 2019. szeptemberében a világ részben attól volt hangos, hogy légitámadás ért több szaúdi olajipari létesítményt, most pedig egymás után jönnek a hírek iráni és amerikai olajipari cégek elleni kibertámadásokról.

Az esetekről rendelkezésre álló információk megbízhatósági szintje nagyon változatos (elég annyit említeni, hogy az egyik, iráni illetékesektől származó nyilatkozat szerint az USA kiberháborút indított az iráni olajipar ellen a Stuxnet egy újabb verzióját használva, amit az iráni biztonsági szakemberek még időben észrevettek és megállítottak), de annyit biztosan lehet látni, hogy amint a nemzetközi politikai és diplomáciai feszültségek fokozódnak, úgy nő az egyes nemzeti kritikus infrastruktúrákat érő kibertámadások száma is.

Nem lehet eléggé hangsúlyozni, hogy a civil kritikus infrastruktúrák elleni támadások (legyenek azok fegyveres vagy számítógépes támadások) milyen hatalmas fenyegetést jelentenek az egész modern civilizációnkra, arra a világra, amit ma ismerünk és arra, ahogy az életünket éljük.

Mivel sejtem, hogy azokat a politikai döntéshozókat, akiknek hatalmában áll (minden oldalon), nem tudjuk meggyőzni arról, hogy nem a támadó célú kiberbiztonsági képességeket növeljék, ezért a hazai szakmai szervezetekhez fordulok, hogy befolyásukkal legalább azt érjék el, hogy a magyar döntéshozók érezzék a jelenleginél sokkal fontosabbnak a nemzeti kritikus infrastruktúrák kibervédelmének javítását.

Sérülékenységek Moxa berendezésekben

Guillaume Lopes, a Randorisec munkatársa két sérülékenységet jelentett a DHS CISA-nak, amik a Moxa EDR-810 berendezéseinek 5.1-es és korábbi verzióit érintik.

A gyártó a hibákat az 5.2-es verzióban javította. A sérülékenységekről bővebb információkat az ICS-CERT bejelentésében lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-274-03

Yokogawa termékek sérülékenysége

A Yokogawa egy sérülékenységet talált az alábbi termékeiben:

- Exaopc R1.01.00 - R3.77.00 verziók;
- Exaplog R1.10.00 - R3.40.00 verziók;
- Exaquantum R1.10.00 - R3.02.00 verziók;
- Exaquantum/Batch R1.01.00 - R2.50.40 verziók;
- Exasmoc minden verziója;
- Exarqe minden verziója;
- GA10 R1.01.01 - R3.05.01 verziók;
- InsightSuiteAE R1.01.00 - R1.06.00 verziók.

A gyártó minden érintett termékéhez kiadta a hiba javítását tartalmazó új verziót. A sérülékenységgel kapcsolatban további információk az ICS-CERT bejelentésében érhetőek el: https://www.us-cert.gov/ics/advisories/icsa-19-274-02

Sérülékenység Cisco ipari átjárókban

A Cisco publikációja szerint sérülékenységet találtak az IC3000 ipari átjárók firmware-jének 1.1.1-nél korábbi verzióiban.

A gyártó a hibát az 1.1.1-es firmware-verzióban javította. A sérülékenység részleteit a Cisco publikációjában lehet megtalálni: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-ic3000-icg-dos

Sérülékenységek Interpeak IPnet TCP/IP stack-et használó termékekben

Az ICS-CERT bejelentése szerint Gregory Vishnepolsky, Dor Zusman és Ben Seri, az Armis kutatói 11 különböző sérülékenységet találtak az Interpeak IPnet TCP/IP stack-ben, amit az alábbi gyártók valós idejű operációs rendszereiben (Real-Time Operating System, RTOS) használnak:

- ENEA OSE4 és OSE5, 2004. és 2006. között kiadott verziók (az ENEA 2007-ben lecserélte az Interpeak IPnet-et az OSENet-re);
- Régebbi, már nem támogatott VxWorks verziók 6.5-től kezdődően;
- Az életciklusuk végét már elért Advanced Network Technology (ANT) termékek mindegyike;
- A VxWorks bootrom network stack-je szintén érintett lehet;
- A VxWorks 653 MCE 3.x érintett lehet.

Az alábbi gyártók termékei szintén érintettek lehetnek:

- Abbott Laboratories;
- BD (Beckton Dickinson);
- Drager;
- GE Healthcare;
- Medtronic;
- Philips;
- Spacelabs.

A sérülékenységekről és az egyes gyártók hibákkal kapcsolatos tanácsairől további részleteket az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsma-19-274-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

2019-re az ICS rendszerek eljutottak oda, hogy - a nyár elején publikált 2019-es SANS ICS kiberbiztonsági kérdőív (regisztráció után elérhető) szerint az ICS rendszerek harmada érhető el az Internetről és közel kétharmaduk csatlakozik valamilyen privát (általában az adott szervezet ügyviteli) hálózathoz. Ez egyértelmű bizonyítéka az IT-OT konvergencia és az IT komponensek ICS rendszerekben történő térnyerésének.

Ez azonban nem hozta magával az IT és az OT területeken dolgozók közötti együttműködés és párbeszéd kialakulását. Még mindig sokkal gyakrabban tapasztalom az IT és az OT területeken dolgozók közötti összeütközéseket, félreértéseket, értetlenséget és bizalmatlanságot. Nem egyszer tapasztaltam már ICS biztonsági konferenciákon, hogy egyes, néha kifejezetten idős OT mérnökök félig-meddig tréfásan vagy teljesen komolyan azzal vádolják az IT és IT biztonsági területekről érkező szakembereket, hogy nem értik az ICS rendszerek világát és felelőtlenségükkal üzemzavarokat fognak előidézni. Ugyanakkor persze az IT irányból érkezőket sem kell félteni, akik maradi és túlzottan óvatoskodó embereknek tartják az OT mérnököket, akik mindenféle megfontolás vagy a kiberbiztonsági kockázatok bármiféle elemzése nélkül söpörnek le az asztalról változtatási (patch-elési, illetve a biztonsági szint emelésére vonatkozó egyéb) javasolatokat.

Ez a helyzet nem tolerálható tovább. Azzal, hogy az IT komponensek egyre több ICS rendszerben és berendezésben jelennek meg és az IT egyre nagyobb szerepet kap a folyamatvezérlő rendszerekben, elkerülhetetlenné válik, hogy ez a bizalmatlan és néha bizony ellenséges hangulat az IT és OT területek szakemberei között megváltozzon. Az ICS rendszereknek több olyan sajátosságuk van, amiket egy, a jelenleginél jobb IT-OT együttműködéssel megalapozva ki lehetne használni egy olyan kiberbiztonsági rendszer felállítására, amivel az ICS rendszereket akár a normál vállalati IT rendszereknél sokkal hatékonyabban lehetne védeni. Az ICS rendszerek statikussága és az a tudás, amivel az OT mérnökök ezekről a rendszerekről és berendezésekről rendelkeznek, megtámogatva a megfelelően kiválasztott IT biztonsági eszközökkel (és időnként az elérhető, kifejezetten ICS biztonsági megoldásokkal) kiemelkedő eredményeket mutathat fel mind a kiberbiztonsági incidensek megelőzésében és észlelésében.

Ehhez mindkét szakterületnek lépéseket kell tennie. Az IT irányából érkező szakembereknek tiszteletben kell tartaniuk, hogy az ICS rendszerek és berendezések mások, mint amikhez a vállalati hálózatokban hozzászoktak, más megkötések és prioritások mentén történik az üzemeltetésük és meg kell hallgatniuk az OT mérnököket ezekről a szempontokról és követelményekről, az OT mérnököknek pedig el kell fogadniuk, hogy a kiberbiztonsági kockázatok egyre inkább realitássá válnak az ICS rendszerek és berendezések mindennapjaiban is és ezeknek a kockázatoknak a csökkentése nem lesz lehetséges az IT biztonsági eszközök és az azokat ismerő szakemberek nélkül. Tudomásul kell venniük továbbá, hogy bár a legtöbb IT és IT biztonsági mérnök valóban keveset (vagy éppen semmit sem) tud az ICS rendszerek működéséről, az ismeretek átadása terén az OT mérnökök feladat és felelőssége a nagyobb, hiszen nekik kell megtanítaniuk az IT és IT biztonsági szakembereknek legalább azt a minimumot, amivel már el lehet kezdeni az érdemi közös munkát az ICS rendszerek biztonsági szintjének növelése érdekében.

Cisco ipari hálózati eszközök sérülékenysége

A Cisco múlt heti bejelentése szerint egy sérülékenységet találtak az alábbi ipari környezetekbe szánt termékeikben:

- Cisco 800-as sorozatú Industrial Integrated Services routerek;
- Cisco 1000-es sorozatú Connected Grid Routers (CGR 1000).

A gyártó a hibával kapcsolatban javított firmware-verziót és kockázatcsökkentő intézkedésekre vonatkozó javaslatokat is kiadott. A sérülékenységről további információkat a Cisco weboldalán lehet találni.

Sérülékenységek Moxa hálózati eszközökben

A Moxa publikációja szerint 7 különböző sérülékenységet találtak az alábbi hálózati eszközeikben:

- EDS-G516E sorozatú Ethernet switch-ek 5.2-es vagy korábbi firmware-verziói;
- EDS-510E sorozatú Ethernet switch-ek 5.2-es vagy korábbi firmware-verziói.

A hibákra vonatkozóan a gyártó kockázatcsökkentő intézkedések bevezetését javasolja illetve kiadott egy új firmware-verziót is. A sérülékenységek részletei a Moxa publikációjában érhetőek el: https://www.moxa.com/en/support/support/security-advisory/eds-g516e-510e-ethernet-switches-vulnerabilities

Moxa ioLogik vezérlők sérülékenységei

A Moxa bejelentése szerint több sérülékenységet azonosítottak az alábbi rendszereikben:

- ioLogik 2500-as sorozatú vezérlők 3.0 és korábbi firmware-verziói;
- IOxpress Configuration Utility 2.3.0 és korábbi verziói.

A gyártó a hibával kapcsolatban minden érintett ügyfelének azt javasolja, hogy vegyék fel a kapcsolatot a Moxa Technical Support-tal, akiktől megkaphatják a szükséges hibajavítást. A sérülékenységekről bővebben a Moxa bejelentésében lehet olvasni: https://www.moxa.com/en/support/support/security-advisory/iologik-2542-hspa-series-ioxpress-vulnerabilities

Sérülékenységek Moxa Protocol Gateway-ekben

A Moxa weboldalán megjelent információk szerint 9 sérülékenységet azonosítottak az alábbi termékeikben:

- MB3170 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MB3270 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MB3180 sorozatú eszközök 2.0 és korábbi firmware-verziói;
- MB3280 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- MB3480 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- MB3660 sorozatú eszközök 2.2 és korábbi firmware-verziói.

A hibák orvoslására a gyártó firmware-frissítést és kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységek részleteit a Moxa weboldalán lehet elérni: https://www.moxa.com/en/support/support/security-advisory/mb3710-3180-3270-3280-3480-3660-vulnerabilities

Sérülékenységek Moxa Ethernet switch-ekben

A Moxa publikációja szerint 7 sérülékenységet azonosítottak az alábbi Ethernet switch-ikkel kapcsolatban:

- PT-7528 sorozatú eszközök 4.0 és korábbi verziói;
- PT-7828 sorozatú eszközök 4.0 és korábbi verziói.

A hibákkal kapcsolatban a gyártó elérhetővé tett egy új, javított firmware-verziót és kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységről további információkat a Moxa publikációjában lehet olvasni: https://www.moxa.com/en/support/support/security-advisory/pt-7528-7828-ethernet-switches-vulnerabilities

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Dragos által Chrysene névre keresztelt csoportra (a Symantec Greenbug, a Palo Alto Networks OilRig néven említi őket az elemzéseikben) először 2012-ben, a Saudi Aramco elleni Shamoon támadások vizsgálatakor figyeltek fel a biztonsági kutatók. A Saudi Aramco a 2012-es támadások következtében több tízezer munkaállomását vesztette el átmenetileg, amikor a támadók törölték az érintett számítógépek merevlemezeit.

A Chrysene csoport az elemzők szerint több más csoporttal együttműködve hajtják végre a támadásaikat, ők azok, akik egy adott rendszer kezdeti kompromittálásáért felelősek és amikor kiépítették a későbbi műveletekhez szükséges hátsó ajtókat, akkor a rendszerekben történő további műveleteket átadják más csoportoknak.

A csoport tevékenységének nyomait felfedezték már Irakban, Pakisztánban, Izraelben, Nagy-Britanniában és az Arab öbölben is.

Eszköztárukra jellemzőek a 64-bites malware-ek (amik csak 64-bites operációs rendszereken tudnak futni), valamint az ún. watering hole-támadások. Elsődleges célpontjaik az ICS rendszereket használó szervezetek, de 2017 óta a Dragos megfigyelései szerint újra aktívak és immár nem csak ICS rendszerek kompromittálását próbálják watering hole-támadásokkal elérni.

A csoportról több elemzés is elérhető az alábbi linkeken:
Dragos: https://dragos.com/resource/chrysene/
Symantec: https://www.symantec.com/connect/blogs/greenbug-cyberespionage-group-targeting-middle-east-possible-links-shamoon
Palo Alto Networks Unit 42: https://unit42.paloaltonetworks.com/behind-the-scenes-with-oilrig/
Marco Ramili elemzései: https://marcoramilli.com/2019/06/27/similarities-and-differences-between-muddywater-and-apt34/

https://marcoramilli.com/2019/05/02/apt34-glimpse-project/
https://marcoramilli.com/2019/04/23/apt34-webmask-project/

Sérülékenység Honeywell IP kamerákban

Ismail Bulbil egy sérülékenységet jelentett a DHS CISA-nak, ami a Honeywell alábbi, Performance sorozatú IP kameráit és NVR berendezéseit érinti:

Performance IP kamerák:

- HBD3PR2;
- H4D3PRV3;
- HED3PR3;
- H4D3PRV2;
- HBD3PR1;
- H4W8PR2;
- HBW8PR2;
- H2W2PC1M;
- H2W4PER3;
- H2W2PER3;
- HEW2PER3;
- HEW4PER3B;
- HBW2PER1;
- HEW4PER2;
- HEW4PER2B;
- HEW2PER2;
- H4W2PER2;
- HBW2PER2;
- H4W2PER3;
- HPW2P1.

Performance NVR-ek:

- HEN08104;
- HEN08144;
- HEN081124;
- HEN16104;
- HEN16144;
- HEN16184;
- HEN16204;
- HEN162244;
- HEN16284;
- HEN16304;
- HEN16384;
- HEN32104;
- HEN321124;
- HEN32204;
- HEN32284;
- HEN322164;
- HEN32304;
- HEN32384;
- HEN323164;
- HEN64204;
- HEN64304;
- HEN643164;
- HEN643324;
- HEN643484;
- HEN04103;
- HEN04113;
- HEN04123;
- HEN08103;
- HEN08113;
- HEN08123;
- HEN08143;
- HEN16103;
- HEN16123;
- HEN16143;
- HEN16163;
- HEN04103L;
- HEN08103L;
- HEN16103L;
- HEN32103L.

A gyártó a hibával kapcsolatban minden érintett típusú berendezéshez elérhetővé tette a javított firmware-verziót. A sérülékenységről további információkat az ICS-CERT publikációjában lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-260-03

Advantech WebAccess sérülékenységek

Peter Cheng, az Elex CyberSecurity Inc., a VenusTech-hez tartozó ADLab és Mat Powell, a Zero Day Initiative munkatársa négy sérülékenységet találtak az Advantech WebAccess 8.4.1 és korábbi verzióiban.

A gyártó a hibákat a WebAccessNode 8.4.2-es verziójában javította. A sérülékenységekről bővebben az ICS-CERT weboldalán lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-260-01

Sérülékenységek Tridium Niagara rendszerekben

Johannes Eger és Fabian Ullrich, a Secure Mobile Networking Lab munkatársai két sérülékenységet azonosítottak az alábbi Tridium termékekben:

- Niagara AX 3.8u4 (JACE 3e, JACE 6e, JACE 7, JACE-8000);
- Niagara 4.4u3 (JACE 3e, JACE 6e, JACE 7, JACE-8000);
- Niagara 4.7u1 (JACE-8000, Edge 10).

A sérülékenységek nem érintik a Windows és Linux Supervisor telepítéseket.

A hibákat a gyártó az érintett termékek újabb verzióiban javította. A sérülékenységekkel kapcsolatban részletek az ICS-CERT bejelentésében érhetőek el: https://www.us-cert.gov/ics/advisories/icsa-19-262-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Másfél hete jelent meg a Dragos új elemzése a 2016. decemberében az Ukrenergo elleni kibertámadásról. Ahogy korábban én is írtam a második, ukrán ICS rendszerek ellen elkövetett támadás végül mindössze alig egy órán át tartó üzemzavart okozott, azonban még így is több fogyasztót érintett, mint a 2015-ben 4 Nyugat-ukrajnai áramszolgáltató elleni támadás.

A 2016. decemberi incidens után megjelent, a támadáshoz használt, CrashOverride/Industroyer néven ismert moduláris malware-ről szóló elemzések után most a Dragos egy részletesebb elemzést adott ki, amiben az egyik vezető kutatójuk, Joe Slowik újraértékelte a rendelkezésre álló információkat. Ezek alapján úgy véli, hogy a támadók célja egy, a végül bekövetkezettnél jóval szélesebb körű üzemzavar előidézése volt, ami pusztító hatású eseményekhez vezethetett volna.

Azt már korábban is tudni lehetett, hogy a CrashOverride/Industroyer malware egyik modulját kifejezetten a megszakítók vezérlésére tervezték, hogy az RTU-k vezérlésével idézzenek elő üzemzavart. Egy másik modulban egy ún. wiper célja a fontosabb konfigurációs és egyéb rendszerfájlok törlése volt, ezzel nehezítve az üzemzavar-elhárításához szükséges helyreállítást (hasonlóan, mint a 2015-ös támadás esetén, ahol a támadók nagy számú RTU-t tettek használhatatlanná, egyes hírek szerint még 2016. áprilisában is voltak olyan RTU-k, amiket az Nyugat-ukrajnai áramszolgáltatók nem tudtak kicserélni).

A CrashOverride/Industroyer eredeti elemzése során a kutatók egy olyan modult is felfedeztek, aminek a feladata egy, a Siemens SIPROTEC védelmekben még 2015-ben felfedezett sérülékenység (CVE-2015-5374) kihasználása volt, amivel egy szolgáltatás-megtagadásos támadással használhatatlanná lehet tenni a védelmet. Joe Slowik feltételezése szerint ennek a modulnak a feladata az lehetett, hogy az üzemzavar elhárítása után használhatatlanná tegye a védelmet, ami így nem lett volna képes megóvni az átviteli rendszer berendezéseit egy későbbi túlfeszültség esetén, ami egy időben jóval hosszabb és talán nagyobb kiterjedésű üzemzavarhoz vezetett volna.

Végül a támadók azért nem érték el a céljaikat, mert a szolgáltatás-megtagadásos támadáshoz használni tervezett programkód hibái miatt nem voltak képesek használhatatlanná tenni a SIPROTEC védelmeket és nem tudták kompromittálni azt a több száz vezérlő berendezést, amiket célba vettek.

A Dragos által Electrum-nak nevezett csoport 2016-os támadásáról készült részletes, 16 oldalas elemzés itt érhető el.

Sérülékenység Siemens SIMATIC TDC rendszerekben

A Siemens egy sérülékenységről közölt információkat a DHS CISA-val, amik a SIMATIC TDC CP51M1 típusú multiprocesszoros automatizálási rendszerének minden, 1.1.7-nél korábbi verzióját érinti.

A gyártó a hibát az 1.1.7-es és későbbi verziókban javította. A sérülékenységről részleteket a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Siemens WirelessHART átjárók sérülékenysége

A Siemens egy sérülékenységgel kapcsolatban adott ki információkat, ami az IE/WSN-PA Link WirelessHART Gateway termékének minden verzióját érinti.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetésére tett javaslatot. A sérülékenységről további információkat a Siemens ProductCERT és az ICS-CERT weboldalain lehet találni.

Siemens SINETPLAN sérülékenység

A Siemens egy sérülékenységet azonosított a SINETPLAN 2.0 verziójában, amit a TIA Administrator 1.0 SP1 Upd1 verzióra történő frissítéssel tanácsol javítani és kockázatcsökkentő intézkedések alkalmazását javasolja.

A sérülékenységgel kapcsolatban további részleteket a Siemens ProductCERT és az ICS-CERT bejelentései tartalmaznak.

Sérülékenységek Siemens ipari termékekben

A Siemens három sérülékenységet fedezett fel (ezek együtt TCP sack panic néven váltak ismertté) az alábbi, ipari automatizálási területeken használt termékeiben:

- CM 1542-1 minden verziója;
- CP 1242-7 minden verziója;
- CP 1243-1 minden verziója;
- CP 1243-7 LTE EU minden verziója;
- CP 1243-7 LTE US minden verziója;
- CP 1243-8 IRC minden verziója;
- CP 1542SP-1 minden verziója;
- CP 1542SP-1 IRC minden verziója;
- CP 1543-1 minden verziója;
- CP 1543SP-1 minden verziója;
- CloudConnect 712 minden, 1.1.5-nél korábbi verziója;
- ROX II minden verziója (de csak a CVE-2019-11479 sérülékenység érinti);
- RUGGEDCOM RM1224 minden verziója;
- S7-1500 CPU 1518(F)-4 PN/DP MFP minden verziója;
- SCALANCE M800 minden verziója;
- SCALANCE M875 minden verziója;
- SCALANCE S615 minden verziója;
- SCALANCE SC-600: minden, 2.0.1-nél korábbi verziója;
- SCALANCE W-700 (IEEE 802.11n) minden verziója;
- SCALANCE W1700 minden verziója;
- SCALANCE WLC711 minden verziója;
- SCALANCE WLC712 minden verziója;
- SIMATIC ITC1500 minden verziója;
- SIMATIC ITC1500 PRO minden verziója;
- SIMATIC ITC1900 minden verziója;
- SIMATIC ITC1900 PRO minden verziója;
- SIMATIC ITC2200 minden verziója;
- SIMATIC ITC2200 PRO minden verziója;
- SIMATIC MV500 minden verziója;
- SIMATIC RF166C minden verziója;
- SIMATIC RF185C minden verziója;
- SIMATIC RF186C minden verziója;
- SIMATIC RF186CI minden verziója;
- SIMATIC RF188C minden verziója;
- SIMATIC RF188CI minden verziója;
- SIMATIC RF600R minden verziója;
- SIMATIC Teleserver Adapter IE Advanced minden verziója;
- SIMATIC Teleserver Adapter IE Basic minden verziója;
- SINEMA Remote Connect Server: minden, 2.0 SP1-nél korábbi verziója;
- SINUMERIK 808D minden verziója;
- SINUMERIK 828D minden verziója;
- SINUMERIK 840D sl minden verziója;
- TIM 1531 IRC minden verziója.

A gyártó általános kockázatcsökkentő intézkedésekre tett javaslatot, valamint az alábbi termékeihez kiadta a hibák javítását is:

- CloudConnect 712: v1.1.5;
- SCALANCE M875: a hardware SCALANCE M876-4-re vagy RUGGEDCOM RM1224-re frissítése és az ott elérhető javítás telepítése;
- SCALANCE SC-600: v2.0.1.

A sérülékenységekkel kapcsolatban bővebbn információkat a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

SINEMA Remote Connect Server sérülékenységek

Hendrik Derre és Tijl Deneut, a HOWEST munkatársai négy sérülékenységgel kapcsolatban osztottak meg információkat a Siemens-szel, amik a SINEMA Remote Connect Server V2.0 SP1-nél korábbi verzióiban találhatóak meg.

A gyártó a hibákat a V2.0 SP1 verzióban javította. A sérülékenységekről részleteket a Siemens ProductCERT publikációjában lehet elérni.

Sérülékenységek RUGGEDCOM termékekben

A Siemens ProductCERT bejelentése szerint a RUGGEDCOM WIN70xx és WIN72xx Base Station rendszereit érintik a Wind River VxWorks nemrég publikált sérülékenységei.

A gyártó a hibákkal kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről további információk a Siemens ProductCERT weboldalán érhetőek el.

Sérülékenységek Siemens Healthineers rendszerekben

A Siemens ProductCERT bejelentése szerint az Healthineers termékeket érinti a DejaBlue néven ismertté vált Microsoft Remote Desktop Services sérülékenység:

- Aptio by Inpeco minden verziója;
- Aptio by Siemens minden verziója;
- Atellica Data Manager minden verziója;
- Atellica Process Manager minden verziója;
- Atellica Solution minden verziója;
- CentraLink minden verziója;
- Iontris VA11, VA12, VB11 verziók;
- MAGNETOM Vida, MAGNETOM Sola, MAGNE-TOM Lumina, MAGNETOM Altea, MAGNETOMAmira és MAGNETOM Sempra VA10A, VA10A-SP01, VA11A, VA11B, VA12M verziói;
- MagicLinkA minden verziója;
- MagicView1000W minden verziója;
- MagicView300 minden verziója;
- Medicalis Clinical Decision Support minden verziója;
- Medicalis Referal Management minden verziója;
- Medicalis Workflow Orchestrator minden verziója;
- Screening Navigator minden verziója;
- Somatom Go.Up, Somatom Go.Now, SomatomGo.Top, Somatom go.All VA10A, VA20A verziói;
- VM SIS Virtual Server, Sensis High End SISServer VD10B, VD11A, VD11B verziói;
- syngo Dynamics minden verziója;
- syngo Imaging minden verziója;
- syngo Virtual Cockpit minden verziója;
- syngo Workflow MLR minden verziója;
- syngo Workflow SLR minden verziója;
- syngo.plaza minden verziója;
- syngo.via minden verziója;
- syngo.via View & GO minden verziója;
- syngo.via WebViewer minden verziója;
- teamplay vevőberendezés minden verziója.

A gyártó a hibával kapcsolatban kockázatcsökkentő intzkedések bevezetését javasolja. Egyes termékek esetén elérhető javítás illetve a Microsoft által kiadott javítás telepítéséhez szükséges új verzió. A sérülékenységgel kapcsolatban további részleteket a Siemens ProductCERT publikációja tartalmaz.

OSISoft PI SQL kliens sérülékenység

Az OSISoft egy, a PI SQL Client 2018-as verzióját érintő sérülékenységről közölt információkat a DHS CISA-val.

A gyártó a hibát a PI SQL Client 2018 R2 verziójában javította. A sérülékenységről további részleteket az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-253-06

Sérülékenység Delta Electrics rendszerekben

kimiya, a 9sg biztonsági csoport tagja a ZDI-vel együttműködve három sérülékenységet azonosított, amik a Delta Electrics TPEditor nevű, Delta szöveges panelek programozásához használható szoftverének 1.94-es és korábbi verzióit érintik.

A gyártó a hibát a TPEditor 1.95-ös verziójában javította. A sérülékenységekről bővebb információkat az ICS-CERT weboldalán lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-253-01

Sérülékenység CODESYS rendszerekben

Martin Hartmann, a cirosec GmbH munkatársa egy sérülékenységet talált a 3S-Smart Software Solutions CODESYS termékcsaládjának alábbi tagjaiban:

- CODESYS Control for BeagleBone;
- CODESYS Control for emPC-A/iMX6;
- CODESYS Control for IOT2000;
- CODESYS Control for Linux;
- CODESYS Control for PFC100;
- CODESYS Control for PFC200;
- CODESYS Control for Raspberry Pi;
- CODESYS Control RTE V3;
- CODESYS Control RTE V3 (for Beckhoff CX);
- CODESYS Control Win V3 (a CODESYS Development System eleme);
- CODESYS Control V3 Runtime System Toolkit;
- CODESYS V3 Safety SIL2;
- CODESYS Gateway V3;
- CODESYS HMI V3;
- CODESYS V3 Simulation Runtime (a CODESYS Development System eleme).

A gyártó a hibát az érintett termékekhez kiadott 3.5.15.0 verziójú frissítésben javította. A sérülékenység részleteiről az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-255-05

CODESYS Control V3 OPC UA Server sérülékenység

A 3S-Smart Software Solutions GmbH egy sérülékenységet jelentett a DHS CISA-nak, ami a CODESYS Control V3 OPC UA Server alábbi verzióit érinti:

- CODESYS Control for BeagleBone;
- CODESYS Control for emPC-A/iMX6;
- CODESYS Control for IOT2000;
- CODESYS Control for Linux;
- CODESYS Control for PFC100;
- CODESYS Control for PFC200;
- CODESYS Control for Raspberry Pi;
- CODESYS Control RTE V3;
- CODESYS Control RTE V3 (for Beckhoff CX);
- CODESYS Control Win V3 (a CODESYS Development System eleme);
- CODESYS Control V3 Runtime System Toolkit.

A gyártó a hibát a 3.5.15.0 verzióban javította. A sérülékenységről további információkat az ICS-CERT publikációjában lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-255-04

Sérülékenység CODESYS Control V3 Online User Management komponensekben

A 3S-Smart Software Solutions GmbH által szolgáltatott információk szerint a CODESYS termékcsalád alábbi tagjaiban használt Online User Management komponensben egy sérülékenységet találtak:

- CODESYS Control for BeagleBone;
- CODESYS Control for emPC-A/iMX6;
- CODESYS Control for IOT2000;
- CODESYS Control for PFC100;
- CODESYS Control for PFC200;
- CODESYS Control for Raspberry Pi;
- CODESYS Control RTE V3;
- CODESYS Control RTE V3 (for Beckhoff CX);
- CODESYS Control Win V3 (a CODESYS Development System eleme);
- CODESYS V3 Simulation Runtime (a CODESYS Development System eleme);
- CODESYS HMI V3.

A gyártó a hibát a 3.5.15.0 verzióban javította. A sérülékenységgel kapcsolatban további információkat az ICS-CERT weboldalán lehet elérni: https://www.us-cert.gov/ics/advisories/icsa-19-255-03

Cross-site scripting sérülékenység CODESYS rendszerekben

Heinz Füglister, a WRH Walter Reist Holding AG munkatársa egy XSS sérülékenységet fedezett fel, ami a 3S-Smart Software Solutions GmbH minden 32 és 64 bites CODESYS Development System V3-as verzióját érinti a 3.5.15.0 verzió előtt.

A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsa-19-255-02

Sérülékenységek CODESYS V3 webszerverekben

Ivan Cheyrezy, a Schneider Electric munkatársa két sérülékenységet azonosított a CODESYS V3 termékcsalád alábbi tagjaiban használt webszerverekben:

- CODESYS Control for BeagleBone;
- CODESYS Control for emPC-A/iMX6;
- CODESYS Control for IOT2000;
- CODESYS Control for Linux;
- CODESYS Control for PFC100;
- CODESYS Control for PFC200;
- CODESYS Control for Raspberry Pi;
- CODESYS Control RTE V3;
- CODESYS Control RTE V3 (for Beckhoff CX);
- CODESYS Control Win V3 (a CODESYS Development System eleme);
- CODESYS HMI V3;
- CODESYS Control V3 Runtime System Toolkit;
- CODESYS V3 Embedded Target Visu Toolkit;
- CODESYS V3 Remote Target Visu Toolkit.

A gyártó a hibákat a legújabb verziókban javította. A sérülékenységekről további részleteket az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-19-255-01

Sérülékenységek Philips orvostechnikai berendezésekben

Shawn Loveric a Finite State, Inc. munkatársa két sérülékenységet talált az alábbi Philips termékekben:

- IntelliVue MP monitorok MP20-MP90 (M8001A/2A/3A/4A/5A/7A/8A/10A) WLAN A verzió, A.03.09-es firmware-verziója;
- IntelliVue MP monitorok MP5/5SC (M8105A/5AS) WLAN A verzió, A.03.09-es firmware-verziója;
- IntelliVue MP monitorok MP2/X2 (M8102A/M3002A) WLAN B verzió, A.01.09-es firmware-verziója;
- IntelliVue MP monitorok MX800/700/600 ((865240/41/42)WLAN B verzió, A.01.09-es firmware-verziója.

A gyártó a hibákat a WLAN C verziójának B.00.31-es verziójában javította. A sérülékenységekről bővebb információkat az ICS-CERT weboldalán lehet találni: https://www.us-cert.gov/ics/advisories/icsma-19-255-01

Sérülékenységek Schneider Electric U.motion Server termékekben

Zhu Jiaqi és Constantin-Cosmin Craciun hat sérülékenységet azonosítottak a Schneider Electric alábbi termékeiben:

- MEG6501-0001 - U.motion KNX server;
- MEG6501-0002 - U.motion KNX Server Plus;
- MEG6260-0410 - U.motion KNX Server Plus, Touch 10;
- MEG6260-0415 - U.motion KNX Server Plus, Touch 15.

A gyártó a hibákat az érintett rendszerekhez kiadott 1.3.7-es verzióban javította. A sérülékenységekről további részleteket a Schneider Electric publikációjában lehet olvasni.

Sérülékenység Schneider Electric Modicon vezérlőkben

A Schneider Electric bejelentése szerint egy sérülékenység található a Modicon Quantum 140 NOE771x1 típusú vezérlőik 6.9-es és korábbi verzióiban.

A gyártó a hibát az érintett vezérlők 7.0-s firmware-verziójában javította. A sérülékenységről bővebb információk a Schneider Electric bejelentésében találhatóak.

Sérülékenységek Schneider Electric TwidoSuite rendszerekben

A Schneider Electric két sérülékenységről közölt információkat a weboldalán, amik a TwidoSuite v2.20.11-es verzió Windows 7 SP1 32-bites operációs rendszerein futó telepítéseit érintik.

A TwidoSuite termék 2016 decemberében elérte életciklusa végét, a gyártó ezért az érintett terméket használó ügyfeleinek a Modicon M221-es vagy más Modicon PLC-kre történő váltást javasolja. A sérülékenységekről további információkat a Schneider Electric weboldalán lehet találni.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.