Valamivel több, mint egy héttel ezelőtt egy meglepő, de nagyon pozitív cikkre hívta fel a figyelmemet egy barátom, az iho.hu-n, vagyis a vasúti témákkal foglalkozó Indóház online változatán egy ICS rendszerek biztonságával foglalkozó cikk jelent meg. Maga a cikk a téma fontosságának általános és rövid bemutatásánál nem ment tovább, de mégis nagyon fontos, hogy megjelent és az is, hogy egy, a kötött pályás közlekedés világában ismert oldalon írtak róla. Különösképpen úgy, hogy a vasúti jelző- és biztosító berendezések is a folyamatvezérlő rendszerek nagy családjába tartoznak, így az ICS rendszek (egy részének) kiberbiztonsága közvetlen hatással lehet a vasúti üzemre és a vasúton utazók és dolgozók biztonságára is.

Bízom benne, hogy nem egyszeri esetről van szó és a vasúti rendszerekkel foglalkozó IT biztonsági szakemberek közül mind többen fognak elmélyedni az ICS kiberbiztonság világában.

Sérülékenység Philips rendszerekben

Az ICS-CERT bejelentése szerint egy ügyfél nem megfelelő erősségű jelszókövetelményekre visszavezethető sérülékenységet jelentett a Philips-nek, ami a gyártó alábbi rendszereit érinti:

- az iSite PACS minden verziója;
- az IntelliSpace PACS minden verziója.

A Philips havi rendszerességgel jelentet meg hibajavításokat a támogatással még rendelkező termékeihez, az ISite 3.6-os platform azonban már minden szempontból nem támogatott terméknek számít. A gyártó emiatt kockázatcsökkentő intézkedésekre vonatkozó javaslatokat is közzétett.

A sérülékenységről az ICS-CERT publikációja tartalmaz további részleteket: https://ics-cert.us-cert.gov/advisories/ICSMA-18-312-01

Sérülékenység Siemens SIMATIC panelekben és SIMATIC WinCC (TIA Portal) rendszerekben

A Siemens ProductCERT publikációja szerint a gyártó egy code injection sérülékenységet fedezett fel az alábbi termékeiben:

- SIMATIC HMI Comfort 4"-22"-os panelek minden, V14-nél korábbi verziója;
- SIMATIC HMI Comfort Outdoor 7"-os és 15"-os panelek minden, V14-nél korábbi verziója;
- SIMATIC HMI KTP mobil panelek KTP400F, KTP700, KTP700F, KTP900 és KTP900F változatainak minden, V14-nél korábbi verziója;
- SIMATIC WinCC Runtime Advanced minden, V14-nél korábbi verziója;
- SIMATIC WinCC Runtime Professional minden, V14-nél korábbi verziója;
- SIMATIC WinCC (TIA Portal) minden, V14-nél korábbi verziója;
- SIMATIC HMI Classic eszközök (TP/MP/OP/MP mobil panelek) minden, V14-nél korábbi verziója.

A gyártó a hibát az érintett termékek V15 Update 4 és újabb verzióiban javította valamint kockázatcsökkentő intézkedésekre vonatkozó javaslatokat is publikált. A sérülékenységgel kapcsolatban további információkat a Siemens ProductCERT bejelentésében lehet olvasni: https://cert-portal.siemens.com/productcert/pdf/ssa-944083.pdf

Siemens SIMATIC IT termékcsalád sérülékenysége

A gyártó egy sérülékenységet azonosított a SIMATIC IT termékcsalád alábbi tagjaiban:

- SIMATIC IT LMS minden verziója;
- SIMATIC IT Production Suite minden, V7.1 Upd3-nál korábbi V7.1 verziója;
- SIMATIC IT UA Discrete Manufacturing minden, V1.2, V1.3 és korábbi verziói;
- SIMATIC IT UA Discrete Manufacturing V2.3 és V2.4 verziója.

A gyártó minden érintett és támogatással még rendelkező verzióhoz elérhetővé tette a javításokat. A sérülékenységről további információkat a Siemens ProductCERT oldalán lehet találni: https://cert-portal.siemens.com/productcert/pdf/ssa-886615.pdf

Sérülékenység SIMATIC Step7 (TIA Portal) rendszerekben

A Siemens egy jelszótároláshoz kapcsolódó sérülékenységet azonosított a SIMATIC Step (TIA Portal) V15.1-nél korábbi verzióiban.

A gyártó a hibát a V15.1-es verzióban javította. A sérülékenységgel kapcsolatban további részleteket a Siemens ProductCERT bejelentésében lehet olvasni: https://cert-portal.siemens.com/productcert/pdf/ssa-621493.pdf

DoS sérülékenység SIMATIC S7 kommunikációs processzorokban

A Siemens ProductCERT Younes Dragonival, a Nozomi Networks munkatársával és az ICS-CERT-tel együttműködve egy szolgáltatás-megtagadásos támadást lehetővé tevő sérülékenységről publikált információt, ami az alábbi termékeiket érinti:

- SIMATIC S7-1200 minden verziója;
- SIMATIC S7-1500 minden, V2.6-nál korábbi verziója.

A gyártó az S7-1500-as termékekhez kiadta a hibát javító verziót, az S7-1200-as termékekhez pedig kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenység részleteit a Siemens ProductCERT weboldalán lehet megtalálni.

Sérülékenység Siemens SCALANCE S termékekben

Nelson Berg, az Applied Risk munkatársa egy Cross-site Scripting sérülékenységet fedezett fel a Siemens SCALANCE S termékcsalád alábbi tagjaiban:

- SCALANCE S602 minden, V4.0.1.1-nél korábbi verziója;
- SCALANCE S612 minden, V4.0.1.1-nél korábbi verziója;
- SCALANCE S623 minden, V4.0.1.1-nél korábbi verziója;
- SCALANCE S627-2M minden, V4.0.1.1-nél korábbi verziója.

A gyártó a hibát a V4.0.1.1-es verzióban javította. A sérülékenységről további információkat a Siemens ProductCERT publikációja tartalmaz: https://cert-portal.siemens.com/productcert/pdf/ssa-242982.pdf

Webalkalmazás sérülékenységek Siemens SIMATIC panelekben

Hosni Tounsi, a Carthage Red Team munkatársa két, webalkalmazás sérülékenységet azonosított a Siemens SIMATIC alábbi paneljeiben:

- SIMATIC HMI Comfort 4"-22"-os panelek minden, V14-nél korábbi verziója;
- SIMATIC HMI Comfort Outdoor 7"-os és 15"-os panelek minden, V14-nél korábbi verziója;
- SIMATIC HMI KTP mobil panelek KTP400F, KTP700, KTP700F, KTP900 és KTP900F változatainak minden, V14-nél korábbi verziója;
- SIMATIC WinCC Runtime Advanced minden, V14-nél korábbi verziója;
- SIMATIC WinCC Runtime Professional minden, V14-nél korábbi verziója;
- SIMATIC WinCC (TIA Portal) minden, V14-nél korábbi verziója;
- SIMATIC HMI Classic eszközök (TP/MP/OP/MP mobil panelek) minden, V14-nél korábbi verziója.

A hibákat a gyártó a V15 Update 4 és újabb verziókban javította. A sérülékenységekről további információkat a Siemens ProductCERT bejelentésében lehet találni: https://cert-portal.siemens.com/productcert/pdf/ssa-233109.pdf

DoS sérülékenység SIMATIC S7-400 kommunikációs processzorokban

A Siemens a CNCERT/CC-vel együttműködve két sérülékenységet azonosított az alábbi termékeiben:

- SIMATIC S7-400 V6 és korábbi modellek minden verziója;
- SIMATIC S7-400 PN/DP V7 minden verziója;
- SIMATIC S7-400H V4.5 és korábbi modellek minden verziója;
- SIMATIC S7-400H V6 minden verziója;
- SIMATIC S7-410 minden a V8.2.1-nél korábbi verziója.

A gyártó az S7-410-es eszközökhöz adott ki javítást a hibákkal kapcsolatban, a többi érintett termékre vonatkozóan kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységek részletes leírása a Siemens ProductCERT weboldalán érhető el: https://cert-portal.siemens.com/productcert/pdf/ssa-113131.pdf

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Cloud Security Alliance egy elsősorban felhő-rendszerek biztonságával foglalkozó szervezet, ami 2009 óta számos biztonsági témájú kutatást végez, keretrendszereket dolgoz ki és publikál, biztonsági témájú konferenciákat szervez.

A nemrég bejelentett ICS Security Working Group Charter főbb céljai az alábbiak:

- Az ICS rendszerek és berendezések üzemeltetőinél a biztonságtudatosság fejlesztése;
- Jobban megértetni a felsővezetőkkel az ICS biztonsági követelmények fontosságát;
- A felhős ICS rendszerek üzleti és technológiai felhasználási lehetőségeinek kidolgozása;
- ICS biztonsági kockázatelemzések készítése;
- Az ICS biztonság kihívásainak elemzése - biztonságtudatosság, szervezeti és folyamatkockázatok, tudás és technológiai kockázatok;
- Iparág-specifikus szabványok és szabályozások kidolgozása.

A kezdeményezés részleteiről ebben a PDF-ben lehet olvasni.

Bár én alapvetően támogatok minden olyan kezdeményezést, ami az IT vagy ICS rendszerek kiberbiztonságának javítását célozza, de továbbra is meggyőződésem, hogy az ICS rendszerek esetén a publikus hálózatoktól és különösen a publikus felhő-rendszerektől a lehető legnagyobb szeparáltságot célszerű fenntartani és a privát felhők esetén is nagyon komoly előzetes kockázatelemzéseket kell végezni, hogy milyen következményei lehetnek egy vezérlőrendszer (vagy akár csak egyes elemeinek) a felhőbe költöztetésének. Minden esetre érdekes lesz látni, hogy mi lesz a jövője ennek a kezdeményezésnek.

Sérülékenységek Moxa ThingsPro rendszerekben

A gyártó publikációja szerint 7 különböző hibát azonosítottak a Moxa ThingsPro Gateway 2.1-es verziójában. A hibákat (egy kivételével, ehhez kockázatcsökkentő intézkedésre tett javaslatot) a Moxa a ThingsPro Gateway 2.3-as verziójában javította. A sérülékenységekről további részleteket a Moxa weboldalán lehet olvasni: https://www.moxa.com/support/faq/faq_detail.aspx?id=2724

Sérülékenység Fr. Sauter rendszerekben

Gjoko Krstic, az Applied Risk munkatársa egy XXE (XML External Entity Reference) sérülékenységet fedezett fel az Fr. Sauter CASE Suite 3.10-es és korábbi verzióiban.

A hibát a gyártó a CASE Suite 3.10-es verzióhoz kiadott Service Release 1-ben javította. A sérülékenységről részletesebb információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-305-04

Circontrol CirCarLife sérülékenység

Öt különböző biztonsági kutató is jelentette azt a két hibát, amit a Circontrol CirCarLife nevű, elektromos autótöltőjének 4.3.1-es verziójú szoftverében találtak. A gyártó a hibák javítását tartalmazó új verziót már elérhetővé tette. A sérülékenységek részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-305-03

Sérülékenység Schneider Electric rendszerekben

A Venustech egy DLL hijacking sérülékenységet talált a Schneider Electric Software Update termékének v2.2.0-nál korábbi verzióiban. A Software Update-et az alábbi Schneider Electric megoldások használják:

- Acti 9 Smart Test;
- AltivarATV320DtmLibrary;
- AltivarDTMLibrary;
- AltivarMachine340DTMLibrary;
- AltivarProcessATV6xxDTMLibrary;
- AltivarProcessATV9xxDTMLibrary;
- Blue;
- CompactNSX Firmware Update;
- Ecodial Advance Calculation;
- eConfigure;
- Ecoreach Software;
- EcoStruxure Modicon Builder;
- eXLhoist Configuration Software;
- Lexium 26 DTM Library;
- Lexium 28 DTM Library;
- Lexium 32 DTM Library;
- LV Motor Starter;
- PowerSCADA Expert;
- Schneider Electric Floating License Manager;
- Schneider Electric License Manager;
- Schneider Electric Motion Sizer;
- Schneider Electric SQL Gateway;
- SoMachine Basic;
- SoMachine Motion Software;
- SoMachine Motion Tools v4.3;
- SoMachine Software;
- SoMove;
- SoSafe Configurable;
- SoSafe Programmable v2.1;
- TeSysDTM;
- Unity Loader;
- Unity Pro;
- Vijeo Citect;
- Vijeo Designer;
- Vijeo Designer Opti 6.1;
- Vijeo XD;
- Web Gate Client Files.

A Schneider Electric a hibát a Software Update v2.2.0 verziójában javította. A sérülékenységgel kapcsolatosan további információkat az ICS-CERT, illetve (megfelelő jogosultságok birtokában) a Schneider Electric weboldalán lehet olvasni.

Sérülékenységek AVEVA rendszerekben

A Tenable két sérülékenységet jelentett a gyártónak, amik az AVEVA alábbi rendszereit érintik:

- InduSoft Web Studio 8.1 SP2-nél korábbi verziói;
- InTouch Edge HMI (korábbi nevén InTouch Machine Edition) 2017 SP2-nél korábbi verziói.

A gyártó a hibákat javító verziókat már elérhetővé tette. A sérülékenységről további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-305-01

Sérülékenységek Roche egészségügyi rendszerekben

Niv Yehezkel, a Medigate munkatársa 5 sérülékenységet azonosított a Roche Point of Care hordozható egészségügyi termékcsaládjának alábbi tagjaiban:

- Accu-Chek Inform II;
- CoaguChek Pro II;
- CoaguChek XS Plus;
- CoaguChek XS Pro;
- cobas h 232 POC.

A gyártó a sérülékenységekkel kapcsolatban kockázatcsökkentő intézkedések bevezetését javasolja és november hónap folyamán tervez javítást kiadni. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-310-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Bár idén már 8 éve, hogy a Stuxnet visszavonhatatlanul ráirányította a figyelmet az ICS rendszerek biztonságára, még mindig nagyon sok tévhit él a témával kapcsolatban, sokan pedig (különösen az IT illetve az IT biztonság területén dolgozó szakemberek közül) nincsenek tisztában azzal, hogy a mindennapi munkájuk során bizony ők is kapcsolatba kerülnek ICS rendszerekkel (elég csak a szervertermek/hosting szolgáltatók által használt felügyeleti rendszerekre gondolni, amikkel a szervertermek hűtését, szünetmentes elektromos ellátását, stb. biztosítják). Augusztus végén a Tripwire (ami az elmúlt években, mióta a vállalatot felvásárolta az ICS világában ismert Belden, egyre komolyabb hangsúlyt helyez az ICS rendszerek biztonságával kapcsolatos munkákra és publikációkra) két cikkben is napjaink leginkább égető, ICS biztonsági kérdéseivel foglalkozó cikket jelentetett meg.

Az első cikk az IT és az OT egyre szorosabb együttműködésével és ezek ICS biztonságra gyakorolt hatásával illetve kihívásaival foglalkozik, a DHS és az FBI által márciusban kiadott joint technical alert (TA) kapcsán. A cikkben bemutatják, milyen volt korábban az IT és az OT viszonya (jellemzően elkülönülő szerepek és felelősségek jellemezték) és milyen ma, illetve milyen irányba mutatnak a jelenleg is zajló folyamatok (az IT olyan rendszereket - is - üzemeltet, amik az OT munkájához lassan, de biztosan egyre inkább nélkülözhetetlenek lesznek, az OT által üzemeltetett rendszerek pedig egyre inkább nem csak a fizikai folyamatok vezérlésével foglalkozik, hanem támogatják - pl. adatokkal - az IT illetve az üzleti területek munkáját). A cikk teljes terjedelmében itt érhető el: https://www.tripwire.com/state-of-security/ics-security/ics-security-in-the-age-of-it-ot-convergence/

A második cikk az ICS biztonság szervezeti kultúrában megjelenő kihívásaival foglalkozik, kiemelve hogy az ICS biztonság mára egy ugyanolyan, folyamatosan változó és fejlődő szakterületté vált, mint amilyen az IT biztonság immár legalább másfél-két évtizede. Külön fejezetben megjelenik az ipari IoT (IIoT), mint napjaink egyik legnagyobb ICS biztonsági kihívása (és buzzword-je). A cikk végül megpróbál választ adni a felmerült kérdésekre, még egy rövid videóban is összefoglalják az ICS biztonsággal kapcsolatos, IT biztonsági szakembereknek szánt tanácsaikat. A cikket itt lehet elolvasni: https://www.tripwire.com/state-of-security/ics-security/ics-security-challenge-organizations/

Sérülékenységek LCDS LAquis SCADA rendszerekben

A ZDI számos biztonsági kutatóval együttműködve 6 különböző sérülékenységről publikált információkat, amik az LCDS LAquis SCADA Smart Security Manager-ének 4.1.0.3870-es és korábbi verzióit érintik.

A gyártó a hibákat a 4.1.0.4114-es verzióban javította. A sérülékenységekkel kapcsolatban további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-289-01

Omron CX-Supervisor sérülékenységek

A ZDI több biztonsági kutatóval közösen 4 sérülékenység részleteit tette közzé az Omron CX-Supervisor 3.4.1.0 és korábbi verzióival kapcsolatban.

A gyártó a hibákat a CX-Supervisor 3.4.2-es verzióban javította. A sérülékenységekről részleteket az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-290-01

Sérülékenység Telecrane berendezésekben

Hét biztonsági kutató a ZDI-vel együttműködve publikált egy sérülékenységet, ami a Telecrane F25 Series berendezéseinek 00.0A-nál korábbi firmware-verzióit érinti.

A hibát a gyártó a 00.0A verzióban javította. A sérülékenységről bővebben az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-296-03

GAIN Electronic termékek sérülékenységei

Ugyancsak ez a hét biztonsági kutató publikálta azt a három sérülékenységet, amik a GAIN Electronic SAGA1-L8B termékének A0.10-nél korábbi firmware-verzióit érintik.

A gyártó a hibákat az A0.10-es verzióban javította. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-296-02

Sérülékenységek Advantech WebAccess rendszerekben

Mat Powell a ZDI-vel közösen több publikációban is Advantech WebAccess sérülékenységeket hozott nyilvánosságra. A 8.3.1 és korábbi verziókban 4, a 8.3.2 és korábbi verziókban további 2 sérülékenységet fedeztek fel.

A gyártó a hibákat a WebAccess 8.3.3-as verzióban javította. A sérülékenységekkel kapcsolatos részleteket az ICS-CERT alábbi publikációiban lehet olvasni:

https://ics-cert.us-cert.gov/advisories/ICSA-18-296-01
https://ics-cert.us-cert.gov/advisories/ICSA-18-298-02

GEOVAP rendszerek sérülékenységei

Ismail Mert AY AK egy GEOVAP Reliance 4 SCADA/HMI-jal kapcsolatos sérülékenységet jelentett az NCCIC-nek, ami a Reliance 4 SCADA/HMI 4.7.3 Update 3 és korábbi verzióit érinti.

A gyártó a hibát a 4.8.0 verzióban javította. A sérülékenységgel kapcsolatban további információkat az ICS-CERT weboldalán találnak az érdeklődők: https://ics-cert.us-cert.gov/advisories/ICSA-18-298-01

PEPPERL+FUCHS rendszer sérülékenység

A gyártó egy nem megfelelő jogosultság kezelésből származó hibát jelentett a CERT@VDE-nek, akik pedig ezt az információt megosztották az NCCIC-vel. A sérülékenység a PEPPERL+FUCHS CT50-Ex típusú mobil számítógépeinek Android OS v4.4 és v6.0 verzióival futó, a Honeywell által gyártott példányait érinti.

A gyártó a hibát az újabb verziókban már javította, a sérülékenységgel kapcsolatos további részleteket illetve a hibajavítást tartalmazó pontos verziókat az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-303-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az elmúlt néhány évben egyre jobban felgyorsult az IT hálózatokra, egyre gyakrabban vezeték nélküli hálózatokra csatlakoztatott orvosi eszközök terjedése és ezzel párhuzamosan nő az ilyen orvosi rendszerekben felfedezett sérülékenységek száma is.

A probléma súlyát és méretét mutatja a legújabb fejlemény is, hogy megjelent az NIST SP 1800-8-as sorszámú kiadványa, ami kifejezetten a vezeték nélküli hálózatokra csatlakozó infúziós rendszerek biztonsági beállításaira tesz ajánlásokat.

Az új NIST SP az IT rendszerek esetén széles körben használt, szintén az NIST által kiadott SP 800-53 és az ISO/IEC 27001:2013 mellett az egészségügyi szektor által használt IEC/TR 80001-2-2 és a HIPPA biztonsági szabályaival is számos ponton kapcsolódik, így azok számára, akik alkalmazni fogják az NIST új dokumentumát, nem szükséges teljesen a nulláról indulniuk.

Az NIST SP 1800-8 itt érhető el: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-8.pdf

A Detroit-i rendőrség szerint egy benzinkút rendszerébe tört be egy vagy több ismeretlen, aminek következtében 600 gallon (kb. 2270 liter) üzemanyagot tankoltak legalább 10 autóba anélkül, hogy fizettek volna érte.

Az esetről a Fox 2 Detroit,a Slashdot és a Gizmodo is írt és bár sok még a nem ismert részlet, a jelek szerint nem kizárt, hogy megjelentek a folyamatvezérlő rendszerek elleni támadások új generációját képviselő, a tisztán pénzszerzési célú támadások (ahogy kb. másfél hónapja már írtam egy hasonló, oroszországi esetről) egyik első esetéről van szó.

Siemens SIMATIC S7-1200 CPU-család sérülékenység

Lisa Fournet és Marl Joos, a P3 communications GmbH munkatársai egy Cross-site Request Forgery sérülékenységet találtak a Siemens SIMATIC S7-1200 CPU-család 4.2.3-nál korábbi verzióiban.

A gyártó a hibát a 4.2.3-as verzióban javította. A sérülékenységről további információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenység Siemens SCALANCE rendszerekben

A Siemens egy titkosítással kapcsolatos hibát azonosított a SCALANCE W1750D típusú eszközeinek v8.3.0.1-nél korábbi verzióiban. A hibát a v8.3.0.1 verzióban javították.

A sérülékenységről bővebben a Siemens ProductCERT és az ICS-CERT weboldalán lehet olvasni.

Sérülékenység Siemens SIMATIC vezérlőkben

Marcin Dudek, Jacek Gajewski, Kinga Staszkiewicz, Jakub Suchorab és Joanna Walkiewicz, a Lengyel Nemzeti Nukleáris Kutatóintézet munkatársai egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó, DoS-támadást lehetővé tevő sérülékenységet azonosítottak az alábbi Siemens SIMATIC vezérlőkben:

- Simatic S7-1500, v2.0-tól v2.5-ös verzióig;
- Simatic S7-1500 szoftveres vezérlők, v2.0-tól v2.5-ös verzióig;
- Simatic ET 200SP Open Controller minden verziója.

A gyártó a hibát az S7-1500 és S7-1500 szoftveres vezérlőkben javította. A sérülékenységről részleteket a Siemens ProductCERT és az ICS-CERT publikációi tartalmaznak.

Sérülékenység Siemens ROX II berendezésekben

A Siemens két jogosultságkezeléssel kapcsolatos hibát fedezett fel a ROX II minden, v2.12.1-nél korábbi verzióiban. A hibákat a gyártó a v2.12.1-es verzióban javította. A sérülékenységekről bővebb információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenységek Siemens ipari termékekben

A Siemens ProductCERT publikációja szerint három sérülékenységet találtak az alábbi Siemens ipari rendszerekben:

- RUGGEDCOM APE: minden verzió;
- RUGGEDCOM RX1400 VPE: minden verzió;
- SIMATIC ET 200 SP Open Controller: minden verzió;
- SIMATIC ET 200 SP Open Controller (F): minden verzió;
- SIMATIC Field PG M4: minden, V18.01.09-nél korábbi BIOS verzió;
- SIMATIC Field PG M5: minden, V22.01.06-nál korábbi BIOS verzió;
- SIMATIC IPC227E: minden verzió;
- SIMATIC IPC277E: minden verzió;
- SIMATIC IPC3000 SMART V2: minden verzió;
- SIMATIC IPC327E: minden verzió;
- SIMATIC IPC347E: minden verzió;
- SIMATIC IPC377E: minden verzió;
- SIMATIC IPC427C: minden verzió;
- SIMATIC IPC427D: minden, V17.0X.14-nél korábbi BIOS verzió;
- SIMATIC IPC427E: minden, V21.01.09-nél korábbi BIOS verzió;
- SIMATIC IPC477C: minden verzió;
- SIMATIC IPC477D: minden, V17.0X.14-nél korábbi BIOS verzió;
- SIMATIC IPC477E: minden, V21.01.09-nél korábbi BIOS verzió;
- SIMATIC IPC477E Pro: minden, V21.01.09-nél korábbi BIOS verzió;
- SIMATIC IPC547E: minden verzió;
- SIMATIC IPC547G: minden verzió;
- SIMATIC IPC627C: minden verzió;
- SIMATIC IPC627D: minden verzió;
- SIMATIC IPC647C: minden verzió;
- SIMATIC IPC647D: minden verzió;
- SIMATIC IPC677C: minden verzió;
- SIMATIC IPC677D: minden verzió;
- SIMATIC IPC827C: minden verzió;
- SIMATIC IPC827D: minden verzió;
- SIMATIC IPC847C: minden verzió;
- SIMATIC IPC847D: minden verzió;
- SIMATIC ITP1000: minden verzió;
- SIMATIC S7-1500 CPU S7-1518-4 PN/DP MFP (MLFB: 6ES7518-4AX00-1AC0): minden verzió;
- SIMATIC S7-1500 CPU S7-1518F-4 PN/DP MFP (MLFB: 6ES7518-4FX00-1AC0): minden verzió;
- SIMATIC S7-1500 Software Controller: minden verzió;
- SIMOTION P320-4E: minden verzió;
- SIMOTION P320-4S: minden verzió;
- SINUMERIK 840 D sl (NCU720.3B, NCU730.3B, NCU720.3, NCU730.3): minden verzió;
- SINUMERIK PCU 50.5: minden verzió;
- SINUMERIK Panels wtih integrated TCU: minden 2016-ban vagy ez után megjelent verzió;
- SINUMERIK TCU 30.3: minden verzió.

A sérülékenységekről további részleteket a Siemens ProductCERT bejelentése tartalmaz.

GE iFix sérülékenység

LiMingzheng, a 360 aegis biztonsági csoport tagja egy sérülékenységet azonosított a GE iFix HMI rendszereiben használt Gigasoft komponensben. A hiba az alábbi GE iFix verziókat érinti:

- iFIX 2.0-5.0;
- iFIX 5.1;
- iFIX 5.5;
- iFIX 5.8.

A GE a hibát az iFix 5.9-es verziójában javította. A sérülékenységről részleteket az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-282-01

Sérülékenységek Delta Electronics rendszerekben

Ariele Caltabiano (kimiya), a 9SG Security Team tagja és Mat Powell a ZDI-vel együttműködve két sérülékenységet azonosítottak a Delta Electronics TPEditor nevű szoftverének 1.90-es és korábbi verzióiban.

A gyártó a hibákat a TPEditor 1.91-es verziójában javította. A sérülékenységekről bővebb információkat az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-284-03

Sérülékenységek NUUO rendszerekben

Pedro Ribeiro négy sérülékenységet fedezett fel a NUUO CMS rendszerének 3.1-es és korábbi verzióiban. A gyártó a hibát a v3.3-as firmware-verzióban javította.

A sérülékenységek részleteit az ICS-CERT publikációjában lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-284-02-NUUO-CMS

NUUO videórögzítő rendszerek sérülékenységei

Jacob Baines, a Tenable munkatársa két sérülékenységet talált a NUUO NVRmini2 és NVRsolo videórögzítő rendszereinek 3.8.0 és korábbi verzióiban. A gyártó a hibát a v3.9.1-es verzióban javította.

A sérülékenységekről további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-284-01

Sérülékenység Fuji Electric rendszerekben

Karn Ganeshen egy DLL-injection-t lehetővé tevő hibát azonosított a Fuji Electric Energy Savings Estimator V.1.0.2.0 és korábbi verzióiban.

A gyártó a hibát a V.1.0.2.1 verzióban javította. A sérülékenységgel kapcsolatos bővebb információkat az ICS-CERT weboldalán lehet elérni: https://ics-cert.us-cert.gov/advisories/ICSA-18-282-07

Sérülékenységek Hangzhou Xiongmai Technology rendszerekben

Stefan Viehböck 3 sérülékenységet jelentett az NCCIC-nek, amik a Hangzhou Xiongmai Technology minden olyan termékét érintik, amik használják a XMeye P2P Cloud Server-t.

A gyártó mostanáig sem javítást, sem más kockázatcsökkentő intézkedéseket nem publikált a hibákkal kapcsolatban. A sérülékenységek részleteit az ICS-CERT weboldalán lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-282-06

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Dragos által Raspite, a Symantec által pedig Leafminer névvel azonosított csoport a kutatók feltételezései szerint 2017 eleje vagy közepe óta aktív. A csoport célpontjai között egyaránt találhatóak az USA-ban, a Közel-Keleten, Európában és Kelet-Ázsiában működő szervezetek, de az eddig feltárt információk szerint villamosenergia-ipari cégeket (mostanáig) csak az Egyesült Államokban támadtak.

A Raspite/Leafminer műveletei egyelőre nem mutatják annak jeleit, hogy már képesek lennének ICS rendszereket kompromittálni, azonban a közműcégek stratégiai fontosságú weboldalai illetve felhasználói ellen indított támadások és az, hogy igyekeznek minél több módon hozzáféréseket szerezni ezeknek a szervezeteknek a belső hálózataihoz, arra engednek következtetni, hogy csak idő kérdése, mikor jutnak el valamelyik szervezet ICS rendszereiig.

A Dragos blogbejegyzése a Raspite-ról itt, a Symantec cikke a Leafminer-ről pedig itt érhető el.