Sérülékenységek INVT Electric rendszerekben

Ariele Caltabiano, a ZDI-vel együttműködve két sérülékenységet fedezett fel az INVT Electric VT-Designer nevű szoftverének 2.1.7.31-es verziójában. A gyártótól mostanáig nem érkezett javítás a most publikált hibákkal kapcsolatban. A sérülékenységekről részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-333-01

SpiderControl SCADA WebServer sérülékenység

Ismail Bulbul egy, a SpiderControl SCADA WebServer 2.03.0001-nél korábbi verzióit érintő sérülékenységről tájékoztatta az NCCIC-t. A gyártó a hibát a 2.03.0001-es verzióban javította. A sérülékenységről bővebb információkat az ICS-CERT weboldalán lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-338-02

Omron CX-One sérülékenységek

Esteban Ruiz, a Source Incite munkatársa a ZDI-vel együttműködve két sérülékenységről hozott nyilvánosságra részleteket, amelyek az Omron alábbi szoftvereit érintik:

- CX-Programmer 9.66 és korábbi verziói;
- CX-Server 5.0.23 és korábbi verziói.

A gyártó a hibákat a CX-Programmer 9.70-es és a CX-Server 5.0.24-es verzióiban javította. A sérülékenységekről további részleteket az ICS-CERT publikációjában lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-338-01

Sérülékenység Rockwell Automation PLC-kben

David Noren egy, a Rockwell Automation alább felsorolt PLC-iben található kritikus funkció esetén hiányzó authentikációból eredő hibát fedezett fel:

- MicroLogix 1400 vezérlők:
- A sorozat minden verziója;
- B sorozat, v21.003 és korábbi verziói;
- C sorozat, v21.003 és korábbi verziói.
- 1756 ControlLogix EtherNet/IP kommunikációs modulok:
- 1756-ENBT minden verziója;
- 1756-EWEB A sorozat minden verziója;
- 1756-EWEB B sorozat minden verziója.
- 1756-EN2F A sorozat minden verziója;
- 1756-EN2F B sorozat minden verziója;
- 1756-EN2F C sorozat, v10.10 és korábbi verziói.
- 1756-EN2T A sorozat minden verziója;
- 1756-EN2T B sorozat minden verziója;
- 1756-EN2T C sorozat minden verziója;
- 1756-EN2T D sorozat, v10.10 és korábbi verziói.
- 1756-EN2TR A sorozat minden verziója;
- 1756-EN2TR B sorozat minden verziója;
- 1756-EN2TR C sorozat, v10.10 és korábbi verziói.
- 1756-EN3TR A sorozat minden verziója;
- 1756-EN3TR B sorozat, v10.10 és korábbi verziói.

A sérülékenységgel kapcsolatban elérhető javítások listáját és a sérülékenység további részleteit az ICS-CERT weboldalán lehet elérni: https://ics-cert.us-cert.gov/advisories/ICSA-18-310-02

Sérülékenység GE rendszerekben

Vladimir Dashchenko, a Kaspersky Lab munkatársa egy sérülékenységet azonosított, amelyek a GE Cimplicity alábbi verzióit érintik:

- Cimplicity 9.0 R2;
- Cimplicity 9.5;
- Cimplicity 10.0

A gyártó a hibát javító verziót már elérhetővé tette. A sérülékenységgel kapcsolatban részletesebb információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-340-01

Philips egészségügyi rendszerek sérülékenysége

Egy névtelenségbe burkolózó biztonsági kutató egy nem megfelelő erősségű titkosításból eredő sérülékenységet jelentett a Philips-nek, ami minden Philips HealthSuite Health Android alkalmazást érint. A gyártó a hibát várhatóan 2019 első negyedévében fogja javítani, addig is kockázatcsökkentő intézkedéseket javasol az érintett termékét használó ügyfeleinek. A sérülékenységről bővebb információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSMA-18-340-01

Sérülékenységek Siemens SINUMERIK vezérlőkben

Anton Kalinin, Danila Parnishchev, Dmitry Sklyar, Gleb Gritsai, Kirill Nesterov, Radu Motspan, és Sergey Sidorov, a Kaspersky Lab munkatársai a Siemens-szel együttműködve 10 különböző sérülékenységet azonosítottak a SINUMERIK CNC-vezérlők alábbi verzióiban:

- SINUMERIK 808D v4.7 minden verziója;
- SINUMERIK 808D v4.8 minden verziója;
- SINUMERIK 828D v4.7 minden, v4.7 SP6 HF1-nél korábbi verzió;
- SINUMERIK 840D sl v4.7 minden, v4.7 SP6 HF5-nél korábbi verzió;
- SINUMERIK 840D sl v4.8 minden, v4.8 SP3-nál korábbi verzió.

A gyártó már számos, érintett termékéhez kiadta a hibákat javító új verziókat, a többi érintett termék esetén pedig jelenleg is dolgozik a javításokon. A sérülékenységekről részletesebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Sérülékenység Siemens SINAMICS PERFECT HARMONY GH180-as HMI-okban

A Siemens és a McAfee közös publikációja alapján a SINAMICS PERFECT HARMONY GH180-as HMI-okon futó MACC komponens hibája miatt az alábbi verziókban találtak sérülékenységet:

- SINAMICS PERFECT HARMONY GH180: MLFB 6SR32 sorozat;
- SINAMICS PERFECT HARMONY GH180: MLFB 6SR42 sorozat;
- SINAMICS PERFECT HARMONY GH180: MLFB 6SR52 sorozat;
- SINAMICS PERFECT HARMONY GH180: MLFB 6SR325 sorozat;
- SINAMICS PERFECT HARMONY GH180: MLFB 6SR32 sorozat, ha az HMI Microsoft Windows XP-n fut;
- SINAMICS PERFECT HARMONY GH180: MLFB 6SR42 sorozat, ha az HMI Microsoft Windows XP-n fut;
- SINAMICS PERFECT HARMONY GH180: MLFB 6SR52 sorozat, ha az HMI Microsoft Windows XP-n fut;
- SINAMICS PERFECT HARMONY GH180: MLFB 6SR325 sorozat, ha az HMI Microsoft Windows XP-n fut.

A Siemens és a McAfee ajánlása szerint az MLFB 6SR32, 6SR42 és 6SR52 sorozatú HMI-okat használó ügyfelek a McAfee ajánlásainak megfelelően frissítsenek a MACC v8.2.0 verziójára. A többi érintett verziót használó ügyfél számára kockázatcsökkentő intézkedések bevezetését javasolják.

A sérülékenységgel kapcsolatban további információkat a Siemens ProductCERT és az ICS-CERT bejelentései tartalmaznak.

Sérülékenység Siemens TIM 1531 IRC modulokban

A Siemens ProductCERT publikációja szerint a SIMATIC S7-1500, S7-400 és az S7-300 SINAUT ST7-tel szerelt berendezéseiben használt TIM 1531 IRC kommunikációs modulok V2.0-nál korábbi verzióiban hiányzik egy authentikáció a 102/tcp porton folytatott kommunikáció során.

A gyártó a hibát a TIM 1531 IRC modul V2.0 verziójában javította. A sérülékenységgel kapcsolatban bővebb információkat a Siemens ProductCERT publikációjában lehet olvasni.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Egy hónapja látott napvilágot a SANS Institute legújabb felmérése, amiben az intézet a különböző ipari szektorok szereplőinek ipari IoT biztonsággal kapcsolatos véleményére volt kíváncsi.

A felmérés alapján készült jelentés szerzői szerint "minél közelebbről ismeri valaki az IIoT biztonság témáját, annál jobban ismeri fel, milyen komoly kihívásról van szó". A jelek szerint az OT-ben dolgozó mérnökök a legkevésbé biztosak abban, hogy a szervezet, aminek dolgoznak, képes biztonságosan használni az IIoT berendezéseket, míg a vezetők (minél magasabb beosztásúak, annál inkább) biztosak abban, hogy nem lesz gond.

A felmérés szerint a legnagyobb problémának a válaszadók az IIoT eszközök közvetlen Internet-kapcsolatát tartják - ezek a berendezések igen gyakran kerülnek üzembe helyezésre anélkül, hogy az ICS biztonsággal kapcsolatos alapvető hálózati elkülönítés ajánlásait betartanák. Emiatt aztán egyre kevésbé fikció egy Internetről indított, ICS rendszert célzó támadás - ahogyan arra a DHS nyári webinar-sorozata is rámutatott, az Egyesült Államok villamosenergia-szektorában már történtek incidensek.

A felmérés másik érdekes megállapítása, hogy a válaszadók által ismert rendszerek kevesebb, mint 30%-a rendelkezik OT-specifikus monitoring megoldással. Anélkül, hogy az adott szervezetnek rálátása lenne a rendszerben végrehajtott változásokra, gyakorlatilag lehetetlen észlelni egy, az ICS rendszer elleni támadást addig, amíg már nem túl késő.

Szintén nagyon komoly problémának látszik a felmérés alapján, hogy még mindig csak a szervezetek 40%-a végzi megfelelően az ICS rendszerek patch-elését - már ahol egyáltalán van elérhető hibajavítás egy sérülékenységre (erről korábban már többször is volt szó itt a blogon, de ez is egy olyan aspektusa az ICS biztonságnak, amit nem lehet eleget hangsúlyozni).

A teljes, SANS Industiral IIoT Security Survey itt érhető el.

A Reuters híre szerint kibertámadás állhat annak hátterében, hogy a Moszkva folyó felett átívelő sikló egy nappal a megnyitása után már le is állították. A sikló operátorai szerint kibertámadás érte a siklót, ahonnan az incidens idején minden utast épségben sikerült lehozni.

További részletek egyelőre nem ismertek.

Update1: Újabb hírek szerint a siklót vezérlő rendszert ransomware-támadás érte.

Sérülékenységek Schneider Electric termékekben

A Schneider Electric publikációja szerint Jacob Baines, a Tenable munkatársa több sérülékenységet talált a Modicon M340, Premium, Quantum PLC-kben és a BMXNOR0200 berendezésekben.

A hibákkal kapcsolatban a gyártó mostanáig csak kockázatcsökkentő intézkedésekre tett javaslatot. A sérülékenységek részleteit a Schneider Electric weboldalán lehet megtalálni.

Sérülékenységek Siemens berendezésekben

A Siemens ProductCERT bejelentése szerint a SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP berendezések V2.6.0 firmware-verziójának GNU/Linux alrendszerében összesen 21 különböző sérülékenységet azonosítottak.

A hibák javításán a gyártó jelenleg is dolgozik. A sérülékenységekről bővebben a Siemens ProductCERT bejelentésében lehet olvasni: https://cert-portal.siemens.com/productcert/pdf/ssb-439005.pdf

Aveva rendszerek sérülékenysége

Az Aveva egy helyi kódfuttatást lehetővé tevő sérülékenységet jelentett az NCCIC-nek, ami az alábbi termékeiket érinti:

- Vijeo Citect v7.40;
- Vijeo Citect 2015;
- Citect SCADA v7.40;
- Citect SCADA 2015;
- Citect SCADA 2016.

A gyártó a hibát az érintett szoftverek legfrissebb verziójában javította. A sérülékenységgel kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-331-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Még 2017 tavaszán az norvégiai Agder egyetemén egy Henrik Waagsnes nevű végzős hallgató a SCADA rendszerek behatolásészlelő rendszere teszt keretrendszeréről írta a diplomamunkáját.

A keretrendszer segítségével a SCADA rendszer hálózati forgalmát lehet szimulálni és észlelni a kártékony forgalmakat. A teszthez Henrik Waagsnes a Suricata és Snort nevű, nyílt forráskódú IDS megoldásokat használta, amik mintaillesztéses módszerrel vizsgálják a hálózaton áthaladó forgalmat. A diplomamunka során kidolgozott megoldás az IEC 60870-5-104 (vagy röviden 104-es protokoll), DNP3 és Modbus protokollokra épülő forgalmakat tudja vizsgálni. Az angol nyelvű diplomamunka itt érhető el.

Bár maga a téma nem újdonság (az ICS rendszerek védelmében a Purdue-modell is javasolja IDS/IPS eszközök használatát az egyes hálózati szegmensek között), mégis nagyon pozitív irányú fejleménynek tartom, hogy egyetemi diplomamunka témák között is megjelenik az ICS kiberbiztonság kérdése és csak bátorítani tudom a hazai hallgatókat is, hogy ha érdeklődnek a téma iránt, fontolják meg, hogy ICS kiberbiztonsági témáról írjanak szakdolgozatot.

Sérülékenység Schneider Electric Modicon berendezésekben

Az ICS-CERT publikációja szerint a Schneider Electric egy sérülékenységet fedezett fel a Modicon M221-es típusú PLC-iben, ami a PLC firmware-jének minden verzióját érinti.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések bevezetésére vonatkozó ajánlásokat adott ki. A sérülékenység részleteit az ICS-CERT weboldalán lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-324-02

Sérülékenység Teledyne rendszerekben

Robert Hawes egy puffer-túlcsordulás hibát azonosított a Teledyne Sherlock 7.2.7.4-es és korábbi verzióiban.

A gyártó a hibát a Sherlock 7.2.7.5-ös és későbbi verzióiban javította. A sérülékenységgel kapcsolatban további információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-324-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Valamivel több, mint egy héttel ezelőtt egy meglepő, de nagyon pozitív cikkre hívta fel a figyelmemet egy barátom, az iho.hu-n, vagyis a vasúti témákkal foglalkozó Indóház online változatán egy ICS rendszerek biztonságával foglalkozó cikk jelent meg. Maga a cikk a téma fontosságának általános és rövid bemutatásánál nem ment tovább, de mégis nagyon fontos, hogy megjelent és az is, hogy egy, a kötött pályás közlekedés világában ismert oldalon írtak róla. Különösképpen úgy, hogy a vasúti jelző- és biztosító berendezések is a folyamatvezérlő rendszerek nagy családjába tartoznak, így az ICS rendszek (egy részének) kiberbiztonsága közvetlen hatással lehet a vasúti üzemre és a vasúton utazók és dolgozók biztonságára is.

Bízom benne, hogy nem egyszeri esetről van szó és a vasúti rendszerekkel foglalkozó IT biztonsági szakemberek közül mind többen fognak elmélyedni az ICS kiberbiztonság világában.

Sérülékenység Philips rendszerekben

Az ICS-CERT bejelentése szerint egy ügyfél nem megfelelő erősségű jelszókövetelményekre visszavezethető sérülékenységet jelentett a Philips-nek, ami a gyártó alábbi rendszereit érinti:

- az iSite PACS minden verziója;
- az IntelliSpace PACS minden verziója.

A Philips havi rendszerességgel jelentet meg hibajavításokat a támogatással még rendelkező termékeihez, az ISite 3.6-os platform azonban már minden szempontból nem támogatott terméknek számít. A gyártó emiatt kockázatcsökkentő intézkedésekre vonatkozó javaslatokat is közzétett.

A sérülékenységről az ICS-CERT publikációja tartalmaz további részleteket: https://ics-cert.us-cert.gov/advisories/ICSMA-18-312-01

Sérülékenység Siemens SIMATIC panelekben és SIMATIC WinCC (TIA Portal) rendszerekben

A Siemens ProductCERT publikációja szerint a gyártó egy code injection sérülékenységet fedezett fel az alábbi termékeiben:

- SIMATIC HMI Comfort 4"-22"-os panelek minden, V14-nél korábbi verziója;
- SIMATIC HMI Comfort Outdoor 7"-os és 15"-os panelek minden, V14-nél korábbi verziója;
- SIMATIC HMI KTP mobil panelek KTP400F, KTP700, KTP700F, KTP900 és KTP900F változatainak minden, V14-nél korábbi verziója;
- SIMATIC WinCC Runtime Advanced minden, V14-nél korábbi verziója;
- SIMATIC WinCC Runtime Professional minden, V14-nél korábbi verziója;
- SIMATIC WinCC (TIA Portal) minden, V14-nél korábbi verziója;
- SIMATIC HMI Classic eszközök (TP/MP/OP/MP mobil panelek) minden, V14-nél korábbi verziója.

A gyártó a hibát az érintett termékek V15 Update 4 és újabb verzióiban javította valamint kockázatcsökkentő intézkedésekre vonatkozó javaslatokat is publikált. A sérülékenységgel kapcsolatban további információkat a Siemens ProductCERT bejelentésében lehet olvasni: https://cert-portal.siemens.com/productcert/pdf/ssa-944083.pdf

Siemens SIMATIC IT termékcsalád sérülékenysége

A gyártó egy sérülékenységet azonosított a SIMATIC IT termékcsalád alábbi tagjaiban:

- SIMATIC IT LMS minden verziója;
- SIMATIC IT Production Suite minden, V7.1 Upd3-nál korábbi V7.1 verziója;
- SIMATIC IT UA Discrete Manufacturing minden, V1.2, V1.3 és korábbi verziói;
- SIMATIC IT UA Discrete Manufacturing V2.3 és V2.4 verziója.

A gyártó minden érintett és támogatással még rendelkező verzióhoz elérhetővé tette a javításokat. A sérülékenységről további információkat a Siemens ProductCERT oldalán lehet találni: https://cert-portal.siemens.com/productcert/pdf/ssa-886615.pdf

Sérülékenység SIMATIC Step7 (TIA Portal) rendszerekben

A Siemens egy jelszótároláshoz kapcsolódó sérülékenységet azonosított a SIMATIC Step (TIA Portal) V15.1-nél korábbi verzióiban.

A gyártó a hibát a V15.1-es verzióban javította. A sérülékenységgel kapcsolatban további részleteket a Siemens ProductCERT bejelentésében lehet olvasni: https://cert-portal.siemens.com/productcert/pdf/ssa-621493.pdf

DoS sérülékenység SIMATIC S7 kommunikációs processzorokban

A Siemens ProductCERT Younes Dragonival, a Nozomi Networks munkatársával és az ICS-CERT-tel együttműködve egy szolgáltatás-megtagadásos támadást lehetővé tevő sérülékenységről publikált információt, ami az alábbi termékeiket érinti:

- SIMATIC S7-1200 minden verziója;
- SIMATIC S7-1500 minden, V2.6-nál korábbi verziója.

A gyártó az S7-1500-as termékekhez kiadta a hibát javító verziót, az S7-1200-as termékekhez pedig kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenység részleteit a Siemens ProductCERT weboldalán lehet megtalálni.

Sérülékenység Siemens SCALANCE S termékekben

Nelson Berg, az Applied Risk munkatársa egy Cross-site Scripting sérülékenységet fedezett fel a Siemens SCALANCE S termékcsalád alábbi tagjaiban:

- SCALANCE S602 minden, V4.0.1.1-nél korábbi verziója;
- SCALANCE S612 minden, V4.0.1.1-nél korábbi verziója;
- SCALANCE S623 minden, V4.0.1.1-nél korábbi verziója;
- SCALANCE S627-2M minden, V4.0.1.1-nél korábbi verziója.

A gyártó a hibát a V4.0.1.1-es verzióban javította. A sérülékenységről további információkat a Siemens ProductCERT publikációja tartalmaz: https://cert-portal.siemens.com/productcert/pdf/ssa-242982.pdf

Webalkalmazás sérülékenységek Siemens SIMATIC panelekben

Hosni Tounsi, a Carthage Red Team munkatársa két, webalkalmazás sérülékenységet azonosított a Siemens SIMATIC alábbi paneljeiben:

- SIMATIC HMI Comfort 4"-22"-os panelek minden, V14-nél korábbi verziója;
- SIMATIC HMI Comfort Outdoor 7"-os és 15"-os panelek minden, V14-nél korábbi verziója;
- SIMATIC HMI KTP mobil panelek KTP400F, KTP700, KTP700F, KTP900 és KTP900F változatainak minden, V14-nél korábbi verziója;
- SIMATIC WinCC Runtime Advanced minden, V14-nél korábbi verziója;
- SIMATIC WinCC Runtime Professional minden, V14-nél korábbi verziója;
- SIMATIC WinCC (TIA Portal) minden, V14-nél korábbi verziója;
- SIMATIC HMI Classic eszközök (TP/MP/OP/MP mobil panelek) minden, V14-nél korábbi verziója.

A hibákat a gyártó a V15 Update 4 és újabb verziókban javította. A sérülékenységekről további információkat a Siemens ProductCERT bejelentésében lehet találni: https://cert-portal.siemens.com/productcert/pdf/ssa-233109.pdf

DoS sérülékenység SIMATIC S7-400 kommunikációs processzorokban

A Siemens a CNCERT/CC-vel együttműködve két sérülékenységet azonosított az alábbi termékeiben:

- SIMATIC S7-400 V6 és korábbi modellek minden verziója;
- SIMATIC S7-400 PN/DP V7 minden verziója;
- SIMATIC S7-400H V4.5 és korábbi modellek minden verziója;
- SIMATIC S7-400H V6 minden verziója;
- SIMATIC S7-410 minden a V8.2.1-nél korábbi verziója.

A gyártó az S7-410-es eszközökhöz adott ki javítást a hibákkal kapcsolatban, a többi érintett termékre vonatkozóan kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységek részletes leírása a Siemens ProductCERT weboldalán érhető el: https://cert-portal.siemens.com/productcert/pdf/ssa-113131.pdf

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Cloud Security Alliance egy elsősorban felhő-rendszerek biztonságával foglalkozó szervezet, ami 2009 óta számos biztonsági témájú kutatást végez, keretrendszereket dolgoz ki és publikál, biztonsági témájú konferenciákat szervez.

A nemrég bejelentett ICS Security Working Group Charter főbb céljai az alábbiak:

- Az ICS rendszerek és berendezések üzemeltetőinél a biztonságtudatosság fejlesztése;
- Jobban megértetni a felsővezetőkkel az ICS biztonsági követelmények fontosságát;
- A felhős ICS rendszerek üzleti és technológiai felhasználási lehetőségeinek kidolgozása;
- ICS biztonsági kockázatelemzések készítése;
- Az ICS biztonság kihívásainak elemzése - biztonságtudatosság, szervezeti és folyamatkockázatok, tudás és technológiai kockázatok;
- Iparág-specifikus szabványok és szabályozások kidolgozása.

A kezdeményezés részleteiről ebben a PDF-ben lehet olvasni.

Bár én alapvetően támogatok minden olyan kezdeményezést, ami az IT vagy ICS rendszerek kiberbiztonságának javítását célozza, de továbbra is meggyőződésem, hogy az ICS rendszerek esetén a publikus hálózatoktól és különösen a publikus felhő-rendszerektől a lehető legnagyobb szeparáltságot célszerű fenntartani és a privát felhők esetén is nagyon komoly előzetes kockázatelemzéseket kell végezni, hogy milyen következményei lehetnek egy vezérlőrendszer (vagy akár csak egyes elemeinek) a felhőbe költöztetésének. Minden esetre érdekes lesz látni, hogy mi lesz a jövője ennek a kezdeményezésnek.

Sérülékenységek Moxa ThingsPro rendszerekben

A gyártó publikációja szerint 7 különböző hibát azonosítottak a Moxa ThingsPro Gateway 2.1-es verziójában. A hibákat (egy kivételével, ehhez kockázatcsökkentő intézkedésre tett javaslatot) a Moxa a ThingsPro Gateway 2.3-as verziójában javította. A sérülékenységekről további részleteket a Moxa weboldalán lehet olvasni: https://www.moxa.com/support/faq/faq_detail.aspx?id=2724

Sérülékenység Fr. Sauter rendszerekben

Gjoko Krstic, az Applied Risk munkatársa egy XXE (XML External Entity Reference) sérülékenységet fedezett fel az Fr. Sauter CASE Suite 3.10-es és korábbi verzióiban.

A hibát a gyártó a CASE Suite 3.10-es verzióhoz kiadott Service Release 1-ben javította. A sérülékenységről részletesebb információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-305-04

Circontrol CirCarLife sérülékenység

Öt különböző biztonsági kutató is jelentette azt a két hibát, amit a Circontrol CirCarLife nevű, elektromos autótöltőjének 4.3.1-es verziójú szoftverében találtak. A gyártó a hibák javítását tartalmazó új verziót már elérhetővé tette. A sérülékenységek részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-305-03

Sérülékenység Schneider Electric rendszerekben

A Venustech egy DLL hijacking sérülékenységet talált a Schneider Electric Software Update termékének v2.2.0-nál korábbi verzióiban. A Software Update-et az alábbi Schneider Electric megoldások használják:

- Acti 9 Smart Test;
- AltivarATV320DtmLibrary;
- AltivarDTMLibrary;
- AltivarMachine340DTMLibrary;
- AltivarProcessATV6xxDTMLibrary;
- AltivarProcessATV9xxDTMLibrary;
- Blue;
- CompactNSX Firmware Update;
- Ecodial Advance Calculation;
- eConfigure;
- Ecoreach Software;
- EcoStruxure Modicon Builder;
- eXLhoist Configuration Software;
- Lexium 26 DTM Library;
- Lexium 28 DTM Library;
- Lexium 32 DTM Library;
- LV Motor Starter;
- PowerSCADA Expert;
- Schneider Electric Floating License Manager;
- Schneider Electric License Manager;
- Schneider Electric Motion Sizer;
- Schneider Electric SQL Gateway;
- SoMachine Basic;
- SoMachine Motion Software;
- SoMachine Motion Tools v4.3;
- SoMachine Software;
- SoMove;
- SoSafe Configurable;
- SoSafe Programmable v2.1;
- TeSysDTM;
- Unity Loader;
- Unity Pro;
- Vijeo Citect;
- Vijeo Designer;
- Vijeo Designer Opti 6.1;
- Vijeo XD;
- Web Gate Client Files.

A Schneider Electric a hibát a Software Update v2.2.0 verziójában javította. A sérülékenységgel kapcsolatosan további információkat az ICS-CERT, illetve (megfelelő jogosultságok birtokában) a Schneider Electric weboldalán lehet olvasni.

Sérülékenységek AVEVA rendszerekben

A Tenable két sérülékenységet jelentett a gyártónak, amik az AVEVA alábbi rendszereit érintik:

- InduSoft Web Studio 8.1 SP2-nél korábbi verziói;
- InTouch Edge HMI (korábbi nevén InTouch Machine Edition) 2017 SP2-nél korábbi verziói.

A gyártó a hibákat javító verziókat már elérhetővé tette. A sérülékenységről további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-305-01

Sérülékenységek Roche egészségügyi rendszerekben

Niv Yehezkel, a Medigate munkatársa 5 sérülékenységet azonosított a Roche Point of Care hordozható egészségügyi termékcsaládjának alábbi tagjaiban:

- Accu-Chek Inform II;
- CoaguChek Pro II;
- CoaguChek XS Plus;
- CoaguChek XS Pro;
- cobas h 232 POC.

A gyártó a sérülékenységekkel kapcsolatban kockázatcsökkentő intézkedések bevezetését javasolja és november hónap folyamán tervez javítást kiadni. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-310-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.