Bár idén már 8 éve, hogy a Stuxnet visszavonhatatlanul ráirányította a figyelmet az ICS rendszerek biztonságára, még mindig nagyon sok tévhit él a témával kapcsolatban, sokan pedig (különösen az IT illetve az IT biztonság területén dolgozó szakemberek közül) nincsenek tisztában azzal, hogy a mindennapi munkájuk során bizony ők is kapcsolatba kerülnek ICS rendszerekkel (elég csak a szervertermek/hosting szolgáltatók által használt felügyeleti rendszerekre gondolni, amikkel a szervertermek hűtését, szünetmentes elektromos ellátását, stb. biztosítják). Augusztus végén a Tripwire (ami az elmúlt években, mióta a vállalatot felvásárolta az ICS világában ismert Belden, egyre komolyabb hangsúlyt helyez az ICS rendszerek biztonságával kapcsolatos munkákra és publikációkra) két cikkben is napjaink leginkább égető, ICS biztonsági kérdéseivel foglalkozó cikket jelentetett meg.

Az első cikk az IT és az OT egyre szorosabb együttműködésével és ezek ICS biztonságra gyakorolt hatásával illetve kihívásaival foglalkozik, a DHS és az FBI által márciusban kiadott joint technical alert (TA) kapcsán. A cikkben bemutatják, milyen volt korábban az IT és az OT viszonya (jellemzően elkülönülő szerepek és felelősségek jellemezték) és milyen ma, illetve milyen irányba mutatnak a jelenleg is zajló folyamatok (az IT olyan rendszereket - is - üzemeltet, amik az OT munkájához lassan, de biztosan egyre inkább nélkülözhetetlenek lesznek, az OT által üzemeltetett rendszerek pedig egyre inkább nem csak a fizikai folyamatok vezérlésével foglalkozik, hanem támogatják - pl. adatokkal - az IT illetve az üzleti területek munkáját). A cikk teljes terjedelmében itt érhető el: https://www.tripwire.com/state-of-security/ics-security/ics-security-in-the-age-of-it-ot-convergence/

A második cikk az ICS biztonság szervezeti kultúrában megjelenő kihívásaival foglalkozik, kiemelve hogy az ICS biztonság mára egy ugyanolyan, folyamatosan változó és fejlődő szakterületté vált, mint amilyen az IT biztonság immár legalább másfél-két évtizede. Külön fejezetben megjelenik az ipari IoT (IIoT), mint napjaink egyik legnagyobb ICS biztonsági kihívása (és buzzword-je). A cikk végül megpróbál választ adni a felmerült kérdésekre, még egy rövid videóban is összefoglalják az ICS biztonsággal kapcsolatos, IT biztonsági szakembereknek szánt tanácsaikat. A cikket itt lehet elolvasni: https://www.tripwire.com/state-of-security/ics-security/ics-security-challenge-organizations/

Sérülékenységek LCDS LAquis SCADA rendszerekben

A ZDI számos biztonsági kutatóval együttműködve 6 különböző sérülékenységről publikált információkat, amik az LCDS LAquis SCADA Smart Security Manager-ének 4.1.0.3870-es és korábbi verzióit érintik.

A gyártó a hibákat a 4.1.0.4114-es verzióban javította. A sérülékenységekkel kapcsolatban további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-289-01

Omron CX-Supervisor sérülékenységek

A ZDI több biztonsági kutatóval közösen 4 sérülékenység részleteit tette közzé az Omron CX-Supervisor 3.4.1.0 és korábbi verzióival kapcsolatban.

A gyártó a hibákat a CX-Supervisor 3.4.2-es verzióban javította. A sérülékenységekről részleteket az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-290-01

Sérülékenység Telecrane berendezésekben

Hét biztonsági kutató a ZDI-vel együttműködve publikált egy sérülékenységet, ami a Telecrane F25 Series berendezéseinek 00.0A-nál korábbi firmware-verzióit érinti.

A hibát a gyártó a 00.0A verzióban javította. A sérülékenységről bővebben az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-296-03

GAIN Electronic termékek sérülékenységei

Ugyancsak ez a hét biztonsági kutató publikálta azt a három sérülékenységet, amik a GAIN Electronic SAGA1-L8B termékének A0.10-nél korábbi firmware-verzióit érintik.

A gyártó a hibákat az A0.10-es verzióban javította. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-296-02

Sérülékenységek Advantech WebAccess rendszerekben

Mat Powell a ZDI-vel közösen több publikációban is Advantech WebAccess sérülékenységeket hozott nyilvánosságra. A 8.3.1 és korábbi verziókban 4, a 8.3.2 és korábbi verziókban további 2 sérülékenységet fedeztek fel.

A gyártó a hibákat a WebAccess 8.3.3-as verzióban javította. A sérülékenységekkel kapcsolatos részleteket az ICS-CERT alábbi publikációiban lehet olvasni:

https://ics-cert.us-cert.gov/advisories/ICSA-18-296-01
https://ics-cert.us-cert.gov/advisories/ICSA-18-298-02

GEOVAP rendszerek sérülékenységei

Ismail Mert AY AK egy GEOVAP Reliance 4 SCADA/HMI-jal kapcsolatos sérülékenységet jelentett az NCCIC-nek, ami a Reliance 4 SCADA/HMI 4.7.3 Update 3 és korábbi verzióit érinti.

A gyártó a hibát a 4.8.0 verzióban javította. A sérülékenységgel kapcsolatban további információkat az ICS-CERT weboldalán találnak az érdeklődők: https://ics-cert.us-cert.gov/advisories/ICSA-18-298-01

PEPPERL+FUCHS rendszer sérülékenység

A gyártó egy nem megfelelő jogosultság kezelésből származó hibát jelentett a CERT@VDE-nek, akik pedig ezt az információt megosztották az NCCIC-vel. A sérülékenység a PEPPERL+FUCHS CT50-Ex típusú mobil számítógépeinek Android OS v4.4 és v6.0 verzióival futó, a Honeywell által gyártott példányait érinti.

A gyártó a hibát az újabb verziókban már javította, a sérülékenységgel kapcsolatos további részleteket illetve a hibajavítást tartalmazó pontos verziókat az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-303-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az elmúlt néhány évben egyre jobban felgyorsult az IT hálózatokra, egyre gyakrabban vezeték nélküli hálózatokra csatlakoztatott orvosi eszközök terjedése és ezzel párhuzamosan nő az ilyen orvosi rendszerekben felfedezett sérülékenységek száma is.

A probléma súlyát és méretét mutatja a legújabb fejlemény is, hogy megjelent az NIST SP 1800-8-as sorszámú kiadványa, ami kifejezetten a vezeték nélküli hálózatokra csatlakozó infúziós rendszerek biztonsági beállításaira tesz ajánlásokat.

Az új NIST SP az IT rendszerek esetén széles körben használt, szintén az NIST által kiadott SP 800-53 és az ISO/IEC 27001:2013 mellett az egészségügyi szektor által használt IEC/TR 80001-2-2 és a HIPPA biztonsági szabályaival is számos ponton kapcsolódik, így azok számára, akik alkalmazni fogják az NIST új dokumentumát, nem szükséges teljesen a nulláról indulniuk.

Az NIST SP 1800-8 itt érhető el: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-8.pdf

A Detroit-i rendőrség szerint egy benzinkút rendszerébe tört be egy vagy több ismeretlen, aminek következtében 600 gallon (kb. 2270 liter) üzemanyagot tankoltak legalább 10 autóba anélkül, hogy fizettek volna érte.

Az esetről a Fox 2 Detroit,a Slashdot és a Gizmodo is írt és bár sok még a nem ismert részlet, a jelek szerint nem kizárt, hogy megjelentek a folyamatvezérlő rendszerek elleni támadások új generációját képviselő, a tisztán pénzszerzési célú támadások (ahogy kb. másfél hónapja már írtam egy hasonló, oroszországi esetről) egyik első esetéről van szó.

Siemens SIMATIC S7-1200 CPU-család sérülékenység

Lisa Fournet és Marl Joos, a P3 communications GmbH munkatársai egy Cross-site Request Forgery sérülékenységet találtak a Siemens SIMATIC S7-1200 CPU-család 4.2.3-nál korábbi verzióiban.

A gyártó a hibát a 4.2.3-as verzióban javította. A sérülékenységről további információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenység Siemens SCALANCE rendszerekben

A Siemens egy titkosítással kapcsolatos hibát azonosított a SCALANCE W1750D típusú eszközeinek v8.3.0.1-nél korábbi verzióiban. A hibát a v8.3.0.1 verzióban javították.

A sérülékenységről bővebben a Siemens ProductCERT és az ICS-CERT weboldalán lehet olvasni.

Sérülékenység Siemens SIMATIC vezérlőkben

Marcin Dudek, Jacek Gajewski, Kinga Staszkiewicz, Jakub Suchorab és Joanna Walkiewicz, a Lengyel Nemzeti Nukleáris Kutatóintézet munkatársai egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó, DoS-támadást lehetővé tevő sérülékenységet azonosítottak az alábbi Siemens SIMATIC vezérlőkben:

- Simatic S7-1500, v2.0-tól v2.5-ös verzióig;
- Simatic S7-1500 szoftveres vezérlők, v2.0-tól v2.5-ös verzióig;
- Simatic ET 200SP Open Controller minden verziója.

A gyártó a hibát az S7-1500 és S7-1500 szoftveres vezérlőkben javította. A sérülékenységről részleteket a Siemens ProductCERT és az ICS-CERT publikációi tartalmaznak.

Sérülékenység Siemens ROX II berendezésekben

A Siemens két jogosultságkezeléssel kapcsolatos hibát fedezett fel a ROX II minden, v2.12.1-nél korábbi verzióiban. A hibákat a gyártó a v2.12.1-es verzióban javította. A sérülékenységekről bővebb információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenységek Siemens ipari termékekben

A Siemens ProductCERT publikációja szerint három sérülékenységet találtak az alábbi Siemens ipari rendszerekben:

- RUGGEDCOM APE: minden verzió;
- RUGGEDCOM RX1400 VPE: minden verzió;
- SIMATIC ET 200 SP Open Controller: minden verzió;
- SIMATIC ET 200 SP Open Controller (F): minden verzió;
- SIMATIC Field PG M4: minden, V18.01.09-nél korábbi BIOS verzió;
- SIMATIC Field PG M5: minden, V22.01.06-nál korábbi BIOS verzió;
- SIMATIC IPC227E: minden verzió;
- SIMATIC IPC277E: minden verzió;
- SIMATIC IPC3000 SMART V2: minden verzió;
- SIMATIC IPC327E: minden verzió;
- SIMATIC IPC347E: minden verzió;
- SIMATIC IPC377E: minden verzió;
- SIMATIC IPC427C: minden verzió;
- SIMATIC IPC427D: minden, V17.0X.14-nél korábbi BIOS verzió;
- SIMATIC IPC427E: minden, V21.01.09-nél korábbi BIOS verzió;
- SIMATIC IPC477C: minden verzió;
- SIMATIC IPC477D: minden, V17.0X.14-nél korábbi BIOS verzió;
- SIMATIC IPC477E: minden, V21.01.09-nél korábbi BIOS verzió;
- SIMATIC IPC477E Pro: minden, V21.01.09-nél korábbi BIOS verzió;
- SIMATIC IPC547E: minden verzió;
- SIMATIC IPC547G: minden verzió;
- SIMATIC IPC627C: minden verzió;
- SIMATIC IPC627D: minden verzió;
- SIMATIC IPC647C: minden verzió;
- SIMATIC IPC647D: minden verzió;
- SIMATIC IPC677C: minden verzió;
- SIMATIC IPC677D: minden verzió;
- SIMATIC IPC827C: minden verzió;
- SIMATIC IPC827D: minden verzió;
- SIMATIC IPC847C: minden verzió;
- SIMATIC IPC847D: minden verzió;
- SIMATIC ITP1000: minden verzió;
- SIMATIC S7-1500 CPU S7-1518-4 PN/DP MFP (MLFB: 6ES7518-4AX00-1AC0): minden verzió;
- SIMATIC S7-1500 CPU S7-1518F-4 PN/DP MFP (MLFB: 6ES7518-4FX00-1AC0): minden verzió;
- SIMATIC S7-1500 Software Controller: minden verzió;
- SIMOTION P320-4E: minden verzió;
- SIMOTION P320-4S: minden verzió;
- SINUMERIK 840 D sl (NCU720.3B, NCU730.3B, NCU720.3, NCU730.3): minden verzió;
- SINUMERIK PCU 50.5: minden verzió;
- SINUMERIK Panels wtih integrated TCU: minden 2016-ban vagy ez után megjelent verzió;
- SINUMERIK TCU 30.3: minden verzió.

A sérülékenységekről további részleteket a Siemens ProductCERT bejelentése tartalmaz.

GE iFix sérülékenység

LiMingzheng, a 360 aegis biztonsági csoport tagja egy sérülékenységet azonosított a GE iFix HMI rendszereiben használt Gigasoft komponensben. A hiba az alábbi GE iFix verziókat érinti:

- iFIX 2.0-5.0;
- iFIX 5.1;
- iFIX 5.5;
- iFIX 5.8.

A GE a hibát az iFix 5.9-es verziójában javította. A sérülékenységről részleteket az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-282-01

Sérülékenységek Delta Electronics rendszerekben

Ariele Caltabiano (kimiya), a 9SG Security Team tagja és Mat Powell a ZDI-vel együttműködve két sérülékenységet azonosítottak a Delta Electronics TPEditor nevű szoftverének 1.90-es és korábbi verzióiban.

A gyártó a hibákat a TPEditor 1.91-es verziójában javította. A sérülékenységekről bővebb információkat az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-284-03

Sérülékenységek NUUO rendszerekben

Pedro Ribeiro négy sérülékenységet fedezett fel a NUUO CMS rendszerének 3.1-es és korábbi verzióiban. A gyártó a hibát a v3.3-as firmware-verzióban javította.

A sérülékenységek részleteit az ICS-CERT publikációjában lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-284-02-NUUO-CMS

NUUO videórögzítő rendszerek sérülékenységei

Jacob Baines, a Tenable munkatársa két sérülékenységet talált a NUUO NVRmini2 és NVRsolo videórögzítő rendszereinek 3.8.0 és korábbi verzióiban. A gyártó a hibát a v3.9.1-es verzióban javította.

A sérülékenységekről további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-284-01

Sérülékenység Fuji Electric rendszerekben

Karn Ganeshen egy DLL-injection-t lehetővé tevő hibát azonosított a Fuji Electric Energy Savings Estimator V.1.0.2.0 és korábbi verzióiban.

A gyártó a hibát a V.1.0.2.1 verzióban javította. A sérülékenységgel kapcsolatos bővebb információkat az ICS-CERT weboldalán lehet elérni: https://ics-cert.us-cert.gov/advisories/ICSA-18-282-07

Sérülékenységek Hangzhou Xiongmai Technology rendszerekben

Stefan Viehböck 3 sérülékenységet jelentett az NCCIC-nek, amik a Hangzhou Xiongmai Technology minden olyan termékét érintik, amik használják a XMeye P2P Cloud Server-t.

A gyártó mostanáig sem javítást, sem más kockázatcsökkentő intézkedéseket nem publikált a hibákkal kapcsolatban. A sérülékenységek részleteit az ICS-CERT weboldalán lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-282-06

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Dragos által Raspite, a Symantec által pedig Leafminer névvel azonosított csoport a kutatók feltételezései szerint 2017 eleje vagy közepe óta aktív. A csoport célpontjai között egyaránt találhatóak az USA-ban, a Közel-Keleten, Európában és Kelet-Ázsiában működő szervezetek, de az eddig feltárt információk szerint villamosenergia-ipari cégeket (mostanáig) csak az Egyesült Államokban támadtak.

A Raspite/Leafminer műveletei egyelőre nem mutatják annak jeleit, hogy már képesek lennének ICS rendszereket kompromittálni, azonban a közműcégek stratégiai fontosságú weboldalai illetve felhasználói ellen indított támadások és az, hogy igyekeznek minél több módon hozzáféréseket szerezni ezeknek a szervezeteknek a belső hálózataihoz, arra engednek következtetni, hogy csak idő kérdése, mikor jutnak el valamelyik szervezet ICS rendszereiig.

A Dragos blogbejegyzése a Raspite-ról itt, a Symantec cikke a Leafminer-ről pedig itt érhető el.

Carestream radiológiai rendszerek sérülékenysége

Dan Regalado, a Zingbox munkatársa egy hibaüzeneteken keresztül történő információszivárgást okozó hibát azonosított a Carestream Vue RIS webes radiológiai rendszereiben használt RIS Client szoftvere 11.2 és korábbi verziói közül azokban, amik Windows 8.1-es operációs rendszeren és IIS/7.5-ös webszerveren futnak.

A gyártó a hibát a legújabb verzióban javította, a korábbi verziókhoz pedig kockázatcsökkentő intézkedéseket publikált.

A sérülékenység részleteit az ICS-CERT publikációjában lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-277-01

Sérülékenység Change Healthcare webszerverekben

Dan Regalado a Change Healthcare PeerVue Web Server 7.6.2-esnél korábbi verzióiban is talált egy, a Carestream Vue RIS Client-éhez hasonló hibát.

A gyártó ügyfelei számára már elérhetővé tette a hibát javító patch-et. A sérülékenységről bővebb információkat az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-277-02

Sérülékenységek WECON PI Studio rendszerekben

Mat Powell, a ZDI munkatársa és Natnael Samson a ZDI-vel együttműködve 4 különböző hibát találtak a WECON alábbi rendszereiben:

- PI Studio HMI 4.1.9 és korábbi verziói;
- PI Studio 4.2.34 és korábbi verziói.

A gyártó megerősítette a sérülékenységek létét, de egyelőre még nem publikált javított verziókat az érintett szoftverekből.

A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-277-01

Auto-Maskin rendszerek sérülékenységei

A CERT/CC weboldalán négy sérülékenységről hoztak nyilvánosságra részleteket, amik az Auto-Maskin DCU 210E, RP (remote panel) 210E és Marine Pro Observer App rendszereit érintik. A gyártóról illetve a hibák javításáról jelen pillanatig nincs információ. A sérülékenységek részleteiről a www.kb.cert.org oldalon lehet tájékozódni.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Talos két hete újabb részleteket közölt a VPNFilter moduláris malware-re vonatkozó kutatásai során megismert részletekről. Ahogy korábban már én is írtam róla, a VPNFilter egy több szintű, moduláris malware, amit jellemzően SOHO hálózati eszközök ellen fejlesztettek és használtak fel eddig ismeretlen támadók, főként Ukrajnában, de világszerte több, mint fél millió routert és NAS-t sikerült kompromittálniuk. A jelenleg rendelkezésre álló információk szerint a VPNFilter felhasználásával sikerült üzemzavart előidézni egy ukrán víztisztító alállomáson, ahol klór adagolásával tisztították a vízvezetékrendszerbe kerülő vizet.

A kutatásokból most nyilvánosságra hozott részletek szerint a VPNFilter megalkotói kiemelt figyelmet fordítottak a MikroTik eszközökre a malware fejlesztése során, kiváltképp az Ukrajnában használt MikroTik eszközök esetében. Erre tekintettel a most publikált információk között kiemelt jelentőségű a MikroTik eszközök üzemeltetéséhez használt Winbox protokoll alapos elemzése és az ehhez létrehozott, LUA-alapú Winbox dissector.

A blogposztban a Talos kutatói kitérnek a VPNFilter most feltárt képességeire és hét újabb, a támadások harmadik fázisában használt modulról is részletes leírást adnak.

A Talos blogposztja a VPNFilter-kutatás legújabb eredményeiről itt olvasható: https://blog.talosintelligence.com/2018/09/vpnfilter-part-3.html

Sérülékenységek Rockwell Automation RSLinx rendszerekben

A Rockwell Automation a Tenable és a Nozomi Network biztonsági cégekkel közösen fedezett fel több sérülékenységet, amik az RSLinx Classic nevű programozható vezérlőrendszerük 4.00.01 és korábbi verzióit érinti.

A gyártó a hibákat a weboldalán a KB 1075712-es számú tudásbázis cikkben hivatkozott helyről letölthető legújabb verzióban javította. A sérülékenységekről további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-263-02

Sérülékenység Tec4Data rendszerekben

Ankit Anubhav, a NewSky Security munkatársa egy kritikus funkcióhoz szükséges authentikáció hiányából adódó sérülékenységet talált a Tec4Data SmartCooler nevű megoldásának 180806-nál korábbi firmware-verzióiban.

A gyártó a hibát a legújabb firmware-verzióban javította. A sérülékenységről további információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-263-01

Sérülékenység Delta Electronics rendszerekben

Mat Powell, a Trend Micro-hoz tartozó Zero Day Initiative munkatársa egy memóriakezelési hibát azonosított a Delta Industrial Automation PMSoft v2.11 és korábbi verzióiban.

A gyártó a hibát a v2.12-es verzióban javította. A sérülékenységgel kapcsolatos részletesebb információkat az ICS-CERT weboldalán lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-270-04

Fuji Electric FRENIC berendezések sérülékenységei

Michael Flanders és Ghirmay Desta a ZDI-vel együttműködve három sérülékenységet találtak a Fuji Electric alábbi, FRENIC néven ismert termékeiben:

- FRENIC LOADER v3.3 v7.3.4.1a, amit a FRENIC-Mini(C1), FRENIC-Mini(C2), FRENIC-Eco, FRENIC-Multi, FRENIC-MEGA, FRENIC-Ace légkondícionáló berendezésekben használnak.

A gyártó jelenleg is dolgozik a hibák javítását tartalmazó újabb verzión. A sérülékenységekről további részleteket az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-270-03

Sérülékenységek Fuji Electric Alpha5 Smart Loader rendszerekben

Michael Flanders a ZDI-vel együttműködve két sérülékenységet talált a Fuji Electric alábbi termékében:

- Alpha5 Smart Loader 3.7-es és korábbi verziói.

A gyártó jelenleg is dolgozik a hibák javítását tartalmazó új verzión. A sérülékenységekről bővebb információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-270-02

Emerson AMS Device Manager sérülékenységekről

Az Emerson és Sergey Temnikov, a Kaspersky Lab munkatársa közösen azonosítottak két sérülékenységet, amik az Emerson AMS Device Manager néven ismert eszközkezelő rendszerének v12.0-tól v.13.5-ig terjedő verzióit érintik.

A hibákat javító patch-eket a gyártó már elérhetővé tette. A sérülékenységekkel kapcsolatosan további részelteket az ICS-CERT weboldalán lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-270-01

Sérülékenység Delta Electronics ISPSoft rendszerekben

Ariele Caltabiano a ZDI-vel együttműködve egy puffer-túlcsordulásos hibát talált a Delta Electrics ISPSoft 3.0.5-ös és korábbi verzióiban.

A gyártó a hibát a 3.0.6-os verzióban javította. A sérülékenységről további információkat az ICS-CERT publikációjában lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-275-01

GE Communicator sérülékenység

Ariele Caltabiano az iDefense Labs-zel (az Accenture Security-hez tartozó céggel) együttműködve egy sérülékenységet fedezett fel a GE Communicator 3.15-ös és korábbi verzióiban használt Gigasoft v5 és korábbi verzióiban.

A gyártó a Communicator 4-es és újabb verzióiban javította. A sérülékenységgel kapcsolatos további információkat az ICS-CERT weboldalán lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-275-02

Sérülékenységek Entes EMG 12 eszközökben

Can Demirel, a Biznet Billsim munkatársa két sérülékenységet azonosított az Entes EMG 12 típusú Ethernet Modbus Gateway-einek 2.57-es és korábbi firmware-verzióiban.

A gyártó a hibákat a legújabb firmware-verzióban javította. A sérülékenység részleteiről az ICS-CERT bejelentéseiben lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-275-03

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A harmadik (és ebben a sorozatban egyelőre utolsó) esettanulmányban egy gyár termelésirányítási rendszerében a monitoring funkciókhoz használt mobiltelefon modemekkel kapcsolatos incidensről lesz szó.

Felmerülhet a kérdés, hogy miért is használna valaki mobiltelefonokat modemnek egy ICS rendszer monitoringjához? A válasz viszonylag egyszerű: a mobiltelefonok modemek használatához nagyjából egyetlen feltételnek kell teljesülnie - legyen az adott létesítményben megfelelő lefedettsége a szolgáltató hálózatának és máris egy olcsó és (meghibásodások, avulás, stb. esetén) könnyen cserélhető, publikus hálózatokra épülő kommunikációs csatornára tett szert az adott szervezet. A rendelkezésre állásnál nyilván tervezni kell az adott szolgáltató karbantartásaival és célszerű egy tartalék megoldással is rendelkezni, ha a mobil szolgáltatónál van üzemzavar, de ezeket a hátrányokat a mobiltelefon modemek rugalmassága és költséghatékonysága általában túlszárnyalja a döntéshozók szemében.

A logikai biztonsági megfontolások (mint általában), a konkrét esetben sem voltak alaposan felmérve, emiatt például a modemek konfigurációja nem volt biztonságos (a gyári jelszavak cseréje is elmaradt), ami miatt a támadók nem csak, hogy a modemeken keresztül hozzáfértek a gyár hálózatához, de ugyanezeket a modemeket felhasználva DoS-támadásokat is indítottak más célpontok ellen, ami mobil adatforgalom-költségként a gyár számláján jelentkezett. A gyár hálózatához hozzáférve a támadóknak lehetőségük nyílhatott módosítani a modemeken keresztül felügyelt berendezéseket, az Internet felé pedig spam-eket küldhettek.

Tanulságok

Ismét csak azzal a tanulsággal kell kezdeni, hogy minden, Internetre csatlakoztatott eszközt a lehetőségekhez képest a leginkább biztonságos konfigurációval szabad csak használni. Mivel az ICS rendszerek esetén a biztonsági hardening során nagyon gyakran az üzembiztonságot fontosabbnak kell tekinteni a biztonságos konfigurációnál, gondoskodni kell arról is, hogy egy esetleges támadásról illetve annak sikeréről minél előbb értesüljenek az illetékesek és biztosítani kell azt is, hogy egy támadás elhárítása után fel lehessen építeni, hogy a támadók pontosan milyen sérülékeny pontokat használtak a támadás során - ehhez célszerű minden bejövő és kimenő hálózati forgalmat rögzíteni és a kockázatelemzésekből származó megállapítások alapján meghatározott ideig megőrizni.

A mobiltelefonos modemek esetén a fentieken túlmenően rendszeresen ellenőrizni kell a szolgáltatótól érkezett számlákat és amennyiben bármilyen jelentős változás tapasztalható a normális forgalomtól, azt haladéktalanul ki kell vizsgálni.

Az esettanulmány eredeti, német nyelvű verziója itt érhető el.