Néhány hete, nem sokkal a Lighthouse Laboratoy kínai ICS-CERT utána találtam rá a RUSCADASEC oldalára, ami hat orosz biztonsági szakértő (Anton Shipulin, Daniil Tameev, Vadim Podolny, Ilya Karpov, Evgeny Druzhinin és Boris Savkov) kezdeményezése egy orosz nyelvű ICS-SCADA szakmai közösség felépítésére.

Céljaik között egyebek mellett az ipari automatizálás területén dolgozó szakemberek biztonságtudatossági és szakmai szintjének fejlesztését, a szakértők és szervezetek közötti kapcsolatépítést emelik ki.

Néhány további részletet a weboldalunkon lehet olvasni: https://www.ruscadasec.ru/

Az utóbbi időben egyre-másra lehet látni, hogy világ egyes fejlett ipari országaiban a kritikus infrastruktúrákkal foglalkozó szakemberek kapcsolatépítésének és biztonságtudatosságának fejlesztésével kapcsolatos képzésének feladatait az állami szervek/hatóságok helyett alulról szerveződő kezdeményezések és maroknyi tenni akaró szakmabeli vállalja fel. Ha nem akarjuk, hogy a magyar kritikus infrastruktúrák kiberbiztonsága a jelenleginél jobban lemaradjon a szakmai fősodortól, lehet hogy nekünk is ezt kéne tennünk?

Sérülékenységek Philips orvosi eszközökben

Az ICS-CERT publikációja szerint a Philips két sérülékenységet azonosított az Alice6 System nevű poliszomnográfiai (összetett orvosi alvásvizsgálati) rendszereinek R8.0.2 és korábbi verzióiban.

A hibákat a gyártó az R8.0.3-as verzióban javította.

A sérülékenységek részleteiről az ICS-CERT bejelentése tartalmaz további információkat: https://ics-cert.us-cert.gov/advisories/ICSMA-18-086-01

Siemens SIMATIC termékek sérülékenysége

A Siemens saját ProductCERT-jén keresztül jelentette be, hogy az alábbi termékei egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó sérülékenység által érintettek:

- OpenPCS 7 V7.1 és korábbi verziók;
- OpenPCS 7 V8.0: minden verzió;
- OpenPCS 7 V8.1: minden verzió;
- OpenPCS 7 V8.2: minden verzió;
- OpenPCS 7 V9.0: minden, V9.0 Upd1-nél korábbi verzió;
- SIMATIC BATCH V7.1 és korábbi verziók;
- SIMATIC BATCH V8.0: minden verzió;
- SIMATIC BATCH V8.1: minden verzió;
- SIMATIC BATCH V8.2: minden verzió;
- SIMATIC BATCH V9.0: minden, V9.0 SP1-nél korábbi verzió;
- SIMATIC NET PC-Software: minden verzió;
- SIMATIC PCS 7 V7.1 és korábbi verziók;
- SIMATIC PCS 7 V8.0: és korábbi verziók;
- SIMATIC PCS 7 V8.1: és korábbi verziók;
- SIMATIC PCS 7 V8.2: és korábbi verziók;
- SIMATIC PCS 7 V9.0: minden, V9.0 SP1-nél korábbi verzió;
- SIMATIC Route Control V7.1 és korábbi verziók;
- SIMATIC Route Control V8.0: és korábbi verziók;
- SIMATIC Route Control V8.1: és korábbi verziók;
- SIMATIC Route Control V8.2: és korábbi verziók;
- SIMATIC Route Control V9.0: minden, V9.0 Upd1-nél korábbi verzió;
- SIMATIC WinCC Runtime Professional: minden, V14 SP1 Upd5-nél korábbi verzió;,
- SIMATIC WinCC 7.2 és korábbi verziók;
- SIMATIC WinCC 7.3: minden, WinCC 7.3 Upd16-nál korábbi verzió;
- SIMATIC WinCC 7.4: minden, V7.4 SP1 Upd4-nél korábbi verzió.

A gyártó az OpenPCS esetén a legújabb verzióra történő frissítést, a többi érintett termék esetén kockázatcsökkentő intézkedések alkalmazását javasolja.

A sérülékenységről kapcsolatban bővebben a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet olvasni.

Sérülékenység Siemens TIM 1531 IRC rendszerekben

Szintén a Siemens ProductCERT publikálta a TIM 1531 IRC rendszerekben talált sérülékenységet, ami a v1.1-nél korábbi összes verziót érinti.

A gyártó a hibát a v1.1-es verzióban javította.

A sérülékenység részletei a Siemens ProductCERT és az ICS-CERT bejelentéseiben találhatóak.

Sérülékenység WAGO rendszerekben

Az ICS-CERT bejelentése szerint Younes Dragoni, a Nozomi Networks munkatársa talált egy sérülékenységet a WAGO egyes 750-es sorozatú berendezéseinek firmware-ében:

- 750-880 firmware version 10 és ennél korábbi verziók;
- 750-881 firmware version 10 és ennél korábbi verziók;
- 750-852 firmware version 10 és ennél korábbi verziók;
- 750-882 firmware version 10 és ennél korábbi verziók;
- 750-885 firmware version 10 és ennél korábbi verziók;
- 750-831 firmware version 10 és ennél korábbi verziók;
- 750-889 firmware version 10 és ennél korábbi verziók;
- 750-829 firmware version 10 és ennél korábbi verziók.

A gyártó a hibát a legújabb firmware-verzióban javította.

A sérülékenységről további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-088-01

Philips iSite/IntelliSpace PACS sérülékenységek

Az ICS-CERT bejelentése szerint fél tucatnyi sérülékenységet és további, harmadik féltől származó komponensek hibára derült fény a Philips iSite/IntelliSpace PACS orvosi képarchiváló rendszerével kapcsolatban. A sérülékenységek az iSite/IntelliSpace PACS minden verzióját érintik.

A gyártó a hibák egy részéhez már kiadta a javításokat.

A sérülékenységek részleteiről az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-088-01

Sérülékenységek Siemens épületautomatizálási rendszerekben

A Siemens ProductCERT és az ICS-CERT publikációi szerint 7 különböző sérülékenységet azonosítottak a Siemens alábbi, épületautomatizálásban használt rendszereiben:

- License Management System (LMS) mindan, a V2.1 SP3(2.1.670)-nél korábbi verzió;
- Annual Shading V1.0.4 és 1.1;
- Desigo ABT verziók:
- MP1.1 Build 845;
- MP1.15 Build 360;
- MP1.16 Build 055;
- MP1.2 Build 850;
- MP1.2.1 Build 318;
- MP2.1 Build 965;
- Desigo CC verziók:
- MP1.1;
- MP2.0;
- MP2.1;
- MP3.0;
- Desigo Configuration Manager (DCM) V6.10.140;
- Desigo XWP;
- V5.00.204;
- V5.00.260;
- V5.10.142;
- V5.10.212;
- V6.00.184;
- V6.00.342;
- V6.10.172;
- SiteIQ Analytics;
- V1.1;
- V1.2;
- V1.3;
- Siveillance Identity V1.1.

A gyártó a hibát a License Management System (LMS) 2.1 SP4 (2.1.681)-es verziójában javította, a többi érintett rendszer esetében kockázatcsökkentő intézkedések alkalmazását javasolja.

A sérülékenységek részleteiről a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Egy ideje már figyelemmel követem a kínai Lighthouse Laboratory Team blogját, ami a plcscan.org címen érhető el. Nagyon érdekes betekintést nyújt arról, hogy Kínában hogyan is látják az ICS/SCADA rendszerek kiberbiztonsági kérdéseit és ahogy Joe Weiss a tavaly októberi ICS Cyber Security Conference-en is említette, a különböző ázsiai országok ICS kiberbiztonsággal foglalkozó szakértői is figyelemmel kísérik a nevesebb nyugati szakértők publikációit, ezért úgy vélem, nekünk is érdekes lehet látni, hogy a világ másik részein dolgozó kollégák éppen mivel is foglalkoznak.

2017 év végén indították el a cert.plcscan.org oldalon az első, kifejezetten ICS/SCADA rendszerekre fókuszáló CERT-et. Bár a plcscan.org nyelve alapvetően az egyszerűsített kínai, napjainkban azért már egészen jó megoldások érhetőek el, amikkel egy kínaiul olvasni nem tudó személynek is egészen jó elképzelése lehet arról, milyen tartalom is jelenik meg egy-egy ilyen CERT bejegyzésben. Csak ajánlani tudom ezt a forrást mindenkinek, akit érdekel, hogy Kínában mit gondolnak az ICS rendszerek biztonságáról.

Sérülékenységek Siemens SIMATIC, SINUMERIK és PROFINET IO termékekben

A Siemens ProductCERT egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó sérülékenységet jelentett az ICS-CERT-nek. A hiba az alábbi rendszereket és verziókat érinti:

- SIMATIC CP 343-1 Advanced: minden verzió;
- SIMATIC CP 343-1 Standard: minden verzió;
- SIMATIC CP 443-1 Advanced: minden verzió;
- SIMATIC CP 443-1 Standard: minden verzió;
- SIMATIC S7-1500 Software Controller: a V1.7.0-nál korábbi összes verzió;
- SIMATIC S7-1500: a V1.7.0-nál korábbi összes verzió;
- SIMATIC S7-300: minden verzió;
- SIMATIC S7-400 H V6: minden verzió;
- SIMATIC S7-400 PN/DP V6: a V6.0.7-nél korábbi összes verzió;
- SIMATIC S7-400 PN/DP V7: minden verzió;
- SIMATIC S7-410: a V8.1-nél korábbi összes verzió;
- SIMATIC WinAC RTX 2010: minden verzió;
- SINUMERIK 828D: minden verzió;
- SINUMERIK 840D sl: minden verzió;
- Softnet PROFINET IO, PC-alapú Windows rendszerekhez: minden verzió.

A gyártó a weboldalán elérhetővé tette a hibát javító újabb verziókat.

A sérülékenység részleteiről az ICS-CERT és a Siemens ProductCERT bejelentéseiben lehet olvasni.

Siemens SIMATIC WinCC OA UI mobil alkalmazás sérülékenység

Alexander Bolshev, az IOActive és Ivan Yushkevich, az Embedi munkatársai egy hozzáférés-kezelési hibát azonosítottak a Siemens SIMATIC WinCC OA UI mobil alkalmazás alábbi verzióiban:

- SIMATIC WinCC OA UI for Android: a V3.15.10-nél korábbi összes verzió;
- SIMATIC WinCC OA UI for IOS: a V3.15.10-nél korábbi összes verzió.

A gyártó a hibát a V3.15.10-es verzióban javította.

A sérülékenységről bővebb indormációt az ICS-CERT és a Siemens ProductCERT publikációi tartalmaznak.

Geutebrück IP kamerák sérülékenységei

Davy Douhine, a RandoriSec és Nicolas Mattiocco, a Greenlock munkatársai fél tucatnyi sérülékenységet fedeztek fel a Geutebrück ipari IP kameráiban. A sérülékenységek a következő verziókat érintik:

- G-Cam/EFD-2250 (sorozat szám 5.02024) 1.12.0.4-es firmware verzió;
- Topline TopFD-2125 (sorozat szám 5.02820) 3.15.1-es firmware verzió.

A gyártó a G-Cam/EFD-2250 típusú eszközöknél a hibát az 1.12.0.4-es firmware verzióban javította.

A sérülékenységekkel kapcsolatban további információkat az ICS-CERT webodalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-079-01

Sérülékenység Beckhoff TwinCAT PLC-kben

Steven Seeley, a Source Incite munkatársa a sérülékenységet fedezett fel az alábbi Beckhoff TwinCAT PLC-kben:

- TwinCAT 3.1 Build 4022.4 és korábbi verziók;
- TwinCAT 2.11 R3 2259 és korábbi verziók;
- TwinCAT 3.1 C++ / Matlab (TC1210/TC1220/TC1300/TC1320).

A gyártó a hibával kapcsolatban a legújabb verzióra történő frissítést és a Matlab modulok újra fordítását javasolja.

A sérülékenységről bővebben az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-081-02

Schneider Electric MiCOM sérülékenység

A Schneider Electric bejelentése szerint az alábbi MiCOM termékekben egy szolgáltatás megtagadásos támadást lehtővé tevő sérülékenységet azonosítottak:

- MiCOM P445: 35, 36, 37, E0, F0, F1, F2;
- MiCOM P443, P446: 54, 55, 57, B0, D0, D1, D2;
- MiCOM P543-tól P546-ig: 44, 54, 45, 55, 47, 57, A0, B0, C0, DO, D1, D2;
- MiCOM P841A: 44, 45, 47, A0, C0, C1, C2;
- MiCOM P841B: 54, 55, 57, B0, D0, D1, D2.

A gyártó a hibát az alábbi verziók esetében már javította:

- P445: F0(F), F3;
- P443, P446: D0(F), D3
- MiCOM P543-tól P546-ig: C0(F), D0(F), D3
- P841A: C0(F), C3
- P841B: D0(F), D3

A sérülékenységgel kapcsolatos további részleteket a Schneider Electric webodalán lehet megtalálni.

Sérülékenységek Schneider Electric MGE Network Management Card Transverse-szel szerelt termékekben

A Schneider Electric publikációja szerint Ilya Karpov, Evgeny Druzhinin és Sephen Nosov, a Positive Technologies munkatársai számos sérülékenységet azonosítottak az alábbi, MGE SNMP/Web Card Transverse modullal szerelt termékekben:

- MGE Galaxy 5000;
- MGE Galaxy 6000;
- MGE Galaxy 9000;
- MGE EPS 7000;
- MGE EPS 8000;
- MGE EPS 6000;
- MGE Comet UPS;
- MGE Comet 3000;
- MGE Galaxy PW;
- MGE Galaxy 3000;
- MGE Galaxy 4000;
- MGE STS (Upsilon and Epsilon).

A gyártó a sérülékenységekkel kapcsolatban kockázatcsökkentő intézekedések bevezetését javasolja. A pontos kockázatcsökkentő intézkedésekről és a sérülékenységek további részleteiről a Schneider Electric publikációjában lehet olvasni.

Sérülékenységek Modicon beágyazott webszerverekben

Nikita Maximov, Alexey Stennikov, Anton Dorfman, Alexander Melkikh és Yuliya Simonova, a Positive Technologies munkatársai négy sérülékenységet fedeztek fel a Schneider Electric Modicon M340, Premium, Quantum PLC-iben és a BMXNOR0200-es eszközökben.

A gyártó a sérülékenységekkel kapcsolatban kockázatcsökkentő intézekedések bevezetését javasolja. A sérülékenységekkel kapcsolatos részletek a Schneider Electric bejelentésében találhatóak.

Sérülékenységek Modicon beágyazott FTP szerverekben

Meng Leizi és Zhang Daoquan független biztonsági kutatók, valamint Kirill Chernyshov, Alexey Stennikov és Nikita Maximov, a Positive Technologies munkatársai három sérülékenységet találtak a Schneider Electric Schneider Electric Modicon M340, Premium, Quantum PLC-iben és a BMXNOR0200-es kontrollereiben használt FTP-szerverben.

A gyártó a hibákkal kapcsolatban kockázatcsökkentő intézekedések alkalmazását javasolja. A sérülékenységek részleteit a Schneider Electric publikációja tartalmazza.

Schneider Electric MiCOM Px4x sérülékenységek

A gyártó bejelentése szerint az alábbi termékekben alkalmazott DNP3 over Ethernet protokollban egy szolgáltatás-megtagadásos támadás előidézésére alkalmas hibát találtak:

MiCOM P443 H4 verzió;
MiCOM P445 H4 verzió;
MiCOM P446 H4 verzió;
MiCOM P54x H4 minden verziója;
MiCOM P841A H4 verzió;
MiCOM P841B H4 verzió;

MiCOM P14x minden verziója, a B2(B) kivételével;
MiCOM P44x minden verziója;
MiCOM P64x minden verziója;
MiCOM P746 minden verziója;
MiCOM P849 minden verziója.

A gyártó a sérülékenységgel kapcsolatban ismét a kockázatcsökkentő intézkedések fontosságát hangsúlyozza és kiadta a hibát javító firmware-verziókat is.

A sérülékenység további információkat a Schneider Electric bejelentésében lehet olvasni.

A MiCOM Px4x termékcsalád egyes tagjainál a gyártó egy másik sérülékenységet is azonosított. Az érintett termékek a

MiCOM P14x, 46-os verzió;
MiCOM P44x, D6-os verzió, a D6(E) kivételével;
MiCOM P64x minden verziója;
MiCOM P849 minden verziója.

A hibát a gyártó a P44x sorozat esetén a D6(E) verzióban javította, a többi verzió esetén ebben az esetben is a kockázatcsökkentő intézekedések alkalmazását javasolják.

A sérülékenységről bővebb információ a Schneider Electric publikációjában lehet olvasni.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az elmúlt héten több cikk is megjelent, amik a tavaly év végén napvilágra került Triton/TriSIS malware-támadással kapcsolatos új információkat és elméleteket taglalják.

A Schneider Electric (akiknek a Triconex nevű SIS rendszerét érte támadás egy továbbra is névtelenség mögé bújó Közel-keleti, egyre biztosabb feltételezések szerint szaúdi olajipari cég telephelyén), a Symantec és a Madiant mellett számos amerikai kormányzati szerv (az NSA, az FBI, a DHS és a DARPA) is vizsgálatokat folytatott az incidens kapcsán.

Jelenleg az elméletek szerint a támadók célja nem csupán az olajipari létesítmény működésének megzavarása volt, hanem egyenesen robbanást akartak előidézni a biztonsági (safety) rendszer kompromittálásával.

Az incidens utáni nyomozás során a vizsgálatot végző szakértők egy különös fájlt talált az SIS rendszer egyik mérnöki munkaállomásán, ami minden szempontból egy legitim Schneider Electric szoftverkomponensnek látszott, azonban arra szolgált, hogy szabotálni lehessen a Triconex rendszer működését. A vizsgálatot végzők arról nem nyilatkoznak, hogy ez a fájl hogyan került a rendszerbe, de azt tudni lehet, hogy nem hiszik, hogy belső ember helyezte volna el a mérnöki munkaállomáson, vagyis ez volt az első eset, hogy egy SIS rendszert távolról szabotáltak.

Komolyabb (robbanással járó) incidens azért nem lett a támadásból, mert a támadók hibáztak a malware kódjának írásakor, de az incidenst vizsgáló szakértők biztosak abban, hogy ezt a hibát mostanra javították - ez már csak azért is nagyon aggasztó feltételezés, mert az érintett Schneider Electric Triconex rendszerből világszerte több, mint 13.000 darab működik.

További részleteket az alábbi cikkekben lehet olvasni:
https://www.nytimes.com/2018/03/15/technology/saudi-arabia-hacks-cyberattacks.html
https://www.techspot.com/news/73730-saudi-arabian-petroleum-plant-hit-malware-tried-cause.html

Ezt a konferenciát először 2014-ben rendezte meg Berlinben a Prospero Events Group. Rögtön az első évben én is részt vettem rajta, számomra egy kicsit meglepő volt, hogy (várakozásaimmal ellentétben) viszonylag kevesen, mintegy 30-40-en voltunk résztvevői a konferenciának - és ebbe már az előadókat is beleszámoltam.

Az előadások jellemzően jól visszaadják az ICS kiberbiztonsági szakma aktuális kérdéseit és kihívásait, az azonban számomra valahol hiányérzetet okoz, hogy az elmúlt 4 évben (2017-ben immár negyedszer rendezték meg ezt a konferenciát, első alkalommal Berlin helyett Amsterdamban) túlnyomó többségében ugyanazok a főleg európai előadók tartanak prezentációkat. Én nagyon hiányolom azt, hogy amerikai és/vagy ázsiai előadók is tartsanak prezentációkat azoknak az európai kollégáknak, akiknek nincs lehetőségük az USA-ba utazni és ott is információkat gyűjteni a témában.

A másik, számomra negatív szempont a rendezvény részvételi díja, a három napos konferenciáért közel 3000 Eurót kellett fizetni, amikor legutóbb néztem.

Ettől függetlenül maga a konferencia szakmailag nagyon jó és Közép- illetve Nyugat-Európában nem nagyon van hasonló, ICS kiberbiztonságra fókuszáló konferencia, így aki teheti, annak mindenképp azt javaslom, hogy legalább egyszer vegyen részt rajta.

A konferencia weboldala itt található: http://www.prosperoevents.com/upcoming-events/item/340-4th-cyber-scada-security-for-utilities-and-power-sector-2017

Sérülékenység Siemens SIPROTEC és Reyrolle rendszerekben

A gyártó és az ICS-CERT bejelentése szerint Ilya Karpov és Alexey Stennikov, a Positive Technologies munkatársai egy sérülékenységet azonosítottak egyes SIPROTEC és Reyrolle termékekben, amik az EN10 Ethernet modul alábbi változataival készültek:

- EN100 Ethernet modul IEC 61850 változat: minden, V4.30-nál korábbi verzió;
- EN100 Ethernet modul PROFINET IO változat: minden verzió;
- EN100 Ethernet modul Modbus TCP változat: minden verzió;
- EN100 Ethernet modul DNP3 változat: minden verzió;
- EN100 Ethernet modul IEC 104 változat: minden verzió.

A sérülékenységet kihasználva egy támadó authentikáció nélkül lehet képes újabb vagy régebbi verziójú firmware-t telepíteni a sérülékeny eszközökre. A hibát a Siemens az EN100 Ethernet modul IEC 61850 változatnál a V4.30-as verzióban javította, a többi változat esetény workaround-ot ajánl az érintett ügyfeleinek.

A sérülékenységgel kapcsolatos további információkat az ICS-CERT illetve a Siemens ProductCERT bejelentéseiben lehet találni.

Sérülékenységek Siemens termékekben

Egy nap alatt két sérülékenységi bejelentést tett közzé a Siemens, amik közül mindkettő foglalkozni egyes SIPROTEC termékekben a kritikus funkció esetén hiányzó authentikációval, de az előző sérülékenységgel ellentétben ebben az esetben Ilya Karpov társa a felfedezésben Dmitry Sklyarov volt. A másik sérülékenység a nem megfelelő erősségű titkosításból adódik. A sérülékeny eszközök és verziók listája részben hasonló:

- DIGSI 4: minden, V4.92-nél korábbi verzió;
- EN100 Ethernet modul IEC 61850 változat: minden, V4.30-nál korábbi verzió;
- EN100 Ethernet modul PROFINET IO változat: minden verzió;
- EN100 Ethernet modul Modbus TCP változat: minden verzió;
- EN100 Ethernet modul DNP3 változat: minden verzió;
- EN100 Ethernet modul IEC 104 változat: minden verzió
- SIPROTEC 4 7SJ66: minden, V4.30-nál korábbi verzió - az eszközöket csak a nem megfelelő erősségű titkosításból adódó sérülékenység érinti;
- SIPROTEC Compact 7SJ80: minden, V4.77-nél korábbi verzió - az eszközöket csak a nem megfelelő erősségű titkosításból adódó sérülékenység érinti;
- SIPROTEC Compact 7SK80: minden, V4.77-nél korábbi verzió - az eszközöket csak a nem megfelelő erősségű titkosításból adódó sérülékenység érinti;
- Egyéb SIPROTEC Compact relék: minden verzió - az eszközöket csak a nem megfelelő erősségű titkosításból adódó sérülékenység érinti;
- Egyéb SIPROTEC 4 relék: minden verzió - az eszközöket csak a nem megfelelő erősségű titkosításból adódó sérülékenység érinti.

A gyártó a DIGSI 4-hez, az EN100 Ethernet modul IEC 61850 változathoz, a SIPROTEC 4 7SJ66-hoz, a SIPROTEC Compact 7SJ80-hoz és SIPROTEC Compact 7SK80-hoz elérhetővé tette a javításokat tartalmazó új firmware-verziókat, a többi típus illetve változat esetén workaround-ot ajánl az érintett ügyfeleinek.

A sérülékenységekről bővebben a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet olvasni.

Sérülékenység GE orvosi rendszerekben

Az ICS-CERT publikációja szerint Scott Erven független biztonsági kutató egy, a nem megfelelő authentikációból adódó sérülékenységet talált a GE Healthcare alábbi termékeiben:

- Optima 520 minden verziója;
- Optima 540 minden verziója;
- Optima 640 minden verziója;
- Optima 680 minden verziója;
- Discovery NM530c 1.003-nál korábbi verziók;
- Discovery NM750b 2.003-nál korábbi verziók;
- Discovery XR656 és Discovery XR656 Plus minden verziója;
- Revolution XQ/i minden verziója;
- THUNIS-800+ minden verziója;
- Centricity PACS Server minden verziója;
- Centricity PACS RA1000 minden verziója;
- Centricity PACS-IW minden verziója, ide értve a 3.7.3.7-es és 3.7.3.8-as verziókat is;
- Centricity DMS minden verziója;
- Discovery VH / Millenium VG minden verziója;
- eNTEGRA 2.0/2.5 Processing and Review Workstation minden verziója;
- CADstream minden verziója;
- Optima MR360 minden verziója;
- GEMNet licensz szerver (EchoServer) minden verziója;
- Image Vault 3.x orvosi képalkotó szoftver minden verziója;
- Infinia / Infinia with Hawkeye 4 / 1, minden verziója;
- Millenium MG / Millenium NC / Millenium MyoSIGHT minden verziója;
- Precision MP/i minden verziója;
- Xeleris 1.0 / 1.1 / 2.1 / 3.0 / 3.1 minden verziója.

A GE a hibát javító verziókat igény esetén eljuttatja az ezt igénylő ügyfeleinek.

A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-037-02

OSIsoft PI Web API sérülékenységek

A gyártó két sérülékenységet jelentett az ICS-CERT-nek, amik az OSIsoft PI Web API 2017 R2 és korábbi verzióit érintik.

A hibákat a gyártó az OSIsoft PI Web API 2017 R2 Update1 és a PI AF Services 2017 R2 Update 1 verziókban javította.

A sérülékenységekkel kapcsolatos bővebbn információkat az ICS-CERT bejelentésében lehet elérni: https://ics-cert.us-cert.gov/advisories/ICSA-18-072-04

OSIsoft PI Vision sérülékenységek

Ugyancsak a gyártó jelentette az ICS-CERT-nek az OSIsoft PI Vision 2017 és korábbi verzióiban felfedezett két sérülékenységet.

A hibákat a gyártó a PI Vision 2017 R2 Update 1 (ami a fent ismertetett PI Web API sérülékenységeket is javítja).

A PI Vision sérülékenységeiről további információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-072-03

OSIsoft PI Data Archive sérülékenységek

Még mindig OSIsoft és még mindig a gyártó jelentett három sérülékenységet a PI Data Archive 2016R2 és korábbi verzióiban.

A gyártó a hibát a PI Data Archive 2017R2 verzióban javította.

A sérülékenységek részleteiről az ICS-CERT publikációjában lehet bővebben olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-072-02

Omron CX-Supervisor sérülékenységek

Az rgod néven ismert biztonsági kutató a ZDI-vel együttműködve 7 különböző sérülékenységet azonosított CX-Supervisor 3.30 és korábbi verzióiban.

A gyártó 3.4.1-es verziójában javította a hibákat.

A sérülékenységek részleteit az ICS-CERT publikációjában lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-072-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A LinkedIn-en elég ritkán szoktam folyamatirányítással kapcsolatos kiberbiztonsági cikkeket találni, nemrég azonban egy egészen érdekes, a vasúti folyamatirányításban használt rendszerek biztonságáról szóló írás került elém Israel Baron tollából.

A cikk felsorolja a világban ilyen célra használt jelentősebb rendszereket (ALSN, ASFA, ATC, ATP, CBTC, PZB Indusi), röviden ismerteti a European Train Control System (ETCS) legfontosabb tulajdonságait és összefoglalja a vasúti irányító és jelzőrendszerek kiberbiztonsági kihívásait, ide értve azt is, hogy hogyan fertőzhetett meg ilyen rendszereket tavaly májusban a WannaCry ransomware.

Írása végén Israel Baron felhívja a figyelmet a vasúti irányítórendszerek egyre nagyobb kiberbiztonsági kockázataira és egy sikeres támadás lehetséges következményeire, majd tesz néhány javaslatot a kockázatok csökkentésére használható intézkedésekre.

A cikk teljes terjedelmében itt érhető el.

Sajnos időközben a hivatkozott cikk (és a szerző, Israel Baron profilja is) eltűnt a LinkedIn-ről. Azt hiszem, ez tanulság nekem, hogy a jövőben inkább ne akarjak így, ilyen forrásból írásokat megosztani a blogon...

Sérülékenység Emerson berendezésekben

Younes Dragoni, a Nozomi Networks munkatársa egy Stack-based Buffer Overflow sérülékenységet azonosított az Emerson ControlWave Micro CWM v.05.78.00 és korábbi verziójú firmware-jeiben. A hiba sikeres kihasználásával egy támadó elérheti az eszköz Ethernet-kommunikációjának leállását, amit csak az érintett berendezés ki- majd ismételt bekapcsolása állít helyre.

A gyártó a hibát a v.05.79.00 verzióban javította.

A sérülékenységgel kapcsolatos további információkat az ICS-CERT publikációja tartalmazza: https://ics-cert.us-cert.gov/advisories/ICSA-18-058-03

Delta Electronics WPLSoft sérülékenységek

Egy Axt néven hivatkozott személy három sérülékenységet jelentett a ZDI-nek. A hibák a WPLSoft PLC programozó szoftver 2.45.0 és korábbi verzióit érintik, közöttük két puffer-túlcsordulás és egy memória-kezelési hiba található.

A gyártó a hibát a 2.46.0 verzióban javította.

A sérülékenységekről részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-058-02

Sérülékenység Delta Industrial Automation DOPSoft rendszerekben

Ghirmay Desta a ZDI-nek jelentett egy puffer-túlcsordulást okozó hibát, amit a Delta Industrial Automation DOPSoft HMI rendszerének 4.00.01 és korábbi verzióiban talált.

A gyártó a hibát a DOPSoft 4.00.04-es verziójában javította.

A sérülékenység részleteit az ICS-CERT publikációjában lehet elérni: https://ics-cert.us-cert.gov/advisories/ICSA-18-060-03

Sérülékenység Philips Intellispace Portal rendszerekben

A gyártó számos sérülékenységet tárt fel az Intellispace Portal 8.0.x és 7.0.x verzióiban. A sérülékenységek között nem megfelelő bevitt adat ellenőrzés, információszivárgás, jogosultság-kezelési hibák, tetszőleges kódfuttatást és jogosultsági szint emelést lehetővé tevő hibák, hibakeresésből visszamaradt kód és az alkalmazott titkosítás sérülékenysége is megtalálható.

A gyártó a hibák javítását március folyamán tervezi kiadni.

A sérülékenységek részleteiről az ICS-CERT bejelentése tartalmaz bővebb információkat: https://ics-cert.us-cert.gov/advisories/ICSMA-18-058-02

Sérülékenységek Medtronic rendszerekben

Billy Rios és Jonathan Butts, a Whitescope LLC munkatársai több sérülékenységet is találtak a Medtronic 2090 CareLink Programmer rendszerében. A hibák a rendszer minden verziójában megtalálhatóak.

A gyártó mostanáig nem adott ki olyan új verziót, ami javítaná a most feltárt hibákat.

A sérülékenységek részleteit az ICS-CERT publikációjában lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-058-01

Moxa OnCell eszközök sérülékenységei

Kirill Nesterov, Eugenie Potseluevskaya és Radu Motspan, a Kaspersky Labs munkatársai három sérülékenységet jelentettek az ICS-CERT-nek, amik a Moxa OnCell G3100-HSPA sorozatú eszközeinek 1.4 Build 16062919 és korábbi verzióit futtató firmware-jeit érintik.

A gyártó a hibákat javító új firmware-verziót már elérhetővé tette a weboldalán.

A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-060-02

Sérülékenységek Schneider Electric Pelco Sarix rendszerekben

A Schneider Electric publikációja szerint Deng Yongkai, az NSFOCUS biztonsági csoport, Mihail Berk Eksioglu, a Biznet Bilisim A.S., Giri Veeraraghavan Veda, a Gulf Business Machines és Gjoko Krstic, a Zero Science Labs kutatói 12 különböző sérülékenységet azonosítottak a Pelco Sarix Professional 3.29.67-esnél korábbi firmware-verzióiban.

A gyártó a hibákat a 3.29.67-es firmware-verzióban javította.

A sérülékenységek részleteiről a Schneider Electric bejelentése tartalmaz bővebb információkat.

Hirschmann Automation berendezések sérülékenységei

Ilya Karpov, Evgeniy Druzhinin, Mikhail Tsvetkov ésDamir Zainullin, a Positive Technologies munkatársai 5 különböző sérülékenységet azonosítottak a Hirschmann Automation Classic Platform Switch termékei közül az alábbiakban:

- minden RS verzió;
- minden RSR verzió;
- minden RSB verzió;
- minden MACH100 verzió;
- minden MACH1000 verzió;
- minden MACH4000 verzió;
- minden MS verzió;
- minden OCTOPUS verzió.

A sérülékenységekkel kapcsolatos javításról jelenleg nincs információ. A gyártó az ICS-CERT bejelentésében több kockázatcsökkentő intézkedést is javasol a sérülékenységek okozta kockázatok csökkentésére vonatkozóan.

Sérülékenység Schneider Electric szoftverkomponensekben

A Venustech-hez tartozó Active-Defense Lab egy DLL injection-t lehetővé tevő sérülékenységet talált a Schneider Electric SoMove és DTM szoftverkomponenseinek alábbi verzióiban:

- SoMove software, 2.6.2-nél korábbi verziók;
- ATV320 DTM, 1.1.6-nál korábbi verziók;
- ATV340 DTM, 1.2.3-nál korábbi verziók;
- ATV6xx DTM, 1.8.0-nál korábbi verziók;
- ATV9xx DTM, 1.3.5-nél korábbi verziók;
- az AltivarDtmLibrary, 12.7.0-nál korábbi verziói:
- ATV32 DTM;
- ATV71 DTM;
- ATV61 DTM;
- ATV LIFT DTM;
- ATV31/312 DTM;
- ATV212 DTM;
- ATV12 DTM.

A hibát a gyártó az érintett szoftverek legújabb verzióiban javította.

A sérülékenység részleteiről az ICS-CERT publikációja tartalmaz információkat: https://ics-cert.us-cert.gov/advisories/ICSA-18-065-02

Eaton ELCSoft sérülékenység

Ariele Caltabiano, a kimiya néven is ismert biztonsági kutató a ZDI-vel együttműködve jelentett egy sérülékenységet az ICS-CERT-nek, ami az Eaton ELCSoft2.04.02 és korábbi verziójú firmware-jeit érinti.

A gyártó a hibát javító firmware-verziót már elérhetővé tette.

A sérülékenységről bővebben az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-065-03

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A néhány hete megtartott München-i Biztonsági Konferencián (Munich Security Conference 2018) a Siemens és nyolc további szervezet (az IBM, az Airbus, az Allianz, a Daimler, az NXP, az SGS, a T-Mobile, a Munich Security Conference). A kezdeményezés célja, hogy a kiberbiztonság a rendszerek és gondolkodás alapvető komponense legyen az ipari és üzleti IT világában egyaránt.

A kezdeményezésről többet a Siemens bejelentésében és a Charter of Trust weboldalán lehet olvasni.