Az elmúlt néhány évben többször lehetett hallani olyan híreket, hogy biztonsági kutatók autók motorvezérlő rendszereihez fértek hozzá távolról, pl. GSM-kapcsolaton keresztül. Nagyjából két évvel ezelőtt egy férfit azzal vádolt meg az FBI, hogy utazás közben, a fedélzeti szórakoztató rendszer borítását megbontva, majd az így hozzáférhetővé tett USB-csatlakozáson keresztül elért rendszereken át hozzáférést szerzett a repülőgép hajtóműveit vezérlő rendszerhez és képes volt módosítani a hajtómű működését repülés közben. Ezek az esetek általában kavartak valamekkora érdeklődést, de 1-2 nap után az újabb hírek miatt ezek a témák háttérbe szorultak.

Valamivel több, mint egy hónapja az amerikai belbiztonsági minisztérium (Department of Homeland Security, DHS) munkatársai egy Virginia államban tartott konferencián arról beszéltek, hogy egy 2016-ban végzett vizsgálat során két napnyi munka árán minden fajta belső segítség nélkül sikerült távolról kompromittálni egy Boeing 757-es repülőgép rendszereit és átvenni az irányítást a vezérlőrendszerei fölött.

Az esetről számos helyen írtak, amennyire én meg tudtam ítélni, az eredeti publikáció az Aviation Today cikke volt.

Az elmúlt héten ismét megjelent néhány új és érdekes ICS sérülékenységről szóló publikáció.

Sérülékenység Phoenix Contact rendszerekben

Maxim Rupp egy Cross-site scripting hibát fedezett fel a Phoenix Contact alábbi, ipari hálózati eszközeiben:

- FL COMSERVER BASIC 232/422/485;
- FL COMSERVER UNI 232/422/485;
- FL COMSERVER BAS 232/422/485-T;
- FL COMSERVER UNI 232/422/485-T;
- FL COM SERVER RS232;
- FL COM SERVER RS485;
- PSI-MODEM/ETH.

A felsorolt eszközök mindegyik sérülékeny, amennyiben az 1.99-es, 2.20-as vagy 2.40-esnél korábbi firmware-verziók valamelyikét futtatják.

A gyártó a hibát a legújabb firmware-verzióban javította.

A sérülékenységről bővebb információkat az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-341-03

Rockwell Automation FactoryTalk sérülékenység

Egy meg nem nevezett petrolkémiai cég a bevitt adatok nem megfelelő ellenőrzéséből adódó sérülékenységet jelentett az ICS-CERT-nek. A hiba az alábbi rendszereket érinti:

- FactoryTalk Alarms and Events, 2.90 és korábbi verziók;
- FactoryTalk Services (RSLinx Enterprise), minden verzió;
- FactoryTalk View SE, 5.00 és korábbi verziók;
- Studio 5000 Logix Designer, 24-es és későbbi verziók.

A hibát az ICS-CERT publikációja szerint a Rockwell Automation a FactoryTalk 2.90-es verziójában illetve az újabb verziókban javította (ez némiképp ellentmond a sérülékeny verzióknál az első sorban írt információknak, ahol az érintett verziók között sorolják a 2.90-et és az ennél korábbi verziókat is).

Az ICS-CERT vonatkozó bejelentése itt érhető el: https://ics-cert.us-cert.gov/advisories/ICSA-17-341-02

Sérülékenység Xiongmai Technology IP kamerákban és digitális videórögzítő rendszerekben

Clinton Mielke, független biztonsági kutató egy puffer túlcsorduláson alapuló sérülékenységet fedezett fel a Xiongmai Technology által gyártott minden olyan IP kamerában és videórögzítő rendszerben, amik a NetSurveillance Web interfészt használják.

A gyártó nem reagált az ICS-CERT sérülékenységgel kapcsolatos megkeresésére, így jelenleg nem áll rendelkezésre semmilyen hivatalos gyártói információ a sérülékenységgel kapcsolatban.

Az ICS-CERT sérülékenységgel kapcsolatos kiadványát itt lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-341-01

Sérülékenység Schneider Electric EcoStruxure rendszerekben

A gyártó bejelentése szerint a Schneider Electric EcoStruxure nevű, alállomási felhasználói interfészében használt MySQL 5.5.56-os verzióban több sérülékenység is található, amiket kihasználva szolgáltatás-megtagadásos (DoS) támadást lehet végrehajtani a sérülékeny rendszerek ellen. A sérülékenység az EcoStruxure Substation Operation
User Interface (korábbi nevén EcoSUI) 2.1.17279 és korábbi verzióit érinti.

A gyártó a hibát a 2.1.17285-ös verzióban javította.

A sérülékenységgel kapcsolatban bővebb információkat a Schneider Electric publikációjában lehet olvasni.

Sérülékenységek Schneider Electric Pelco rendszerekben

A Schneider Electric által most közzétett három hibát Gjoko Krstic fedezte fel a Pelco VideoXpert Enterprise 2.1-nél korábbi verzióiban. A hibák között biztonsági intézkedések megkerülését lehetővé tevő, érzékeny adatokat felfedő és jogosultság-kiterjesztésre lehetősége adó hibák találhatóak.

A gyártó a hibát a 2.1-es verzióban javította.

További részleteket a Schneider Electric bejelentésében lehet találni.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Ethicon Endo-Surgery rendszerek sérülékenysége

Az Ethicon anyavállalata, a Johnson&Johnson egy nem megfelelő authentikációból adódó sérülékenységet jelentett az ICS-CERT-nek. A hiba az Ethicon Endo-Surgery Generator Gen11 minden, 2017. november 29-e előtt kiadott verziójában megtalálható.

A gyártó a sérülékenységet javító verziót elérhetővé tette a hiba által érintett ügyfelei számára.

A sérülékenységgel kapcsolatban részletesebb információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSMA-17-332-01

Geovap Reliance SCADA sérülékenység

Can Demirel egy cross-site scripting sérülékenységet jelentett az ICS-CERT-nek, amit a Geovap Reliance SCADA nevű rendszerének 4.7.3 Update 2 és korábbi verzióiban talált.

A gyártó a hibát a 4.7.3 Update 3 verzióban javította.

A sérülékenység részletei az ICS-CERT publikációjában olvashatóak: https://ics-cert.us-cert.gov/advisories/ICSA-17-334-02

Sérülékenységek Siemens SWT3000 rendszerekben

A gyártó öt különböző sérülékenységet a SWT3000 berendezések EN100 moduljainka alábbi firmware-verzióiban:

- IEC61850 firmware V4.29.01-nél korábbi verziók;
- TPOP firmware: V01.01.00-nál korábbi verziók;

A Siemens a hibákat javító firmware-verziókat már elérhetővé tette.

A sérülékenységgekről további részleteket az ICS-CERT bejelentéséből lehet megtudni: https://ics-cert.us-cert.gov/advisories/ICSA-17-334-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az ICS Cyber Security konferencia talán az egyik legnagyobb múltra visszatekintő, kifejezett ICS kiberbiztonságra fókuszáló konferencia, idén már 16. alkalommal rendezték meg.

A konferenciát mind a mai napig nem lehet elválasztani Joe Weiss-től, az Applied Control Solutions alapítójától, olyannnyira nem, hogy az első időkben a konferenciák is csak WeissCon-ként emlegették, ezzel is utalva az alapító Joe egészen elképesztő elhivatottságára az ICS biztonság témája iránt. Az elmúlt néhány évben a SecurityWeek átvette a konferencia szervezését, azóta egyre komolyabb fejlesztések történnek, idén első alkalommal a korábbi, atlanta-i Georgia Tech egyetemi helyszín után a szintén atlanta-i Buckhead-ben található Intercontinental-ba került áthelyezésre a rendezvény, ráadásul tavasszal első alkalommal már Szingapúrban is megrendezésre került az ICS Cyber Security Conference ázsiai rendezvénye is.

Az idei és az elmúlt két évben volt lehetőségem részt venni az ICS Cyber Security konferencián és mivel 2014-ben jártam ICS témájú európai rendezvényen is, már az első alkalommal volt összehasonlítási alapom. Részben ezek alapján azt kell mondanom, hogy jelenleg ez a konferencia talán a legjobb ár-érték arányú szakmai rendezvény azok közül, amik kifejezetten az ICS biztonságot helyezik témáik között az első helyre.

Egyrészt a résztvevők létszáma (idén egyes források szerint 400 résztvevője volt, szemben a 14-es európai rendezvénnyel, ahol maximum 30-an lehettünk) és az előadók között megjelenő "nagy neveken" (Joe Weiss évenként megtartott State of the State című előadása mellett tavaly pl. az NSA igazgató/US Cyber Command parancsnok Michael S. Rogers admirális tartotta a keynote előadást) túl elég egyértelműen látszik, hogy az ICS biztonsági szakterület aktuális trendjeit itt lehet a legkorábban és a legjobban felmérni. Erre egy példa, hogy Joe Weiss közel egy éve ír az Unfettered blogon arról, hogy a vállalati és az ipari IT-ban egyaránt használható hálózati monitoring és anomália-detektáló megoldások használata mellett javítani kell a lvl1 és lvl0 eszközök szintjén is az átláthatóságot. Az idei konferencián számomra meglepően sokan tartottak előadást ebben a témában és néhány gyártó már az ilyen megoldásaikat is elhozták bemutatni.

Néhány további fontos gondolat az idei konferenciáról:

- Jake Brodsky előadásában egy PLC-ben talált bug-ot mutatott be - eredetileg még csak abban sem lehetett biztos, hogy bug-ot és nem egy incidenst fedezett fel, minden esetre megkereste a gyártót, akik kiemelten kezelve a problémát, "gyorsan" (7 hónap alatt!) javították a hibát. Ez az előadás kiválóan mutatott rá arra, hogy az ICS eszközök és rendszerek gyártói még közel sem képesek olyan reakciókra, mint amit pl. a Microsoft mutatott be az EternalBlue sérülékenység már nem támogatott operációs rendszereik (XP, 2003) esetén történő javításával, amikor szembesültek a WannaCry terjedésének világméretű problémájával. ICS gyártóktól ilyen gyors reakcióidőt jelenleg nem várhatunk, pedig a kockázatok feltehetően sokkal nagyobbak, mint a vállalati IT területén.

- Ben Sterling egy erőművi rendszerben rosszul üzembe helyezett adat-dióda rendellenes működéséből adódó vezérlőrendszeri üzemzavarról tartott előadást, ami ismét hangsúlyozta az ICS rendszerek esetén az OT, a gyártó és az IT/ICS biztonsági szakterületek együttműködésének nélkülözhetetlenségét.

Összességében a saját tapasztalataim alapján úgy gondolom, hogy ez a rendezvény minden ICS területen dolgozó szakember számára hasznos és érdekes rendezvény lehet, még akkor is, ha Atlantába nem éppen egyszerű vagy olcsó eljutni Közép-Európából (bár azt is hozzá kell tennem, hogy az elmúlt két évben végzett kalkulációim alapján az európai ICS biztonsági konferenciák teljes költsége valamivel még magasabb is, mint az atlantai rendezvényé).

Az idei konferenciával kapcsolatos utózöngéket illetve idővel a jövő tavaszi szingapúri rendezvény részleteit a konferencia weboldalán lehet megtalálni: http://www.icscybersecurityconference.com/

Phoenix Contact rendszerek sérülékenysége

Mathy Vanhoef, az imec-DistriNet és a Leuven-i Katolikus Egyetem munkatársa KRACK sérülékenységet fedezett fel a Phoenix Contact alábbi termékeiben:

- BL2 BPC;
- BL2 PPC;
- FL COMSERVER WLAN 232/422/485;
- FL WLAN 110x;
- FL WLAN 210x;
- FL WLAN 510x;
- FL WLAN 230 AP 802-11;
- FL WLAN 24 AP 802-11;
- FL WLAN 24 DAP 802-11;
- FL WLAN 24 EC 802-11;
- FL WLAN EPA;
- FL WLAN SPA;
- ITC 8113;
- RAD-80211-XD;
- RAD-WHG/WLAN-XD;
- TPC 6013;
- VMT 30xx;
- VMT 50xx;
- VMT 70xx.

A gyártó jelenlegi is vizsgálja, hogy a sérülékenység hogyan hat a beágyazott eszközeinek működésére és amíg elkészülnek a sérülékenység javításával, azt javasolják, hogy ügyfeleik telepítsék a Windows operációs rendszerekhez a Microsoft által már kiadott patch-eket.

A sérülékenységgel kapcsolatos részleteket az ICS-CERT publikációja tartalmazza: https://ics-cert.us-cert.gov/advisories/ICSA-17-325-01

Szolgáltatás-megtagadást lehetővé tevő sérülékenység Siemens termékekben

George Lashenko, a CyberX biztonsági kutatója egy SNMP DoS-t lehetővé tevő hibát azonosított a Siemens számos termékében:

- SIMATIC S7-200 Smart: V2.03.01-nél korábbi összes verzió;
- SIMATIC S7-400 PN V6: V6.0.6-nál korábbi összes verzió;
- SIMATIC S7-400 H V6: minden verzió;
- SIMATIC S7-400 PN/DP V7: minden verzió;
- SIMATIC S7-410 V8: minden verzió;
- SIMATIC S7-300: minden verzió;
- SIMATIC S7-1200: minden verzió;
- SIMATIC S7-1500: minden verzió;
- SIMATIC S7-1500 Software Controller: minden verzió;
- SIMATIC WinAC RTX 2010: minden verzió;
- SIMATIC ET 200 Interface modules for PROFINET IO:
- SIMATIC ET 200AL: minden verzió;
- SIMATIC ET 200ecoPN: minden verzió;
- SIMATIC ET 200M: minden verzió;
- SIMATIC ET 200MP: minden verzió;
- SIMATIC ET 200pro: minden verzió;
- SIMATIC ET 200S: minden verzió;
- SIMATIC ET 200SP: minden verzió;
- Development/Evaluation Kits for PROFINET IO:
- DK Standard Ethernet Controller: minden verzió;
- EK-ERTEC 200P:V4.5-nél korábbi összes verzió;
- EK-ERTEC 200 PN IO: minden verzió;
- SIMOTION Firmware:
- SIMOTION D: V5.1 HF1-nél korábbi összes verzió;
- SIMOTION C: V5.1 HF1-nél korábbi összes verzió;
- SIMOTION P: V5.1 HF1-nél korábbi összes verzió;
- SINAMICS:
- SINAMICS DCM: minden verzió;
- SINAMICS DCP: minden verzió;
- SINAMICS G110M/G120(C/P/D) w. PN: V4.7 SP9 HF1-nél korábbi összes verzió
- SINAMICS G130 és G150: minden verzió;
- SINAMICS S110 w. PN: minden verzió;
- SINAMICS S120: minden verzió;
- SINAMICS S150:
- V4.7: minden verzió;
- V4.8: minden verzió;
- SINAMICS V90 w. PN: minden verzió;
- SINUMERIK 840D sl: minden verzió;
- SIMATIC Compact Field Unit: minden verzió;
- SIMATIC PN/PN Coupler: minden verzió;
- SIMOCODE pro V PROFINET: minden verzió;
- SIRIUS Soft starter 3RW44 PN: minden verzió.

A gyártó az alábbi termékekhez a megjelölt verziókban már elérhetővé tette a javításokat:

- SIMATIC S7-200 Smart: V2.03.01;
- SIMATIC S7-400 PN V6: Update V6.0.6;
- EK-ERTEC 200P: Update V4.5;
- SIMOTION D: Update V5.1 HF1;
- SIMOTION C: Update V5.1 HF1;
- SIMOTION P: Update V5.1 HF1;
- SINAMICS G110M/G120(C/P/D): Update V4.7 SP9 HF1.

A Siemens további frissítéseken is dolgozik, azok elkészültéig az alábbi kockázatcsökkentő intézkedések alkalmazását javasolja:

- Amelyik termékben erre van lehetőség, tiltsák le az SNMP szolgáltatást, ezt tökéletes védelmet jelent a sérülékenységet kihasználó támadási kísérletek ellen;
- Kontrollálják az érintett eszközök 161/udp portjához történő hozzáférést;
- Alkalmazzák a Siemens által kidolgozott cell protection koncepciót;
- Használjanak VPN-megoldást az egyes hálózati zónák közötti kommunikációjához;
- Alkalmazzanak mélységi hálózati védelmert.

A sérülékenységgel kapcsolatosan bővebb információkat a Siemens ProductCERT bejelentésében lehet olvasni: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-346262.pdf

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen

Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Korábban az idei évben írtam már a Shodan keresőmotorról és annak ICS világban történő felhasználási lehetőségeiről. Most hétvégén, a Black Friday keretében az egyébként 50 dolláros tagsági díjat 5 dollárra csökkentették. Hétfőig van ideje mindenkinek élni a lehetőséggel, aki úgy gondolja, hasznos lehet számára a Shodan minden elérhető funkciója. Részletek: https://www.shodan.io/store/member

A Capture the Flag rendezvények igen népszerűek a különböző kiberbiztonsági körökben (a BME CrySys Lab-ból indult magyar csapat, a Spam&Hex is évről-évre elismerésre méltó eredményeket vonultat fel), Szingapúrban pedig a helyi műszaki egyetemen nemrég egy olyan CTF-et rendeztek, aminek célja teljes egészében egy vízmű folyamatvezérlő rendszereinek és az általuk vezérelt fizikai folyamatok manipulálása volt.

Most végre elérhetővé váltak olyan dokumentumok, amikből részleteket is meg lehet tudni. Az anonimizált összefoglalót itt lehet elérni, itt pedig az egyik résztvevő csapat leírása olvasható.

Az elmúlt hét ismét érdekes termést hozott ICS sérülékenységek terén.

Philips egészségügyi rendszerek sérülékenységei

A gyártó Philips két termékének egyes verzióiban talált sérülékenységet. Az érintett termékek:

- IntelliSpace Cardiovascular, 2.3.0 és korábbi verziók;
- Xcelera, R4.1L1 és korábbi verziók.

A most felfedezett sérülékenység oka, hogy az érintett rendszerek olvasható formában tárolják a felhasználói fiókok bejelentkezési adatait.

A gyártó a sérülékenységgel kapcsolatban egyes verziókhoz már elérhetővé tette a javítást, a többi verziónál jelenleg is folyik a javított verzió fejlesztése, ezek várhatóan 2017 végén lesznek elérhetőek.

A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-318-01

Sérülékenység ABB TropOS operációs rendszerekben

Az ABB nemrég jelezte az ICS-CERT-nek, hogy a TropOS operációs rendszert használó szélessávú routerei érintettek a KRACK (Key Reinstallation AttaCKs) sérülékenység által. Az ABB Mesh OS 8.5.2 és korábbi verziót használó bridge eszközei szintén érintettek.

A gyártó jelenleg is dolgozik a sérülékenység hatásait csökkentő intézkedéseken és megjelentetett egy összefoglalót a weboldalán.

A sérülékenységgel kapcsolatos további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-318-02

Siemens SICAM RTU sérülékenységek

A SEC Consult cég sérülékenységi laboratóriumának munkatársai három hibát fedeztek fel a Siemens által gyártott SICAM RTU-k SM-2556 COM moduljainak alábbi verzióiban:

- ENOS00, ERAC00, ETA2, ETLS00, MODi00, DNPi00: minden verzió.

A hibák között kritikus funkció esetén hiányzó authentikáció, az RTU webes felületének generálása során hiányzó, bevitt adat ellenőrzés és kód befecskendezést lehetővé tevő hiba is van.

A gyártó minden érintett verziót használó ügyfelének az alábbiakat javasolja:

- A csak diagnosztikai célra használható webes funkciók letiltása;
- A sérülékeny és már nem támogatott verziókat (ETA2 - 104 protokollt használó modellek, MODi00 - Modbus/TCP slave modellek, DNPi00 - DNP3/TCP protokollt használó slave modellek) használó ügyfeleik upgrade-eljenek az újabb verziókra (ETA4 - 104 protokollt használó modell, MBSiA0 - Modbus/TCP slave modell, DNPiA1 - DNP3/ TCP slave modell).

A sérülékenységgel kapcsolatban bővebb információkat az ICS-CERT és a Siemens ProductCERT bejelentéseiben lehet találni.

Sérülékenység Moxa eszközökben

Florian Adamsky három sérülékenységet azonosított az alábbi Moxa NPort eszközökben:

- NPort 5110 Version 2.2;
- NPort 5110 Version 2.4;
- NPort 5110 Version 2.6;
- NPort 5110 Version 2.7;
- NPort 5130 Version 3.7 és korábbi verziók;
- NPort 5150 Version 3.7 és korábbi verziók.

A hibák között csomag-befecskendezéses támadást lehetővé tevő, információ-szivárgást okozó és nem megfelelő erőforrás kezelési hiba található.

A gyártó a hibákat a legújabb firmware-verzióban javította.

A sérülékenységekről további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-320-01

DNSMasq sérülékenység Siemens SCALANCE eszközökben

A Siemens ProductCERT bejelentésében 4 különböző, az alábbi SCALANCE eszközökben használt DNSMasq-ot érintő sérülékenységet hozott nyilvánosságra:

- SCALANCE W1750D: minden verzió;
- SCALANCE M800 / S615: All minden verzió.

Azok a SCALANCE W1750D eszközök, amiket vezérlő módban Aruba Mobility Controllereken használnak, nem érintettek, ha az AOS verzió újabb, mint az alábbiak:

- V6.3.1.25;
- V6.4.4.16;
- V6.5.1.9;
- V6.5.3.3;
- V6.5.4.2;
- V8.1.0.4.

A gyártó jelenleg is dolgozik a sérülékenységeket javító firmware-verzión.

A sérülékenységekkel kapcsolatos részleteket a Siemens ProductCERT bejelentésében lehet megtalálni: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-689071.pdf

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az ipari környezetekbe szánt (szakszóval ruggedized) tűzfalak ma már egyáltalán nem számítanak rendkívülinek, több gyártó is specializálódott az ilyen, a szerverterminél jóval durvább fizikai körülmények között is működőképes tűzfalak gyártására. Az utóbbi néhány évben az ICS rendszerek biztonsága mellett egyre gyakrabban merült fel az egészségügyben használt rendszerekkel kapcsolatban IT biztonsági kérdés és sorban jelennek meg az ilyen rendszerek sérülékenységi információi is.

Az egészségügyben használt rendszerek rendelkezésre állási mutatóinak és a patch-elhetőség, valamint életciklus tekintetében igen sok hasonlóságot mutatnak az ICS rendszerekkel, ami hasonlóan nagy kockázatot jelentenek, azonban az emberélet ezeknél a rendszereknél még az ICS világban megszokottnál is közvetlenebb veszélyben lehet - ráadásul az egészségügyi adatok a személyes adatok között is kiemelten védendőnek számítanak, ami miatt ezekre a rendszerekre a GDPR, az EU adatvédelmi jogszabálya is sokkal közvetlenebb hatást fog gyakorolni, mint az átlagos ICS rendszerekre.

Egy izraeli startup most ebben az új szegmensben látta meg az üzleti lehetőséget és a héten bejelentette a kifejezetten egészségügyi környezetekbe, az egészségügyi elektronikus adatbázisok, orvosi eszközöket vezérlő szerverek illetve egyéb, vállalati IT rendszerek és adott esetben az Internet közé tervezett, "orvosi tűzfalnak" nevezett termékeit.

A bejelentés szerint a Medigate megoldása korlátozott számban egyes erre kiválasztott szervezetek számára már elérhető, szabadon megvásárolható pedig 2018 év közepétől lesz.

Az elmúlt kb. 3 hétben nem igazán volt időm a blogra, így elég rendesen összegyűltek az ICS rendszerekkel kapcsolatos sérülékenységi információk is, szóval a mai egy hosszú poszt lesz.

SpiderControl MicroBrowser sérülékenység

Karn Ganeshen egy DLL hijacking hibát fedezett fel a SpiderControl MicroBrowser, Windows XP, Windows Vista, Windows 7/8/10 operációs rendszerekre épülő érintő paneles operációs rendszereinek 1.6.30.144-es és ennél korábbi verzióiban.

A hibát a gyártó a MicroBrowser 1.6.30.148-as verziójában javította.

A sérülékenységről további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-292-01

Sérülékenységek Boston Scientific rendszerekben

Jonathan Butts és Billy Rios, a Whitescope munkatársai két hibát fedeztek fel a Boston Scientific ZOOM LATITUDE PRM nevű termékének Model 3120-as szériájának. A hibák a Model 3120 minden verzióját érintik. Mindkét hiba a ZOOM LATITUDE PRM Model 3120 által használt titkosításhoz kötődik, az első egy beégetett titkosítási kulcs, a második pedig érzékeny adatok titkosításának elmaradásából adódik.

A gyártó a sérülékenységekkel kapcsolatban javítást nem, csak kompenzáló kontrollokra vonatkozó javaslatokat publikált:

- Megfelelően dokumentált és ellenőrzött hozzáférés-ellenőrzés bevezetését javasolják az érintett eszközök esetén;
- A nem használt eszközöket biztonságos és/vagy zárt helyen javasolt tárolni;
- Az érintett eszközökben használt fizikai titkosító kulcs tároló eszközt javasolt eltávolítani a leállításra vagy kiszerelésre szánt eszközökből.

A sérülékenységekkel kapcsolatos részletesebb információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-292-01

Rockwell Automation sérülékenység

Mathy Vanhoef, a belgiumi Leuven-i Katolikus Egyetem munkatársa egy KRACK sérülékenységgel kapcsolatos hibát fedezett fel a Rockwell Automation Stratix 5100-as ipari vezeték nélküli access pontjainak/munkacsoport átjáróinak 15.3(3)JC1 és korábbi verziójú firmware-eiben.

A hibával kapcsolatban a gyártó későbbre ígéri a Stratix 5100-as eszközök firmware-frissítését. Addig is azt javasolja minden érintett eszközt használó ügyfelének, hogy patch-eljék a Stratix 5100-asokhoz csatlakozó klienseket, mert már a kliens oldali javítás is képes lehet az adott kliens és a sérülékeny Stratix 5100 közötti kommunikációt biztonságossá tenni. Ennek ellenére amikor publikálásra kerül a Stratix 5100-ashoz készült javított firmware-verzió, javasolt azt is mielőbb telepíteni.

A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-299-02

Korenix JetNet sérülékenységek

Mandar Jadhav két sérülékenységet azonosított a Korenix JetNet alábbi verzióiban:

- JetNet5018G, 1.4-es verzió;
- JetNet5310G, 1.4a verzió;
- JetNet5428G-2G-2FX, 1.4-es verzió;
- JetNet5628G-R, 1.4-es verzió;
- JetNet5628G, 1.4-es verzió;
- JetNet5728G-24P, 1.4-es verzió;
- JetNet5828G, 1.1d verzió;
- JetNet6710G-HVDC, 1.1e verzió;
- JetNet6710G, 1.1-es verzió.

A most publikált sérülékenységek között az érintett rendszerekbe beégetett titkosító kulcsok és és nem dokumentált, beégetett felhasználói azonosítók vannak.

A gyártó a nem dokumentált, beégetett felhasználói azonosítók problémáját a legújabb kiadott firmware-verzióban javította. A beégetett titkosító tanúsítvány cseréjéhez javasolják, hogy az érintett ügyfeleik vegyék fel a kapcsolatot a szoftvertámogató központjukkal.

A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-299-01

Trihedral VTSCADA sérülékenységek

Karn Ganeshen és Mark Cross egymástól függetlenül fedeztek fel két hibát a Trihedral Engineering Limited által gyártott VTScada 11.3.03-as és korábbi verzióiban. A sérülékenységek között nem megfelelő hozzáférés-ellenőrzés és DLL hijacking is található.

A hibákat a gyártó a VTSCADA 11.3.05-ös verziójában javította.

A sérülékenységek részletei az ICS-CERT publikációjában találhatóak meg: https://ics-cert.us-cert.gov/advisories/ICSA-17-304-02

Sérülékenység ABB FOX515T kommunikációs interfészekben

Ketan Bali egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó sérülékenységet azonosított az ABB FOX515T kommunikációs interfészeinek 1.0-ás verziójában.

A gyártó közlése szerint az érntett termékek elérték életciklusuk végét és nem várható javítás a sérülékenységgel kapcsolatban. Az ABB sérülékenységgel kapcsolatos további információit itt lehet megtalálni: http://new.abb.com/about/technology/cyber-security/alerts-and-notifications

A sérülékenységgel kapcsolatos további ICS-CERT információkat itt lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-304-01

Advantech WebAccess sérülékenységek

Steven Seeley, együttműködésben ZDI-vel két sérülékenységet talált az Advantech WebAccess V8.2_20170817-nél korábbi verzióiban.

A hibák között puffer-túlcsordulás és nem megfelelő pointer-visszahivatkozás található. A gyártó a hibákat a V8.2_20170817-es verzióban javította.

A sérülékenységekről további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-306-02

Sérülékenység Siemens SIMATIC PCS 7 eszközökben

Sergey Temnikov és Vladimir Dashchenko, a Kaspersky Lab munkatársai egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó sérülékenységet fedeztek fel a SIMATIC PCS 7 alábbi verzióiban:

- A WinCC V7.3 Upd 13-mal együtt használt V8.1 SP1-nél régebbi összes V8.1 verzió;
- Minden V8.2 verzió.

A gyártó a V8.1 verziók hibáit a V8.1 SP1-ben javította, a többi érintett verzió esetében jelenleg is dolgozik a hiba javításán.

A sérülékenység részleteiről az ICS-CERT és a Siemens ProductCERT bejelentéseiben lehet olvasni.

Sérülékenységek Schneider Electric rendszerekben

Aaron Portnoy egy puffer-túlcsordulásból adódó sérülékenységet azonosított a Schneider Electric alábbi rendszereiben:

- InduSoft Web Studio v8.0 SP2 Patch 1 és korábbi verziók;
- InTouch Machine Edition v8.0 SP2 Patch és korábbi verziók.

A sérülékenységekkel kapcsolatban a gyártó minden érintett ügyfelének azt javasolja, hogy frissítsenek, az InduSoft Web Studio esetén a v8.1-es verzióra, az InTouch Machine Edition esetén a 2017 v8.1-es verzióra, továbbá kiadtak egy, a sérülékenységekkel kapcsolatos bulletint is, ami itt érhető el: http://software.schneider-electric.com/pdf/security-bulletin/lfsec00000124/

A sérülékenységekkel kapcsolatos ICS-CERT bejelentés itt érhető el: https://ics-cert.us-cert.gov/advisories/ICSA-17-313-02

Sérülékenység AutomationDirect rendszerekben

Mark Cross, a RIoT Solutions munkatársa egy DLL hijacking sérülékenységet azonosított az AutomationDirect alábbi rendszereiben:

- CLICK Programming Software (Part Number C0-PGMSW), 2.10 és korábbi verziók;
- C-More Programming Software (Part Number EA9-PGMSW), 6.30 és korábbi verziók;
- C-More Micro (Part Number EA-PGMSW)4.20.01.0 és korábbi verziók;
- GS Drives Configuration Software (Part Number GSOFT), 4.0.6 és korábbi verziók;
- SL-SOFT SOLO Temperature Controller Configuration Software (Part Number SL-SOFT), 1.1.0.5 és korábbi verziók.

A gyártó az alábbi termékei esetén adott ki javítást a sérülékenységre:

- CLICK Programming Software: 2.11-es verzió;
- C-more Programming Software: 6.32-es verzió;
- C-more Micro Programming Software: 4.21-es verzió;
- GS Drives: 4.0.7-es verzió;
- SL-Soft SOLO Configuration software: 1.1.0.6-es verzió.

A sérülékenység további részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-313-01

KRACK sérülékenység Siemens ipari termékekben

A Siemens ProductCERT publikációja alapján a Siemens számos ipari környezetbe szánt termékét érinti a KRACK néven ismertté vált WPA/WPA2 sérülékenység. Az érintett termékek/rendszerek listája az alábbi:

SCALANCE W1750D: minden verzió;
SCALANCE WLC711: minden verzió;
SCALANCE WLC712: minden verzió;
SCALANCE W-700 (IEEE 802.11n): minden verzió;
SCALANCE W-700 (IEEE 802.11a/b/g): minden verzió;
SIMATIC IWLAN-PB/LINK: minden verzió;
RUGGEDCOM RX1400 WLAN interfésszel: minden verzió;
RUGGEDCOM RS9xxW: minden verzió;
SIMATIC Mobile Panel 277(F) IWLAN: minden verzió;
SIMATIC ET200 PRO IM154-6 PN IWLAN: minden verzió;
SINAMICS V20 Smart Access Module: minden verzió.

A hibával kapcsolatos javításokat a Siemens jelenleg is fejleszti. A SCALANCE W1750D eszközök gyári beállítások mellett nem érintettek, csak a "Mesh" vagy a "WiFi uplink" funkciókat használó ügyfelek rendszereiben jelentkezik a sérülékenység.

A sérülékenységekkel kapcsolatos bővebb információkat a Siemens ProductCERT bejelentése tartalmazza: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-901333.pdf

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.