Az elmúlt kb. 3 hétben nem igazán volt időm a blogra, így elég rendesen összegyűltek az ICS rendszerekkel kapcsolatos sérülékenységi információk is, szóval a mai egy hosszú poszt lesz.

SpiderControl MicroBrowser sérülékenység

Karn Ganeshen egy DLL hijacking hibát fedezett fel a SpiderControl MicroBrowser, Windows XP, Windows Vista, Windows 7/8/10 operációs rendszerekre épülő érintő paneles operációs rendszereinek 1.6.30.144-es és ennél korábbi verzióiban.

A hibát a gyártó a MicroBrowser 1.6.30.148-as verziójában javította.

A sérülékenységről további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-292-01

Sérülékenységek Boston Scientific rendszerekben

Jonathan Butts és Billy Rios, a Whitescope munkatársai két hibát fedeztek fel a Boston Scientific ZOOM LATITUDE PRM nevű termékének Model 3120-as szériájának. A hibák a Model 3120 minden verzióját érintik. Mindkét hiba a ZOOM LATITUDE PRM Model 3120 által használt titkosításhoz kötődik, az első egy beégetett titkosítási kulcs, a második pedig érzékeny adatok titkosításának elmaradásából adódik.

A gyártó a sérülékenységekkel kapcsolatban javítást nem, csak kompenzáló kontrollokra vonatkozó javaslatokat publikált:

- Megfelelően dokumentált és ellenőrzött hozzáférés-ellenőrzés bevezetését javasolják az érintett eszközök esetén;
- A nem használt eszközöket biztonságos és/vagy zárt helyen javasolt tárolni;
- Az érintett eszközökben használt fizikai titkosító kulcs tároló eszközt javasolt eltávolítani a leállításra vagy kiszerelésre szánt eszközökből.

A sérülékenységekkel kapcsolatos részletesebb információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-292-01

Rockwell Automation sérülékenység

Mathy Vanhoef, a belgiumi Leuven-i Katolikus Egyetem munkatársa egy KRACK sérülékenységgel kapcsolatos hibát fedezett fel a Rockwell Automation Stratix 5100-as ipari vezeték nélküli access pontjainak/munkacsoport átjáróinak 15.3(3)JC1 és korábbi verziójú firmware-eiben.

A hibával kapcsolatban a gyártó későbbre ígéri a Stratix 5100-as eszközök firmware-frissítését. Addig is azt javasolja minden érintett eszközt használó ügyfelének, hogy patch-eljék a Stratix 5100-asokhoz csatlakozó klienseket, mert már a kliens oldali javítás is képes lehet az adott kliens és a sérülékeny Stratix 5100 közötti kommunikációt biztonságossá tenni. Ennek ellenére amikor publikálásra kerül a Stratix 5100-ashoz készült javított firmware-verzió, javasolt azt is mielőbb telepíteni.

A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-299-02

Korenix JetNet sérülékenységek

Mandar Jadhav két sérülékenységet azonosított a Korenix JetNet alábbi verzióiban:

- JetNet5018G, 1.4-es verzió;
- JetNet5310G, 1.4a verzió;
- JetNet5428G-2G-2FX, 1.4-es verzió;
- JetNet5628G-R, 1.4-es verzió;
- JetNet5628G, 1.4-es verzió;
- JetNet5728G-24P, 1.4-es verzió;
- JetNet5828G, 1.1d verzió;
- JetNet6710G-HVDC, 1.1e verzió;
- JetNet6710G, 1.1-es verzió.

A most publikált sérülékenységek között az érintett rendszerekbe beégetett titkosító kulcsok és és nem dokumentált, beégetett felhasználói azonosítók vannak.

A gyártó a nem dokumentált, beégetett felhasználói azonosítók problémáját a legújabb kiadott firmware-verzióban javította. A beégetett titkosító tanúsítvány cseréjéhez javasolják, hogy az érintett ügyfeleik vegyék fel a kapcsolatot a szoftvertámogató központjukkal.

A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-299-01

Trihedral VTSCADA sérülékenységek

Karn Ganeshen és Mark Cross egymástól függetlenül fedeztek fel két hibát a Trihedral Engineering Limited által gyártott VTScada 11.3.03-as és korábbi verzióiban. A sérülékenységek között nem megfelelő hozzáférés-ellenőrzés és DLL hijacking is található.

A hibákat a gyártó a VTSCADA 11.3.05-ös verziójában javította.

A sérülékenységek részletei az ICS-CERT publikációjában találhatóak meg: https://ics-cert.us-cert.gov/advisories/ICSA-17-304-02

Sérülékenység ABB FOX515T kommunikációs interfészekben

Ketan Bali egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó sérülékenységet azonosított az ABB FOX515T kommunikációs interfészeinek 1.0-ás verziójában.

A gyártó közlése szerint az érntett termékek elérték életciklusuk végét és nem várható javítás a sérülékenységgel kapcsolatban. Az ABB sérülékenységgel kapcsolatos további információit itt lehet megtalálni: http://new.abb.com/about/technology/cyber-security/alerts-and-notifications

A sérülékenységgel kapcsolatos további ICS-CERT információkat itt lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-304-01

Advantech WebAccess sérülékenységek

Steven Seeley, együttműködésben ZDI-vel két sérülékenységet talált az Advantech WebAccess V8.2_20170817-nél korábbi verzióiban.

A hibák között puffer-túlcsordulás és nem megfelelő pointer-visszahivatkozás található. A gyártó a hibákat a V8.2_20170817-es verzióban javította.

A sérülékenységekről további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-306-02

Sérülékenység Siemens SIMATIC PCS 7 eszközökben

Sergey Temnikov és Vladimir Dashchenko, a Kaspersky Lab munkatársai egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó sérülékenységet fedeztek fel a SIMATIC PCS 7 alábbi verzióiban:

- A WinCC V7.3 Upd 13-mal együtt használt V8.1 SP1-nél régebbi összes V8.1 verzió;
- Minden V8.2 verzió.

A gyártó a V8.1 verziók hibáit a V8.1 SP1-ben javította, a többi érintett verzió esetében jelenleg is dolgozik a hiba javításán.

A sérülékenység részleteiről az ICS-CERT és a Siemens ProductCERT bejelentéseiben lehet olvasni.

Sérülékenységek Schneider Electric rendszerekben

Aaron Portnoy egy puffer-túlcsordulásból adódó sérülékenységet azonosított a Schneider Electric alábbi rendszereiben:

- InduSoft Web Studio v8.0 SP2 Patch 1 és korábbi verziók;
- InTouch Machine Edition v8.0 SP2 Patch és korábbi verziók.

A sérülékenységekkel kapcsolatban a gyártó minden érintett ügyfelének azt javasolja, hogy frissítsenek, az InduSoft Web Studio esetén a v8.1-es verzióra, az InTouch Machine Edition esetén a 2017 v8.1-es verzióra, továbbá kiadtak egy, a sérülékenységekkel kapcsolatos bulletint is, ami itt érhető el: http://software.schneider-electric.com/pdf/security-bulletin/lfsec00000124/

A sérülékenységekkel kapcsolatos ICS-CERT bejelentés itt érhető el: https://ics-cert.us-cert.gov/advisories/ICSA-17-313-02

Sérülékenység AutomationDirect rendszerekben

Mark Cross, a RIoT Solutions munkatársa egy DLL hijacking sérülékenységet azonosított az AutomationDirect alábbi rendszereiben:

- CLICK Programming Software (Part Number C0-PGMSW), 2.10 és korábbi verziók;
- C-More Programming Software (Part Number EA9-PGMSW), 6.30 és korábbi verziók;
- C-More Micro (Part Number EA-PGMSW)4.20.01.0 és korábbi verziók;
- GS Drives Configuration Software (Part Number GSOFT), 4.0.6 és korábbi verziók;
- SL-SOFT SOLO Temperature Controller Configuration Software (Part Number SL-SOFT), 1.1.0.5 és korábbi verziók.

A gyártó az alábbi termékei esetén adott ki javítást a sérülékenységre:

- CLICK Programming Software: 2.11-es verzió;
- C-more Programming Software: 6.32-es verzió;
- C-more Micro Programming Software: 4.21-es verzió;
- GS Drives: 4.0.7-es verzió;
- SL-Soft SOLO Configuration software: 1.1.0.6-es verzió.

A sérülékenység további részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-313-01

KRACK sérülékenység Siemens ipari termékekben

A Siemens ProductCERT publikációja alapján a Siemens számos ipari környezetbe szánt termékét érinti a KRACK néven ismertté vált WPA/WPA2 sérülékenység. Az érintett termékek/rendszerek listája az alábbi:

SCALANCE W1750D: minden verzió;
SCALANCE WLC711: minden verzió;
SCALANCE WLC712: minden verzió;
SCALANCE W-700 (IEEE 802.11n): minden verzió;
SCALANCE W-700 (IEEE 802.11a/b/g): minden verzió;
SIMATIC IWLAN-PB/LINK: minden verzió;
RUGGEDCOM RX1400 WLAN interfésszel: minden verzió;
RUGGEDCOM RS9xxW: minden verzió;
SIMATIC Mobile Panel 277(F) IWLAN: minden verzió;
SIMATIC ET200 PRO IM154-6 PN IWLAN: minden verzió;
SINAMICS V20 Smart Access Module: minden verzió.

A hibával kapcsolatos javításokat a Siemens jelenleg is fejleszti. A SCALANCE W1750D eszközök gyári beállítások mellett nem érintettek, csak a "Mesh" vagy a "WiFi uplink" funkciókat használó ügyfelek rendszereiben jelentkezik a sérülékenység.

A sérülékenységekkel kapcsolatos bővebb információkat a Siemens ProductCERT bejelentése tartalmazza: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-901333.pdf

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A SCADA StrangeLove néven ismert, orosz biztonsági kutatókból álló csapatról már többször írtam a blogon, a legújabb előadásukban, amit a Recon 2017 brüsszeli konferencián tartottak, a villamosenergia-rendszer alállomásain használt digitális védelmek biztonsági helyzetével foglalkoznak.

Az előadás fókuszában a digitális védelmi relék és ezek termináljai állnak, de szó esik a védelmek által leggyakrabban használt ipari protokollokról (IEC 61850, IEC 104, Modbus) és a védelmek által gyakran használt, nem igazán csak ipari környezetekben előforduló protokollokról (HTTP, FTP, SSH, stb.) is.

A teljes prezentáció elérhető a Slideshare-en.

JanTek JTC-200 sérülékenységek

Karn Ganeshan két sérülékenységet jelentett az ICS-CERT-nek, amik a JanTek JTC-200 TCP/IP konverter berendezések minden verzióját érinti. A hibák között egy CSRF és egy nem megfelelő authentikációból adódó hiba található.

A gyártó a JTC-200-as sorozatú eszközökhöz nem fog hibajavítást kiadni, jelenleg a JTC-300-as sorozat 2017 végére ütemezett megjelenésén dolgoznak.

A sérülékenységekkel kapcsolatban további részleteket az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-283-02

Sérülékenység LAVA Computer MFG berendezésekben

Maxim Rupp egy authentikáció megkerülést lehetővé tevő hibát talált a LAVA Computer MFG ESL (Ether-Serial Link) berendezéseinek 6.01.00/29.03.2017 és korábbi firmware-verzióiban.

A gyártó nem reagált az ICS-CERT hibával kapcsolatos megkeresésére, így jelenleg nincs elérhető javítás a sérülékenységre.

A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-283-01

Sérülékenységek Siemens BACnet berendezésekben

A Siemens két sérülékenységet azonosított az általa gyártott, alábbi BACnet berendezésekben:

- APOGEE PXC BACnet Automation Controllers: minden, V3.5-nél korábbi verzió;
- TALON TC BACnet Automation Controllers: minden, V3.5-nél korábbi verzió.

A gyártó a hibákat a V3.5-ös firmware-verzióban javította.

A sérülékenységekkel kapcsolatban további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-05

NXP Semiconductors rendszerek sérülékenységei

Scott Gayou két hibát, egy puffer-túlcsordulást és egy memória-kezelési hibát talált az NXP Semiconductors alábbi rendszereiben:

- MQX RTOS 5.0 és korábbi verziók (puffer-túlcsordulás);
- MQX RTOS 4.1 és korábbi verziók (memória-kezelési hiba).

A gyártó 2018. januárra tervezi a fenti hibákat javító új MQX verziót.

A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-04

Sérülékenység Envitech EnviDAS Ultimate rendszerekben

Can Demirel és Deniz Çevik, a Biznet Bilisim munkatársai egy nem megfelelő authentikációból adódó hibát találtak az Envitech EnviDAS Ultimate v1.0.0.5-nél korábbi verzióiban.

A gyártó a hibát a v1.0.0.5-ös és újabb verzióiban javította.

A sérülékenységgel kapcsolatos további információkat az ICS-CERT bejelentése tartalmazza: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-03

WECON rendszerek sérülékenysége

Andrea “rgod” Micalizzi, az iDefense Labs munkatársa egy puffer-túlcsordulásból adódó hibát fedezett fel a WECON LEVI Studio HMI Editor v1.8.1 és korábbi verzióiban.

A gyártó a hibát a v1.8.2 és újabb verziókban javította.

A sérülékenységgel kapcsolatosan részletesebb információkat az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-02

Sérülékenységek Prominent MultiFLEX berendezésekben

Maxim Rupp 5 különböző sérülékenységet azonosított a ProMinen MultiFLEX M10a típusú berendezéseiben. A hibák a MultiFLEX M10a webes interfészének minden verzióját érintik.

A gyártó mostanáig nem adott hírt a sérülékenységek javításáról.

A sérülékenységek részleteiről az ICS-CERT bejelentésében lehető bővebben olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-01

Progea Movicon SCADA/HMI rendszerek sérülékenységei

Karn Ganeshen két sérülékenységet fedezett fel a Progea Movicon HMI szoftver-platformjának 11.5.1181-es és korábbi verzióiban.

A gyártó mostanáig nem tett elérhetővé javítást a hibákkal kapcsolatban, de egy tudásbázis cikk elérhető a DLL Hijacking sérülékenységről: http://www.movicon.info/Support/MoviconKB/WebHelp/Knowledgebase/kb000035.htm

A sérülékenység részleteiről az ICS-CERT weboldalán lehet bővebb információkat szerezni: https://ics-cert.us-cert.gov/advisories/ICSA-17-290-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Siemens 7KT PAC1200 data manager sérülékenység

Maxim Rupp egy authentikáció-megkerülést lehetővé tevő hibát fedezett fel a Siemens 7KT PAC1200 data manager okosmérőinek V2.03-nál korábbi verzióiban.

A gyártó a hibát a SENTRON okosmérő portfólióba tartozó 7KT PAC1200 data manager (7KT1260) V2.03-as verziójú firmware-jében javította.

A sérülékenységgel kapcsolatos részletekről az ICS-CERT és a Siemens ProductCERT bejelentéseiben lehet olvasni.

Sérülékenység a GE CIMPLICITY rendszerében

David Atch, a CyberX munkatársa egy puffer-túlcsordulási hibát talált a GE CIMPLICITY HMI/SCADA menedzsment rendszerének 9.0 és korábbi verzióiban.

A hibát a GE a 9.5-ös verziótól javította, ezért minden érintett ügyfelének azt javasolja, hogy frissítsenek erre vagy a legfrissebb verzióra.

A sérülékenységről bővebb információt az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-278-01

Sérülékenység Cisco ipari környezetbe szánt hálózatbiztonsági rendszerekben

A Cisco közleménye szerint számos egyéb terméke mellett a 3000-es sorozatú ipari biztonsági rendszerei (Industrial Security Appliance, ISR) is érintett az IPv6 extensin header csomagok nem megfelelő bevitt adat ellenőrzéséből adódó sérülékenység által. A sérülékenységet kihasználva szolgáltatás megtagadást lehet előidézni a sérülékeny berendezéseknél.

A gyártó megerősítette, hogy a Cisco FirePower System Software 5.3, 5.4.0 és 5.4.1-es verzióit a sérülékenység nem érinti. A 6.0.1, 6.1.0, 6.2.0 és 6.2.1-es verziók érintettek. A Cisco minden érintett verzió esetén ajánl nem sérülékeny verziókat.

A sérülékenységről részletesebb információkat a Cisco bejelentésében lehet olvasni.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Kaspersky Lab Control Systems Cyber Emergency Response Team-je szeptember utolsó napjaiban ismét megjelentette féléves összefoglalóját az általuk megfigyelt és elemzett ICS kiberbiztonsági fenyegetésekről.

A 20 oldalas tanulmány részletesen foglalkozik az ESET és a Dragos munkatársai által felfedezett és CrashOverride/Industroyer néven publikált, ICS rendszerek elleni támadásokhoz létrehozott malware-rel.

A Kaspersky tanulmánya szintén beszámol két amerikai szervezet biztonsági (safety) rendszerei elleni támadásról, az első még január közepén, 8 nappal Donald Trump elnöki beiktatása előtt a Washington DC rendőrségi CCTV-rendszer elleni támadás volt, amikor a köztéri megfigyelő kamerák felvételeit tároló 187 storage eszközből 123-at fertőzött meg zsaroló vírus.

A másik esetben, áprilisban a dallasi vészhelyzeti szirénarendszer vált használhatatlanná egy kibertámadás következtében. Másfél órányi időszakban 156, tornádóra figyelmeztető sziréna kezdett működni 15 alkalommal, alkalmanként 90 másodpercre. Bár részleteket nem nagyon lehet tudni az incidensről, a Bastille nevű biztonsági cég munkatársai szerint feltételezhető, hogy a támadók egy "rádió-visszajátszásos" támadást hajtottak végre, vagyis rögzítették a szirénarendszer vezérlőközpontjának rádióadásait az egyik havi tesztelés során, majd ezt a rögzített adást játszották vissza a szirénák rádiós vevőegységeinek. A dallasi hatóságoknak két napig tartott, mire helyre tudták állítani a rendszer üzemszerű működését - ez egy biztonsági (safety) rendszernél hihetetlenül hosszú idő!

A tavaly októberi, Mirai botnettel végrehajtott DDoS-támadások után 2017 áprilisában és májusában ismét IoT kamerák hibáit hozták nyilvánosságra kutatók (áprilisban Pierre Kim, májusban a TrendMicro munkatársai).

A nigériai vagy 417-es csalók tevékenysége régóta nem újdonság az IT/információbiztonsági szakemberek többségének, azonban a Kaspersky tanulmányában most először jelennek meg olyan nigériai támadók, akik ipari rendszerek mellett üzemelő üzleti levelezőrendszereket támadnak. A Kaspersky elemzése szerint több, mint 50 országban 500-nál is több szervezetet vettek célba a támadók és a célba vett szervezetek legkevesebb 80%-a ipari, közlekedési vagy logisztikai vállalat volt.

A 2017 első felében nyilvánosságra hozott (jellemzően amerikai kormányszervek által gyűjtött) sérülékenységek és a hozzájuk kapcsolódó kártékony kódok között a tanulmány a Wikileaks által közzétett CIA-s archívumot valamint a Shadow Brokers által ellopott, majd nyilvánosságra hozott NSA archívumot említi.

Ez utóbbihoz kapcsolódik az utóbbi évek legnagyobb ransomware-hulláma, a WannaCry, ami májusban, majd a Petya/Petwrap-támadás, ami június végén söpört végig számos szervezet rendszerein, nem kímélve a legkülönbözőbb, Windows operációs rendszerre épülő ICS rendszereket sem (a WannaCry-nál a Renault/Nissan/Dacia gyártósorairól tudjuk, hogy hatással volt rájuk a ransomware, Ausztráliában pedig a Cadburry gyáraira volt hatása, a Petya/Petwrap-támadás pedig főleg Ukrajnában és Oroszországban okozott komoly gondokat különböző ipari szereplőknek).

Részletesebb adatokat, grafikonokat a Kaspersky Lab ICS CERT által kiadott, 20 oldalas tanulmányban lehet olvasni: https://ics-cert.kaspersky.com/wp-content/uploads/sites/6/2017/09/KL-ICS-CERT_H1-2017_report_FINAL_EN.pdf

Az elmúlt héten némiképp alacsonyabb volt a megjelent ICS sérülékenységek száma.

Sérülékenység Cisco ipari berendezésekben

A Cisco bejelentése szerint egy DoS-sérülékenységet azonosítottak a Cisco ipari Ethernet switch-ek IOS firmware-ében használt PROFINET Discovery and Configuration Protokoll-ban (PN-DCP).

A sérülékenység a Cisco IOS Software, C2951 Software (C2951-UNIVERSALK9-M), Version 15.5(2)T1, RELEASE SOFTWARE (fc1)-nél korábbi verziók esetén van jelen, ha a be van kapcsolva a PN-DCP.

A Cisco kiadta a hibát javító szoftververziót, egyéb intézkedéssel (workaround-dal) a gyártó szerint nem lehet csökkenteni a sérülékenység jelentette kockázatokat.

A sérülékenységről bővebb információkat a Cisco publikációjában lehet olvasni.

Sérülékenység Siemens termékekben

A Siemens nem megfelelő hozzáférés-vezérlésből adódó sérülékenységet fedezett fel és publikálta az ICS-CERT-en keresztül. A hiba az alábbi termékeiket érinti:

- RUGGEDCOM ROS RSL910 berendezések esetén: Minden, ROS v5.0.1-nél korábbi verzió;
- RUGGEDCOM ROS minden más berendezés esetén: Minden, ROS v4.3.4-nél korábbi verzió;
- SCALANCE XB-200/XC-200/XP-200/XR300-WG: Minden, v3.0-nál újabb verzió;
- SCALANCE XR-500/XM-400: Minden, v6.1-nél újabb verzió.

A RUGGEDCOM ROS-t használó termékei esetén a Siemens a hibát a ROS firmware v4.3.4-es, v.5.0.1-es verzióiban és a RUGGEDCOM Explorer v1.5.2-es verziójában javította. A SCALANCE termékek esetén a javításon jelenleg is dolgoznak.

A sérülékenységgel kapcsolatban további információkat az ICS-CERT publikációjában lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-271-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az idei ITBN-re időzítve egy új posztert publikált a KIBEV, az Önkéntes Kibervédelmi Összefogás. A korábbi, általános IT biztonsági kontrollokkal foglalkozó poszterek után ezúttal az ICS rendszerek kiberbiztonságának javítását célzó intézkedéseket gyűjtötték össze egy poszterre.

Az Önkéntes Kibervédelmi Összefogás Egyesület felajánlásaként a poszter 3 példányát az ITBN második napján ki is sorsolták a résztvevők között, információim szerint a MÁV-nál, BKV-nál és a Telenornál dolgozó kollégák lettek az új poszterek első tulajdonosai.

Az intézkedésgyűjtemény posztere PDF-formában szabadon letölthető a KIBEV weboldaláról.

Sérülékenység Saia Burgess Controls PCD kontrollerekben

Davide Fauri, az Eindhoveni Műszaki Egyetem munkatársa egy információszivárgásból adódó sérülékenységet azonosított a Saia Burgess Controls PCD kontrollereinek 1.24.69-nél és 1.28.16-nál korábbi fimware-verzióiban.

A gyártó a hibát a 1.24.69-es és a 1.28.16-os firmware verziókban javította.

A sérülékenységgel kapcsolatban további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-234-05

iniNet Solutions SCADA Webserver sérülékenység

Matthias Niedermaier és Florian Fischer, az Augsburgi Egyetem munkatársai egy nem megfelelő authentikációból adódó sérülékenységet fedeztek fel az iniNet Solutions SCADA Webserver termékének V2.02.0100-nál korábbi verzióiban. A hibát kihasználó támadó hozzáférhet HMI oldalakhoz és akár PLC változókat is módosíthat.

A hibát a gyártó a V2.02.0100 verzióban javította.

A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-264-04

Digium Asterisk GUI sérülékenység

Davy Douhine, a RandoriSec munkatársa egy operációs rendszer szintű parancs-befecskendezést lehetővé tevő hibát talált a Digium Asterisk GUI 2.1.0 és korábbi verzióiban. A hibát kihasználva egy támadó tetszőleges kódfuttatási lehetőséghez juthat.

A gyártó az Asterisk GUI támogatásával már felhagyott, így ezt a hibát sem fogják javítani. A sérülékenység által érintett ügyfeleiknek azt javasolják, hogy váltsanak a SwitchVox nevű termékükre.

A sérülékenység részleteit az ICS-CERT publikációjában lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-264-03

Sérülékenység Ctek SkyRouter eszközökben

Maxim Rupp egy nem megfelelő authentikációból adódó sérülékenységet azonosított a Ctek SkyRouter 4200-as és 4400-as sorozatú eszközeinek V6.00.11-nél korábbi verzióiban. A hibát egy speciális URL-lel lehet kihasználni és ezzel az URL-lel mindenfajta authentikáció nélkül lehet hozzáférést szerezni az alkalmazáshoz.

A gyártó a hibát a V6.00.11-es verzióban javította, amit a jelenleg gyártásban lévő modellekre (Z4500, Z4550 és Z4400) lehet telepíteni.

A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-264-02

Nulladik napi sérülékenységek Eaton ELCSoft berendezésekben

A ZDI 6 különbözó nulladik napi sérülékenységet publikált, amiket egy axt néven hivatkozott személy talált az Eaton ELCSoft PLC programozó szoftverében. A sérülékenységeket puffer-túlcsordulásból és memóriakezelési hibákból adódó távoli kódfuttatási lehetőséget adó hibák okozzák.

Nulladik napi sérülékenységek lévén jelenleg még nincs elérhető javítás a hibákra.

Részletesebb információkat a ZDI bejelentései tartalmaznak:
http://www.zerodayinitiative.com/advisories/ZDI-17-813/
http://www.zerodayinitiative.com/advisories/ZDI-17-815/
http://www.zerodayinitiative.com/advisories/ZDI-17-816/
http://www.zerodayinitiative.com/advisories/ZDI-17-817/
http://www.zerodayinitiative.com/advisories/ZDI-17-818/
http://www.zerodayinitiative.com/advisories/ZDI-17-819/

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Ezen a héten szerdán egy figyelemre méltó tartalmú és igen hosszú (90 diából álló) prezentáció jelent meg a SCADA Strangelove blogján, amiben a vasúti vezérlőrendszerek biztonságát boncolgatják. Az elmúlt években láttam már néhány elképesztően durva hibát a különböző ipari és folyamatvezérlő rendszereknél, de ez a prezentáció még nekem is tartogatott újdonságokat. Mindenkinek csak ajánlani tudom.

Philips IntelliView orvosi berendezések sérülékenysége

A Philips két sérülékenységet azonosított az IntelliVue MX40-es sorozatú, betegek által viselhető, vezeték nélküli kapcsolatra képes megfigyelő berendezéseinek B.06.18-nál korábbi verzióiban.

A gyártó a hibát a B.06.18-as verzióban javította.

A sérülékenységekről további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSMA-17-255-01

Sérülékenység mySCADA myPRO rendszerekben

Karn Ganeshen egy tetszőleges kódvégrehajtást lehetővé tevő hibát fedezett fel a mySCADA myPRO HMI/SCADA menedzsment platformjának 7.0.26 és korábbi verzióiban.

A gyártó a weboldalán elérhetővé tette a hibát javító új verziót.

A sérülékenységről bővebb információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-255-01

LOYTEC rendszerek sérülékenységei

Davy Douhine, a RandoriSec munkatársa négy sérülékenységet fedezett fel a LOYTEC LVIS-3ME típusú érintőkijelzős HMI paneljeinek 6.2.0-nál korábbi verzióiban.

A gyártó a sérülékenységeket a V6.2.0 verzióban javította.

A sérülékenységek részleteit az ICS-CERT weboldalán lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-257-01

PHOENIX CONTACT mGuard Device Manager sérülékenység

A PHOENIX CONTACT egy nem megfelelő hozzáférés-kezelésből adódó sérülékenységet fedezett fel az mGuard Device Manager szoftverében, amit az Oracle Java SE alkalmazására lehet visszavezetni.

A gyártó a hibával kapcsolatban minden ügyfelének azt javasolja, hogy frissítse a Java SE verzióját legalább 1.8.0.1-re.

A sérülékenység részleteiről az ICS-CERT bejelentése tartalmaz további információkat: https://ics-cert.us-cert.gov/advisories/ICSA-17-262-01

Sérülékenységek Schneider Electric termékekben

A Schneider Electric által a weboldalán közzétett bejelentés szerint Aaron Portnoy két termékükben, az InduSoft Web Studio v8.0 SP2 és korábbi verzióiban, illetve az InTouch Machine Edition v8.0 SP2 és korábbi verzióiban egy kritikus funkciónál hiányzó authentikáció okozta sérülékenységet azonosított.

A sérülékenységet a Schneider Electric az InduSoft Web Studio v8.0 SP2 Patch 1 és az
InTouch Machine Edition v8.0 SP2 Patch 1 verzióiban javította.

A sérülékenységről bővebb információkat a Schneider Electric bejelentésében lehet találni: http://software.schneider-electric.com/pdf/security-bulletin/lfsec00000121/

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.