JanTek JTC-200 sérülékenységek
Karn Ganeshan két sérülékenységet jelentett az ICS-CERT-nek, amik a JanTek JTC-200 TCP/IP konverter berendezések minden verzióját érinti. A hibák között egy CSRF és egy nem megfelelő authentikációból adódó hiba található.
A gyártó a JTC-200-as sorozatú eszközökhöz nem fog hibajavítást kiadni, jelenleg a JTC-300-as sorozat 2017 végére ütemezett megjelenésén dolgoznak.
A sérülékenységekkel kapcsolatban további részleteket az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-283-02
Sérülékenység LAVA Computer MFG berendezésekben
Maxim Rupp egy authentikáció megkerülést lehetővé tevő hibát talált a LAVA Computer MFG ESL (Ether-Serial Link) berendezéseinek 6.01.00/29.03.2017 és korábbi firmware-verzióiban.
A gyártó nem reagált az ICS-CERT hibával kapcsolatos megkeresésére, így jelenleg nincs elérhető javítás a sérülékenységre.
A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-283-01
Sérülékenységek Siemens BACnet berendezésekben
A Siemens két sérülékenységet azonosított az általa gyártott, alábbi BACnet berendezésekben:
- APOGEE PXC BACnet Automation Controllers: minden, V3.5-nél korábbi verzió;
- TALON TC BACnet Automation Controllers: minden, V3.5-nél korábbi verzió.
A gyártó a hibákat a V3.5-ös firmware-verzióban javította.
A sérülékenységekkel kapcsolatban további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-05
NXP Semiconductors rendszerek sérülékenységei
Scott Gayou két hibát, egy puffer-túlcsordulást és egy memória-kezelési hibát talált az NXP Semiconductors alábbi rendszereiben:
- MQX RTOS 5.0 és korábbi verziók (puffer-túlcsordulás);
- MQX RTOS 4.1 és korábbi verziók (memória-kezelési hiba).
A gyártó 2018. januárra tervezi a fenti hibákat javító új MQX verziót.
A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-04
Sérülékenység Envitech EnviDAS Ultimate rendszerekben
Can Demirel és Deniz Çevik, a Biznet Bilisim munkatársai egy nem megfelelő authentikációból adódó hibát találtak az Envitech EnviDAS Ultimate v1.0.0.5-nél korábbi verzióiban.
A gyártó a hibát a v1.0.0.5-ös és újabb verzióiban javította.
A sérülékenységgel kapcsolatos további információkat az ICS-CERT bejelentése tartalmazza: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-03
WECON rendszerek sérülékenysége
Andrea “rgod” Micalizzi, az iDefense Labs munkatársa egy puffer-túlcsordulásból adódó hibát fedezett fel a WECON LEVI Studio HMI Editor v1.8.1 és korábbi verzióiban.
A gyártó a hibát a v1.8.2 és újabb verziókban javította.
A sérülékenységgel kapcsolatosan részletesebb információkat az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-02
Sérülékenységek Prominent MultiFLEX berendezésekben
Maxim Rupp 5 különböző sérülékenységet azonosított a ProMinen MultiFLEX M10a típusú berendezéseiben. A hibák a MultiFLEX M10a webes interfészének minden verzióját érintik.
A gyártó mostanáig nem adott hírt a sérülékenységek javításáról.
A sérülékenységek részleteiről az ICS-CERT bejelentésében lehető bővebben olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-01
Progea Movicon SCADA/HMI rendszerek sérülékenységei
Karn Ganeshen két sérülékenységet fedezett fel a Progea Movicon HMI szoftver-platformjának 11.5.1181-es és korábbi verzióiban.
A gyártó mostanáig nem tett elérhetővé javítást a hibákkal kapcsolatban, de egy tudásbázis cikk elérhető a DLL Hijacking sérülékenységről: http://www.movicon.info/Support/MoviconKB/WebHelp/Knowledgebase/kb000035.htm
A sérülékenység részleteiről az ICS-CERT weboldalán lehet bővebb információkat szerezni: https://ics-cert.us-cert.gov/advisories/ICSA-17-290-01
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.