A mai posztban az elmúlt héten nyilvánosságra került ICS sérülékenységeket fogom áttekinteni.

Sérülékenységek Smith Medical orvosi eszközökben

Scott Gayou, független biztonsági kutató 8 különböző sérülékenységet fedezett fel a Smith Medical vezeték nélküli kommunikációra képes Syringe infúziós berendezésének alábbi verzióiban:

- Medfusion 4000 Wireless Syringe Infusion Pump, 1.1-es verziója;
- Medfusion 4000 Wireless Syringe Infusion Pump, 1.5-ös verziója és
- Medfusion 4000 Wireless Syringe Infusion Pump, 1.6-os verziója.

A hibák között klasszikus puffer-túlcsordulás, nem megfelelő hozzáférés-kezelés, beégetett felhasználói azonosítók és jelszavak, nem megfelelő tanúsítvány-ellenőrzés, és konfigurációs fájlban olvasható formában tárolt jelszavak is találhatóak.

A gyártó a hibákat a 2018 januárban kiadni tervezett 1.6.1-es firmware-verzióban fogja javítani, addig is az alábbi biztonsági intézkedéseket javasolja az érintett berendezéseket használók számára:

- Használjanak statikus IP címeket a Medfusion 4000 Wireless Syringe infúziós berendezéseknél;
- Ellenőrizzék a hálózatot nem engedélyezett DNS és DHCP szerverek működését figyelve;
- Biztosítsák, hogy a Medfusion 4000 Wireless Syringe infúziós berendezések hálózata legyen elkülönítve a többi kórházi hálózattól;
- Mérlegeljék a hálózat mikro-szegmentálását;
- A hálózatszegmentálásnál mérlegeljék a VLAN-ok használatát;
- Alkalmazzanak biztonságos és kellően bonyolult jelszavakat;
- Kerüljék a jelszavak ismételt felhasználását.

A sérülékenységgel kapcsolatban további részleteket az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-250-02

i-SENS SmartLog vércukor-szint ellenőrző szoftver sérülékenysége

Mark Cross, független biztonsági kutató egy DLL-injection sérülékenységet fedezett fel az i-SENS SmartLog Diabetes Management Software 2.4.0 és korábbi verzióiban.

A gyártó a hibát a 2.4.1-es verzióban javította.

A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-250-01

Sérülékenység Phoenix Contact mGuard eszközökben

A gyártó a német CERT@VDE-n keresztül jelentette az ICS-CERT-nek azt a Null Point Dereference hibát, ami az alábbi hálózatbiztonsági eszközöket érinti, ha 8.0.0 és 8.5.1 közötti verziójú firmware-t futtatnak:

- FL MGUARD RS4000 TX/TX VPN,
- FL MGUARD GT/GT,
- FL MGUARD GT/GT VPN,
- FL MGUARD RS4000 TX/TX,
- FL MGUARD SMART2 VPN,
- FL MGUARD SMART2,
- FL MGUARD RS2000 TX/TX VPN,
- FL MGUARD DELTA TX/TX,
- FL MGUARD DELTA TX/TX VPN,
- FL MGUARD PCI4000,
- FL MGUARD PCI4000 VPN,
- FL MGUARD PCIE4000 VPN,
- FL MGUARD RS2005 TX VPN,
- FL MGUARD RS4004 TX/DTX,
- FL MGUARD RS4004 TX/DTX VPN,
- FL MGUARD RS4000 TX/TX-P,
- FL MGUARD RS4000 TX/TX VPN-M,
- FL MGUARD CENTERPORT,
- FL MGUARD RS,
- FL MGUARD RS VPN ANALOG,
- TC MGUARD RS2000 3G VPN,
- TC MGUARD RS4000 3G VPN,
- TC MGUARD RS2000 4G VPN és
- TC MGUARD RS4000 4G VPN.

A hibát a gyártó szerint a 8.5.2 és újabb firmware-verziókat javították.

A hibával kapcsolatban további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-250-02

SpiderControl SCADA Web Server sérülékenység

Karn Ganeshen egy nem megfelelő jogosultság-kezelésből adódó hibát talált a SpiderControl SCADA Web Server 2.02.0007 és korábbi verzióiban.

A gyártó a hibát a 2.02.0100-es verzióban javította.

A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-250-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A GRID a SANS és a GIAC második ipari rendszerek kiberbiztonságával kapcsolatos minősítése és vizsgája (az első a GICSP, amiről korábban már írtam). Maga a vizsga és a minősítés nagyon új, 2017. július 7-e óta lehet egyáltalán vizsgázni, a poszt írásának időpontjában összesen 49 személy kapta meg a GRID minősítést.

A vizsga során 8 nagyobb témakörbe tartozó tudásanyagról kell számot adniuk a vizsgázóknak, ezek az alábbiak:

- Aktív védelmi koncepciók és alkalmazások;
- Biztonsági események észlelése és elemzése ICS környezetekben;
- Eszközleltár és hálózati monitoring ICS környezetekben;
- ICS-fókuszú digitális nyomrögzítés;
- ICS-fókuszú incidenskezelés;
- Malware-elemzési módszerek;
- Fenyegetés-elemzés ICS-környezetekben;
- A fenyegetésekkel kapcsolat információgyűjtés alapjai.

A vizsgán maximum 2 óra alatt 75 kérdésre kell válaszolni (jelenleg a Pearson VUE vizsgarendszerben), a sikeres vizsgához minimálisan 74%-os eredményt kell elérni.

AzeoTech DAQFactory sérülékenységek

Karn Ganeshen két sérülékenységet jelentett az ICS-CERT-nek, amik az AzeoTech DAQFactory 17.1-nél korábbi verzióit érinti. Az első hiba a jogosultságkezelésben van és nem adminisztrátori jogosultságú felhasználóknak is lehetőséget ad az alkalmazás fájljainak módosítására. A második hiba a rendszer DLL-kezelését érinti.

A gyártó a hibákat a 17.1-es verzióban javította.

A sérülékenységekkel kapcsolatos további részletek az ICS-CERT bejelentésében olvashatóak: https://ics-cert.us-cert.gov/advisories/ICSA-17-241-01

Sérülékenységek az Advantech WebAccess rendszerében

Több különböző független biztonsági kutató és a Tenable Network Security illetve az ADLab munkatársai 9 különböző hibát találtak az Advantech WebAccess V8.2_20170817-nél korábbi verzióiban.

Az Advantech a hibák javítását a V8.2_20170817-es verzióban tette elérhetővé az ügyfelei számára.

A sérülékenységek részleteit az ICS-CERT, illetve a ZDI két bejelentésében találhatóak:

http://www.zerodayinitiative.com/advisories/ZDI-17-712/
http://www.zerodayinitiative.com/advisories/ZDI-17-713/

Abbott Laboratories egészségügyi rendszerek sérülékenységei

Az ICS-CERT bejelentése szerint 3 hibát fedeztek fel az Abbott Laboratories alább felsorolt, 2017. augusztus 28-a előtt gyártott rendszereiben:

- Accent/Anthem;
- Accent MRI;
- Assurity/Allure;
- Assurity MRI.

A hibákat a gyártó az alábbi firmware-verziókban javította:

- Accent/Anthem: F0B.0E.7E;
- Accent MRI/Accent ST: F10.08.6C;
- Assurity/Allure: F14.07.80;
- Assurity MRI: F17.01.49.

Az egészségügyi rendszerek biztonságával kapcsolatban az ICS-CERT és a Cybersecurity Medical Advisory Board az alábbi általános ajánlásokat fogalmazta meg:

- Az egészségügyi szolgáltatók és a páciensek minden esetben egyeztessék az egyes eszközök firmware-frissítésének kiberbiztonsági kockázatait és az egészségügyi előnyöket. Az egyeztetés során mindenképp figyelembe kell venni a páciensek egyedi körülményeit (a pacemaker szükségessége, az eszköz életkora, a páciens által előnyben részesített megoldás);
- Meg kell vizsgálni, hogy a firmware-frissítés megfelelő-e a páciens számára, ismerve a frissítés kockázatait - amennyiben igen, a frissítés során mindenben a gyártó előírásait kell követni;
- Amennyiben pacemaker-t igénylő pánciens eszközén kell firmware-frissítést végezni, azt olyan létesítményben kell végezni, ahol minden szükséges eszköz rendelkezésre áll akár a teljes eszköz cseréjéhez is.

A fenti hibákkal kapcsolatban bővebb információkat az ICS-CERT bejelentes tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSMA-17-241-01

Sérülékenység Automated Logic Corporation rendszerekben

Evgeny Ermakov, a Kaspersky Lab munkatársa egy XXE (XML External Entity) sérülékenységet fedezett fel az ALC alábbi, webes épületautomatizálásban használt rendszereiben:

- Liebert SiteScan Web Version 6.5 és korábbi verziói;
- ALC WebCTRL Version 6.5 és korábbi verziói;
- Carrier i-Vu Version 6.5 és korábbi verziói.

A gyártó a hibát az alábbi verziókban javította:

- WebCTRL 6.0, Cumulative Patch #11;
- WebCTRL 6.1, Cumulative Patch #4;
- WebCTRL 6.5, Cumulative Patch #5;
- i-Vu 6.0, Cumulative Patch #11;
- i-Vu 6.5, Cumulative Patch #5.

A sérülékenységgel kapcsolatban további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-150-01

Moxa SoftCMS Live Viewer sérülékenység

Ziqiang Gu, a Huawei WeiRan Labs munkatársa egy SQL Injection hibát talált a Moxa SoftCMS Live Viewer 1.6-os és korábbi verzióiban.

A gyártó a hibát a SoftCMS Live Viewer 1.7-es verziójában javította.

A sérülékenység részleteiről az ICS-CERT bejelentésében lehet további információkat találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-243-05

Sérülékenységek az OPW Fuel Management Systems rendszereiben

Semen Rozhkov, a Kaspersky Labs munkatársa két hibát fedezett fel az OPW Fuel Management Systems (OPW) SiteSentinel termékcsaládjának Integra 100-as, Integra 500-as és iSite ATG konzoljainak alábbi verzióiban:

- a V175-nél korábbi verziókban;
- a V175-V189 verziókban;
- a V191-V195 verziókban;
- a V16Q3.1-es verziók.

A hibák között kritikus funkció esetén hiányzó authentikáció és SQL Injection található.

A gyártó a hibát a 17Q2.1-es verzióban javította és mivel a hibákat kiemelten fontosnak tartja, a felhasználókat a Service Bulletin 462-ben illetve külön levélben is értesíti az esetről.

A sérülékenységekről részleteket az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-243-04

Sérülékenység egyes Siemens rendszerekben

Sergey Temnikov, Kaspersky Labs munkatársa egy XXE hibát fedezett fel azokban a Siemens rendszerekben, amik az OPC UA protokoll stack discovery service szolgáltatását használják. Az érintett termékek köre az alábbi:

- SIMATIC PCS 7
- V7.1 és korábbi verziók;
- V8.0 minden verziója;
- V8.1 minden verziója;
- SIMATIC WinCC:
- V7.0 minden verziója;
- V7.2 minden verziója;
- V7.3 minden verziója;
- V7.4: V7.4 SP1-nél régebbi verziók;
- SIMATIC WinCC Runtime Professional:
- V13 minden verziója;
- V14: V14SP1-nél régebbi verziók;
- SIMATIC NET PC Software minden verziója;
- SIMATIC IT Production Suite minden verziója.

A Siemens a hibával kapcsolatos javítást elérhetővé tette. A sérülékenység további részleteiről az ICS-CERT és a Siemens ProductCERT bejelentéseiből lehet tájékozódni.

Siemens LOGO! sérülékenységek

Maxim Rupp két sérülékenységet azonosított a Siemens LOGO!8 BM szoftverének összes verziójában. A sérülékenységek között nem megfelelően védett bejelentkezési adatok és Man-in-the-Middle támadást lehetővé tevő hiba található.

A Siemens a hibákat a LOGO!8 BM FS-05 V.1.81.2-es firmware-verziójában javította.

A sérülékenységekről további részleteket az ICS-CERT és a Siemens ProductCERT bejelentéseiből lehet megtudni.

Siemens 7KM PAC Ethernet switch sérülékenység

A Siemens munkatársai egy DoS-támadást lehetővé tevő hibát azonosítottak a 7KM PAC Ethernet switch-ek PROFINET moduljaiban. A hiba a V2.1.3-nál korábbi összes verziót érinti.

A gyártó a hibát a V2.1.3.[1]-es verzióban javította.

A sérülékenységről bővebben az ICS-CERT bejelentésében lehet megtudni: https://ics-cert.us-cert.gov/advisories/ICSA-17-243-03

Sérülékenységek Siemens ACUSON S1000/2000/3000 berendezésekben

A Siemens ProductCERT bejelentése szerint az ACUSON termékcsalád S1000/2000/3000 típusú berendezéseinek minden VC30, VC31, VD10 és VE10A verzióját érinti a most felfedezett, SMBv1-hez kapcsolódó sérülékenységek.

A hibajavítással kapcsolatban a Siemens ProductCERT bejelentése azt javasolja az érintett berendezéseket használó ügyfeleknek, hogy lépjenek kapcsolatba a Siemens Healthineers ügyfélszolgálatával.

A sérülékenységekkel kapcsolatban további részleteket a Siemens ProductCERT bejelentésében lehet olvasni: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-866217.pdf

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Idén július utolsó hetében kerültek megrendezésre a méltán híres Black Hat (július 22-27. között) és a Defcon (július 27-30. között) konferenciák, ahol idén számos elődás és egyéb program (pl. az ICS Village a Defcon-on) foglalkozott az ICS rendszer kiberbiztonságával.

A Black Hat egyik előadása például a szélerőmű-farmok biztonságával kapcsolatos tapasztalatokról szólt és sajnos még mindig olyan alapvető problémákról volt szó ebben az előadásban is, mint az alapvető biztonsági intézkedések (titkosított kommunikáció, alapértelmezett jelszavak helyett biztonságosabbnak tekinthető jelszavak használata, stb.), amik egy átlagos IT biztonsági vizsgálat során (és ne legyenek kétségeink, egy kibertámadás során is) az első 5 percben ellenőrzésre kerülnek.

A Defcon egyik előadását az általam igen nagyra tartott Joe Weiss tartotta, aki jellemzően minden alkalmat megragad, hogy az ICS rendszerek biztonságával kapcsolatban a kiberbiztonsági kockázatokra felhívja a figyelmet.

Ezúttal már nem az ICS rendszerek IT komponenseinek biztonságáról, hanem azoknak az ipari berendezéseknek (megszakítók, szelepek, mérőváltók, transformátorok, motorok, szenzorok, stb.) a biztonsági helyzetéről és az ezek elleni támadások kockázatairól beszélt.

A Black Hat keddi napján Marina Krotofil (aki 2015-ös Hacktivity-n is tartott előadást ICS biztonság témában) azt mutatta be, hogy egyes ipari szivattyúkban hogyan lehet digitális módszerekkel fizikai kárt okozni.

A fenti előadások nyomán megint felmerül a kérdés, hogy ha ilyen nagyon alacsony az ipari környezetek kiberbiztonsági szintje, mit lehet tenni a javulás érdekében? Csak ismételni tudom magamat, hogy a kulcs az IT üzemeltetők és az OT-ban dolgozó (villamos, gépész-, termelésirányító-, stb.) mérnökök közötti jobb kommunikáció és egymás feladatainak, kihívásainak és prioritásainak jobb ismeretében rejlik.

Saját tapasztalatom, hogy mióta jobb a személyes kapcsolatom egyes, az OT-ban dolgozó kollégáimmal, sokkal jobb hatásfokkal tudom végezni a munkámnak azt a részét, ahol az általuk használt (és gyakran általuk is üzemeltetett) ipari berendezések és hálózatok biztonságának javítása a feladatom.

Tegyünk azért, hogy az IT és OT szakemberek között általánosan meglévő kommunikációs és világnézeti szakadékot áthidaljuk, így javítva az ICS rendszerek kiberbiztonsági helyzetén!

Az elmúlt hét ismét nem múlt új ICS sérülékenységek nélkül.

Sérülékenységek Westermo berendezésekben

Mandar Jadhav, a Qualys Security munkatársa 3 sérülékenységet azonosított a Westermo alábbi termékeiben:

- MRD-305-DIN, 1.7.5.0-nél régebbi verziójú szoftverek használata esetén és
- MRD-315, MRD-355, MRD-455 1.7.5.0-nél régebbi verziójú szoftverek használata esetén.

A hibák között Cross-site request forgery és beégetett felhasználói azonosítók/jelszavak illetve titkosítási kulcs vannak.

A gyártó a hibák javítása érdekében a legfrissebb elérhető verzió (1.7.7.0) telepítését javasolja.

A sérülékenységekről további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-236-01

Rockwell Automation Allen-Bradley switch-ek sérülékenysége

A Rockwell Automation alábbi, Allen-Bradley termékcsaládjához tartozó, Cisco IOS és IOS XE kódbázisára épülő ipari hálózati eszközeivel kapcsolatban a Cisco által azonosított hibáról jelent meg publikáció az ICS-CERT weboldalán:

- A 15.2(5)EA.fc4 és korábbi firmware verziót használó alábbi eszközök
- Allen-Bradley Stratix 5400 ipari switch-ek;
- Allen-Bradley Stratix 5410 ipari switch-ek;
- Allen-Bradley Stratix 5700 és ArmorStratix™ 5700 ipari menedzselhető switch-ek;
- Allen-Bradley Stratix 8000 moduláris menedzselhető switch-ek;
- A 15.6(3)M1 és korábbi firmware verziót használó Allen-Bradley Stratix 5900 router-ek;
- A 15.2(4)EA és korábbi firmware verziót használó Stratix 8300 moduláris menedzselhető switch-ek.

A Cisco által azonosított hiba egy SNMP RCE-t lehetővé tevő sérülékenység. A hiba javítása érdekében a Stratix 8300-as eszközökre az ügyfeleknek javasolt a v15.2(4a)EA5 illetve későbbi firmware-verziót telepíteni.

További kockázatcsökkentést célzó javaslatokat és részletes információkat a sérülékenységgel kapcsolatban az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-208-04

Delta Industrial Automation rendszerek sérülékenységei

A ZDI által publikált nulladik napi sérülékenységeket Ghirmay Desta és egy axt név mögött megbújó személy fedezték fel. A hibák a PMSoft (2 stack-based puffer túlcsordulásra visszavezethető, távoli kódvégrehajtást lehetővé tevő hiba) és a WPLSoft (heap- és stack-based puffer-túlcsordulásokből eredő távoli kódvégrehajtást lehetővé tevő és memória-kezelési hibára visszavezethető távoli kódvégrehajtást lehetővé tevő hibák, szám szerint összesen 9 darab) termékcsaládokat érintik. A sérülékenységek közül többnél a ZDI publikációi megemlítik, hogy a gyártó és az ICS-CERT szerint az érintett szoftverek egy újabb verziója javítja a fenti hibákat, de a ZDI ezzel kapcsolatos gyártói bejelentésről nem tud.

A sérülékenységekről további részleteket a ZDI bejelentései tartalmaznak:
http://www.zerodayinitiative.com/advisories/ZDI-17-697/
http://www.zerodayinitiative.com/advisories/ZDI-17-698/
http://www.zerodayinitiative.com/advisories/ZDI-17-699/
http://www.zerodayinitiative.com/advisories/ZDI-17-700/
http://www.zerodayinitiative.com/advisories/ZDI-17-701/
http://www.zerodayinitiative.com/advisories/ZDI-17-702/
http://www.zerodayinitiative.com/advisories/ZDI-17-703/
http://www.zerodayinitiative.com/advisories/ZDI-17-704/
http://www.zerodayinitiative.com/advisories/ZDI-17-705/
http://www.zerodayinitiative.com/advisories/ZDI-17-706/
http://www.zerodayinitiative.com/advisories/ZDI-17-707/

Schneider Electric Wonderware ArchtestrA Logger sérülékenységek

A Schneider Electric által a saját weboldalán közzé tett bejelentés szerint a PowerSCADA Expert v8.2-ben használt Wonderware ArchtestrA Logger komponensben több sérülékenységet azonosítottak. A hibák között távoli kódvégrehajtást lehetővé tevő hiba, memóriaszivárgás és szolgáltatás megtagadásos támadást (DoS) lehetővé tevő hiba is van.

A gyártó a hibákat javító verziót a weboldalán elérhetővé tette.

A sérülékenységekről további részleteket a Schneider Electric bejelentésében lehet találni.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A SANS ICS rendszerekhez kialakított képzésének haladó kurzusa (amint már a tanfolyam sorszámában az 500-as előtag is mutat) jelentős részben a Robert M. Lee által kidolgozott Active Cyber Defense Cycle (ACDC) köré épül. A tanfolyam, aminek jelenlegi (2017 nyár) tematikáját is Rob dolgozta ki, négy nagy fejezetre oszlik, amiket az egy hetes képzés első négy napjának programját adja. Az elméleti oktatás mellett mindegyik tanfolyami napon hangsúlyos a labor környezetben végzett gyakorlatok szerepe is.

Az első napon az ACDC alapvető bemutatása fenyegetésekkel kapcsolatos információgyűjtés különböző módszereit és az ICS rendszerek információgyűjtéssel kapcsolatos támadási fejezeteit mutatja be. A nap laborjai során fel kell építeni a tanfolyamon kapott CYBATIworks PLC-t (ami egy apró útkereszteződést szimuláló eszköz kicsi jelzőlámpákkal, de van Shodan keresőmotorral történő ICS információgyűjtés is.

A második nap az aktív védelmi intézkedések "egyszerűbb" lépéseivel, az ICS rendszerek eszközeinek azonosításával és hangsúlyosan a hálózatbiztonsági monitoring feladataival foglalkozik. A nap laborjai között az IDS-ekkel és a hálózati (napló?)elemzéssel kapcsolatos feladatok is vannak.

A harmadik napon az incidenskezelés és az incidensek során történő nyomrögzítés (forensics) mellett külön fejezet tárgyalja, hogyan célszerű egy ICS incidenskezelő csoportot felépíteni, továbbá a folyamatvezérlő rendszerek üzembiztonságának és az incidenskezelés kapcsolatának kérdései is saját szekciót kapnak. A labor témái között megjelenik az ICS rendszerekben üzem közben történő adatgyűjtés, az összegyűjtött adatok ellenőrzésének és elemzésének és az IoC-knek a témái is.

A negyedik nap témája az ICS rendszerek és környezetek fenyegetéseinek mélyebb megértése köré épül. A korábban összegyűjtött bizonyítékok és a malwere-ek elemzése mellett szóba kerülnek a kompromittálás felismerését segítő jelzések (IoC-k) felismerésének módszerei is. A negyedik nap gyakorlatai között memóriából kinyert adatok elemzését és YARA szabályok írását lehet gyakorolni.

Az ötödik egyben utolsó nap egy egész napos gyakorlat köré épül, két forgatókönyvön keresztül az előző négy napon áttekintett elméleti és gyakorlati tudás alkalmazására ad lehetőséget a tanfolyam résztvevőinek.

A tanfolyamhoz 2017. július 7-e óta tartozik a GIAC (jelenleg) legújabb vizsgája és minősítése, a GRID (GIAC Response and Industrial Defense), amiről terveim szerint a közeli jövőben fogok egy rövid áttekintést adni.

Az elmúlt hét megint hozott néhány új ICS sérülékenységet.

Sérülékenység BMC Medical egészségügyi rendszerekben

Az ICS-CERT bejelentése szerint a MedSec egy, a bevitt adatok nem megfelelő ellenőrzéséből eredő sérülékenységet fedezett fel a BMC Medical Luna CPAP Machine nevű termékének 2017. július 1-je előtt kiadott verzióiban. A jelenleg rendelkezésre álló információk szerint az érintett berendezésekhez a gyártó sem javítást, sem más, kockázatcsökkentő intézkedést nem biztosít.

A sérülékenységgel kapcsolatban részleteket az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-227-01

Puffer-túlcsordulás Advantech WebOp berendezésekben

Az ICS-CERT publikációja szerint Ariele Caltabiano (másnéven kimiya) egy puffer-túlcsordulásos hibát talált az Advantech WebOp operátori panelekben, amit kihasználva egy támadó távoli kódfuttatási lehetőséghez juthat.

A gyártó mostanáig nem volt képes megerősíteni a sérülékenység létezését, így egyelőre javítás sem érhető el, azonban a hibát kihasználó exploit már publikus.

A sérülékenységről részletesebb információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-227-01

Sérülékenységek Philips egészségügyi rendszerekben

Az ICS-CERT bejelentése szerint a gyártó két sérülékenységet azonosított a DoseWise Portal 1.1.7.333-as és 2.1.1.3069-es verzióiban. A DoseWise egy web-alapú radiológiai ellenőrző rendszer.

A hibák között beégetett felhasználói azonosítók és olvasható formában tárolt érzékeny adatok vannak.

A gyártó jelenleg is dolgozik a hibákat javító verziókon, amik várhatóan még augusztus folyamán meg fognak jelenni. A javítások megjelenéséig a Philips az általános hálózatbiztonsági intézkedések bevezetését illetve a 1433/tcp port elérésének blokkolását javasolja (kivéve azokat az eseteket, amikor a DoseWise adatbázisa egy dedikált SQL szerveren fut).

A sérülékenységek részleteiről az ICS-CERT bejelentésében lehet további információkat találni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-229-01

Automated Logic Corporation rendszerek sérülékenységei

Gjoko Krstic, a Zero Science Lab munkatársa három hibát talált az Automated Logic Corporation (ALC) WebCTRL, i-Vu, SiteScan Web rendszereinke alábbi verzióiban:

- ALC WebCTRL, i-Vu, SiteScan Web 6.5 és korábbi verziók;
- ALC WebCTRL, SiteScan Web 6.1 és korábbi verziók;
- ALC WebCTRL, i-Vu 6.0 és korábbi verziók;
- ALC WebCTRL, i-Vu, SiteScan Web 5.5 és korábbi verziók;
- ALC WebCTRL, i-Vu, SiteScan Web 5.2 és korábbi verziók.

A fenti verziók közül a gyártó a 6.0 és újabb verziókhoz biztosít támogatást, az 5.5, 5.2 illetve korábbi verziókat használó ügyfeleiknek a mielőbbi verzióváltást ajánlják, ha javítani szeretnék a most felfedezett sérülékenységeket.

A sérülékenységeket az alábbi hibajavítások telepítésével lehet megszüntetni:

- WebCTRL 6.0, Cumulative Patch #13;
- WebCTRL 6.1, Cumulative Patch #7;
- WebCTRL 6.5, Cumulative Patch #7 + WS65_Security_Update2.update;
- i-Vu 6.0, Cumulative Patch #13;
- i-Vu 6.5, Cumulative Patch #7 + WS65_Security_Update2.update;
- SiteScan Web Version 6.1, Cumulative Patch #7;
- SiteScan Web Version 6.5, Cumulative Patch #7 + WS65_Security_Update2.update.

A sérülékenységekkel kapcsolatban részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-234-01

SpiderControl SCADA MicroBrowser sérülékenység

Karn Ganeshen a ZDI-vel együttműködve talált egy puffer-túlcsordulásos hibát a SpiderControl SCADA MicroBrowser Versions 1.6.30.144 és korábbi verzióiban.

A gyártó a hibát az 1.6.40.148-as verzióban javította.

A sérülékenységről bővebb információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-234-02

SpiderControl SCADA Web Server sérülékenység

Szintén Karn Ganeshen és a ZDI találtak egy könyvtárbejárást lehetővé tevő sérülékenységet a SpiderControl SCADA Web Server menedzsment platformjában. A gyártó a hibát a 2.02.0100-as verzióban javította.

A sérülékenységgel kapcsolatosan további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-234-03

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Idén év elején egy atlantai férfi 34 hónapos börtönbüntetést kapott, mert a Georgia-Pacific papírgyár korábbi alkalmazottjaként az elbocsátásakor vissza nem vett VPN-hozzáférésével bejelentkezett a papírgyár hálózatába és a saját szoftvereit telepítve nem engedélyezett változtatásokat végzett termelésirányító rendszerben. Az incidens közel 1,1 millió dolláros kárt okozott a Georgia-Pacific-nek.

Ez az eset kiválóan mutatja, hogy a belső ember(ek) által végrehajtott támadások milyen komoly fenyegetést jelentenek az ipari rendszereket üzemeltető szervezetek számára. Ennek számos oka van:

1. A távoli hozzáférés mára széles körben elterjedt az ICS rendszerek esetében is, ami nagyságrendekkel növeli ezeknek a rendszereknek a biztonsági kitettségét. Természetesen az ICS rendszerek távoli elérésének számos pozitív következménye is van (növekvő produktivitás, alacsonyabb üzemeltetési és üzemeltetés-támogatási költségek, kényelmesebb és munkavédelmi szempontból biztonságosabb munkavégzés, stb.), a használatukból adódó kockázati szint emelkedést nem szabad figyelmen kívül hagyni. Különösen azért nem, mert számos olyan esetről lehet tudni, amikor a VPN-megoldást (vagy sok évvel ezelőtt a betárcsázós modemet) egy, az OT-ben dolgozó mérnök egy projekthez kapcsolódóan, "csak a projekt idejére, ideiglenesen" helyezte üzembe, aztán ezt a megoldást elfelejtették vagy n+1. vészhelyzeti tartalék megoldásként mégis meghagyták és a mai napig üzemel. Jellemzően az ilyen módosítások soha, sehol nem kerülnek dokumentálásra, így esély sincs arra, hogy az ICS rendszerek kockázatelemzései/sérülékenység vizsgálatai során ezekről a felmérést végző szakemberek tudomást szerezzenek (hacsak a vakszerencse nyomra nem vezeti őket), így pedig az ilyen megoldások kockázatainak csökkentésére sincs mód. Ne legyen azonban kétségünk, egy felkészült támadó (nem is beszélve egy elégedetlen alkalmazottról) tudni fog az ilyen biztonsági résekről és nem fog hezitálni, hogy kihasználja-e a saját céljai eléréséhez.

2. Az ipari hálózatok hagyományos IT biztonsági kontrollok és monitoring terén rosszul teljesítenek. Ezt a témát már többször boncolgattam én is itt, a blogon, az ipari rendszerek és hálózatok IT biztonsági szempontból jellemzően rosszabbul teljesítenek, mint a legtöbb vállalati IT hálózat. Emiatt az ICS rendszerek biztonságáért felelős szakemberek gyakran nem vagy csak rossz hatásfokkal képesek kikényszeríteni a hozzáférési, biztonsági és változáskezelési szabályok betartását. Tovább rontja a helyzetet, hogy az ipari hálózatokban gyakran hiányoznak a naplózás és naplóelemzés funkciók, amik miatt nagyon gyengék az események észlelésével kapcsolatos kontrollok is, így pedig egy incidens esetén az azt elszenvedő szervezetnek nagyon kicsi esélye van a kiváltó ok gyors és költséghatékony beazonosítására.

3. Nem megfelelő átláthatóság az ICS vezérlési funkciók esetén. A hiányzó naplózás és naplóelemzés másik következménye, hogy az egyes szervezetek nem rendelkeznek tiszta képpel és nem képesek visszamenőleg ellenőrizni az OT-ben dolgozó mérnökök illetve a szállítók és támogatók munkatársai által a folyamatvezérlő rendszerekben végrehajtott változtatásokat. Emiatt, ha bárki a felsoroltak közül (vagy akár egy külső támadó) ártó szándékú változtatásokat hajt végre a rendszerben és ez akár komoly üzemzavarhoz is vezethet. Ez az ICS biztonság egy olyan vakfoltja, amit egy tapasztalt belső ember nagyon hatékonyan lehet képes kihasználni.

Valósidejű, ICS-fókuszú hálózatbiztonsági monitoring alkalmazása

A hálózatbiztonsági monitoring (NSM) az ICS biztonság egyik alapköve. Igaz ez az IT biztonságra is és fokozottan igaz az ICS kiberbiztonság területére, ahol az IT biztonsági monitoring funkciókon túl külön figyelmet kell fordítani az ipari vezérlési folyamatok minél részletesebb és zártabb naplózására és ellenőrzésére. Egyrészt ez segíthet időben észlelni az ártó szándékú beavatkozásokat, ezzel megelőzni egy komoly incidenst, de ha megelőzni nem is sikerül egy támadást, a részletes ICS NSM segítséget tud nyújtani az incidenskezelési folyamat során az incidens által okozott károk mielőbbi felszámolásában és az üzemszerű működés gyors helyreállításában.

Amikor ezt a posztot elkezdem írni, az ICS sérülékenységek sorozat CXXIX része még alig több, mint 36 órája élesedett, mégis már most 7 újabb ICS-CERT bejelentés van azon a listámon, amin a rövid összefoglalra váró hivatkozásokat gyűjtöm.

Az alább felsorolt sérülékenységekkel az idén eddig eltelt alig 7,5 hónap alatt több sérülékenységről számoltam be (pontosan 263-ról), mint tavaly egész évben (261). Nyilván az én gyűjtésem nem teljes (nem is lehet az), de minimum aggasztónak tartom az ICS rendszerekkel kapcsolatosan publikussá váló szoftveres (és jóval ritkábban hardveres) hibák számának ilyen ütemű növekedését.

Moxa SoftNVR-IA Live Viewer sérülékenység

Karn Ganeshen egy DLL Hijacking-re lehetőséget adó hibát talált a Moxa SoftNVR-IA Live Viewer 3.30.3122-es és korábbi verzióiban. A gyártó a hibát a 3.4-es verzióban javította.

A sérülékenységgel kapcsolatos további részleteket az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-220-02

Sérülékenység az OSISoft PI Integrator termékeiben

Az ICS-CERT bejelentése szerint az OSISoft 2 sérülékenységet talált és jelentett az ICS-CERT-nek, amik az alábbi termékeiket érintik:

- PI Integrator a SAP HANA 2016-hoz;
- PI Integrator a Business Analytics 2016 - Data Warehouse-hoz (minden verzió érintett);
- PI Integrator a Business Analytics 2016 - Business Intelligence-hez (minden kiadás érintett);
- PI Integrator a Business Analytics és SAP HANA SQL Utility 2016-hoz;
- PI Integrator a Microsoft Azure 2016-hoz.

A hibák között nem megfelelő jogosultságkezelés és Cross-site scripting található. A sérülékenységekkel kapcsolatos bővebb információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-220-01

ABB rendszerek sérülékenységei

Bertin Jose és Fernandez Ezequiel egy könyvtárbejárást lehetővé tevő sérülékenységet találtak az ABB alábbi termékeiben:

- SREA-01 A, B és C kiadásainak 3.31.5-nél korábbi verziói;
- SREA-50 A kiadásának 3.32.8-nál korábbi verziói.

A sérülékenységhez az HMS Industrial Networks Ab készített patch-et, amit az ABB az SREA-01 legutolsó verzióján tesztelt, de az ICS-CERT információi szerint az SREA-50 legutolsó verziójánál is alkalmazható.

A sérülékenységgel kapcsolatban részleteket az ICS-CERT publikációjában lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-222-05

Sérülékenységek a Fuji Electric Monitouch V-SFT rendszerében

A Fuji Electric Monitouch V-SFT 5.4.43.0-nál korábbi verzióiban két független kutató, Fritz Sands és kimiya találtak 3 hibát, amit az ZDI-nek jelentettek. A hibák között két puffer-túlcsordulás és egy nem megfelelő jogosultságkezelés található. A sérülékenységeket a gyártó a Monitouch V-SFT 5.4.43.0 verzióban javította.

A hibákról további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-222-04

Solar Controls rendszerek sérülékenységei

A Solar Controls rendszereivel kapcsolatban az ICS-CERT két hibát is publikált. Mindkettőt Karn Ganeshen fedezte fel. Az első egy DLL Hijacking-et lehetővé tevő hiba, ami a WATTConfig M Software 2.5.10.1-nél régebbi verzióit érinti.

A második hiba szintén DLL Hijacking-re ad lehetőséget a támadóknak, ez a HCDownloader 1.0.1.15-nél korábbi verzióiban található meg.

A gyártó egyik hiba esetén sem reagált az ICS-CERT megkeresésére, így a sérülékenységekkel kapcsolatban javítások sem érhetőek el.

További részleteket a WATTConfig M Software sérülékenységével kapcsolatban itt található: https://ics-cert.us-cert.gov/advisories/ICSA-17-222-03
A HCDownloader sérülékenységgel kapcsolatos bejelentés itt érhető el: https://ics-cert.us-cert.gov/advisories/ICSA-17-222-02

SIMPlight SCADA Software sérülékenység

A SIMPlight SCADA Software 4.3.0.27-nél régebbi verzióiban ismét Karn Ganeshen talált DLL Hijacking-et lehetővé tevő hibát. A Solar Controls-hoz hasonlóan a SIMPlight sem reagált az ICS-CERT megkeresésére, vagyis jelen pillanatban erre a sérülékenységre sincs elérhető javítás.

A hibával kapcsolatos ICS-CERT publikáció itt érhető el: https://ics-cert.us-cert.gov/advisories/ICSA-17-222-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az Independent írországi kiadása augusztus 6-án számolt be egy, az EirGrid (az ír villamosenergia-ipari rendszerirányító) illetve északír leányvállalata, a SONI elleni támadásokról.

Cathal McMahon, az Independent újságírójának információi szerint a támadók az ír rendszerirányítók távközlési szolgáltatójának, a Vodafone-nak a hálózatához szereztek hozzáférést idén áprilisban, majd ezután az EirGrid által használt routereken egy GRE (Generic Routing Encapsulation) tunnel-t hoztak létre, amivel le tudták hallgatni a hálózati forgalmat.

Az Independent cikke szerint a támadók az áprilisi betörés után több, mint két hónapig anélkül tudtak tevékenykedni az EirGrid hálózatában, hogy felfedezték volna őket, ez végül egy hónapja történt meg.

További részleteket az Independent.ie oldalán és az ennek nyomán született SecurityAffairs és BitDefender publikációkban lehet olvasni.

Fontos megjegyeznem, hogy bár az Independent cikke azt állítja, hogy a támadók akár jelentős áramkimaradást okozó üzemzavart is előidézhettek volna, jelenleg semmilyen publikusan elérhető információ nem támasztja alá ezt az állítást. Abból, amit eddig tudni lehet, minden jel arra utal, hogy ez az incidens az információszerzésről szólt (az ICS Cyber Kill Chain szerint ez az első fázis, az IT rendszerek kompromittálása a második fázishoz szükséges adatok összegyűjtése érdekében). Természetesen nem állítom, hogy ez a támadás nem lehet egy újabb, már az EirGrid (és/vagy a SONI) ICS rendszerei elleni támadást előkészítő művelet, de egyelőre erre semmilyen bizonyíték nem utal.