Az ukrán áramszolgáltatók elleni kibertámadás óta még hangsúlyosabb lett az ipari rendszerek és különösen a kritikus infrastruktúrák biztonságosabbá tételének kérdése.

A legújabb felmérések szerint az ipari vezérlőrendszerek felhasználói és üzemeltetői egyrészt a külvilágból érkező, jellemzően hackerekkel, hacktivistákkal és nemzetállami támogatással rendelkező csoportokkal azonosítótt kibertámadásoktól féltik a rendszereiket, másrészt a szervezeten belülről induló, nem szándékos kiberbiztonsági incidensek okoznak aggodalmat. Bármelyik is következzen be, szinten 100%-ban megjelenik a hálózati kommunikáció, mint az incidensek egyik eleme.

Ez az oka annak, hogy az első számú ajánlása minden, ICS biztonsággal foglalkozó szervezetnek (pl. ICS-CERT), hogy az ipari rendszereket üzemeltető szervezetek fordítsanak kiemelt figyelmet a hálózat tervezésére és megfelelő szegmentálására, valamint a hatékony határvédelem kialakítására. Az ICS-CERT 2015-ös ICS értékelési jelentése a legsúlyosabb sérülékenységként azonosítja a vállalati és ipari hálózatok közötti elégtelen határvédelmet.

Az ICS hálózatok szegmentálása során a legfontosabb eszköz az ISA/IEC 62443-as szabvány 3-2-es fejezetében leírt kommunikációs csatornák által megvalósított biztonsági zónák alkalmazása. A biztonsági zóna olyan eszközök csoportja, amelyek azonos szintű biztonsági osztályba tartoznak (pl. felügyeleti zóna, vezérlő zóna, stb.). Erről korábban itt már írtam. Az egyes biztonsági zónák közötti kommunikáció csak a meghatározott kommunikációs csatornán keresztül engedélyezett. Ezek a csatornák azok a pontok a hálózatban, ahol célszerű a biztonsági eszközöket (pl. ipari protokollokat ismerő tűzfalak és/vagy IDS/IPS-ek), amelyekkel biztosítani lehet, hogy csak a feltétlenül szükséges hálózati forgalom jusson át a biztonsági zónák között.

A kommunikációs csatornák alkalmazásával költséghatékony módon lehet ellensúlyozni a tényt, hogy az ipari eszközök biztonsági szintje mind a mai napig sokkal rosszabb, mint az elvárt lenne. Ez a megközelítés lehetővé teszi azt is, hogy sokkal könnyebben és olcsóbban frissíthető eszközökre koncentrálja a szervezet az erőforrásait és nem kockáztatja a kritikus technológiai folyamatok rendelkezésre állást sem az ipari eszközök mind gyakrabban szükségessé váló frissítésével.

Külön kell tárgyalni az ipari vezeték nélküli hálózatok és alkalmazások kérdését. Én személy szerint nem vagyok híve a vezeték nélküli hálózatoknak és ahol lehet, kerülöm is a használatukat, de az ipari környezetek esetében nem kizárólag a kényelem indokolja a használatukat, így mindenképpen foglalkozni kell a biztonságosabbá tételük lehetőségeivel.

Vezeték nélküli hálózatok szegmentálása

A vezeték nélküli hálózatokat legalább VLAN-okkal el kell szeparálni az egyéb hálózatoktól. A legfontosabb ipari berendezéseket tartalmazó hálózatokat le kell választani a vezeték nélküli hálózatoktól, a kommunikációs csatornákat ipari csomagszűrő tűzfalakkal célszerű kialakítani. A vezeték nélküli hálózaton történő kommunikációt a legszükségesebb végpontokra illetve protokollokra szűkítve kell engedélyezni, ehhez a leginkább megfelelő eszközök a Layer-2 tűzfalak.

Vezeték nélküli megoldások beépített biztonsági funkciói

Meg kell győződni róla, hogy az ipari rendszereknél használt vezeték nélküli megoldások képesek a 802.11i szabvány szerinti működésre és a WPA-enterprise biztonsági funkció alkalmazására.

Monitoring

Annak érdekében, hogy a lehető legkorábban fel lehessen fedezni egy, a vezeték nélküli hálózat ellen indított támadást, olyan Access Point-okat kell használni, amelyek beépített vezeték nélküli IDS funkciót is tartalmaznak.

ICS hálózatok monitorozása

A hálózatbiztonsági monitoring egy régóta bevett megoldás a vállalati hálózatok esetében, de korántsem magától értetődő az ipari hálózatoknál.

A legfontosabb, hogy hatékony hálózati pontokon (pl. a vállalati és ipari hálózat között elhelyezkedő DMZ hálózati eszközeinél) történjen a monitoring, illetve a különböző, ipari hálózatokban elhelyezett aktív eszközök (switch-ek, router-ek, gateway-ek) ellenőrzése is jó döntés lehet.

Biztonságos távoli elérés megvalósítása az ICS rendszerekhez

A költségek csökkentése egy olyan erős érv, amivel nem sokan tudnak szembeszállni, még akkor sem, ha ehhez az ICS üzemeltetők egyik legrégebbi érvelését kell kidobni az ablakon. Hosszú évtizedeken keresztül az "itt nem kell aggódni, mert ezt a hálózatot nem lehet távolról elérni"-érv Jolly Joker volt az ICS üzemeltetők kezében, bármilyen IT biztonsági észrevétel esetében. Ez viszont azt igényelte, hogy 7/24-ben legyen a helyszínen olyan, hozzáértő üzemeltető, aki képes a felmerült hibák elhárítására. Ez a folyamatos, helyszíni készenlét jelentős költségekkel járt, így amikor felmerült, hogy ezt távolról is el lehet végezni, a mindenhol csak lefaragható költségeket látó pénzügyi menedzsement kapva-kapott a lehetőségen.

A másik ok az Internet-of-Things (IoT) ipari területre történő betörése, ma már egyre többen vannak, akik az Industrial IoT-t a jövő fejlődésének zálogaként kezelik és egyre gyakrabban hallunk a negyedik ipari forradalomról (Industry 4.0), ahol az egymással kommunikáló ipari berendezések hozzák el az új ipari reneszánszt.

Ezek a változások komoly kihívást jelentenek, mert a távoli hozzáférést olyan módon kell biztosítani az ipari rendszerekhez, hogy a legfontosabb biztonsági szempontok se sérüljenek. A tradícionális VPN megoldások mellett ma már ipari területre szánt VPN-megoldások is elérhetőek.

A jól tervezett, szegmentált és védett hálózat azonban a mai fenyegetésekkel szemben egyedül már korántsem elégségesek, a napjainkban elvárt szintű biztonság eléréséhez további intézkedésekre is szükség van, erről fog szólni ennek a sorozatnak a következő része.

Az ICS-CERT tegnap publikált bejelentése szerint Andrea Micalizzi, független biztonsági kutató a ZDI-vel együttműködve fedezett fel egy könyvtár-szerkezet bejárást lehetővé tevő hibát a CA Unified Infrastructure Management Version 8.4 Service Pack 1 és ennél korábbi verzióiban.

A Unified Infrastructure Management egy webes SCADA rendszer, amit a gyártó szerint elsősorban IT-környezetekben használnak, főleg az USA-ban és Európában, kis részben Ázsiában.

A hibát a gyártó a Unified Infrastructure Management Version 8.47-es verzióban javította.

A sérülékenységről további információkat az ICS-CERT bejelentése tartalmaz, ahol a szokásos kockázatcsökkentő intézkedések fontosságára is ismét felhívják a figyelmet:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Az elmúlt napokban megint nagy számban publikáltak különböző ICS rendszereket érintő hibákat, a mai posztban ezeket fogom röviden áttekinteni (és még így is ez a poszt lesz mindmáig a rekorder az ICS sérülékenységek sorozatban, már ami a hosszát illeti).

Schneider Electric ION okosmérők sérülékenységei

A Schneider Electric ION sorozatú okosmérőivel kapcsolatos CSRF sérülékenységét először szeptember 12-én publikálta az ICS-CERT (én itt írtam róla: http://icscybersec.blog.hu/2016/09/19/ics_serulekenysegek_lviii). A szeptemberi bejelentéshez képest a mostani publikáció már egy nem megfelelő hozzáférés kontrollt is említ, ami a CVSSv3 alapján magas kockázatú besorolást kapott. Ugyanakkor az ICS-CERT legújabb publikációjában sincs információ arról, hogy a gyártó javította volna a hibákat, az ICS-CERT csak megismétli a Scheider Electric szeptemberben már hallott tanácsait az érintett okosmérők hardeningjével kapcsolatban:

- Az okosmérők "Webserver Config Access" paraméterét javasolt "Disabled"-re állítani (alapértelmezetten ez a paraméter engedélyezett állásban van) és a mérők konfigurációját lementeni.
- Az okosmérők konfigurációjában van egy "Enable Webserver" paraméter is, ami a mérők webszerver funkciójának teljes engedélyezéséért vagy tiltásáért felelős. A paraméternek "YES" és "NO" értéke lehet, alapértelmezetten engedélyezve van a működése.

Az ICS-CERT bejelentése további információkat is tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-308-03

Schneider Electric Magelis HMI sérülékenységek

Még mindig Scheider Electric, a Magelis Human-Machine Interface berendezéseiben Eran Goldstein talált több hibát, amelyek egyenként is túlzott erőforrás használathoz vezethetnek a sérülékeny HMI-ken. A hiba az alábbi Magelis eszközöket érinti:

- Magelis GTO Advanced Optimum Panel, minden verzió;
- Magelis GTU Universal Panel, minden verzió;
- Magelis STO5xx and STU Small Panel, minden verzió;
- Magelis XBT GH Advanced Hand-held Panel, minden verzió;
- Magelis XBT GK Advanced Touchscreen Panel billentyűzettel, minden verzió;
- Magelis XBT GT Advanced Touchscreen Panel, minden verzió;
- Magelis XBT GTW Advanced Open Touchscreen Panel (Windows XPe).

A gyártó jelenleg is dolgozik a hibák javításán, saját becslése szerint várhatóan 2017 március végére fog elkészülni a javításokat tartalmazó új szoftver verziókkal. A javítások publikálásáig az alábbi kockázatcsökkentő intézkedések bevezetését javasolja a sérülékeny Magelis HMI eszközöket használó ügyfelei számára:

- Minimalizálják a sérülékeny eszközök hálózati kitettségét a vezérlő rendszer és vagy az eszközök esetén és biztosítsák, hogy ezek a rendszerek és eszközök nem érhetőek el az Internet irányából;
- A Web Gate szervereket, amennyiben nem használják őket, tartsák az alapértelmezett, letiltott állapotban, ezzel minimálizálhatják a lehetséges támadási felületet;
- A vezérlő rendszerek eszközeit és hálózatait tűzfallal védett hálózatban üzemeltesség és izolálják a vállalati hálózatoktól;
- Menedzselt switch-ek használatával korlátozzák a helyi hálózat forgalmát a feltétlenül szükséges forgalomra;
- Ahol lehetséges, kerüljék a vezeték nélküli hálózati kommunikáció használatát. Ahol nélkülözhetetlen a WiFi-hálózatok használata, csak biztonságos beállításokkal használják a WiFi hálózatokat (pl. WPA2 titkosítással);
- Csak megbízható számítógépekről engedélyezzék a vezérlő rendszerek elérését;
- Amennyiben nélkülözhetetlen a vezérlő rendszerek távoli elérésének engedélyezése, használjanak biztonságos megoldásokat, pl. VPN-t. Biztosítsák, hogy a távoli (VPN-) kapcsolatot kezdeményező számítógépekre és a VPN-megoldásra is telepítve van az összes ismert hibára kiadott javítás.

A hibával kapcsolatban a Scheider Electric és az ICS-CERT weboldalain lehet további részleteket olvasni.

Moxa OnCell sérülékenységek

Maxim Rupp talán az egyik legismertebb ICS biztonsági kutató, itt a blogon is gyakran felmerül a neve, mint egy-egy ICS sérülékenység felfedezőjéé. Ezúttal a Moxa OnCell átjáróiban talált több hibát. Az OnCell eszközcsaládot soros vagy Ethernet hálózatok és mobiltelefon hálózatok közötti átjáróként használják, elsősorban ázsiai és európai szervezetek. A hibák az alábbi modelleket érintik:

- OnCellG3470A-LTE;
- AWK-1131A/3131A/4131A sorozatú eszközök;
- AWK-3191 sorozatú eszközök;
- AWK-5232/6232 sorozatú eszközök;
- AWK-1121/1127 sorozatú eszközök;
- WAC-1001 V2 sorozatú eszközök;
- WAC-2004 sorozatú eszközök;
- AWK-3121-M12-RTG sorozatú eszközök;
- AWK-3131-M12-RCC sorozatú eszközök;
- AWK-5232-M12-RCC sorozatú eszközök;
- TAP-6226 sorozatú eszközök;
- AWK-3121/4121 sorozatú eszközök;
- AWK-3131/4131 sorozatokú eszközök;
- AWK-5222/6222 sorozatú eszközök.

A hibák között nem megfelelő authentikáció és nem megfelelő jogosultságkezelés egyaránt található. A gyártó néhány érintett sorozathoz már kiadott frissített, a hibákat már nem tartalmazó firmware-t, de a legtöbb esetben a javítás csak 2017 tavasszal illetve nyáron várható, néhány sorozat esetén pedig a hibát nem tervezik javítani. Az érintett modellek és firmware-kiadási időpontokat az alábbi táblázat tartalmazza:

A hibával kapcsolatban további információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-16-308-01

OSIsoft PI sérülékenység

Az OSISoft egyes PI szoftvercsaládjában fedezett fel olyan, befejezetlen modelleket, amelyek miatt funkciók hibásan működnek. Ennek következményei a rendszer leállását vagy adatvesztést okozhatnak. Az érintett termékek és verziók az alábbiak:

- Azok az alkalmazások, amelyek a PI Asset Framework (AF) Client 2016, 2.8.0-nál korábbi verzióit használják;
- Azok az alkalmazások, amik a PI Software Development Kit (SDK) 2016, 1.4.6-nál korábbi verzióit használják;
- PI Buffer Subsystem, 4.4 és ennél korábbi verziói;
- PI Data Archive 2015, 3.4.395.64-nél korábbi verziói.

A gyártó a hibák javítása érdekében az alábbi szoftver verziók használatát javasolja:

- PI Buffer Subsystem, Version 4.5.0 vagy újabb;
- PI AF Client 2016, Version 2.8.0 vagy újabb;
- PI SDK 2016, Version 1.4.6 vagy újabb;
- PI Data Archive 2016, Version 3.4.400.1162 vagy újabb.

A hibával kapcsolatban több információt az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICS-VU-313-03

Lokális jogosultsági szint emelést lehetővé tevő hiba a Siemens egyes ipari környezetbe szánt termékeiben

A Siemens, együttműködve a WATERSURE-rel és a KIANDRA IT-vel, egy számos ipari környezetbe szánt termékében megtalálható hibát publikált. A lokális jogosultsági szint emelést lehetővé tevő hiba az alábbi Siemens termékeket érinti:

- SIMATIC WinCC:
  - V7.0 SP2 és korábbi verziók a V7.0 SP2 Upd 12-ig;
  - V7.0 SP3 minden verziója a V7.0 SP3 Upd 8-ig;
  - V7.2: minden verziója;
  - V7.3: minden verziója;
  - V7.4: minden verziója;

- SIMATIC STEP 7 V5.X: minden verzió;

- SIMATIC PCS 7:
   - V7.1 és korábbi verziók;
   - V8.0: minden verzió;
   - V8.1: minden verzió;
   - V8.2: minden verzió;
   
- SIMATIC WinCC Runtime Professional: minden verzió;
- SIMATIC WinCC (TIA Portal) Professional: minden verzió;
- SIMATIC WinCC (TIA Portal) Basic, Comfort, Advanced: V14-nél korábbi verziók;
- SIMATIC STEP 7 (TIA Portal): V14-nél korábbi verziók;
- SIMATIC NET PC-Software: V14-nél korábbi verziók;
- SINEMA Remote Connect Client: minden verzió;
- SINEMA Server: V13 SP2-nél korábbi verziók;
- SIMATIC WinAC RTX 2010 SP2: minden verzió;
- SIMATIC WinAC RTX F 2010 SP2: minden verzió;
- SIMATIC IT Production Suite: minden verzió;
- TeleControl Server Basic: V3.0 SP2-nél korábbi verziók;
- SOFTNET Security Client V5.0: minden verzió;
- SIMIT V9.0,
- Security Configuration Tool (SCT): minden verzió;
- Primary Setup Tool (PST): minden verzió.

A hiba kihasználásával egy támadó képes lehet a fenti szoftvereket futtató Windows operációs rendszeren magasabb szintű jogosultságokat szerezni.

A gyártó az alábbi termékekhez a feltüntetett verziójú szoftverekben javította a hibát:

- SIMATIC WinCC:
   - V7.0 SP2 és korábbi verziók esetén a V7.0 SP2 Upd 12-ben;
   - V7.0 SP3 esetén a V7.0 SP3 Upd 8-ban;

- SIMATIC WinCC (TIA Portal) Basic, Comfort, Advanced verziók esetén a V14-ben;
- SIMATIC STEP 7 (TIA Portal) esetén a V14-ben;
- SIMATIC NET PC-Software esetén a V14-ben;
- TeleControl Server Basic esetén a V3.0 SP2-ben;
- SINEMA Server esetén a V13 SP2-ben;

Az alábbi termékek esetén a Siemens egy átmeneti javítást tett elérhetővé a weboldalán:
https://support.industry.siemens.com/cs/ww/en/view/109740929

- SIMATIC WinCC V7.2;
- SIMATIC STEP 7 V5.X;
- SIMATIC PCS 7 V7.1 és V8.0;
- SIMATIC STEP 7 (TIA Portal) V13;
- SIMATIC NET PC-Software V13;
- SINEMA Remote Connect Client;
- SIMATIC WinAC RTX 2010 SP2;
- SIMATIC WinAC RTX F 2010 SP2;
- SIMATIC IT Production Suite;
- SOFTNET Security Client V5.0;
- SIMIT V9.0;
- Security Configuration Tool (SCT);
- Primary Setup Tool (PST).

Az alábbi termékeknél, ha azok nem alapértelmezett konfigurációval üzemelnek, a Siemens azt javasolja, hogy a Siemens üzemeltetési útmutatójában foglaltak alapján kerüljön telepítésre az átmeneti javítás:

- SIMATIC WinCC V7.3 and V7.4,
- SIMATIC PCS 7 V8.1 and V8.2,
- SIMATIC WinCC Runtime Professional, and
- SIMATIC WinCC (TIA Portal) Professional.

További információkat a hibával kapcsolatban a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenységek a Phoenix Contact ILC PLC termékeiben

Matthias Niedermaier és Michael Kapfer, az augsburgi egyetem kutatói több hibát is találtak a Phoenix Contact ILC100-as sorozatú PLC-iben. A sérülékenységek minden, 100-as sorozatú ILC PLC-t érintenek. A hibák között van authentikáció megkerülést lehetővé tevő, érzékeny információk olvasható formában történő tárolásra visszavezethető hiba és egy, ami authentikáció nélkül engedi egyes kritikus PLC változók módosítását.

A gyártó elkészítette a hibák javítását tartalmazó új firmware-verziót, amit ügyfelei a céggel folytatott egyeztetés után kaphatnak meg. A Phoenix Contact továbbá számos kockázatcsökkentő intézkedést is javasol a sérülékeny PLC-kkel kapcsolatban:

- A PLC-ket publikus hálózatokon keresztül csak VPN alkalmazásával szabad távolról elérni;
- Tűzfalakkal kell szeparálni a PLC-ket a hálózat egyéb szegmenseitől;
- Az eszközök működéséhez nem nélkülözhetetlen alkalmazásokat és portokat le kell tiltani;
- A PLC-khez történő hozzáféréseket a lehetséges minimumra kell korlátozni;
- A gyári, alapértelmezett jelszavakat az eszközök első telepítése során meg kell változtatni és később is rendszeresen meg kell változtatni. A jelszavakban kis és nagy betűket, számjegyeket és speciális karaktereket is használni kell és legalább 10 karakter hosszúak legyenek;
- Rendszeres fenyegetés-elemzéssel kell biztosítani, hogy az alkalmazott biztonsági intézkedések megfelelőek-e;
- Biztonsági szoftverek telepítésével és rendszeres frissítésével biztosítani kell a kártékony kódok (vírusok, trójaiak) és az adathalász támadások elleni védelmet;
- Az ILC PLC 1x1 típusú eszközökben a 4.42-es firmware verziótól már lehetőség van HTTPS protokoll használatára és rendelkezésre áll a HTML5 a webszerver alapú HMI használatához;
- Az ILC PLC 100 sorozatú vezérlők esetén a gyártó biztonság- (safety) kritikus környezetekben nem ajánlja a kiegészítő biztonsági eszközök nélkül történő használatot!

A hibákról többet az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-313-01

Az ICS-CERT az összes, fenti hibával kapcsolatban a szokásos kockázatcsökkentő intézkedés-csomag alkalmazását javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Az október 21-én történt, Dyn elleni DDoS-támadás részleteit már több, mint egy hete tárgyalja a szaksajtó és a média egyaránt, azoban a napokban hallottam egy véleményt, ami mellett nem lehet elmenni szó nélkül.

Ahogy a támadással kapcsolatban egyre több részletet lehet megtudni, nyilvánvaló, hogy ez a támadás nagyon hasonló volt a Brian Krebs weboldala ellen néhány héttel korábban indított, Mirai botnetre visszavezethető támadáshoz. Ezekben a támadásokban jellemzően sérülékeny IoT eszközöket, IP hálózaton kommunikáló webkamerákat, digitális videófelvevőket és más hasonló eszközöket, valamint gyengén védett SOHO routereket használtak arra, hogy minden korábbinál nagyobb (egyes hírek szerint Tbit-es) DDoS-támadást indítsanak.

Hogyan kapcsolódik mindez az ICS kiberbiztonság témájához? Nos, a különböző ipari létesítményekben is egyre nagyobb mértékben használnak IP hálózaton kommunikáló CCTV-rendszereket és növekszik azoknak a rendszereknek a száma is, amelyek nem vezetékes hálózaton kommunikálnak a kamerákkal, hanem vezeték nélküli technológiákat használnak. Ennek a változásnak több oka is van, a vezeték nélküli kommunikáció kényelmes, gyorsabb és nem utolsó sorban olcsóbb az ilyen eszközök telepítése és távoli karbantartása.

Fontos megjegyezni, hogy jelenleg nincs bizonyíték arra, hogy az elmúlt idők Mirai botnetre visszavezethető DDoS-támadásaiban akár egyetlen, ipari környezetben használt eszköz is részt vett volna, azonban a kibertámadások kivitelezésében és módszereiben történt változások, valamint az IoT eszközök ipari környezetben történő térnyerése miatt csak idő kérdése, hogy mikor jön el egy olyan támadás, amiben már az ipari IoT (IIoT) eszközök is valamilyen formában érintettek lesznek.

Az ICS-CERT publikációiban ismét több ICS rendszerben találtak különböző hibákat.

Schneider Electric Unity PRO sérülékenység

Az Indegy munkatársai, Avihay Kain és Mille Gandelsman a Schneider Electric Unity PRO PLC szimulátor szoftverében találtak hibát, aminek sikeres kihasználásával támadók kódfuttatási jogosultságot szerezhetnek a sérülékeny rendszereken. A hiba a Unity PRO minden, V11.1-nél régebbi verzióját érinti.

A gyártó a hibával kapcsolatban az alábbiakat javasolja ügyfeleinek:

- Frissítsék a Unity PRO szoftvereket V11.1 verzióra;
- Csak megbízható forrásból származó projektfájlokat nyissanak meg a Unity PRO PLC szimulátorban;
- Használjanak erős jelszavakat az alkalmazás használata során.

A hibával kapcsolatban további információkat a Schneider Electric és az ICS-CERT bejelentései tartalmaznak.

IBHsoftec S7-SoftPLC CPX43 sérülékenység

Ariele Caltabiano (más néven kimiya), a ZDI munkatársa azonosított egy puffer túlcsordulási hibát az IBHsoftec S7-SoftPLC nevű szoftveres PLC-megoldásában. A hiba a 4.12b-nél korábbi verziókban található meg.

A gyártó a hibát a weboldaláról letölthető legfrissebb verzióban javította.

További részletek a sérülékenységgel kapcsolatban az ICS-CERT bejelentésében található: https://ics-cert.us-cert.gov/advisories/ICSA-16-306-02

Schneider Electric ConneXium sérülékenység

A Schneider Electric ConneXium nevű ipari tűzfal-megoldásában Nir Giller, független biztonsági kutató talált puffer túlcsordulási hibát. A sérülékenység a ConneXium tűzfalak alábbi verzióit érinti:

- TCSEFEC23F3F20, minden verzió;
- TCSEFEC23F3F21, minden verzió;
- TCSEFEC23FCF20, minden verzió;
- TCSEFEC23FCF21, minden verzió és
- TCSEFEC2CF3F20, minden verzió.

A hibával kapcsolatos javítást tartalmazó új firmware-verzión a Schneider Electric jelenleg is dolgozik. A hibáról többet az ICS-CERT bejelentéséből lehet megtudni: https://ics-cert.us-cert.gov/advisories/ICSA-16-306-01

Az ICS-CERT szokásos módon ezúttal is az általános kockázatcsökkentő intézkedések alkalmazását javasolja a hibákkal kapcsolatban:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Külön kiemelik az Interneten keresztül érkező fájlok és hivatkozások jelentette veszélyeket és az azokkal kapcsolatos fokozott elővigyázatosság fontosságát:

- Nem szabad ismeretlen forrásból származó hivatkozásokat és/vagy fájlokat megnyitni!
- Az e-mailes csalások megelőzése érdekében javasolják a US-CERT útmutatójának használatát: https://www.us-cert.gov/sites/default/files/publications/emailscams_0905.pdf
- A social engineering támadások kivédése érdekében javasolják a US-CERT témában kiadott tipp-gyűjteményének tanulmányozását: https://www.us-cert.gov/ncas/tips/ST04-014

Az elmúlt napokban ismét több ICS eszközzel kapcsolatos sérülékenység látott napvilágot.

Sérülékenység a Moxa EDR-810 típutsú ipari routerekben

Maxim Rupp, az ICS sérülékenységek lelkes vadásza egy jogosultság-emelést lehetővé tevő hibát azonosított a Moxa EDR-810 típusú, ipari környezetekbe szánt routereiben. A hiba a V3.13-nál korábbi firmware verziókat használó routereket érinti.

A gyártó a hibát a V3.13-as verziójú firmware-ben javította, és minden, érintett routert használó ügyfelének a mielőbbi frissítést javasolja.

A hibáról további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-16-294-01

Siemens SICAM RTU DoS-sérülékenység

A mai nap második hibáját Adam Crain, az Automak LLC munkatársa azonosította. A hiba az alábbi SICAM RTU-kat és firmware-verziókat érinti:

- SICAM AK,
- SICAM TM 1703,
- SICAM BC 1703 és
- SICAM AK 3 típusú eszközök SM-2558-as bővítőmodullal szerelt példányai, ha azok az ETA4 firmware Revision 08-nál korábbi verzióját futtatják;

- SICAM AK,
- SICAM TM és
- SICAM BC típusú eszközök SM-2556-os bővítőmodullal szerelt példányai, ha azok az ETA2 firmware Revision 11.01-nél korábbi verzióját futtatják.

A hibát kihasználva a sérülékeny szoftververziókat futtató eszközök 2404/tcp portjára küldött, megfelelően formázott TCP csomagokkal hibás állapotot lehet előidézni, amelyből az RTU csak egy leállítás-újraindítás után tud visszatérni a normál üzemmódba.

A Siemens az SM-2558-as bővítőmodulokkal szerelt RTU-khoz elérhetővé tette az ETA4 firmware Revision 08-as verzióját, ami innen tölthető le.

Az SM-2556-os bővítőmodullal szerelt RTU-kat használó ügyfelek számára a Siemens azt javasolja, vegyék fel a kapcsolatot a terméktámogatási központtal. Minden, sérülékeny RTU-t használó ügyfelüknek azt javasolják továbbá, hogy használjanak tűzfalat, illetve az SM-2558-as bővítőmodulok esetén az eszközbe épített IPSec funkciót, csak megbízható hálózatokban üzemeltessenek RTU-kat illetve csak megbízható eszközöknek engedélyezzenek hozzáférést ezekhez és alkalmazzák a SICAM RTU-khoz elérhető biztonsági kézikönyvben leírtakat.

A hibával kapcsolatban többet a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Honeywell Experion PKS sérülékenység

A Honeywell egy hibát fedezett fel az Experion PKS nevű, Series-C típusú eszközeinek firmware konfigurációjához használható kliens szoftverében, amelyet kihasználva meg lehet kerülni a bevitt adatok ellenőrzési mechanizmusát. A hiba az alábbi verziókban található meg:

- Experion PKS, Release 3xx és korábbi verziók,
- Experion PKS, Release 400,
- Experion PKS, Release 410,
- Experion PKS, Release 430 és
- Experion PKS, Release 431.

A gyártó a hibát az alábbi szoftver verziókban már javította:

- R400.8 HOTFIX1,
- R410.8 HOTFIX6,
- R430.5 HOTFIX1 és
- R431.2 HOTFIX2.

Azon ügyfeleinek, akik olyan verziót használnak az Experion PKS-ből, amihez még nem jelent meg a hibát javító verzió, a Honeywell azt javasolja, hogy a sérülékeny kliens használatakor izolálják a hálózati forgalmat a kliens és a Series-C típusú eszközök között illetve hogy amikor nem töltenek fel új firmware-t az eszközökre állítsák le az eNAP Server szolgáltatást.

A hibával kapcsolatban részletesebb információkat az ICS-CERT weboldalán található bejelentés tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-301-01

Az ICS-CERT ezúttal is a szokásos kockázatcsökkentő intézkedések alkalmazását javasolja a hibákkal kapcsolatban:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Nyilvánvaló, hogy az ICS biztonság az egyik leginkább felkapott és leggyorsabban növekvő szakterület a tágabban értelmezett IT biztonsági szakmában, azonban ha valaki anélkül próbálna ezen a területen eligazodni és mélyebb tudásra szert tenni, hogy valamilyen ipari/folyamatirányítási környezet közelében dolgozna, nagyon nehéz megszerezni az alapvető ismereteket. A mai poszt, terveim szerint az első része egy sorozatnak, ebben próbál egy kis segítséget nyújtani. Elsőként lássuk, mit is kell tudni a különböző ipari vezérlő rendszerekről, vagy ahogy gyakran rövidítve hivatkozom rájuk, az ICS rendszerekről:

A PLC Professor (újabb nevén PLC eUniversity)

A plcprofessor.com weboldal és YouTube-csatorna egy kiváló hely, ha valaki a PLC-k és más vezérlőrendszerek felépítésével, működési logikájával szeretne közelebbről megismerkedni. Az itt elérhető tudás egy része ingyenes, másokért fizetni kell és el tud jönni a tanulás során az a pont is, amikor a továbblépéshez már fizikai berendezésekre is szükség lesz.

A vezérlő rendszerek alapjai témában készült YouTube-on elérhető videó nagyon jól összefoglalja a különböző ipari vezérlőrendszerekkel kapcsolatos legfontosabb alapvető ismereteket.

Mi is az a SCADA?

Újabb YouTube videó, ami a folyamatirányító rendszerek működésének alapjait mutatja be.
 
Összefoglaló videósorozat az USA Energiaügyi Minisztériumának kiadásában az energiaszektor működéséről: https://www.youtube.com/watch?v=l4wldZsR7OY&list=PLACD8E92715335CB2

Az alábbi videók az ICS rendszerek különböző iparágakban történő felhasználásait mutatják be:

ICS rendszerek a szennyvíz-kezelésben I.

ICS rendszerek a szennyvíz-kezelésben II.

ICS rendszerek a kőolaj- és földgáz-szektorban I.

ICS rendszerek a kőolaj- és földgáz-szektorban II. (Ez egy régebbi videó, a földgáz kitermelését és szállítását ma már sokkal fejlettebb rendszerekkel irányítják, azonban ez a felvétel is kiválóan bemutatja, milyen összetett folyamatot kell ICS rendszerekkel vezérelni.)

ICS rendszerek a kőolaj- és földgáz-szektorban II. (Ez a videó pedig elsősorban a földgáz tárolásával kapcsolatos vezérlési feladatokat mutatja be.)

ICS rendszerek a vegyiparban

ICS rendszerek a kohászatban

ICS rendszerek a nukleáris szektorban I. (Hogyan működik az atomreaktor?)

ICS rendszerek a nukleáris szektorban II.

ICS rendszerek a nukleáris szektorban III. (Videó a fukushimai balesetről)

ICS rendszerek a geotermikus hőerőművekben

SCADA rendszerek alapjai (a villamosenergia-szektoron bemutatva, Rusty Williams előadásában)

Villamosenergia termelés és szállítás (szintén Rusty Williams-től)

ICS előadás-sorozat Brian Douglas-től

Ipari biztonsági (safety) rendszerekről bővebben

Az ICS-CERT nemrégiben kiadta a Cyber Security Evaluation Tool (CSET) nevű, elsősorban ipari rendszerek kiberbiztonságának kiértékeléséhez használható szoftverének legújabb (v8.0) verzióját. A CSET frissítéséhez kapcsolódóan aktualizálták a témával kapcsolatos, 2009 óta elérhető útmutatójukat is. Mindkét eszköz ingyenesen letölthető az ICS-CERT weboldaláról.

A CSET egy desktop számítógépekre telepíthető szoftver, ami segítséget nyújt az operátoroknak és az ipari eszközök gazdáinak az általuk üzemeltetett ipari rendszerek biztonsági szintjének értékelésében.

A CSET kérdéseket teszt fel rendszer komponensekre, architektúrákra, üzemeltetési szabályokra és eljárásokra és sok más egyéb részletre vonatkozóan. A kérdések attól is függnek, hogy az adott szervezet milyen kormányzati és iparági kiberbiztonsági szabványoknak kíván megfelelni. A kérdőív kitöltése után a CSET grafikus összefoglalót ad az adott szervezet ICS biztonságának erős és gyenge pontjairól, valamint priorizált listát a javasolt, biztonságot javító intézkedésekről.

A CSET regisztráció után itt tölthető le: https://ics-cert.us-cert.gov/Downloading-and-Installing-CSET
A CSET letöltéséről és telepítéséről egy rövid leírás itt érhető el: https://ics-cert.us-cert.gov/Downloading-and-Installing-CSET

További részletek az ICS-CERT által összeállított ICS kiberbiztonsági kiértékelési folyamatról és a CSET-ről itt található: https://ics-cert.us-cert.gov/Assessments

Az elmúlt napok igazán szép termést hoztak ICS sérülékenységek terén és mivel rendesen el voltam havazva, kicsit össze is torlódtak, ezért a mai poszt kicsit hosszabb lesz a szokásosnál.

Kabona AB WDC sérülékenységek

Martin Jartelius és John Stock, az Outpost 24 munkatársai több sérülékenységet is találtak a Kabona AB WebDatorCentral (WDC) nevű alkalmazásában. A hibák a WDC 3.4.0-nál korábbi összes verziójában megtalálhatóak.

A hibák között XSS, nyílt redirect és brute force támadást lehetővé tevő hiba egyaránt található. A gyártó a 3.4.0 verzióban javította a hibákat és azt javasolja minden ügyfelének, hogy frissítsen a legújabb verzióra.

További információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-287-07

Fatek Automation Designer sérülékenység

Ariele Caltabiano (kimiya) a ZDI-vel együttműködésben fedezett fel több, memóriakezeléssel kapcsolatos hibát a Fatek Automation Designer alábbi verzióiban:

- Automation PM Designer V3 Version 2.1.2.2;
- Automation FV Designer Version 1.2.8.0;

A gyártó a ZDI megkeresésére nem reagált, ezért a ZDI saját szabályai alapján nyilvánosságra hozta a hibát.

Mivel a gyártó nem egyeztetett a hibáról sem a ZDI-vel, sem az ICS-CERT-tel, ezért egyelőre nincs információ arról sem, hogy lesz-e és ha igen, mikor javítás a most felfedezett hibákra.

További részleteket a hibáról az ICS-CERT illetve a ZDI publikációja tartalmaz.

Moxa ioLogik E1200 sorozatú eszközök sérülékenységei

Legutóbb október 7-én írtam Moxa ioLogik eszközök hibáiról, most ismét ezek egy részével van probléma. Alexandru Ariciu, az Applied Risk munkatársa fedezett fel több hibát az ioLogik 1200 sorozatú eszközeiben. A hibák az alábbi típusokat és firmware verziókat érintik:
 
- ioLogik E1210, firmware V2.4 és korábbi verziók;
- ioLogik E1211, firmware V2.3 és korábbi verziók;
- ioLogik E1212, firmware V2.4 és korábbi verziók;
- ioLogik E1213, firmware V2.5 és korábbi verziók;
- ioLogik E1214, firmware V2.4 és korábbi verziók;
- ioLogik E1240, firmware V2.3 és korábbi verziók;
- ioLogik E1241, firmware V2.4 és korábbi verziók;
- ioLogik E1242, firmware V2.4 és korábbi verziók;
- ioLogik E1260, firmware V2.4 és korábbi verziók;
- ioLogik E1262, firmware V2.4 és korábbi verziók;

A hibák között XSS, gyengén védett bejelentkezési adatok, gyenge jelszószabályok és CSRF egyaránt található.

A gyártó a hibát az alábbi helyekről letölthető, új firmware verziókban javította:

- ioLogik E1210 V2.5;
- ioLogik E1211 V2.4;
- ioLogik E1212 V2.5;
- ioLogik E1213 V2.6;
- ioLogik E1214 V2.5;
- ioLogik E1240 V2.4;
- ioLogik E1241 V2.5;
- ioLogik E1242 V2.5;
- ioLogik E1260 V2.5;
- ioLogik E1262 V2.5;

A hibákkal kapcsolatos további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-16-287-05

Sérülékenységek Rockwell Automation Stratix ipari switch-ekben

Az ICS-CERT a Rockwell Automation jelzése alapján készült bejelentésében arról ír, hogy az utóbbi időkben a Cisco iOS és iOS XE szoftvereivel kapcsolatban publikált hibák egy része érintheti a Rockwell Automation Allen-Bradley Startix ipari környezetbe szánt hálózati eszközeit is. A gyártó szerint az alábbi modellek és szoftver verziók érintettek:

- Allen-Bradley Stratix 5400 Industrial Ethernet Switches 15.2(4)EA3 és korábbi verziók;
- Allen-Bradley Stratix 5410 Industrial Distribution Switches 15.2(4)EA3 és korábbi verziók;
- Allen-Bradley Stratix 5700 Industrial Managed Ethernet Switches versions 15.2(4)EA3 és korábbi verziók;
- Allen-Bradley Stratix 8000 Modular Managed Ethernet Switches versions 15.2(4)EA3 és korábbi verziók;
- Allen-Bradley ArmorStratix 5700 Industrial Managed Ethernet Switches versions 15.2(4)EA3 és korábbi verziók;

A hibák között található több is, amely a bevitt adatok nem megfelelő ellenőrzését teszi lehetővé, van nem megfelelően működő védelmi funkció és az eszköz által nem megfelelően megjelenített hibaüzenetből eredő hiba is.

A gyártó minden, sérülékeny eszközt használó ügyfelének azt javasolja, hogy frissítsen a legújabb elérhető szoftververzióra, amiben a fenti hibákat már javították, továbbá alkalmazzák a Rockwell Automation által javasolt biztonsági beállításokat (bejelentkezést igényel).

A hibákkal kapcsolatos további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-287-04

OSIsoft PI Web API sérülékenység

Az OSIsoft egy jogosultságkezelési hibát fedezett fel a PI Web API 2015 R2 1.5.1-es verziójában. A hiba kihasználásával egy támadó képes lehet megfelelő jogosultságok nélkül hozzáférni a rendszerhez.

A hiba a PI Web API 2016 (1.7.0.176) és későbbi verzióban már javításra került, az OSIsoft minden ügyfelének azt javasolja, hogy frissítsen ezen verziók valamelyikére. További intézkedésként a gyártó azt javasolja, hogy a PI Web API szervíz felhasználója a minimálisan szükséges jogosultsági szinttel futtassa az alkalmazást. Amennyiben a szervíz felhasználó tartományi felhasználói fiókként lett létrehozva, az alapértelmezett csoporttagságok (minden felhasználó, PIWorld) csak olvasási jogosultságokat biztosítanak.

Az OSIsoft továbbá javasolja a sérülékeny szoftvert futtató szerverre helyi tűzfal telepítését és ennek megfelelő beállításaival kizárólag a megbízható munkaállomások és szoftverek számára engedélyezni a PI Web API által használt 443/tcp port elérését.

További információkat a hibával kapcsolatban az ICS-CERT bejelentése és az OSIsoft publikációja tartalmaz.

Schneider Electric PowerLogic sérülékenység

He Congwen független biztonsági kutató egy nem dokumentált, beégetett jelszót fedezett fel a Schneider Electric PowerLogic PM8ECC 2.651 és korábbi szoftververzióiban. A gyártó a hibával kapcsolatban elérhetővé tette egy javítást, ami itt érhető el: http://www.schneider-electric.com/ww/en/download/document/PM8ECC%2Bv2_DOT_652

További intézkedésként a Schneider Electric azt javasolja az ügyfeleinek, hogy a támadási felület csökkentése érdekében az érintett eszközökön kapcsolják ki a webszerver funkciót.

A hibáról további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-16-292-01

Természetesen az ICS-CERT a fenti hibák esetén is hangsúlyozza az általános, kockázatcsökkentő intézekdések fontosságát:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A héten először a Reuters, majd erre a cikk alapozva a kiberbiztonsági szaksajtóban számos helyen írtak Yukiya Amano, a Nemzetközi Atomenergia Ügynökség (IAEA) igazgatójának nyilatkozatáról, ami szerint két-három évvel ezelőtt egy németországi atomerőmű rendszereit "pusztító" kibertámadás érte.

Amano nem volt hajlandó részleteket elárulni az incidensről, mindössze annyit mondott, hogy a támadás okozott bizonyos problémákat az erőműben és azt hangsúlyozta, hogy a kibertámadásokat mennyire komolyan kell venni az atomenergia-szektorban.

A Reuters cikke több részletet nem tartalmazott, azonban Pierluigi Paganini blogjában megemlíteti, hogy az elmúlt években nem ez az incidens az egyetlen, ami atomerőművet érintett, 2014-ben a japán Monju atomerőmű és a Korea Hydro and Nuclear Power plant szenvedett el kibertámadást, idén pedig a gundremmingeni atomerőmű elleni kibertámadás vált ismertté. Egyes biztonsági szakértők feltételezik, hogy Amano mostani nyilatkozatában a gundremmingeni esetre gondolhatott, ahol a szakértők a Conficker és Ramnit malware-ek nyomaira bukkantak az incidens vizsgálata során.

Egyre nyilvánvalóbbá válik, hogy a kritikus infrastruktúrák elleni kibertámadások a jövőben egyre gyakoribbak lesznek, a nukleáris létesítmények elleni támadások pedig nyilvánvalóan még a többi közműrendszer elleni támadásnál is sokkal komolyabb következményekkel járhatnak. Mikor fognak végre a döntéshozók érdemben lépni, hogy a modern társadalmak zavartalan működéséhez nélkülözhetetlen rendszerek biztonságát legalább az elfogadható szintre legyünk képesek emelni?