A tavaly decemberi ukrajnai áramszünetet okozó kibertámadás számos területen hozott jelentős változásokat, ennek egy újabb példája, hogy augusztus közepén az amerikai energiaügyi minisztérium (Department of Energy, DoE) 34 millió dolláros támogatást adott azoknak a projekteknek, amelyeknek célja, hogy javítsák az amerikai villamosenergia-rendszer kibertámadásokkal szembeni védelmét.

Az ICS-CERT statisztikái alapján az amerikai ipari szektorban a villamosenergia-ipar a kibertámadásoknak leginkább kitett iparág. A DoE várakozásai szerint a támogatásnak köszönhetően nőni fog a villamosenergia-rendszer megbízhatósága és ellenálló képessége.

A DoE biztonságfejlesztési programjának részeként a következő fő területeket határozta meg:

- A villamosenergia átviteli rendszer elemeinek ártó szándékú manipulálása. A fő feladat az átviteli hálózat norml működése mögé bújó kibertámadások észlelésének és az arra történő reagálás képességének kialakítása.
- A megújuló és hatékony energiaforrások biztonságos integrációja. A fő feladat a megújuló energiaforrások jelenleginél biztonságosabb módon történő integrálása a villamosenergia-rendszerbe.
- Az villamosenergia-átviteli hálózat támadható felületének folyamatos és önálló csökkentése. A fő cél az átviteli hálózatot érő támadások számának csökkentése, ezáltal téve a rendszert biztonságosabbá.
- Az átviteli rendszer beszállítói láncának kiberbiztonsága. Fő feladat az ártó szándékú hardver, firmware és/vagy szoftver komponensek azonosítása még azelőtt, hogy beépítésre kerülnének az átviteli rendszerbe.
- Az energiaszektor kiberbiztonságának fejlesztése innovatív technológiák használatával. Fő cél az átviteli rendszer kiberbiztonságának fejlesztésével kapcsolatban készített terv alapján a hiányosságok azonosítása és ez alapján innovatív technológiai megoldások ajánlása a kockázatok csökkentése érdekében.

A DoE által támogatott projektek között mások mellett megtalálhatóak a General Electric, a Schweitzer Engineering Laboratories és az Intel kutatásai.

Moxa ioLogik sérülékenységek

A Moxa az ICS-CERT-tel együttműködésben hozta nyilvánosságra, hogy az ioLogik termékcsalád több szériájában is sérülékenységeket találtak. A hibák az alábbi típusú eszközöket érintik:

ioLogik E2210;
ioLogik E2212;
ioLogik E2240;
ioLogik E2262;
ioLogik E1262;
ioLogik E2260;
ioLogik E2242;
ioLogik E2214;
ioLogik E1211;
ioLogik E1212;
ioLogik E1241;
ioLogik E1242;
ioLogik E1260;
ioLogik E1210;
ioLogik E1214;
ioLogik E1240;
ioLogik E1213;
ioLogik E1261W-T;
ioLogik E1261H-T;
ioLogik E1263H-T.

A hibák között több XSS, titkosítatlan HTTP kérésekben küldött jelszavak, nem kellően bonyolult alapértelmezett jelszavak és hiányzó CSRF elleni védelem is található.

A gyártó az ioLogik E1200-as sorozatú eszközökhöz a hibákat javító firmware béta verzióját 2016. augusztus 22-én, a végleges firmware-t szeptember 30-án adta ki. Az ioLogik E2200-as sorozatú eszközök béta firmware-je szeptember 2-a, a végleges verzió várhatóan október 31-étől lesz elérhető.

A Moxa számos kockázatcsökkentő intézkedést is javasol ügyfelei számára:

- Tűzfal és/vagy VPN használatával tegyék biztonságosabbá a hálózati szegmensek közötti kommunikációt (a témában kiadott Technical FAQ az "protect internet communication" kifejezést használja, szerintem ez csak tévedés, az ilyen eszközöknek nagyjából semmi keresnivalójuk nincs publikus hálózatokon);
- Szigorú hozzáférés vezérlési rendszer és szabályok alkalmazásával minimalizálni kell a hálózat biztonsági kitettségét;
- Az ICS rendszerek és távoli eszközök hálózatát tűzfalak mögé, az üzleti/vállalati hálózatoktól izoláltan kell kialakítani;
- Az ioLogik termékekben használni kell az engedélyezett eszközök IP címeit tartalmazó listát, ezzel megelőzhető, hogy nem engedélyezett eszközökről férjenek hozzá az ioLogik berendezésekhez;
- Erős jelszavakat kell használni;
- A kiadott béta vagy STD firmware-eket kell használni.

További részleteket a Moxa Technical FAQ-ja tartalmaz: http://www.moxa.com/support/faq/faq_detail.aspx?id=2703

Animas OneTouch Ping Insulin Pump sérülékenységek

A Rapid7 munkatársai több sérülékenységet találtak az Animas (Johnson&Johnson leányvállalat) OneTouch Ping nevű digitális izulin adagolójában. A hibák a termék minden verzióját érintik és többféle komoly biztonsági kockázatot jelentenek:

- Az inzulin adagoló és a távoli mérőberendezés között minden kommunikáció olvasható formában történik;
- Az inzulin adagoló és a távoli mérőberendezés közötti kezdeti társítási folyamathoz használt véletlenszerű érték az algoritmus gyengesége miatt jó eséllyel megjósolható;
- A nem megfelelő authentikáció miatt a lehetőség van a távoli parancsok (köztük akár az inzulin adagolására vonatkozó) visszajátszására/megismétlésére.

A gyártó nem tervezi a hibák javítását, mindössze értesítést küldött a pácienseknek és egészségügyi szakembereknek, ami elérhető a weboldalukon is és több kockázatcsökkentő intézkedést is publikált:
 
- Az inzulin adagoló rádiókommunikációs funkcióját ki lehet kapcsolni (erről a felhasználói kézikönyvben írnak bővebben), azonban a kikapcsolás azzal jár, hogy vércukor szint mérések értékeit manuálisan kell bevinni az adagolóba;
- Ha a felhasználó úgy dönt, hogy használni kívánja a rádiókommunikációs funkciót, lehetőség van szabályozni az inzulin adagoló által egyszerre beadható inzulin mennyiségét;
- Javasolt az eszközök Vibrating Alert funkciójának bekapcsolása. Ez a funkció, ha be van kapcsolva, jelzi a pácienseknek, hogy a távvezérlő kezdeményezte az inzulin beadását és lehetőséget biztosít ennek törlésére;
- Az inzulin beadására vonatkozó riasztás és az inulin mennyiségének szabályozása csak az adagolón konfigurálható, a távvezérlő eszközön nem.

A sérülékenységekkel kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSMA-16-279-01

GE Bently Nevada 3500/22M sérülékenység

Az ICS-CERT publikációja szerint a GE egy egy nem megfelelő jogosultságkezelésből származó hibát azonosított. A hiba az alábbi típusokat és firmware-verziókat érinti:

- GE Bently Nevada 3500/22M (USB-s verziók), Version 5.0-nál korábbi firmware-verziókkal;
- GE Bently Nevada 3500/22M (soros porttal rendelkező verziók), minden firmware-verzió.

A hiba alapvető oka, hogy az érintett eszközökön számos nyitott port található, amelyeken keresztül jogosulatlanul lehet hozzáférést szerezni.

A gyártó a hibát az 5.0-ás firmware-verzióban javította és további kockázatcsökkentő intézkedéseket javasol végrehajtani:

- A www.bntechsupport.com weboldalon elérhető, 106M9733 - 3500 Hardening Guideline című útmutatóban leírt hardening technikák alkalmazása;
- Az IEC 62443-2-4 Level 1 szerinti telepítéssel kapcsolatos információkat a GE Bently Nevada ügyfélszolgálatától lehet beszerezni;
- Az egymással kommunikáló eszközök közé kiegészítő eszközök (bump-in-the-wire) beépítése javasolt a biztonságos kommunikáció megvalósítása érdekében;
- Körültekintő hálózati szegmentálás és megfelelően konfigurált tűzfalak alkalmazásával jelentősen lehet csökkenteni a sérülékeny eszközök kockázatait.

Az ICS-CERT továbbá a szokásos kockázatcsökkentő intézkedések bevezetését is javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A hibával kapcsolatban részletes információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-252-01

INDAS Web SCADA sérülékenység

Az ICS-CERT bejelentése szerint Ehab Hussein, az IOActive munkatársa a szerb INDAS ICS-fejlesztő cég Web SCADA nevű termékében talált sérülékenységet. A hiba a Web SCADA Version 3-nál korábbi verzióját érinti. Egy támadó a hiba kihasználásával tetszőleges fájlokhoz férhet hozzá a sérülékeny rendszereken.

A gyártó a sérülékeny szoftver helyett egy új szoftvert, az InView SCADA nevű termékét ajánlja a felhasználóknak.

A sérülékenységgel kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-278-01

Beckhoff Embedded PC Images és TwinCAT sérülékenységek

A Beckhoff Embedded PC Images és TwinCAT nevű ICS rendszereiben Marko Schuba, az aacheni Tudományegyetem professzora fedezett fel sérülékenységeket. A hibák az alábbi Beckhoff termékeket és verziókat érintik:

- Minden Beckhoff Embedded PC Images verzió, ami2014. október 22-e előtt készült, valamint
- Minden TwinCAT komponens, ami Automation Device Specification (ADS) kommunikációs protokollt használ.

A fenti rendszerekben két hibát azonosítottak, az első brute force támadást tesz lehetővé az ADS protokoll hibáját kihasználva, a második a 2014. október 22-e előtt készült, beágyazott Windows CE rendszerben használt Remote Configuration Tool, CE Remote Display és telnet szolgáltatások használatából adódik.

A gyártó a sérülékeny verziókat használó felhasználóknak a 2014. október 22-e után készült image-ek használatát javasolja. Amennyiben ez nem járható út, az alábbi beállítások elvégzése javasolt:

- Tiltani kell a Windows CE Remote Configuration Tool működését a “HKEY_LOCAL_MACHINE\COMM\HTTPD\VROOTS\.” útvonal alatt található /remoteadmin ág alatt lévő Windows registry bejegyzések törlésével;
- Tiltani kell a CE Remote Display szolgáltatás automatikus indítását a "HKEY_LOCAL_MACHINE\init\Launch90" alatt található, “CeRDisp.exe” registry kulcs törlésével;
- Tiltani kell a telnet szolgáltatás elindulását a "HKEY_LOCAL_MACHINE\Services\TELNETD\Flags" alatt egy duplaszó (dword) 4 érték beállításával;
- Az ADS kommunikációt csak megbízható hálózatokból szabad engedélyezni.

A fenti hibákkal kapcsolatban az ICS-CERT a szokásos kockázatcsökkentő intézkedések végrehajtását is javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A sérülékenységekről további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-16-278-02

Az ICS-CERT legújabb publikációja szerint Maxim Rupp független biztonsági kutató több sérülékenységet fedezett fel az American Auto-Matrix épület-automatizálási rendszereket gyártó cég termékeiben. A hibák az alábbi termékeket és verziókat érintik:

- Aspect-Nexus Building Automation Front-End Solutions application, 3.0.0-nál régebbi verziók és
- Aspect-Matrix Building Automation Front-End Solutions application minden verziója.

Az első hibát kihasználva egy támadó authentikáció nélkül lehet képes bármilyen fájl tartalmát megismerni a sérülékeny alkalmazást futtató számítógépen, a második sérülékenységet pedig a rendszerben használt jelszavak olvasható formában történő tárolása okozza.

A gyártó weboldalán már elérhetővé tette a hibákat javító szoftver verziókat.

Az ICS-CERT ezúttal is a szokásos kockázatcsökkentő intézkedéseket javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A sérülékenységgel kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz:
https://ics-cert.us-cert.gov/advisories/ICSA-16-273-01-0

2016 májusában a Microsoft bejelentette, hogy változtatni fog az eddig patch-elési eljárásán: a Windows 7 és Windows 8.1 operációs rendszerek esetén minden korábbi, nem biztonsági frissítés egyben fog települni a még nem javított operációs rendszer példányokra. Később a Microsoft újabb bejelentésben hozta nyilvánosságra, hogy ezt a megközelítést azokra a patch-ekre is kiterjeszti, amelyek "biztonsági és megbízhatósági" hibákat orvosolnak. Ez utóbbi bejelentés szerint ezzel együtt megjelennek az ún. "Security-only Update"-ek, amelyek az adott hónap összes biztonsági frissítését egyben fogják tartalmazni. Ezeket a frissítéseket csak akkor lehet telepíteni, ha minden korábbi biztonsági patch telepítve van már a rendszerre. Ezzel párhuzamosan 2016. októbertől (vagyis alig több, mint egy hét múlva) megszűnik az egyedi patch-ek elérhetősége, ahogy azt Nathan Mercer, a Microsoft TechNet munkatársa egy kérdésre válaszolva elmondta.

Ez az intézkedés jól illeszkedik a Microsoft-tól az elmúlt években tapasztalt kezdeményezéshez, amivel megpróbálja elérni, hogy az operációs rendszereiben minimálisra csökkenjen az ismert hibák száma és ez a legtöbb esetben örvendetes is. Azonban ugyanez az intézkedés nagyon komoly nehézségeket fog okozni azoknak a szervezeteknek és felhasználóknak, akik olyan alkalmazásokat használnak, amiknek a hibamentes működését egy-egy újabb Windows patch telepítése akadályozza.

A Windows operációs rendszer-család tagjait a kritikus infrastruktúrákat üzemeltető szervezetek is egyre több esetben használják és a vállalati/ügyviteli/irodai hálózatok az évek alatt lassan, de egyre nagyobb részt kaptak többek között az ipari alkalmazások kiszolgálásában is.

Figyelembe véve, hogy az elmúlt évek eseményei után egyre kevésbé látszik tarthatónak az a gyakorlat, hogy a különböző ipari rendszerek patch-elését csak ritkán, esetenként 2-3 évente egyszer, kötegelve végezzék el, fel kell készülni arra, hogy egy ilyen változást hogyan lehet összeegyeztetni a kritikus infrastruktúrák megbízható és nagy rendelkezésre állásának biztosításával.

Lévén Európában még nincs olyan, a NERC-höz hasonló, kötelező előírás a kritikus informatikai infrastruktúrák védelmével kapcsolatos jogszabály, mint az USA-ban, így számunkra nem fog olyan rövid távú problémákat okozni, mint az amerikai kollégáknak. Ted Gutierrez, a SANS oktatója ezekről a problémákról ír a SANS ICS Security blogon megjelent posztjában.

A ZDI még szeptember 21-én tette közzé, hogy a Fatek Automation nevű, tajvani székhelyű ipari eszközöket gyártó cég PM Designer nevű HMI szoftverében távoli programkód végrehajtást lehetővé tevő memóriakorrupciós hibát fedezett fel Ariele Caltabiano. A hiba a szoftver pm3 típusú fájlok feldolgozási funkciójában található, így bizonyos hibás fájlok feldolgozása memóriakorrupciós hibát idéz elő és ennek következtében a bejelentkezett felhasználó jogosultságaival lehet távolról programkód végrehajtást kezdeményezni.

A ZDI bejelentése nem egyértelmű azzal kapcsolatban, hogy a PM Designer mely verzióit érinti a sérülékenység.

A sérülékenységgel kapcsolatban a gyártó mind a mai napig nem publikált javítást, ezért az egyetlen javasolt kockázatcsökkentő intézkedés az, hogy a sérülékeny szoftververziókba csak megbízható forrásból származó fájlokat dolgozzunk fel.

További részleteket a ZDI publikációja tartalmaz: http://www.zerodayinitiative.com/advisories/ZDI-16-525/

A Siemens ProductCERT publikációja alapján a SCALANCE M-800/S615 típusú ipari routerekben illetve tűzfalakban egy olyan, sérülékenységet fedeztek fel (Alexander Van Maele és Tijl Deneut, a Howest munkatársai), aminek kihasználásával egy támadó hozzáférhet a webes kapcsolat során használt cookie-khoz. A hiba a V4.02-nél korábbi összes firmware-verziót érinti. A hiba tulajdonképpen nem más, mint a "klasszikus", secure flag nélküli cookie-kezelés az érintett eszközökbe épített webszervereken.

A Siemens a hibát a V4.02-es firmware-ben javította. A hiba javítását már tartalmazó firmware-re történő frissítés mellett a Siemens azt javasolja ügyfeleinek, hogy a különböző ipari eszközök menedzsment portjaihoz történő hozzáférést tegyék biztonságosabbá.

További részleteket a sérülékenységgel kapcsolatban a Siemens ProductCERT bejelentése tartalmaz: http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-342135.pdf

Szerk: Az ICS-CERT is publikálta a hibát: https://ics-cert.us-cert.gov/advisories/ICSA-16-271-01

Az East-West Institute és az ICS-ISAC CCIP néven útjára indított közös kezdeményezése a tavaly decemberi, ukrán villamosenergia-szolgáltatók elleni kibertámadás tanulságait levonva próbál meg új lendületet adni az információmegosztáson alapuló biztonsági intézkedéseknek.

Részleteket az ICS-ISAC által készített regisztrációs oldal tartalmaz. Azoknak, akik részt akarnak venni a kezdeményezésben, először a fenti oldalon regisztrálniuk kell magukat, majd egy 5-7 napos elbírálási időszak után válhatnak a közösség tagjaivá.

A kezdeményezés jó és örvendetes, azonban már most hallok olyan megjegyzéseket a szakmában, hogy célszerű lesz óvatosnak lenni az információk megosztása terén, hiszen senki nem tudhatja, hogy az általa megosztott információk pontosan kikhez is juthatnak el. Ez az a fajta óvatosság, ami minden eddig kezdeményezés hatékonyságát olyan szintre csökkentette, hogy végül az egész értelmét vesztette.

Személyes tapasztalataim alapján az ilyen kezdeményezéseket célszerű lehet kisebb körben elindítani (pl. iparágon vagy országon/régión belül) és minden esetben a személyes kapcsolatokon alapuló bizalomra kell, hogy épüljenek, különben a fent említett bizalmatlanság gyorsan alá fogja ásni az információmegosztás hatékonyságát.

Az ICS-CERT által publikált cikk szerint Zhou Yu független biztonsági kutató hibát fedezett fel a Moxa Active OPC Server alkalmazásában. A sérülékenység az Active OPC Server 2.4.19-nél régebbi verzióit érinti.

Az érintett szoftver HMI és SCADA rendszerek OPC drivereként használható. A hibát kihasználva egy, a rendszeren sikeresen authentikált felhasználó a fájlrendszerhez hozzáférve képes lehet jogosultságszint-emelést végrehajtani.

A gyártó a hibával kapcsolatban azt javasolja ügyfeleinek, hogy az Active OPC Server-ről váltsanak az újabb szoftverére, az MX-AOPC UA szerverre vagy telepítsék az Active OPC Server 2.4.19-es verzióját, amiben már javították ezt a hibát.

Az ICS-CERT a hibával kapcsolatban a szokásos biztonsági intézkedések alkalmazását javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A sérülékenységgel kapcsolatban további információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-264-01

A szeptember 12. és 15. közötti néhány nap megint igen gazdag termést hozott a különböző ICS rendszerek sérülékenységeiből.

Cross-site request forgery a Schneider Electric ION okosmérőiben

Karn Ganeshen független biztonsági kutató neve valószínűleg nem ismeretlen azoknak, akik követik a (jellemzően) ICS-CERT által publikált ICS sérülékenységek híreit, számos hibát talált már a múltban is különböző ipari rendszerekben. Ezúttal a Schneider Electric ION okosmérőiben fedezett fel CSRF hibát, amit kihasználva egy támadó jogosultság nélküli konfiguráció-módosításra lehet képes. A hibával kapcsolat Karn a proof-of-concept exploit-ot is eljuttatta a gyártóhoz és az ICS-CERT-hez.

A hiba az ION 73xx, ION 75xx, ION 76xx, ION 8650, ION 8800 és PM5xxx sorozatú eszközöket érinti. A Schneider Electric már összeállította a sérülékenység hatásait csökkentő intézkedések listáját és eljuttatja az érintett eszközöket használó ügyfeleinek. A gyártó a következő intézkedéseket javasolja elvégezni:

- Az okosmérők "Webserver Config Access" paraméterét javasolt "Disabled"-re állítani (alapértelmezetten ez a paraméter engedélyezett állásban van) és a mérők konfigurációját lementeni.
- Az okosmérők konfigurációjában van egy "Enable Webserver" paraméter is, ami a mérők webszerver funkciójának teljes engedélyezéséért vagy tiltásáért felelős. A paraméternek "YES" és "NO" értéke lehet, alapértelmezetten engedélyezve van a működése.

További információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/alerts/ICS-ALERT-16-256-02

FENIKS PRO Elnet mérőórák sérülékenységeiből

Szintén Karn Ganeshen fedezett fel távoli kódvégrehajtást lehetővé tevő hibát a FENIKS PRO Elnet mérőóráiban és ehhez a sérülékenységhez is mellékelt PoC kódot. Ebben az esetben az ICS-CERT-nek nem sikerült egyeztetnie a gyártóval a sérülékenység javításáról vagy a sérülékenység okozta kockázatok csökkentéséről, így csak annyi tanáccsal tud szolgálni, hogy az érintett eszközök felhasználói a telepítés után mielőbb módosítsák az eszközök alapértelmezett jelszavait.

Az ICS-CERT sérülékenységgel kapcsolatos bejelentése itt található: https://ics-cert.us-cert.gov/alerts/ICS-ALERT-16-256-01

Rockwell Automation RSLogix sérülékenység

Ariele Caltabiano, a TrendMicro ZDI munkatársa egy puffer túlcsordulásból eredő sérülékenységet talált a Rockwell Automation RSLogix termékcsaládjának alábbi tagjaiban:

- RSLogix Micro Starter Lite, minden verzió,
- RSLogix Micro Developer, minden verzió,
- RSLogix 500 Starter Edition, minden verzió,
- RSLogix 500 Standard Edition, minden verzió és
- RSLogix 500 Professional Edition, minden verzió.

A hibát sikeresen kihasználó támadó egy már bejelentkezett felhasználó jogosultsági szintjével lehet képes kódvégrehajtást elérni.

A gyártó a sérülékeny eszközöket használó ügyfeleinek a legújabb, 8.40.00-ás firmware telepítését javasolja, amiben már javították a hibát, valamint további biztonsági intézkedések végrehajtását is javasolja:

- Az érintett RSLogix 500 és RSLogix Micro eszközökön ne nyissanak meg nem megbízható forrásból származó RSS fájlokat!
- Minden szoftvert a minimálisan szükséges jogosultsági szintű felhasználóval futtassák, ne pedig adminisztrátori jogosultsággal!
- Csak megbízható szoftvereket, szoftverjavításokat és antivirus/antimalware megoldásokat használjanak, valamint csak megbízható weboldalakat és csatolmányokat nyissanak meg!
- A felhasználók biztonságtudatosságát folyamatosan javítsák megfelelő képzésekkel!
- Alkalmazzanak alkalmazás fehérlistákat megvalósító programokat (pl. Microsoft AppLocker, amivel kapcsolatban a Rockwell Automation további részleteket is közöl az ügyfeleivel ezen a linken: https://rockwellautomation.custhelp.com/app/answers/detail/a_id/546989)

További információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-224-02

Trane Tracer SC sérülékenység

A Trane, amerikai folyamatirányító rendszereket gyártó cég Tracer SC rendszerében Maxim Rupp talált sérülékenységet, amit kihasználva egy támadó bizalmas információkhoz férhet hozzá. A hiba a Tracer SC Versions 4.2.1134 és korábbi verzióit érinti.

A gyártó már elérhetővé tette a hibát javító frissítést és ügyfelei számára on-line támogatást is biztosít: http://www.trane.com/commercial/north-america/us/en.html

A hibával kapcsolatban további információk az ICS-CERT bejelentésében találhatóak: https://ics-cert.us-cert.gov/advisories/ICSA-16-259-03

ABB DataManagerPro sérülékenység

Az ABB DataManagerPro termékében a ZDI munkatársai találtak sérülékenységet. A hiba a DataManagerPro 1.0.0-tól 1.7.0-ig minden verzióját érinti. A hiba kihasználásával egy támadónak lehetősége van egy DLL fájlokat kicserélni olyan állományokra, amik segítségével adminisztrátori jogosultságokat szerezhet.

A gyártó az 1.7.1-es verzióban javította a hibát és azt javasolja az ügyfeleinek, hogy minél előbb frissítsék a hiba által érintett rendszereiket.

További információkat a hibáról az ABB és az ICS-CERT tájékoztatóiban lehet találni.

Yokogawa STARDOM sérülékenység

A gyártó és a japán CERT (JPCERT) közösen tájékoztatták az ICS-CERT-et egy, a Yokogawa STARDOM FCN/FCJ controller R1.01-től R4.01-ig terjedő verzióiban felfedezett sérülékenységről. A hiba kihasználásával a Logic Designer alkalmazás authentikáció nélkül tud csatlakozni a STARDOM rendszerhez. Ezzel egy támadó képes lehet parancsvégrehajtásra, alkalmazás leállítására és módosítására a rendszerben.

A gyártó az R.4.02-es verzióban javította a hibát és további információkat tett elérhetővé a weboldalán a hibával kapcsolatban: http://www.yokogawa.com/technical-library/resources/white-papers/yokogawa-security-advisory-report-list/

A Yokogawa a sérülékenység kapcsán, de attól függetlenül is azt javasolja minden ügyfelének, hogy hajtsák végre a szükséges biztonsági hardeninget a rendszereiken.

Az ICS-CERT bejelentése a sérülékenységről itt található: https://ics-cert.us-cert.gov/advisories/ICSA-16-259-01

Az ICS-CERT a fenti sérülékenységekkel kapcoslatban is a szokásos kockázatcsökkentő intézkedéseket javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!