Az ICS-CERT tegnap publikált bejelentése szerint a Cisco Talos kutatócsoportja egy nem dokumentált és magas szintű hozzáférést biztosító SNMP community string-et azonosított a MicroLogix 1400 sorozatú PLC-kben. Az érintett verziók az alábbiak:

- 1766-L32BWA,
- 1766-L32AWA,
- 1766-L32BXB,
- 1766-L32BWAA,
- 1766-L32AWAA,
- 1766-L32BXBA.

Tekintettel arra, hogy az SNMP szolgáltatás nélkülözhetetlen az érintett termék firmware-frissítési folyamatában, ezért a gyártó nem tudja eltávolítani termékből, ehelyett olyan intézkedéseket javasol, amikkel csökkenteni lehet a kockázatokat:

- Az érintett termékekbe épített *RUN* kapcsoló használatával megelőzhető az jogosulatlan és nem kívánt firmware-frissítés vagy más, kártékony célú konfiguráció-módosítás;
- Megfelelő IP hálózati kontrollok alkalmazásával (pl. tűzfalak) szűrni lehet, hogy csak megbízható forrásból érkező SNMP parancsok kerüljenek végrehajtásra;
- Az SNMP szolgáltatás kerüljön kikapcsolásra az érintett eszközöknél, amennyiben ez megoldható. Ha ez megtörténik, figyelembe kell venni, hogy az érintett PLC-k firmware-frissítéséhez az SNMP szolgáltatást engedélyezni kell, majd a frissítés után célszerű ismét letiltani. Fontos, hogy a gyári SNMP community string megváltoztatása a gyártó szerint nem elégséges intézkedés!

Az ICS-CERT mindezeken túl a szokásos kockázatcsökkentő intézkedéseket javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A hibával kapcsolatban további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-224-01

CISA, CISSP, CEH - aki az információ/IT-biztonság világában él, ismeri ezeket a rövidítéseket és mögöttük lévő tartalmat. Ahogy az ICS rendszerek biztonsága egyre jobban a szakma érdeklődésének fókuszába került, megjelent az igény az ilyen specializációjú minősítésekre is. Elsőként a SANS GIAC (Global Information Assurance Certification) programjának keretében megszerezhető GICSP minősítésről lesz szó.

A GICSP (Global Industrial Cyber Security Professional) a SANS GIAC rendszerében az ipari rendszerek kiberbiztonsága témát fedi le. Célja, hogy az IT-, ipari és kiberbiztonsági szakterületekről származó tudás megfelelő kombinációjával olyan ismeretanyagot adjon a vizsgázóknak, amit felhasználva meg lehet felelni a legújabb, részben már kiberbiztonsági kihívásoknak is az ipari rendszerek tervezése, telepítése, üzemeltetése és karbantartása során.

A vizsga számos területet fed le, a témakörök (jelenleg) az alábbiak:

- Hozzáférés kezelés;
- Konfiguráció/változáskezelés - baseline-ok, ipari berendezések kapcsolatai, auditálás;
- Konfiguráció/változáskezelés - szoftverfrissítések;
- ICS kiberbiztonsági alapok - támadások és incidensek;
- ICS kiberbiztonsági alapok - rendelkezésre állás;
- ICS kiberbiztonsági alapok - titkosítás;
- ICS kiberbiztonsági alapok - biztonsági alapelvek;
- ICS kiberbiztonsági alapok - fenyegetések;
- Katasztrófa-elhárítás és üzletmenet-folytonosság;
- ICS rendszerek architektúrája - kommunikációs csatornák;
- ICS rendszerek architektúrája - ipari végponti berendezések architektúrája;
- ICS rendszerek architektúrája - ipari protokollok;
- ICS rendszerek architektúrája - hálózati protokollok;
- ICS rendszerek architektúrája - hálózat-szegmentálás;
- ICS rendszerek architektúrája - vezeték nélküli kommunikációs csatornák biztonsága;
- ICS modulok és elemek hardening-je - alkalmazás biztonság;
- ICS modulok és elemek hardening-je - beágyazott eszközök;
- ICS modulok és elemek hardening-je - hálózatbiztonság/hardening;
- ICS modulok és elemek hardening-je - operációs rendszerek biztonsága;
- ICS modulok és elemek hardening-je - konfiguráció és végponti eszközök hardening-je;
- ICS biztonság értékelése - biztonsági eszközök;
- ICS biztonság értékelése - értékelés és tesztelés;
- ICS biztonságirányítás és kockázatkezelés - kockázatkezelés;
- ICS biztonságirányítás és kockázatkezelés - biztonsági szabályzatok és eljárások fejlesztése;
- ICS biztonság ellenőrzése - naplózás;
- ICS biztonság ellenőrzése - monitoring;
- Incidens menedzsment;
- Ipari vezérlőrendszerek - a folyamatirányítás alapjai;
- Ipari vezérlőrendszerek - biztonsági (safety) és védelmi rendszerek;
- Fizikai biztonság.

A vizsga 115 kérdés megválaszolásából áll, amire 3 óra áll rendelkezésre. A sikeres vizsgához minimum 69%-ban helyesen kell megválaszolni a feltett kérdéseket. A sikeres vizsga után a minősítés 4 évre szól, ezután meg kell újítani a minősítést. Ehhez a www.giac.org weboldalon egy jókora infografika nyújt részletes információkat. http://www.giac.org/pdfs/cert-renewal/infographic_renewal_programv2.pdf

A poszt publikálásának pillanatában (2016.08.06) összesen 1012 fő rendelkezik GICSP minősítéssel világszerte, de az elmúlt 1-2 év tendenciáit figyelve úgy gondolom, hogy évről-évre többen fognak próbát tenni, mert egyre nagyobb igény lesz az ICS kiberbiztonság területén is az ilyen, speciális minősítésekkel rendelkező szakemberekre.

Siemens SINEMA Server privilégiumszint emelést lehetővé tevő sérülékenység

Az rgod néven ismert biztonsági kutató a ZDI-vel együttműködve talált egy privilégiumszint emelést lehetővé tevő sérülékenységet a  Siemens SINEMA Server nevű termékében. A hiba a SINEMA Server minden verzióját érinti. Ha egy támadó sikeresen használja ki a hibát, akkor egy sikeres authentikáció után képes lehet a legitimnél magasabb jogosultságokat szerezni.

A Siemens egy ideiglenes javítást tett elérhetővé a SINEMA Server-t használó ügyfeleli számára és jelenleg is dolgozik a hibát véglegesen javító új verzión.

A hibával kapcsolatban további információkat a Siemens ProductCERT és az ICS-CERT oldalaink érhetőek el.

Moxa SoftCMS SQLi sérülékenység

Zhou Yu, az Acorn Network Security munkatársa talált SQL injection sérülékenységet a Moxa SoftCMS nevű központi menedzsment megoldásában. A hiba a SoftCMS Version 1.5-nél korábbi verzióit érinti.

A gyártó már elérhetővé tette a hibát javító 1.5-ös firmware verziót.

Részletes információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-215-01

Az ICS-CERT a fenti sérülékenységekkel kapcsolatban a szokásos kockázatcsökkentő intézkedések alkalmazását javasolja:

- Ne nyissanak meg kéretlen e-mail üzenetekben érkezett csatolmányokat vagy webes hivatkozásokat!
- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Az S4x16 Europe-ról származó videók sorát kicsit megtörve ma egy 4 éves felvételt találtam, amin Ralph Langner 2012-es S4x12-n tartott előadása látható amit a Stuxnet mélyreható elemzéséről tartott.

A Stuxnet mind a mai napig viszonyítási pont és hivatkozási alap az ICS biztonság világában, ezért úgy gondolom, hogy ez a felvétel most is érdekes és időszerű lehet sokak számára.

A videó a Youtube-on érhető el: http://www.digitalbond.com/blog/2016/06/20/s4-classic-video-langners-stuxnet-deep-dive/

Az ICS-CERT  tegnap publikált a Rockwell Automation FactoryTalk EnergyMetrix nevű termékével kapcsolatos legújabb sérülékenységeket. A hiba az alábbi verziókat érinti:

- FactoryTalk EnergyMetrix, Version 2.10.00 és korábbi verziók.

A FactoryTalk EnergyMetrix egy webes felületű menedzsemnt szoftver, amit energiaadatok gyűjtésére, elemzésére, tárolására és megosztására használnak számos iparágban, többek között vegyipari, kereskedelmi, energetikai és viziközmű vállalatok is.

A hibák között egy SQLi és egy nem megfelelő munkamenet lejárat-kezelés is található.

A gyártó a hibákat a Version 2.30.00 verzióban javította, ami a rockwellautomation.com weboldalon, authetnikáció után érhető el az ügyfelek számára: http://compatibility.rockwellautomation.com/Pages/MultiProductDownload.aspx?famID=1&crumb=112

A verziófrissítés mellett a Rockwell Automation további kockázatcsökkentő intézkedések bevezetését javasolja ügyfeleinek:

- Bizonyosodjanak meg arról, hogy az érintett rendszerekben alkalmazzák a minimális jogosultságok elvét humán és szervíz felhasználói fiókoknál egyaránt;
- A FactoryTalk EnergyMetrix sezrverek konfigurálják be a https használatát, amivel biztosítható a böngésző és a szerver között forgalmazott adatok bizalmassága és sértetlensége;
- Csak megbízható szoftvereket és javítócsomagokat használjanak, valamint alkalmazzanak antivirus/antimalware megoldást! Csak megbízható weboldalakat és csatolmányokat nyissanak meg;
- Biztonsági és biztonságtudatossági képzésekkel fokozzák a felhasználók biztonsággal kapcsolatos tudását, így segítve, hogy felismerjék az adathalász és social engineering támadásokat;

A gyártó tanácsain túl az ICS-CERT a szokásos kockázatcsökkentő intézkedések alkalmazását javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

További információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-173-03

Az ICS kiberbiztonság egyesek szerint két jelentős ok miatt más, mint az általános IT biztonság, az első az ipari rendszerek által használt egyedi protokollok, a második pedig a gyakran 15 évnél is régebbi végponti célrendszerek (PLC-k, RTU-k és egyéb ipari végponti berendezések) nagy számban történő alkalmazása.

Az ICS rendszerek kiberbiztonságának helyzetét részben az általuk használt kommunikációs protokollok biztonságának javításával lehet előre mozdítani, erről tartott nemrég egy webes előadást Erik Schweigert (Belden) és Joel Langill (SCADAhacker.com), ahol a DNP3 ICS protokoll biztonsági kérdéseivel foglalkoztak. Az előadás teljes terjedelmében itt érhető el (regisztrációt igényel): http://www.globalspec.com/events/eventdetails?eventid=1121&evtsrc=519Blog Bár a DNP3 protokoll használata Európában és Magyarországon nem jellemző, az előadás szerintem mégis érdekes és hasznos gondolatokat tartalmaz.

Az előadás fontosabb gondolatai az alábbiak:

A DNP3 (és a DNP3 helyett Európában meghatározó 104-es protokoll, IEC 60870-5-104) nagyon jó alacsony sávszélességgel rendelkező WAN hálózatokon történő kommunikáció stabil működésének biztosítására, emiatt széles körben használják a villamosenergia, kőolaj és földgáz szektorokban.

A DNP3 (hasonlóan a Modbus-hoz) tervezési okokból nem vizsgálja az egyes hálózati üzenetek legitimitását, vagyis egy alállomási eszközből érkező (a központi rendszer által nem kért) üzenettel könnyedén lehet üzemzavart előidézni. Ilyen volt a Marochy-Shire csatornarendszerben történt incidens, amikor egy hamis alállomási eszközről a felügyeleti rendszerbe érkezett üzenet hatására 1.000.000 liter szennyvíz került leeresztésre a rendszerből.

A beágyazott szoftvereket futtató eszközöket nem lehet host-alapú biztonsági eszközökkel megvédeni, általánosan kevés olyan  kontroll van, amit úgy lehet az ipari végponti berendezések biztonságának növelése érdekében alkalmazni, hogy az ne legyen hatással az eszköz alapvető funkcionalitására, teljesítményére és válaszidejére (elég csak a nemrég publikált Moxa sérülékenységre gondolni, amit a gyártó nem tud javítani egy egyébként még három évig támogatott eszközön, mert a patch forráskódja már nem fér el a rendszerben). Emiatt az ipari berendezések preventív műszaki kontrollját biztosító megoldásokat jellemzően az ipari hálózatok határvédelmében szokták alkalmazni.

Az ICS biztonság nem kizárólag a támadókról és a tevékenységük által jelentett fenyegetésekről szól, legalább ennyire fontos a megbízhatóság is (ahogy erről korábban már én is írtam). Az előadásban három olyan ICS incidenst mutatnak be, amiket nem malware-ek váltottak ki, de komoly üzemzavarokat okoztak az energiaszektorban és autógyártásban érdekelt cégeknél. Az előadásban külön kiemelik, hogy azokat a 15-25 éves ipari berendezéseket, amiket még jóval az Internet széleskörű elterjedése előtt terveztek és gyártottak, hogyan kell megvédeni a ma már mindennapos támadásoktól és az olyan hálózati forgalomtól, amit ezek az eszközök nem tudnak tolerálni.

Az előadásban egy nagyon jó animált hálózati diagramon bemutatják, hogy egy malware hogyan képes megkerülni egy erőművi ipari hálózatot védő tűzfalat és hogy egy hálózati eszköz meghibásodása hogyan idézheti elő PLC-k egy csoportjának kiesését. Ezek a példák igen jól bemutatják az ICS eszközök biztonságának kihívásait.

Az IEC 62443 (Zones and Conduits model) alapján bemutatják, hogyan kell hatékony mélységi védelmet kialakítani ICS rendszerek esetén. Ipari tűzfalak használatával a végponti berendezések kommunikációs csatornáira alapuló védelmét lehet megvalósítani, így biztosítva az automatizálási rendszerek védelmét malware és véletlen hálózati meghibásodások okozta incidensek ellen. Az előadásban azt is kiemelik, hogy az IEC 62443 általában egy meglehetősen nehezen értelmezhető koncepció az IT szakemberek számára, mert a vállalati IT-ban nincs megfelelője. Arról is beszél, hogyan lehet az IEC 62443-at Windows XP-t futtató PC-k és beágyazott operációs rendszerű eszközök biztonságának fokozására.

Az előadás utolsó nagyobb szekciója a hálózati csomagelemzésről szól és bemutatja azt is, hogy miben különbözik a protokoll-alapú DPI a mintaillesztéses DPI-től.

Az előadásban ezután még szó esik arról, hogy miért kell egyszerűnek lennie az ICS biztonsági megoldások ICS üzemeltetők (Operations Technology, OT) általi implementációjának (én inkább azon a véleményen vagyok, hogy az ICS biztonság megfelelő szintjének elérése érdekében a legjobb eredményt az hozza, ha az IT biztonsági és OT szakterületek folyamatos együttműködésére és információcseréjére építünk).

A Siemens ProductCERT-en ma három termékkel kapcsolatban is hibajavításokkal kapcsolatos információk jelentek meg.

SIMATIC NET PC-Software

Vladimir Dashchenko, a Kaspersky Lab kritikus infrastruktúra védelmi csoportjának munkatársa talált egy DoS-támadást lehetővég tevő hibát a SIMATIC NET PC-Software V13 SP2-nél korábbi verzióiban. A hibát a sérülékeny szoftvert futtató eszközökön különböző ((55101/tcp – 55105/tcp, 4845/tcp, 4847/tcp – 4850/tcp) portjaira küldött, megfelelően kialakított csomagokkal lehet szolgáltatás-megtagadást előidézni az OPC UA szolgáltatásnál. A rendszer helyreállításához az érintett szolgáltatást újra kell indítani.

A gyártó a hibát a V13 SP2 verzióban javította.

További részleteket a vonatkozó bejelentés tartalmaz: http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-453276.pdf

SIMATIC WinCC, PCS 7 és WinCC Runtime Professional

A SIMATIC WinCC termékcsalád több tagjában szintén a Kaspersky Lab kritikus infrastruktúra védelmi csoportjának munkatársai, Sergey Temnikov és Vladimir Dashchenko találtak sérülékenységeket. A hibák az alábbi termékeket és szoftververziókat érintik:

SIMATIC WinCC:
- V7.0 SP2 és korábbi verziók;
- V7.0 SP3 minden verziója;
- V7.2 minden verziója;
- V7.3 Update 10-nél korábbi verziók;
- V7.4 Update  1-nél korábbi verziók;

SIMATIC PCS7 (WinCC,  Batch,  Route  Control,  OPEN  PCS  7):
- V7.1 SP4 és korábbi verziók;
- V8.0 minden verziója;
- V8.1 minden verziója;
- V8.2 minden verziója;

SIMATIC  WinCC  Runtime  Professional:
- V13 SP1 Update 9-nél korábbi verziók.

A fenti termékekben egy authentikáció nélküli távoli kódfuttatást lehetővé tevő és egy authentikáció nélküli, tetszőleges fájl hozzáférést lehetővé tevő hibát azonosítottak.

A hiba javítását a Siemens az alábbi verziókban tette elérhetővé az ügyfeleinek:

- WinCC V7.3 esetén a WinCC V7.3 Update 10-ben;
- WinCC V7.4 esetén a WinCC V7.4 Update 1-ben;
- SIMATIC PCS7 V8.1 SP1 esetén:
   - WinCC V7.3 Update 10;
   - SIMATIC BATCH V8.1 SP1 Upd. 9;
   - OpenPCS 7 V8.1 Upd. 3;
- SIMATIC PCS 7 V8.2 esetén:
    - WinCC V7.4 Update 1;
    - OpenPCS7 V8.2 Update 1;
- WinCC  Runtime  Professional  V13 esetén a WinCC  Runtime  Professional V13 SP1 Update 9-ben.

A hibákkal kapcsolatban további információkat a Siemens bejelentése tartalmaz: http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-378531.pdf

SINEMA Remote Connect Server

A SINEMA Remote Connect Server a Siemens által kínált VPN-megoldás ipari rendszerek biztonságos távoli elérés kialakításához, ebben a termékben találtak hibát Antonio Morales Maldonado, az Innotec Systems, valamint  Alexander Van Maele és Tijl Deneut, a Howest munkatársai.

A hibát kihasználva XSS-támadást lehet intézni a SINEMA Remote Connect Server V1.2-nél korábbi verziói ellen.

A hibát a Siemens a V1.2-es verzióban javította.

További információkat a Siemens ProductCERT oldalán elérhető bejelentés tartalmaz: http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-119132.pdf

Szerk: tegnap megjelentek a fenti sérülékenységekkel kapcsolatos ICS-CERT publikációk is, amik itt érhetőek el:

SIMATIC NET PC-Software: https://ics-cert.us-cert.gov/advisories/ICSA-16-208-02
SIMATIC WinCC, PCS 7 és WinCC Runtime Professional: https://ics-cert.us-cert.gov/advisories/ICSA-16-208-01
SINEMA Remote Connect Server: http://icscybersec.blog.hu/admin/post/edit/8908482

A különböző forgalomszűrő eszközök (Layer-2 és Layer-3 ACL-ek, tűzfalak, IDS/IPS eszközök) használata mára az ICS rendszerek hálózataiban is elterjedtnek számít, az ICS-CERT rendszeresen ad olyan kockázatcsökkentést célzó tanácsokat, amelyek között az első az ipari rendszerek hálózatának publikus hálózatoktól történő szeparálását sürgeti.

A mai poszt a Belden Industrial blog-ján megjelent cikk alapján az ipari rendszereknél használt különböző forgalomszűrési módszereket fogja áttekinteni.

Csomagszűrés ACL-ek használatával

Az ACL-ek használata az IT hálózatokban több évtizedes múltra tekint vissza, mind a mai napig használják költséghatékony forgalomszűrésre olyan esetekben, amikor nincs lehetőség tűzfalak használatára.

Előnyük továbbá a nagyon gyors csomagszintű ellenőrzés, ami egyes valósidejű működésre épülő ipari rendszerek esetén az egyetlen elfogadható csomagszűrő eszközzé teszik az ACL-eket. Hátrányuk a nem állapottartó működés (vagyis nem képesek felismerni, hogy egy bejövő csomag egy kimenőre érkező válasz vagy fordítva), emiatt minden kapcsolat működéséhez két szabályt kell felvenni. Ez meglehetősen nagy ACL-eket eredményezhet, ami extrém esetekben azt eredményezheti, hogy a L2-L3 eszközök már CPU-ból próbálják végezni az alapvető routing feladatokat, ez pedig komolyabb teljesítményromlást eredményezhet.

Állapottartó csomagszűrés

Eredeti angol kifejezéssel stateful packet filtering (SPI), az egyik legalapvetőbb hálózati forgalomszűrő módszer, amire számos ipari környezetbe szánt eszköz épül, ilyen többek között a Hirschmann EAGLE tűzfalak vagy a Tofino Xenon Security Appliance-ek illetve ugyanerre a technológiára épül számos ipari hálózati eszköz, mint például a GarrettCom 5RX és 10RX sorozatú routerei vagy a Hirschmann OpenBAT vezeték nélküli hálózatokhoz használható AP.

Az SPI-alapú eszközök egyik legnagyobb előnye az ACL-ekkel szemben, hogy képesek felismerni a csomagok közül azokat, amelyek egy kimenő csomagra válaszul érkeznek, ezen az alapon tudják elhárítani azoknak a támadásoknak egy részét, amik a védendő hálózatot célozzák. Az SPI működéséből adódóan lassabb, mint az ACL, az ilyen módon működő eszközök már mérhető késleltetést okoznak a hálózati kommunikációban. Ipari környezetben történő használatuknál ezt a tényt minden esetben figyelembe kell venni még a tervezési fázisban.

Magas szintű csomagelemzés (Deep Packet Inspection - DPI)

Úgy az ACL-ek, mint az SPI-alapú eszközök biztosítanak bizonyos szintű védelmet az ipari rendszerek számára, azonban ezek sok esetben nem képesek megelőzni, hogy a támadók rossz szándékkal készített csomagokat juttassanak be az ipari rendszerek hálózatába. Az ACL vagy az SPI csak abban segít, hogy eldöntsük, egy adott kapcsolatot engedélyezünk vagy tiltunk, ennél alaposabb vizsgálatra egyik eszköz sem képes. Például ha ACL-ekkel vagy egy SPI-szabállyal engedélyezzük a forgalmat az HMI és egy PLC között azért, hogy az HMI-ról ki lehessen olvasni a PLC állapotát, egyúttal arra is lehetőséget biztosítunk, hogy programozási parancsokat adjanak ki ugyanarról az HMI-ról, ami komoly biztonsági problémákat okozhat. Egy bizonyos pontig ez a szintű védelem megfelelő lehet, de minél mélyebbre megyünk az ipari rendszerek hálózataiban (és elérjük a PLC-k és RTU-k és egyéb ipari eszközök szintjét), már ennél finomabban hangolható szabályrendszerre lesz szükség.

Erre találták ki a DPI-t, ami nem csak a csomagok fejléceit vizsgálják, hanem magát a csomag adattartalmát is ellenőrzik, így teszik lehetővé finomra hangolt szabályrendszer kialakítását. Az előző példával élve, ha egy DPI-eszközt megfelelően felparaméterezünk, az eszköz képes lehet arra, hogy a HMI-től a PLC-hez érkező olvasási utasításokat tartalmazó csomatokat átengedje, de a programozási utasításokat hordozó csomatokat blokkolja. A minta-illesztéses DPI-elemzéseknek természetesen megvan az ára, a nagyobb biztonságért cserébe nagyobb feldolgozási teljesítménnyel és nagyobb hálózati késleltetéssel kell fizetni. Ipari környezetbe szánt DPI-képes eszközből is többféle van, ilyen például a Tofino Xenon Security Appliance vagy az EAGLE 20/30 típusú tűzfalak.
A DPI-eszközök (különösen pedig a minta-illesztést alkalmazó DPI-megoldások) legnagyobb hátránya, hogy csak a már ismert fenyegetések ellen tudnak megfelelő védelmet nyújtani - hasonlóan a szignatúra-alapú víruskereső megoldásokhoz, amelyek hatásfokáról sokunknak vannak tapasztalatai.

A fent ismertetett megoldások egyike sem jelent újdonságot a vállalati hálózatok biztonságáért felelős szakembereknek, azonban ipari rendszerek esetén még ma sem magától értetődő, elég csak azt megnézni, hány ipari eszköz érhető el az Internetről. A különböző csomagszűrő megoldásokkal és egyéb biztonsági eszközökkel (valamint egyéb biztonsági megoldásokkal és a megfelelő eljárásokkal) ki lehet alakítani egy olyan mélységi védelmet, amely ha megakadályozni nem is tudja, hogy egy elszánt és megfelelő tudással és háttérrel rendelkező támadó bejusson az ipari rendszerek hálózatába, de hozzásegíthetnek ahhoz, hogy minél gyorsabban felismerhető legyen egy biztonsági incidens.

Ismét egy ICS sérülékenységekben gazdag napra ébredtünk, az ICS-CERT három ICS gyártó termékeivel kapcsolatban jelentetett meg különböző sérülékenységi információkat.

Schneider Electric Pelco Digital Sentry Video Management System

A Schneider Electric házon belül fedezett fel egy olyan beégetett jelszót, aminek megszerzésével egy támadó bizalmas információkhoz férhet hozzá és kódfuttatási jogokat szerezhet az érintett rendszereken. A hiba a Pelco Digital Sentry Video Management System Version 7.13 és korábbi verzióit érinti. A gyártó a hibát a 7.14-es verzióban javította, ami elérhető a www.pelco.com weboldalon.

További részleteket a hibáról az ICS-CERT bejelentése és a Schneider Electric hibával kapcsolatban kiadott közleménye tartalmaz.

Moxa MGate sérülékenység

A már sokszor emlegetett Maxim Rupp ezúttal a Moxa MGate termékeiben fedezett fel authentikáció megkerülését lehetővé tevő sérülékenységet. A hiba az alábbi termékeket és firmware-verziókat érinti:

- MGate MB3180, v1.8-nál régebbi firmware használata esetén;
- MGate MB3280, v2.7-nél régebbi firmware használata esetén;
- MGate MB3480, v2.6-nál régebbi firmware használata esetén;
- MGate MB3170, v2.5-nél régebbi firmware használata esetén;
- MGate MB3270, v2.7-nél régebbi firmware használata esetén.

A gyártó minden érintett típushoz új verziójú firmware-t tett elérhetővé, amikben javították a hibát. További információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-196-02

Schneider Electric SoMachine HVAC sérülékenység

Andrea Micalizzi a Schneider Electric SoMachine HVAC rendszerében talált egy ActiveX vezérlővel kapcsolatos hibát, amit a ZDI-n keresztül jelentett a gyártónak. A hiba a SoMachine HVAC-Application 2.0.2 és ennél korábbi verzióit érinti. A Schneider Electric elérhetővé tette a hibát javító patch-et, ami a termék weboldalán érhető el.

A hibával kapcsolatban részletes információk az ICS-CERT bejelentésében és a gyártó weboldalán érhetőek el.

Philips Xper-IM Connect sérülékenységek

Az igazán szép találat a végére maradt. Mike Ahmadi, a Synopsys és Billy Rios, a Whitescope LLC munkatársai a Philips-szel együttműködve 460 különböző sérülékenységet fedeztek fel az Xper-IM Connect Windows XP operációs rendszeren futó, 1.5.12 és korábbi verzióiban. A hibák közül 100 a CVSS alapján közepes (4.0-6.9), 360 pedig magas vagy kritikus (7.0-10.0) besorolást kapott. A hibák mindegyike a következő öt kategória egyikébe sorolható:

- kód befecskendezés;
- erőforrás-kezelési hiba;
- információ-szivárgás;
- numerikus hiba;
- pufferen belüli nem műveletkorlátozás.

A gyártó a hibákkal kapcsolatban azt javasolja a felhasználóknak, hogy frissítsenek az 1.5 Service Pack 13 verzióra, ami a már évek óta nem támogatott Windows XP helyett Windows Server 2008R2-re épül.

A hibával kapcsolatban további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSMA-16-196-01

A most közzétett hibákhoz kapcsolódóan is a már ismert biztonsági intézkedések fontosságát hangsúlyozza az ICS-CERT:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Még július 12-én az ICS-CERT két, ICS rendszerek sérülékenységeiről szóló bejelentést publikált.

GE Proficy HMI SCADA CIMPLICITY

Zhou Yu, az Acorn Network Security munkatársa egy jogosultságkezelési hibát talált a GE Proficy HMI SCADA CIMPLICITY nevű termékében. A hiba a CIMPLICITY Version 8.2, SIM 26 és korábbi verzióit érinti.

A hiba sikeres kihasználásával egy authentikált felhasználó képes lehet módosítani a rendszer konfigurációját és tetszőleges végrehajtható állományt futtathat. A hibával kapcsolatban a gyártó egy bejelentést tett közzé, valamint javasolja a sérülékeny verziókat futtató ügyfeleinek a Proficy HMI/SCADA–CIMPLICITY, Version 8.2, Sim 27 verziójú vagy újabb (a legutolsó elérhető verzió a CIMPLICITY Version 8.2 SIM 43) firmware-re történő frissítést.

A hibával kapcsolatos ICS-CERT bejelentés itt olvasható: https://ics-cert.us-cert.gov/advisories/ICSA-16-194-02

Tollgrade Smart Grid EMS LightHouse

Ashish Kamble, a Qualys munkatársa a Tollgrade Communications Smart Grid LightHouse Sensor Management System nevű termékében fedezett fel több sérülékenységet. A hibák a LightHouse SMS, Version 5.1, Patch 3-nál korábbi verziókat érintik.

A hibák között található kritikus funkcióhoz történő, authentikáció nélküli hozzáférés, információszivárgás a hibaüzenetben és nem megfelelő jogosultságkezelés.

A gyártó a hibákat a LightHouse SMS, Version 5.1, Patch 3 verzióban javította. A sérülékeny verziót használó ügyfeleknek azt javasolják, lépjenek kapcsolatba a Tollgrade support csapatával.

A Tollgrade support elérhetőségei és a hibákkal kapcsolatos részletes információk az ICS-CERT bejelentésében érhetőek el: https://ics-cert.us-cert.gov/advisories/ICSA-16-194-01

Az ICS-CERT ezen túlmenően a szokásos kockázatcsökkentő intézkedéseket javasolja:
- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!