A sorozat harmadik részében Ralph Langner előadását ajánlom, aki egyedülálló példákon mutatja be a nukleáris erőművek elleni kiber-fizikai támadások lehetséges módjait és hatásait. Milyen lenne egy, a reaktor hűtővízét biztosító szivattyúk irányítórendszere elleni támadás? Mire lenne szükségük a támadóknak egy ilyen művelet végrehajtásához és milyen eszközök állnak rendelkezésére az erőmű munkatársainak, hogy megvédjék a létesítmény ICS rendszereit? Előadásában Ralph bemutatja azt a három lépéses folyamatot, ami nem csak a támadók, de az erőmű biztonsági szakemberei is hasznosnak találhatnak.

Az előadásról készült videófelvétel itt érhető el: http://www.digitalbond.com/blog/2016/06/16/s4x16-video-langners-critical-penetration-analysis-in-nuclear-power/

A tegnapi napon két sérülékenységi bejelentést tett közzé az ICS-CERT.

Advantech WebAccess sérülékenységek

Zhou Yu, az Acom Network Security munkatársa fedezett fel sérülékenységeket az Advantech WebAccess termékében. A hibák a WebAccess 8.1_20160519-nél korábbi verzióit érinti.

Az első hiba egy ActiveX-sérülékenység, amit kihasználva egy támadó tetszőleges kódbeillesztésre és kódvégrehajtásra kap lehetőséget, a másik hiba pedig egy klasszikus puffer-túlcsordulás, amit egy erre a célra készített DLL-fájllal lehet előidézni.

Az Advantech a hibát a 8.1_20160519-es firmware-verzióban javította, ezt a verziót innen lehet letölteni: http://www.advantech.com/industrial-automation/webaccess

Az ICS-CERT emellett az alábbi tanácsokat adja a sérülékenységek kockázatainak csökkentése érdekében:

- Ne nyissunk meg ismeretlen e-mailekből származó csatolmányokat és webes hivatkozásokat!
- Alkalmazzuk a US-CERT által kiadott, E-mail-es csalások felismerése és elkerülése című dokumentumban foglalt tanácsokat (angol nyelvű dokumentum): https://www.us-cert.gov/sites/default/files/publications/emailscams_0905.pdf
- Alkalmazzuk a US-CERT által kiadott, Socaial engineering és adathalász támadások kivédése című dokumentumban leírtakat (angol nyelvű dokumentum): https://www.us-cert.gov/ncas/tips/ST04-014
- Ne nyissunk meg nem megbízható weboldalakat!

További információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-173-01

Sérülékenység a Schneider Electric PowerLogic PM8ECC termékeiben

A tegnapi nap másik hibáját a Schneider Electric jelezte az ICS-CERT felé, a PowerLogic PM8ECC 2.651-nél korábbi firmware verziói XSS sérülékenységet tartalmaztak, amit a gyártó a 2.651-es firmware-ben javított. Az új firmware verzió elérhető a gyártó weboldalán: http://www.schneider-electric.com/ww/en/download/document/p8e02651_DOT_bin

A hibával kapcsolatban az ICS-CERT a szokásos kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Bővebb információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-173-02

Az elmúlt hetek egyik nagy port kavart híre volt a FireEye publikációja, amit egy újonnan felfedezett, a feltételezések szerint proof-of-concept ICS malware-családról írtak és amit Irongate-nek neveztek el. A Bécsben 2016. június 8-10. között tartott S4xEurope konferencián tartott előadás sok újdonságot nem tartalmazott, inkább a már ismert tényeket próbálta a megfelelő összefüggésekben bemutatni és részletesebben összehasonlítani az Irongate-et a Stuxnet-tel.

Felmerült a lehetősége annak is, hogy az Irongate egy egyetemi diplomamunka eredménye lenne (ezt én személy szerint kétlem, az eddig információk alapján olyan funkciókkal rendelkezik és olyan ötletek mentén fejlesztették, hogy kevéssé valószínű, hogy ez egyetlen ember munkája lenne, azonban) ha ez így van, remélhetőleg rövidesen lehet további részleteket hallani a malware-ről és a fejlesztéséről is.

A 35 perces videó itt érhető el: https://youtu.be/sWWpYNyEwPY

Az ICS-CERT tegnap publikált bejelentése szerint Can Demirel független biztonsági kutató fedezett fel hibát a Moxa PT-7728-as sorozatú ipari switch-eiben.

A hiba az alábbi eszközöket érinti:

- PT-7728 Series Version 3.4 build 15081113

A PT-7728 sorozatú eszközökben létezik egy gyárilag beállított, legkisebb szükséges jogosultsággal rendelkező felhasználói fiók, amivel azonban egy lokális proxy-val lehetőség nyílik a hálózati forgalom módosításával megváltoztatni az érintett sorozatú switch-ek konfigurációját.

A gyártó elkészítette a hibát javító patch-et, amit Can Demirel ellenőrzött és megerősítette, hogy a patch javítja a hibát.
Az ICS-CERT ezúttal is a szokásos kockázatcsökkentő intézkedések alkalmazására hívja fel a figyelmet a bejelentés végén:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A sérülékenységgel kapcsolatban további részletek az ICS-CERT weboldalán olvashatóak: https://ics-cert.us-cert.gov/advisories/ICSA-16-168-01

Az ICS-CERT két, OSIsoft PI rendszert érintő sérülékenységről adott közre bejelentést:

OSIsoft PI AF Server sérülékenység

Az első hiba a PI AF Server 2016-nál, illetve 2.8.0-nál régebbi verzióit érinti és a rendszerbe bevitt adatok nem megfelelő ellenőrzéséből ered. A hibából eredő kockázatok csökkentésére az OSIsoft az alábbiakat javasolja ügyfeleinek:

- Frissíteni kell a sérülékenység által érintett szoftvereket a PI AF Server 2016-os verziójára;
- Host tűzfalak alkalmazásával a feltétlenül szükséges mértékre kell csökkenteni azoknak a megbízható munkaállomásoknak a számát, amik PI SQL termékeket (pl. PI OLEDB Enterprise-t) futtatnak és a 5459/tcp porton próbálnak csatlakozni az AF szerverhez. Ezen a porton keresztül két termék használja a rendszer kereső funkcióját, a PI WebParts 2010-es és korábbi verziói, valamint a PI Coresight 2013 és korábbi verziói;
- Az AF szerverhez csak azoknak a felhasználók kapjanak hozzáférést, akiknek a feladataik miatt ez indokolt. A gyártó által közzétett biztonsági közlemény itt érhető el: https://techsupport.osisoft.com/Troubleshooting/PI-System-Cyber-Security, az ICS-CERT bejelentése pedig itt: https://ics-cert.us-cert.gov/advisories/ICSA-16-166-02

OSIsoft PI SQL Data Access Server sérülékenység

Ugyancsak a rendszerbe bevitt adatok nem megfelelő ellenőrzése miatt sérülékeny az OSIsoft PI Data Access Server megoldásának 2016 (1.5) korábbi verzióját tartalmazó két terméke:

- PI JDBC Driver 2015 (1.4.1.404) és korábbi verziók, valamint a
- PI ODBC Driver 2015 (3.5.403) és korábbi verziók.

A gyártó szerint a fenti termékek esetén az authentikált forrásból érkező adatok nem megfelelő kezelése miatt szolgáltatás-megtagadást (DoS) lehet előidézni a sérülékeny verziót futtató rendszereken.

A gyártó a hibát a PI SQL Data Access Server (OLE DB) 2016 (1.5) verzióban javította, az erre történő frissítés mellett további kockázatcsökkentő intézkedéseket is javasol a sérülékeny verziókat használó ügyfelek számára:

- Frissíteni kell a sérülékenység által érintett szoftvereket a PI SQL Data Access Server (OLE DB) 2016 (1.5) verziójára;
- Host tűzfalak alkalmazásával a feltétlenül szükséges mértékre kell csökkenteni azoknak a megbízható munkaállomásoknak a számát, amik PI SQL kliens termékeket (pl. PI JDBC Driver, PI ODBC Driver) futtatnak és a 5461/tcp vagy 5462/tcp portokon próbálnak csatlakozni a szerverhez;
- A PI SQL Data Access Server-hez csak azoknak a felhasználók kapjanak hozzáférést, akiknek a feladataik miatt ez indokolt. A gyártó által közzétett biztonsági közlemény itt érhető el: https://techsupport.osisoft.com/Troubleshooting/PI-System-Cyber-Security, az ICS-CERT bejelentése pedig itt: https://ics-cert.us-cert.gov/advisories/ICSA-16-166-01

Az ICS-CERT mindkét sérülékenységgel kapcsolatban a szokásos kockázatcsökkentő intézkedések alkalmazását javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Robert M. Lee (a US Air Force egykori biztonsági szakértője, a SANS ICS biztonsági kurzusainak oktatója) blogjában egy nemrég a Huffington Post weboldalán megjelent, kritikus infrastruktúrák kiberbiztonsági helyzetével foglalkozó cikk kapcsán azzal a kérdéssel foglalkozik, hogy a különböző ipari rendszerek, folyamatirányító rendszerek elleni kibertámadásokról szóló cikkekben megjelenő megállapítások mennyire megalapozottak.

A blogbejegyzésben több példán keresztül mutatja be, hogy egy-egy kijelentés mögött gyakran mennyire nincs semmilyen bizonyíték, csak a szerző elképzelése (tévképzete) a témában. Erre vonatkozóan példának hozza a Huffington Post cikkében említett, 2003-as nagy észak-kelet USA-t érintő áramszünetet, amivel kapcsolatban a HuffPost cikkében olyan megállapítás is megjelent, ami szerint nem csak, hogy a 2003-as áramszünet kiváltó oka egy kibertámadás volt, hanem ezt az USA kormánya szándékosan eltitkolta.

A cikk egy másik állítása, amivel kapcsolatban Robert megfogalmazta kételyeit, az ukrán áramszolgáltatók elleni kibertámadás magas fokú kifinomultságára és a rendszerek tartós üzemképtelenségére vonatkoznak. Az ezekkel foglalkozó blogbejegyzés a www.robertmlee.org-on található.

Napjainakban minden, ipari rendszereket érintő incidens esetén felmerül a kérdés, hogy a kiváltó okok között volt-e a kibertámadás (ahogy ez az egyik első gondolata volt szinte mindenkinek a 2015-ben szinte egy időben bekövetkezett törökországi és amsterdami áramkimaradások esetén is - utólag a hivatalos álláspont egyébként mindkét esettel kapcsolatban az volt, hogy nincs köze kibertámadásnak az incidensekhez) és az eltérő véleményekkel sincs alapvetően baj. Az azonban jóval komolyabb probléma, hogy az ilyen incidensekkel kapcsolatban (hasonlóan ma már bármilyen fontosabb hírhez) a híradás gyorsasága fontosabbá válik a pontos információk biztosításánál is, ráadásul gyakran még a szaksajtóban publikáló újságírók egy része is komoly tárgyi tévedésekkel tűzdelt cikkeket közöl. Ezt legutóbb pont az ukrán áramkimaradások eseténél láttuk, egészen eltérő adatok is napvilágot láttak azzal kapcsolatban, hogy pl. hány embert érintettek az áramkimaradások vagy hogy a BlackEnergy melyik variánsát használták a támadás korai fázisában.

Meg kell találni azt az egyensúlyi pontot, ami biztosítja, hogy pontos információk a lehető leggyorsabban jussanak el azokhoz az illetékesekhez, akiknek feladatuk a nemzeti kritikus infrastruktúrák védelme. Igaz ez különösen most, hogy már látszik, ez a téma egyre fontosabb lesz, ami azt is jelenti, hogy egyre több emberi és anyagi erőforrás fog áramlani a kritikus infrastruktúrák kiberbiztonságába.

Jó termést eredményezett az elmúlt 24 óra a különböző ICS rendszerek sérülékenységei terén, ma három gyártó négy különböző termékéhez is publikáltak új sérülékenységeket.

Siemens SIMATIC S7-300 CPU sérülékenység

A Siemens S7-300 CPU termékcsaládjának alábbi verzióihoz jelent meg egy bejelentés:

SIMATIC S7-300 CPU típusú eszközök, Profinet támogatással, ha V3.2.12-nél régebbi verziójú firmware-t használnak;
SIMATIC S7-300 CPU típusú eszközök Profinet támogatás nélküli változatok, ha V3.2.12-nél régebbi verziójú firmware-t használnak.

A hiba kihasználásával a sérülékeny eszközöket hibás üzemmódba lehet jutattni, ahonnan csak egy leállítás-újraindítás végrehajtásával lehet helyreállítani a működőképes állapotot.

A hibát Csorba J. Máté, a Marine Cybernetics Services és Amund Sole, a Norvég Műszaki Tudományegyetem munkatársainak közreműködésével a V3.2.12-es firmware-ben javította a Siemens.

További részleteket a gyártó által közzétett bejelentés tartalmaz: http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-818183.pdf

Siemens SIMATIC WinCC flexible sérülékenység

Maradva még a Siemens termékeinél, tegnap a WinCC flexible 2008 SP3 Up7-nél korábbi verzióval kapcsolatban jelent meg egy bejelentés, ami szerint az érintett eszközökben a bejelentkezési adatok védelme nem megfelelő szintű.

A hibát Gleb Gritsai és Roman Ilin, a Positive Technologies munkatársainak segítségével javította a Siemens az Update 7 verzióban.

Részleteket ezúttal is a Siemens ProductCERT-en elérhető eredeti bejelentés tartalmaz: http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-526760.pdf

KMC Controls Conquest BACnet Router sérülékenységek

Az ICS-CERT tegnapi bejelentése szerint Maxim Rupp, független biztonsági kutató a KMC Controls BACnet routereiben talált két sérülékenységet. A BAC-5051E típusú eszközök, ha E0.2.0.2-nél régebbi firmware-t futtatnak, tartalmaznak egy CSRF sérülékenységet, illetve egy másik hiba miatt authentikáció nélkül lehet konfigurációs adatokat kiolvasni belőlük.

A KMC Controls a partner portálján elérhetővé tett E0.2.0.2-es verziójú firmware-ben javította a fenti hibákat. A sérülékenységgel kapcsolatban további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-159-01

Trihedral VTScada sérülékenységek

Egy meg nem nevezett biztonsági kutató talált sérülékenységeket a Trihedral VTScada nevű termékében és jelentette azt a ZDI-nek, amiket tegnap az ICS-CERT publikált. A hibák a VTScada 8-tól 11.2.02-ig terjedő verzióit érinti.

A hibák között van pufferen kívüli olvasás, jogosultság nélküli könyvtár- és fájlhozzáférést lehetővé tevő hiba és authentikáció megkerülés.

A gyártó az FTP szerverén elérhető 11.2.02-es firmware verzióban javította a hibákat. További információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-159-01

Szerk: Július 1-jén a ZDI megjelentette a hibák részletes leírásait, amiket az alábbi linkeken lehet elérni:
http://www.zerodayinitiative.com/advisories/ZDI-16-403/
http://www.zerodayinitiative.com/advisories/ZDI-16-404/
http://www.zerodayinitiative.com/advisories/ZDI-16-405/

A francia l’Agence nationale de la sécurité des systemes d’information (ANSSI) a május 16-i héten adta ki azt a tanúsítást, amely szerint a Siemens S7-1500 típusú PLC berendezések teljesítik az ANSSI védelmi profiljában előírt, rövid távú biztonsági követelményeket. Az ANSSI védelmi profilja nem keverendő a Common Criteria Protection Profile-lal, de az alapelvek mindkettő esetén azonosak. A tanúsításra törekedő szervezetnek meg kell fogalmazni egy biztonsági célt és meg kell jelölnie, hogyan fogja teljesíteni a védelmi profil követelményeit. A konkrét esetben a cél az volt, hogy egy, már a felügyeleti hálózatba bejutott támadótól legyenek képesek megvédeni a PLC-t, a feladat sikeres végrehajtását egy független harmadik fél, az Amossys (francia kiberbiztonsági vállalat) ellenőrizte.

A vizsgált védelmi profil biztonsági követelményei között szerepel az aláírt firmware és a biztonságos boot-olás követelménye, a szándékosan hibás formátumú adatbevitel megfelelő kezelése valamint az authentikációs adatok és kulcsok biztonságos tárolása PLC-ken. Mindezek a követelmények (ahogy korábban már én is említettem), a rövid távú biztonsági követelményeket tartalmazó védelmi profilban vannak megadva, emellett létezik egy középtávú védelmi profil is, amiben megjelenik a naplóbejegyzések és riasztások integrált kezelése. A Siemens mellett más ipari berendezéseket gyártó vállalat is részt vett a védelmi profilok megalkotásában, többek között a Belden, a Phoenix Contact és a Schneider Electric, így minden bizonnyal a jövőben több gyártó termékeinél találkozhatunk majd ANSSI tanúsítványokkal.

A rövid távú védelmi profil részletes, 11 oldalas leírása itt érhető el (angol nyelven).

A tegnapi napon az IT biztonsági szaksajtó és az ICS kiberbiztonsággal foglalkozó blogok sorban hozták le a hírt, hogy a FireEye Labs Advanced Reverse Engineering (FLARE) csapata még 2015-ben több verziót is felfedezett egy kifejezett ICS rendszerekre specializált malware-családból, aminek elsődleges célja különböző ipari folyamatok manipulálása lehet.

 A FLARE-nél a malware-családnak az Irongate nevet adták (úgy látszik a marketingesek az ICS biztonsági eseményeknél is megvalósítják azt az IT biztonságban már elterjedt szokást, amit néhány éve Buherátor nagyon frappánsan foglalt össze az azóta jobblétre szenderült buhera blogon: "A biztonsági cégek nagyjából a Stuxnet óta néhány havonta iszonyatos marketing csinnadrattával ünneplik egy-egy új "APT" kártevő felfedezését, elemzéseket, sajtóközleményeket adnak ki, konferenciát szerveznek, a marketing osztálynak meg kiadják, hogy a legújabb "csodafegyver" márkanevétől ihletten rajzoljanak vagány illusztrációkat - így végül saját sikerükként adják el azt, hogy éveken keresztül nem voltak képesek elvégezni azt a feladatot, amiért az ügyfeleik fizettek nekik.")

Az Irongate-tel kapcsolatban több furcsa dologra is fel lehet figyelni, az első az, hogy a malware-t nem "aktív működés" közben találták és a szakértők szerint (jelenleg) nem jelent kiemelt kockázatot a produktív ipari rendszerek számára. A Siemens ProductCERT sietve erősítette meg, hogy az Irongate malware nem életképes produktív Siemens ICS rendszerek esetén és a működéséhez nem használ fel Siemens rendszerekben lévő ismert vagy 0-day sérülékenységeket. A FLARE jelenleg nem tudja az Irongate-családot bármilyen támadáshoz vagy támadóhoz kapcsolni, a rendelkezésükre álló információk alapján az Irongate egy proof-of-concept vagy kutatási célból létrehozott malware lehet, amivel különböző ICS rendszerek elleni támadási technikákat vizsgálhattak a mindezidáig ismeretlen alkotók.

A FLARE elemzése alapján az Irongate kulcs funkciója a megtévesztéshez használt Man-in-the-middle támadás, amivel a támadók manipulálni tudják az ICS rendszer és az operátor közötti adatforgalmat (ezzel egy Stuxnet-hez hasonló, adathamisítást előidéző támadást megvalósítva). Ennek eléréséhez a malware a legitim DLL-t egy saját változatra cseréli, ami innentől kezdve ügynökként beépül a PLC és a monitoring szoftver közé majd egy 5 másodperces normál forgalmat rögzít és ismétel a monitoring rendszer felé, miközben eltérő adatokat küld vissza a PLC-nek. Ezzel a módszerrel a támadónak lehetősége van az operátor tudta nélkül megváltoztatni a folyamatok vezérlését.

Az Irongate másik figyelemre méltó funkciója a sandbox-ban történő vizsgálat elkerülését szolgálja. Az Irongate malware dropperei közül több nem indul el, ha VmWare vagy Cuckoo Sandbox környezetben próbálják vizsgálni a működését. Ez a tulajdonság arra enged következtetni a kutatók szerint, hogy a malware-t, bár tesztelési céllal készíthették, ártó szándékkal tesztelhették az alkotói.

Ugyan a komplexitás vagy a terjedési módszerek terén az Irongate nem mérhető össze minden ICS incidensek mérföldkövével, a Stuxnet-tel, számos olyan módszert és funkciót használ, amiket a Stuxnet alkotói is használtak az iráni atomprogram urándúsító centrifugáinak tönkretétele során és új funkciók is megjelentek, amik eddig nem voltak jellemzőek az ICS-fókuszú malware-ekre.

- A malware minden változata egy-egy jól meghatározott folyamatot keres;
- Mindegyik egy DLL lecserélésével éri el a keresett folyamat manipulálhatóságát;
- A Stuxnet antivírus szoftvert kereső rutinjánhoz hasonlóan az Irongate figyeli, hogy tesztkörnyezetben/sandbox-ban fut-e;
- Az Irongate aktívan rögzíti és visszajátsza a folyamatok eredeti adatait, hogy elrejtse a manipuláció jeleit, szemben azzal, hogy a Stuxnet csak felfüggesztette az S7-315-ös eszközök normál működését, így az iráni operátorok előtt statikus adat jelent meg. Ehelyett az Irongate által rögzített és visszajátszott adatok továbbra is "élőnek" tűnnek, így még nehezebb felfedezni, hogy a háttérben valaki manipulálja a folyamatot.

A FireEye elemzése további, mélyen technikai részletekkel itt érhető el: https://www.fireeye.com/blog/threat-research/2016/06/irongate_ics_malware.html

A GE egy kritikus súlyosságú (CVSSv3 szerint 10.0 pontszámú) sérülékenységet talált az alábbi MultiLink switch-ekben:

- GE ML800 Switch, Version 5.5.0-nál korábbi firmware verzió esetén;
- GE ML810 Switch, Version 5.5.0k-nál korábbi firmware verzió esetén;
- GE ML1200 Switch, Version 5.5.0-nál korábbi firmware verzió esetén;
- GE ML1600 Switch, Version 5.5.0-nál korábbi firmware verzió esetén;
- GE ML2400 Switch, Version 5.5.0-nál korábbi firmware verzió esetén;
- GE ML3000 Switch, Version 5.5.0k-nál korábbi firmware verzió esetén és
- GE ML3100 Switch, Version 5.5.0k-nál korábbi firmware verzió esetén.

A sérülékenységet a gyárilag beégetett jelszavak jelentik, amiket ismerve egy támadó jogosulatlanul adminisztrátori szintű hozzáférést szerezhet az érintett firmware verziókat futtató eszközökön.

A gyártó a hibát az ML800-as, ML1200-as, ML1600-as és ML2400-as típusú switch-ek esetén a Version 5.5.0 verziójú, az ML810-es, ML3000-es és ML3100-as switch-ekben pedig a Version 5.5.0k verziójú firmware-ben javította, amik a http://www.gegridsolutions.com weboldalről tölthetőek le.

További részleteket a sérülékenységgel kapcsolatban az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-16-154-01

A sérülékenységgel kapcsolatban az ICS-CERT a szokásos kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!