Tegnap az ICS-CERT két bejelentést publikált, amelyek az alábbi termékek sérülékenységeinek részleteit tartalmazták:

ABB PCM600 sérülékenységek

Ilya Karpov, a Positive Technologies munkatársa 4 különböző hibát talált az ABB PCM600-as típusú eszközeiben, amennyiben azok 2.6-os vagy korábbi verziójú szoftvert futtatnak. A hibák közül három a rendszer által használt jelszavak nem tárolását eredményezi bizonyos körülmények (például jelszóváltoztatás után) között, a negyedik hiba pedig a rendszer által az egyik jelszó esetén használt hash algoritmus gyengeségéből adódik, így a jelszóhasht rövid idő alatt lehet törni.

Ezeket a hibákat csak lokálisan és felhasználói interakció segítségével lehet kihasználni.

A gyártó a hibákat a 2.7-es szoftververzióban javította és minden ügyfelének a mielőbbi frissítést ajánlja, továbbá az alábbi kockázatcsökkentő intézkedések bevezetését:

- Fizika hozzáférési szabályokkal kell biztosítani, hogy a PCM600-asokhoz csak az erre jogosult személyek tudjanak hozzáférni;
- Nem szabad a vezérlőrendszerhez közvetlen Internet-kapcsolatot biztosítani;
- A vezérlőrendszer hálózatát tűzfalakkal el kell szeparálni minden más hálózati szegmenstől és a tűzfalakon csak a minimálisan szükséges portok forgalmát szabad engedélyezni;
- A folyamatvezérlési feladatokra használt rendszert nem szabad Internetböngészésre, azonnali üzenetküldésre vagy elektronikus levelezésre;
- Körültekintően ellenőrizni kell a hordozható számítógépeket és adathordozókat és teljes körű víruskeresést kell végezni rajtuk, mielőtt a vezélőrendszerhez csatlakoztatnánk őket.

Az ICS-CERT ezen túlmenően (a szokásos módon) felhívja a figyelmet a távoli elérések biztonságosabbá tételéhez használt VPN-megoldások esetleges sérülékenységeire és arra tényre, hogy minden VPN-megoldás csak annyira biztonságos, mint az azon keresztül csatlakoztatott eszközök.

A sérülékenységekről további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-152-02

Moxa UC 7408-LX-Plus sérülékenység

Az ICS-CERT meg nem nevezett forrásból szerzett információi szerint a Moxa UC 7408-LX-Plus típusú beágyazott számítógépek minden verziója érintett egy olyan hiba által, aminek következtében authentikáció nélkül lehet felülírni a berendezések firmware-jét. Egy ilyen firmware-felülírást nem lehet javítani, amennyiben megtörtént a felülírás, az eszközt cserélni kell. A helyzetet súlyosbítja, hogy a gyártó már megszűntette az érintett típusú eszközök támogatását, így a hibával kapcsolatban nem várható javítás.

A Moxa számos javaslatot tesz a sérülékenység miatt megnövekedett kockázatok csökkentésére:

Erősebb authentikációt kell biztosítani az eszközök számára
 - Rendszeresen változtatni kell az adminisztrátori jogosultságú felhasználói fiókok jelszavait;
 - Erős jelszavakat kell használni;
 - A nem használt felhasználói fiókokat tiltani vagy törölni kell (én azért a törlést auditálhatósági okokból nem javaslom, egy nagyon hosszú és bonyolult, véletlenszerű jelszóval történő felülírás után inkább célszerű riasztást beállítani arra az esetre, ha az adott felhasználói fiókkal bejelentkezési kísérletet észlel a rendszer);
 - Le kell tiltani a nem létfontosságú szolgáltatások futását;
 - Engedélyezni kell a rendszernaplók monitorozását;
 - Naplózni kell a sikertelen bejelentkezési kísérleteket is;
 - Automatikusan ki kell jelentkeztetni az SSH és Telnet kapcsolatokon bejelentkezve maradt, inaktív felhasználókat (megint csak az én véleményem, hogy a Telnet használatától érdemes tartózkodni).
 
Erősíteni kell a hozzáférés-vezérlést
 - Meg kell szigorítani a különböző programkódok letölthetőségét és futtathatóságát;
 - Limitálni kell a párhuzamos munkafolyamatok, pl. SSH-kapcsolatok számát;
 - Audit okokból a hozzáférési logoknál időbélyeget kell használni (hozzátenném, hogy ha ezt teszi valaki, célszerű központi NTP-szinkronizálást is beállítani).

Fejleszteni kell az adatok integritásának megőrzését biztosító eljárásokat és technikákat
 - Ennek érdekében biztonságos protokollokat (pl. SSH, VPN, HTTPS, stb.) kell használni (ismét csak saját véleményem, hogy a titkosítás nélkül működő protokollok használatát, mint pl. Telnet, RSH, rexec, FTP, stb. már csak a bizalmasság megőrzése érdekében is érdemes kerülni, hiszen bármilyen biztonságos lehet egy jelszó, ha azt egy támadó a hálózati forgalom lehallgatása után simán olvashatja).
 
Fejleszteni kell az adatok integritásának megőrzését biztosító eljárásokat és technikákat
 - Minden olyan adatmegosztást meg kell szüntetni, amire már nincs szükség.
 
Szigorítani kell az adatok áramlására vonatkozó szabályokat
 - A tűzfalakon tiltani kell a minden forgalmat engedélyező szabályokat (nem sokat ér az a tűzfal, aminek a szabályláncában egy ACCEPT IP any any áll az utolsó sorban).
 
Az ICS-CERT ennek a sérülékenységnek az apropóján is a már jól megszokott kockázatcsökkentő intézkedéseket sorolja.

A sérülékenységről bővebb információkat a vonatkozó ICS-CERT bejelentés tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-152-01

Nem újdonság (én is írtam már róla), hogy az általános IT biztonsági termékek nem vagy csak nehézkesen használhatóak ipari környezetekben. Itt nem csak az ipari környezetekre jellemző mostoha fizikai körülményekre kell gondolni (bár vitathatatlan, hogy bizonyos iparágakban olyan szélsőséges fizikai körülményeket kell kiállniuk informatikai eszközöknek, amik speciális kialakítást igényelnek), hanem arra, hogy az ICS rendszerek működése sok esetben nagyon különbözik a vállalati IT rendszerek működésétől.

Ezt látszik felismerni az IT biztonsági piac két meghatározó szereplője, a CheckPoint és az IBM, akik együtt alkották meg legújabb terméküket ICS Secure néven. Erről szól az IBM által vezetett Securiy Intelligence blog legújabb bejegyzése.

Azt még nem látom, hogy ez a termék mennyire lesz használható és hatékony, az azonban mindenképp örvendetes, hogy egyre több biztonsági fejlesztő cég ismeri fel, hogy az ipari rendszerek biztonságára komolyabb figyelmet kell fordítani, mint ahogy azt eddig tették.

A Secuirty Intelligence blogbejegyzésének végén elérhető az X-Force (az IBM kiberbiztonsági kutatócsoportja) által írt 22 oldalas publikáció az ipari folyamatirányító rendszerek biztonságáról. Ez az összefoglaló nagyon jól bemutatja, hogyan változott az ICS rendszerek világa az elmúlt évtizedekben és milyen új kockázati tényezők jelentek meg az ipari rendszerek egyre nagyobb fokú digitalizálása nyomán.

Az ICS-CERT tegnapi bejelentései alapján megint mozgalmas napjuk lehetett, három különböző ICS gyártó termékeiről publikáltak ismert hibákat.

Black Box AlertWerks ServSensor sérülékenység

A Black Box termékében Lee Ryman független biztonsági kutató hibát, ami az AlertWerks ServSensor alábbi verzióit érinti, amennyiben azok a Version SP473-nál régebbi firmware-t használják:

- A Black Box’s AlertWerks ServSensor EME105A, EME106A, EME108A-R2, EME109A-R2 és EME110A-R2 modellszámú termékei;
- A Black Box’s AlertWerks ServSensor Junior EME102A-R2, EME103A-R2 és EME104A-R2 modellszámú termékei;
- A Black Box’s AlertWerks ServSensor Junior with PoE, EME152A, EME153A, EME154A, EME155A, and EME158A modellszámú termékei és
- A Black Box’s AlertWerks ServSensor Contact EME111A-20-R2, EME111A‑60-R2, EME112A-20-R2, EME112A-60-R2, EME113A-20-R2 és EME113A‑60-R2 modellszámú termékei.

A hiba meglehetősen banális, bármilyen sikeresen authentikált felhasználó képes lekérdezni az adminisztrátori fiók vagy bármelyik másik felhasználó jelszavát. A gyártó a hibát a Version SP473-as firmware-ben javította, ezt a következő FTP tárhelyről lehet letölteni: ftp://ftp.blackbox.com/AlertWerks%20Firmware/fw%20SP-473%20for%20EME102%20-EME113%20and%20EME152%20-%20EME158.zip

A sérülékenységről további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-147-03

Sixnet BT-sorozatú mobil router sérülékenység

A Sixnet BT-sorozatú mobil routereiben Neil Smith független kutató talált hibát, ami a Sixnet BT-5xxx és BT-6xxx sorozatú M2M mobil routereit érinti, amennyiben azok 3.8.21-esnél régebbi firmware-t futtatnak. A hiba ebben az esetben sem rendkívüli, az érintett sorozatokba tartozó routerekben gyárilag beégetett felhasználói azonosítók vannak. A Sixnet ügyfelei az érintett eszközök hibáit a 3.8.21-es vagy 3.9.8-as verziójú firmware-ek egyikére történő frissítéssel javíthatják.

A hibáról további részleteket az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-16-147-02

Environmental Systems Corporation Data Controllers sérülékenységek

A nap utolsó hibáját az Environmental Systems Corporation (ESC) Data Controller nevű webes SCADA rendszerében találta a blogon már sokszor emlegetett Maxim Rupp. Az eset érdekessége, hogy az ESC-től származó információ szerint ugyanezt a hibát Makány Balázs már jelentette feléjük 2015. február 18-án.

A hiba az ESC 8832-es típusú Data Controllerek 3.02-es és korábbi verziójú firmware-jeit futtató példányait érinti. A hibák között egy authentikáció-megkerülési lehetőséget biztosító van, a másik hibát kihasználva pedig egy az eszköz menürendszerében nem megjelenített funkciókhoz férhet hozzá a megfelelő paraméter brute force-olásával.

A gyártó szerint az érintett eszközökön nincs hely a további hibajavítások kódjai számára, így a firmware frissítése nem lehetséges! Az ESC mindezeket figyelembe véve az érintett eszközök upgrade-jét javasolja, illetve ahol ez nem megoldható, ott a kockázatok csökkentésére egyéb intézkedések bevezetését ajánlja, az eszközök 80/tcp portjához történő hozzáférés tűzfalas szűrését, illetve a webes operátori interfész használata helyett az eszköz által biztosított egyéb hozzáférési módok használatát. Részletesebb tanácsokat a gyártó weboldalán lehet találni (bejelentkezés után): www.envirosys.com.

A hibával kapcsolatos bővebb információkért megint csak az ICS-CERT bejelentését érdemes elolvasni: https://ics-cert.us-cert.gov/advisories/ICSA-16-147-01

Az ICS-CERT a fenti sérülékenységekkel kapcsolatban a szokásos javaslatokat teszi a kockázatok csökkentése érdekében:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A Digital Bond egy közel 20 éves múltra visszatekintő tanácsadó cég, ami az egyik első ICS biztonsággal foglalkozó vállalat. A Digital Bond a szervezője a minden év januárjában megrendezett SCADA Security Scientific Symposium-nak (S4) is, aminek ma már Európában és Japánban is van egy-egy rendezvénye. Az idei S4xEurope (ami egyébként Bécsben lesz június 9-10-én) felvezetéseként jelent meg egy kb. háromnegyed órás élő interjú videófelvétele, amin Marty Edwards, az ICS-CERT igazgatója beszél DHS által életre hívott és működtetett szervezet múltjáról, jelenéről és feladatairól.

A videó elérhető a Digital Bond blog-ján vagy közvetlenül a YouTube-on.

Az ICS-CERT tegnap publikált bejelentése alapján Kam Ganeshen független biztonsági kutató több hibát fedezett fel a Moxa MiiNePort soros porti szervermoduljában, amit számos iparágban használnak. A hibák az alábbi MiiNePort verziókat érintik:

- MiiNePort_E1_7080 Firmware Version 1.1.10 Build 09120714,
- MiiNePort_E1_4641 Firmware Version 1.1.10 Build 09120714,
- MiiNePort_E2_1242 Firmware Version 1.1 Build 10080614,
- MiiNePort_E2_4561 Firmware Version 1.1 Build 10080614, és
- MiiNePort E3 Firmware Version 1.0 Build 11071409.

A hibák között van érzékeny konfigurációs adatok olvasható szöveges formában történő tárolás, XSRF és gyenge (valójában nem létező) authentikációs adatkezelés - ez utóbbi konkrétan azt jelenti, hogy a gyári alapértelmezett beállítások szerint nincs kezdeti jelszó konfigurálva a MiiNePort eszközökön.

A hibák javítását a gyártó május végére ígéri, amíg ez elérhetővé válik, az alábbi intézkedéseket javasolja a MiiNePort felhasználóknak:

- Tiltsák le a 80/tcp (http) és 23/tcp (telnet) portokat;
- A következő portok elérését korlátozzák, hogy csak megbízható rendszerek illetve távoli adminisztrátori feladatokat végző szakemberek használhassák őket: 161/udp (SNMP), 4800/udp, 4900/udp, 4900/tcp;
- Az eszközökhöz csak jelszó megadása után lehessen elérni.

Az ICS-CERT a szokásos, kockázatcsökkentő intézkedéseket javasolja a hibákkal kapcsolatban:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

További részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-145-01

Az ICS/SCADA rendszerek világában az incidenskezeléssel és incidens utáni helyreállítással kapcsolatban az uralkodó nézet még nemrég is az volt, hogy az HMI/MMI-ok ellenőrzött image-ből történő helyreállítása legrosszabb esetben is néhány nap alatt lehetővé teszik az üzemszerű működés maradéktalan helyreállítását.

Az ukrán áramszolgáltatókat érintő tavaly év végi incidens nyomán ez a nézet most megváltozni látszik, egyrészt Ukrajnából is érkeznek olyan hírek, hogy a támadás után több hónappal még mindig részlegesen manuális vezérlést alkalmaznak egyes Ivano-frankovszki alállomásokon, annak ellenére, hogy az ICS rendszereket "csak" szoftveresen tették tönkre (letörölve/felülírva a SCADA rendszer egyes számítógépein a fájlokat és szándékosan hibás firmware-frissítéseket végrehajtva egyes alállomási RTU-kon). Ezzel párhuzamosan egy nemrégiben megjelent, az amerikai Belbiztonsági Minisztérium (DHS) által kiadott ismertető szerint az incidens utáni helyreállás akár 6 hónapot is igénybe vehet - feltéve, hogy az ICS rendszer nem károsodott jelentősen! Ha fontosabb berendezések is károsodnak és azokat cserélni kell, ez az idő akár 9-18 hónap is lehet.

Az USA-ban egyre hangosabbak azok a szakemberek (egyik szószólójuk Joe Weiss), akik próbálják felhívni a figyelmet a kritikus infrastruktúrák védelmi szintjének elégtelenségére. Joe legújabb blogpostjában azt a kérdést teszi fel, hogy az amerikai villamosenergia-szektor és nukleáris erőművek egy esetleges kibertámadás esetén hogyan tudják biztosítani a manuális vezérléshez szükséges integritást. Ezzel a témával itthon is célszerű lenne foglalkozni, tapasztalataim szerint a hazai közműszolgáltatók és egyéb kritikus infrastruktúrához sorolt szervezetek jelentős részénél gondolják úgy, hogy képesek a kritikus ICS rendszerek nélkül, manuálisan ellátni a minimális feladatokat.

Sajnos ahogy az Unfettered blogon hivatkozott, Sandia National Laboratory-nál dolgozó Ray Parks tapasztalta, azoknál a szervezeteknél, ahol magabiztosan állítják, hogy a manuális vezérlésre is felkészültek, néhány kérdés után többnyire kiderül, hogy a valóság meglehetősen távol áll a tervektől, amik csak hamis biztonságérzetet adnak.

A manuális vezérlés, mint vészforgatókönyv működőképességét két további tényező is rontja. Az egyik, hogy azok az idősödő és lassan nyugdíjba vonuló szakemberek, akik még ismerték az egyes ipari rendszerek automatizált irányítása előtt bevett üzemeltetési eljárásokat, szépen lassan lecserélődnek fiatalabb kollégákra, akik azonban már csak az ICS/SCADA rendszereken keresztül vezérlési eljárásokat ismerik, soha nem kellett a manuális vezérlési eljárásokkal megismerkedniük. Most, az ukrán incidens után egyes helyeken már vannak arra irányuló kezdeményezések, hogy ilyen jellegű teszteket és gyakorlatokat is beépítsék a képzési tervekbe.

A másik probléma az Internet of Things (IoT) térhódítása az ipari rendszerek esetén. Egyrészt az IoT még az általános IT szintjénél is rosszabb helyzetben van, ami a biztonságot illeti, másrészt ez a trend csak még jobban erősíti az automatizált működést, ami tovább csökkenti a sikeres manuális vezérlésre történő visszatérés esélyeit.

A kérdés, hogy a kritikus infrastruktúrák képesek-e hosszabb ideig manuális vezérlésre hagyatkozva ellátni az alapvető feladataikat, egyelőre megválaszolatlan, de az biztos, hogy mindazoknak, akik ilyen szervezeteknél az ICS rendszerek üzemeltetésével és/vagy biztonságával, illetve BCP/DRP-tervezéssel foglalkoznak, mindenképpen foglalkozniuk kéne a témával.

Az ICS-CERT tegnap publikált bejelentése alapján Maxim Rupp két hibát talált a Resource Data Management által gyártott Intuitive650 TDB Controller nevű termékének 2.1-es és korábbi verzióiban. A hibák között jogosultságszint-emelés és CSRF is található. A hibák távolról is kihasználhatóak.

A gyártó a V2.1.24-es verzióban javította a fenti hibákat.

Az ICS-CERT a hibával kapcsolatban a szokásos, kockázatcsökkentő intézkedéseket javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A sérülékenységekkel kapcsolatban további információkat az ICS-CERT bejelentés tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-140-01

Az ICS-CERT tegnapi bejelentéseiben két ipari rendszer sérülékenységeire hívta fel a figyelmet.

Moxa EDR-G903 Secure Router sérülékenységek

Maxim Rupp számos hibát fedezett fel a Moxa EDR-G903 Secure Router nevű, all-in-one VPN/tűzfal/NAT Layer-3 eszközének V3.4.11 és korábbi verziós szoftvereiben. A hibák között van jogosultság-szint emelést lehetővé tevő hiba, jelszavak szöveges formában történő tárolása, memóriaszivárgás, szolgáltatás-megtagadást (DoS) és authentikáció nélküli fájlfeltöltést lehetővé tevő hiba is.

Ezek a hibák távolról is kihasználhatóak. A gyártó a V3.4.12-es verziójú firmware-ben javította a hibákat és az érintett termékét használó ügyfeleinek kérésre elérhetővé teszi.

A hibával kapcsolatban további információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-16-042-01

IRZ RUH2 3G sérülékenység

Az IRZ (orosz ipari rendszereket fejlesztő cég) RUH2 soros-Ethernet interfészében az ICS-CERT fedezett fel korlátozás nélküli fájlfeltöltésen alapuló, firmware-felülírást lehetővé tevő sérülékenységet. A hibát távolról is ki lehet használni.

A gyártó az érintett eszközöket használó ügyfeleinek azt tanácsolja, hogy az RUH2 típusú eszközöket cseréljék RUH2b vagy RUH3 típusra. A sérülékenységről további információkat a gyártó weboldala (http://www.irz.net/en/support), valamint az ICS-CERT bejelentése (https://ics-cert.us-cert.gov/advisories/ICSA-16-138-01) tartalmaz.

Az ICS-CERT mindkét sérülékenységgel kapcsolatban a szokásos kockázatcsökkentő tanácsokat adja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Siemens SIPROTEC 4 és SIPROTEC Compact sérülékenység

A Siemens ma publikált bejelentése szerint a SIPROTEC 4 és Compact nevű termékeiben több olyan hibát fedeztek fel, amiket kihasználva érzékeny adatokhoz férhet hozzá egy támadó. Az érintett termékek a következők:

- SIPROTEC 4 és SIPROTEC Compact eszközökben használt EN100 Ethernet modul V4.26 és korábbi verziói;
- A SIPROTEC Compact  7SJ80, 7SK80, 7SD80,7RW80, 7SJ81, 7SK81 modelljeiben található Ethernet Service Interface A portja (minden firmware verzió érintett).

A gyártó a hibát az EN100 modulokhoz kiadott V4.27-es firmware-verzióban javította. Azon ügyfeleinek, akik nem tudnak firmware-t frissíteni, a Siemens hálózatbiztonsági intézkedések alkalmazását javasolja (tűzfalak, hálózatszegmentálás és VPN használatát).

A sérülékenységgel kapcsolatban a Siemens ProductCERT-en és az ICS-CERT bejelentésében található további információ.

A Cisco által május 13-án közzétett bejelentés alapján a Cisco Industrial Ethernet 4000 és 5000 sorozatú switch-ekben olyan, IPv4 csomagfeldolgozási hibát találtak. A hiba az alábbi szoftververziókat érinti:

- Cisco Industrial Ethernet 4000 Series Switch-ek, amik Cisco IOS Software Releases 15.2(2)EA, 15.2(2)EA1, 15.2(2)EA2, vagy 15.2(4)EA verziókat futtatnak;
- Cisco Industrial Ethernet 5000 Series Switch-ek, amik Cisco IOS Software Releases 15.2(2)EB vagy 15.2(2)EB1 verziókat futtatnak.

A hibára workaround nincs, a Cisco az alábbi javított verziójú firmware-ek telepítését javasolja:

- Cisco Industrial Ethernet 4000 Series Switch-ek esetén: 15.2(2)EA3 és 15.2(4)EA1;
- Cisco Industrial Ethernet 5000 Series Switch-ek esetén: 15.2(2)EB2

További információkat a Cisco által kiadott figyelmeztetés tartalmaz.

Az ICS-CERT legutóbbi, május 12-i bejelentése Karn Ganeshen független biztonsági kutató által a Meteocontrol WEB'log szoftverében talált sérülékenységekről szól.

A hibák az alábbi verziókat érintik:

- Basic 100 minden verziója,
- Light minden verziója,
- Pro minden verziója és
- Pro Unlimited minden verziója.

A hibák között van adminisztratív feladatokhoz használt weboldalak authentikáció nélkül történő elérésének lehetősége, shell-szerű hozzáférés authentikáció nélkül és érzékeny adatok szöveges formában történő tárolása.

A hibákat távolról is ki lehet használni.

A gyártó a hibákat a legújabb, weboldalán elérhető verzióban javította és azt javasolja a felhasználóknak, hogy WEB'log rendszereket tűzfallal védjék és ne legyen közvetlen Internet-kapcsolatuk.

Az ICS-CERT ezen túlmenően a szokásos, kockázatcsökkentő intézkedéseket javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

További részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-133-01