Sérülékenységek AMX termékekben

Az ICS-CERT tegnap megjelent bejelentésében hozta nyilvánosságra, hogy az AMX amerikai vállalat konferencia- és tantermi audió- és videó-automatizálási rendszereiben beégetett jelszavakat találtak, amelyekkel jogosulatlan hozzáféréseket lehet szerezni a sérülékeny rendszerekhez. A hiba a cég számos termékét érinti (a CVE-2015-8362 alapján az összes felsorolt terméket, de néhányban a 2015. októberi javítás után is maradt ismert, kihasználható hiba, erről a CVE-2016-1984 idén január 22-én jelent meg):

- NX-1200, NX-2200, NX-3200, NX-4200 NetLinx Controller, az 1.4.66 és minden korábbi verzió;
- Massio ControlPads MCP-10x, az 1.4.66 és minden korábbi verzió;;
- Enova DVX-x2xx, az 1.4.65-nél korábbi összes verzió, valamint az 1.4.72-es verzió;
- DVX-31xxHD-SP (-T), a 4.8.331-nél korábbi összes verzió;
- DVX-21xxHD-SP (-T), minden  4.8.331-nél korábbi verzió;
- DVX-2100HD-SP-T Master, a 4.1.420-nál korábbi verziók;
- Enova DGX 100 NX Series Master, a 1.4.72-nél korábbi verziók;
- Enova DGX 8/16/32/64 NX Series Master, a 1.4.72-nél korábbi verziók;
- Enova DGX 8/16/32/64 NI Series Master, a 1.4.72-nél korábbi verziók;
- NI-700, NI-900 Master Controllers (64M RAM), minden 4.1.419-nél korábbi verzió;
- NI-700, NI-900 Master Controllers (32M RAM), az 3.60.456-nál korábbi összes verzió;
- NI-2100, NI-3100, NI-4100, NI-2100 with ICSNet, NI-3100 with ICSNet, NI-3100/256, NI-3100/256 with ICSNet, NI-4100/256, minden 4.1.419-nél korábbi verzió;
- NI-3101-SIG Master Controller, minden 4.1.419-nél korábbi verzió;
- NI-2000, NI-3000, NI-4000, az 3.60.456-nál korábbi összes verzió;
- ME260/64 Duet, az 3.60.456-nál korábbi összes verzió.

A hiba javítását a gyártó elérhetővég tette a weboldalán, tájékoztatásuk szerint egyes régebbi eszközökön a firmware-frissítést több lépésben lehet végrehajtani. További részleteket az ICS-CERT ICSA-16-049-02-es bejelentése tartalmaz.

Authentikáció-megkerülést lehetővé tevő hiba a B+B SmartWorx VESP211 rendszerében

A B+B SmartWorx VESP211 termékcsaládja egy soros port-Ethernet adapter-szerver, amit számos iparágban (energiaszektor, telekommunikáció, szállítmányozás) használnak. A B+B SmartWorx idén januárban olvadt be az Advantech nevű tajvani ICS-gyártóba.

A hibát a Javascriptet használó webes interface kliens-oldalon megvalósított felhasználói authentikációja teszi lehetővé, hogy egy érvényes authentikációval nem rendelkező támadó hozzáférjen a rendszerhez. A hiba a VESP211 alábbi verzióiban található meg:

- VESP211-EU, 1.7.2-es firmware verzió;
- VESP211-232, 1.7.2-es firmware verzió;
- VESP211-232, 1.5.1 firmware verzió.

A gyártótól mostanáig csak az a javaslat látott napvilágot a sérülékenységgel kapcsolatban, hogy az ügyefeleik az általuk használt VESP211 adapter-szervereket csak tűzfallal védett zónákból engedjék elérni. További részleteket az ICS-CERT ICSA-16-049-01-es bejelentése tartalmaz.

Mivel ez utóbbi sérülékenység esetén nem áll rendelkezésre olyan frissítés, amivel javítani lehetne a hibát, még fontosabb az ICS-CERT által rendszeresen tanácsolt intézkedések mielőbbi bevezetése azok számára (és persze mindenkinek, aki bármilyen ICS rendszert üzemeltet):

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettl;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Nem újdonság, hogy az USA-ban némiképp előrébb járnak a különböző, nemzeti kritikus infrastruktúrák által használt ipari folyamatirányító rendszerek biztonságával foglalkozó szakemberek. Itt nem elsősorban műszaki előnyről beszélünk, sokkal inkább a gondolkodásmódjuk más és az, amilyen nyíltan beszélnek erről a témáról. A jelek szerint ez a fajta (szerintem helyes) hozzáállás lassan utat talál Európába is.

Tenerifén február 7. és 11. között rendezték a Kaspersky által szervezett Security Analyst Summit-ot, aminek egyik előadója, Dewan Chodhury (a MalCrawler alapítója) előadásában egy ICS honeypot-okkal szimulált villamosenergia-rendszert vezérlő ICS/SCADA rendszer (Energy Management System, EMS) ellen végrehajtott támadási kísérletekből gyűjtött adatokat és következtetéseket ismertetett. Az előadásról a Threatpost, a Kaspersky által üzemeltetett IT biztonsági portál számolt be.

Előadásában felhívta a figyelmet arra, hogy a villamosenergia-rendszer elleni sikeres támadáshoz több kell, mint néhány exploit kit vagy adathalász-támadás, a kibertámadáshoz szükséges képességek mellett magas szintű erősáramú villamosmérnöki tudás is szükséges (egyes vélemények szerint a karácsony előtti ukrán áramszünetet is a villamosenergia-rendszerről komoly háttérismeretekkel rendelkező emberek idézték elő és a különböző malware-ek csak a hozzáférést biztosították ezeknek a támadóknak, valamint az üzemzavar előidézése utáni romobolást végezték a malware-ek). Ugyanígy, egy sikeres támadáshoz szükséges eszközök (RTU-k, alállomási eszközök, stb.) és ezek megfelelő konfigurálása olyan, akár 100.000 dolláros beruházást is jelenthet, ami meglehetősen leszűkíti azoknak a csoportoknak a körét, akik reális eséllyel próbálhatnak meg sikerrel üzemzavart előidézni.

Az utóbbi néhány hónap eseményei után olyan vélemények is megjelentek, hogy a mókusok és egyéb, pl. időjárási okok sokkal gyakrabban idéznek elő üzemzavart a villamosenergia-rendszerben, mint a különböző kibertámadások, azonban a kibertérből indított támadások ellen nem véd a fenti példák ellen meglehetősen jó védelmet biztosító, a villamosenergia-rendszerbe beépített többszörös redundancia.

Aki ezek alapján úgy gondolja, hogy a villamosenergia-rendszerek elleni kibertámadások nem jelentenek kiemelten nagy kockázatot, az sajnos súlyosan téved. Előadásában Chowdhury is kiemelte, hogy különböző (jellemzően állami hátterű) csoportok folyamatosan keresik a különböző kritikus infrastruktúrák informatikai és folyamatirányító rendszereinek gyenge pontjait. Az EMS honeypot projekt során számos támadást észleltek, amelyek közül többet különböző APT-csoportok hajtottak végre. A támadók többsége a megszerezhető adatokra koncentrált, (a kutatók nagy mennyiségű, jó minőségű hamis adatot - az átviteli hálózat adatait, műszaki dokumentációkat, AutoCAD dokumentumokat, stb. - helyeztek el, a honeypot szerverein), azonban több olyan támadó is volt, akik ügyet sem vetettek a megszerezhető fájlokra, azonnal a villamosenergia-rendszer szabotálásával próbálkoztak. Ez utóbbiak Chowdhury szerint jellemzően Közel-keleti államokhoz köthető csoportok voltak, míg a kínai, amerikai és orosz kötődésű csoportok mintha tartották volna magukat egyfajta hallgatólagos megállapodáshoz és érdemben nem próbáltak beavatkozni a honeypot által szimulált EMS rendszer működésébe.

A karácsony előtti, ukrán villamosenergia-rendszer elleni támadás óta ismét nyilvánvalóbb, hogy a kibertérből egyre komolyabb fenyegetéseknek van kitéve minden ország kritikus infrastruktúrája. Nem tehetjük meg, hogy nem veszünk tudomást a növekvő fenyegetettségről és nem pazarolhatjuk tovább az időt, minél előbb meg kell kezdeni az összehangolt intézkedések tervezését és végrehajtását minden iparágban, amelyek működésén az ország működőképessége áll vagy bukik.

A tegnapi napon az ICS-CERT által kiadott bejelentés szerint sérülékenységeket találtak a Siemens SIMATIC S7-1500 CPU termékcsalád 1.8.3-asnál korábbi verzióiban.
Az első hiba az eszközök menedzsment portjának nem megfelelő ellenőrzéséből adódik és kihasználva DoS-támadást lehet indítani az eszköz ellen.
A második hibát a menedzsment port visszajátszás elleni védelmének megjósolható viselkedése okozza, aminek hatékonyságát egy támadó bizonyos körülmények között csökkenteni tudja.

A hibákat a gyártó az 1.8.3-as verziójú firmware-ben javította, amit innen lehet letölteni: https://support.industry.siemens.com/cs/de/en/view/109478459

Sérülékenységek a Tollgrade SmartGrid LightHouse Sensor Management System Software EMS rendszerében

Szintén tegnap jelent meg az ICS-CERT bejelentése a Tollgrade SmartGrid Sensor Management System Software nevű termékében Maxim Rupp (független biztonsági kutató) talált több sérülékenységet, amik a 4.1.0 build 16 és 5.1 verziókat érintik.  A hibák (Cross-site Request Forgery, bizalmas információk megjelenítése nem authentikált felhasználók számára, Cross-site scripting, felhasználó-azonosításhoz használt adatok nem biztonságos kezelése), bár gyakorlott IT biztonsági szakemberek számára banálisnak tűnhetnek, közepes és magas CVSS v3 pontszámot kaptak (CSRF 8.8, XSS 6.1, felhasználói adatok kezelésének hibája 8.8, bizalmas információk megjelenítése 5.3), részben azért is, mert a Tollgrade termékét a villamosenergia-hálózatok működtetésében használják.

A gyártó a sérülékenységek javítására új firmware-verziót tett elérhetővé ügyfeleli számára, amit a http://customersupport.tollgrade.com weboldalon keresztül lehet elérni.

Azok számára, akik az érintett termékeket használják és nincs módjuk frissíteni a hibákat javító verziókra, az ICS-CERT több intézkedést javasol, amelyek alkalmazásával csökkenteni tudják a sérülékenységek negatív hatásait:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Január közepén én is írtam arról, hogy az Advantech WebAccess nevű termékében sérülékenységeket javított a gyártó. Az elmúlt 24 órában a TippingPoint-hoz tartozó ZDI számos (egészen pontosan 83 egyedi azonosítóval ellátott) sérülékenység leírását hozta nyilvánosságra. Ezek többsége (74 a 83-ból) megfelelően javítva lett, azonban 9 esetben a ZDI szerint a sérülékenységhez kiadott patch nem teljes, így ezek a hibák továbbra is kihasználhatóak az Advantech WebAccess 8.0 korábbi verziójú rendszereiben.

A ZDI munkatársai az állításuk szerint továbbra is sérülékeny rendszereket üzemeltetők számára azt tanácsolják, hogy a megbízható kliensek és szerverek között engedélyezzék a hálózati kommunikációt, ezzel csökkentve a sérülékenységek jelentette kockázatot.

A ZDI érintett bejelentéseit az alábbi linkeken lehet elérni:

http://www.zerodayinitiative.com/advisories/ZDI-16-146/
http://www.zerodayinitiative.com/advisories/ZDI-16-147/
http://www.zerodayinitiative.com/advisories/ZDI-16-148/
http://www.zerodayinitiative.com/advisories/ZDI-16-149/
http://www.zerodayinitiative.com/advisories/ZDI-16-150/
http://www.zerodayinitiative.com/advisories/ZDI-16-151/
http://www.zerodayinitiative.com/advisories/ZDI-16-152/
http://www.zerodayinitiative.com/advisories/ZDI-16-153/
http://www.zerodayinitiative.com/advisories/ZDI-16-154/

Az ismertebb ICS/SCADA-fejlesztő cégeket ismertető sorozat harmadik (és egyelőre utolsó) részében a Belden, a Beckwith Electric, a Rockwell Automation, az ABB, a Honeywell Process Solutions, a GE, a Prolan és a SCADASys rövid bemutatása következik.

Belden

A Belden ipari hálózati és kommunikációs termékeket gyárt számos piacra dolgozó ügyfélkörének. A Belden termékei négy nagy termékköre oszthatóak, ipari hálózati interfész megoldások, ipari IT megoldások, nagyvállalati hálózati interfész megoldások és rádióhullámokkal működő megoldások.
A Belden interfész üzletága réz, üvegszálas és koaxiális megoldások, valamint üvegszálas és réz interfészek széles körét gyártja nagyvállalati és ipari ügyfelei számára.
A Belden hálózati üzletága intelligens vezetékes és vezeték nélküli termékeket gyárt, ide értve az ipari Ethernet switch-eket és kapcsolódó eszközöket, üvegszálas interfészeket és média konvertereket, amelyekkel például a terepi eszközöket lehet nagy távolságon áthidalni.

Beckwith Electric

A Beckwith Electric az iparban működő vállalatok számára gyárt szabályozó és védelmi berendezéseket, kondenzátorokat és vezérlő eszközöket és biztosít egyedi szolgálatásokat és megoldásokat. Ügyfeleik közé tartoznak villamosenergia szektorban működő vállalatok (erőművek, átviteli hálózatok és elosztó cégek) és alternatív energiatermeléssel foglalkozó cégek.

Rockwell Automation

A Rockwell Automation egy milwaukee-i (Amerikai Egyesült Államok) székhelyű vállalat, ami ipari automatizálás megoldásokat gyárt. Portfoliójukban megtalálhatóak vezérlőrendszerek, ipari folyamatirányító komponensek, információs szoftverek, motorvezérlő berendezések, érzékelő berendezések, hálózati és biztonsági technológiák, valamint ipari biztonsági megoldások.

ABB

Az ABB (ASEA Brown Boveri) egy zürichi központú multinacionális vállalt, amelynek fő profilja a robotika, energia és automatizálás-technológia. Az ABB-nek számos divíziója van, a mi szempontunkból a fontosabbak az diszkrét automatizálás és mozgás divíziója, a kisfeszültségű termékek divíziója, a villamosenergia-rendszerek divíziója és a folyamatautomatizálási divízió.

Ügyfeleik között szinte minden iparágból találhatóak vállalatok a világ minden részén, így Magyarországon is hangsúlyos a jelenlétük.

Honeywell Process Solutions

A Honeywell Process Solutions (röviden Honeywell) egy Amerikai Egyesült államokbeli központú multinacionális vállalat, amely számos szektor számára gyárt ipari folyamatirányító és SCADA rendszereket és berendezéseket. A Honeywell fő üzleti egységei a repüléstechnikai, az automatizálási és szabályozástechnikai, a gépjármű technológiai és a speciális anyagok üzleti egységei.
A Honeywell Magyarországon az 1960-as évek óta van jelen.

General Electric

A General Electric a világ egyik legnagyobb konglomerátuma, amelyhez több olyan vállalat is tartozik (többek között a GE Automation, GE Measurement, GE Transportation, stb.), ezeken keresztül pedig az összes jelentős iparágban jelen vannak folyamatirányító rendszereikkel, berendezéseikkel és szolgálatásaikkal.

Prolan

A Prolan Irányítástechnika Zrt-t 1990-ben Kft-ként alapították, majd 1998-ban alakult át a ma is működő részvénytársasági formába. A Prolan cégcsoporthoz ma a Prolan Elektronikai Gyár Kft., a Prolan Smart Energy Rendszerház Kft., a Prolan Africa Ltd., a Thales RSS Kft. és a Vasútvill Kft. tartozik többségi vagy kisebbségi tulajdonrészben, ezeken kívül a cég egy németországi kirendeltséggel is rendelkezik. A Prolan Zrt. folyamatautomatizálási rendszerekkel kapcsolatos tevékenységeit három üzletágba szervezte, ezek az Energiamenedzsment, az Energetikai és a Vasút-automatizálási üzletágak.

SCADASys

A SCADASys egy magyar hátterű kisvállalat, amit 1996-ban alapítottak. Fő tevékenységi területük a rendszerintegrálás, de foglalkoznak folyamat felügyeleti szoftver rendszerek fejlesztésével is. Legismertebb termékük a D-mon SCADA szoftver rendszer, amelyet számos iparágban (villamosipar, vegyipar, olajipar, víz és szennyvízkezelés, gyártás, épületfelügyelet) használják. Ügyfélkörükben magyar vállalatok mellett Kelet-európai (orosz, ukrán, bolgár) cégek is megtalálhatóak.

Ezzel a két, hazai hátterű ICS/SCADA-fejlesztő céggel ér véget a három részes sorozat, azonban később, ha indokolt lesz, elképzelhető, hogy lesz folytatása az ICS/SCADA fejlesztésekben érdekelt vállalatokat bemutató blog-posztoknak.

GE SNMP/Web Interface

Az ICS-CERT a tegnapi napon publikált bejelentése szerint Karn Ganeshen független biztonsági kutató két hibát talált a GE SNMP/Web interfész adapterében. A GE rendszere egy webszerver, amit szünetmentes áramforrások adatainak megjelenítésére használnak világszerte.

Az első hiba a bevitt adatok nem megfelelő nem megfelelő ellenőrzése miatt lehetővé teszi egy authentikált felhasználónak, hogy bármilyen parancsot végrehajtson a rendszerben, a másik hiba miatt pedig érzékeny adatok kerülnek szöveges formában tárolásra bármiféle titkosítás alkalmazása nélkül.

A hibák a 4.8-as verziónál régebbi firmware-t futtató SNMP/Web Interface adapterek mindegyikében megtalálhatóak. A GE ügyefelei számára elérhetővé tette a hibákat javító, 4.8-as verziójú firmware-t és mindenkinek azt tanácsolja, hogy mielőbb frissítsenek erre a verzióra.

Sauter moduWeb Vision

Szintén egy tegnapi bejelentésben részletezi az ICS-CERT a Sauter moduWeb Vision 1.5.5 és korábbi verzióiban Martin Jartelius és John Stock, az Outpost24 munkatársai által talált hibákat, melyek között a felhasználói azonosítók nem biztonságos tárolása, küldése és fogadása egyaránt 10.0-ás CVSS v3 pontszámot kaptak, valamint egy XSS sérülékenység is.

A gyártó a hibák a legfrissebb elérhető firmware-ben javította mindhárom hibát.

Az ICS-CERT azok számára, akik valamilyen oknál fogva kénytelenek továbbra is sérülékeny verziót használni, a szokásos tanácsokat adja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettl;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Az ismertebb ICS/SCADA-fejlesztő cégeket ismertető sorozat második részében a Siemens, az Innominate, az Endress+Hauser, az OSIsoft, az Eaton's Cooper Power Systems, a Wind River és a GarrettCom ismertetésével folytatom.

Siemens

A Siemens az egyik legnagyobb név az ICS/SCADA-fejlesztők között, az ipari rendszerek széles palettáját lefedik temérkeikkel, a legismertebbek ezek közül a WinCC Simatic <<<mi is ez a termékcsalád pontosan?>>>, a RuggedCom ipari hálózati eszközök. Maga a SCADA kifejezés is szigorúan véve egy Siemens termék neve, azonban ma már a legtöbb ipari folyamatirányító és adatgyűjtő rendszerre SCADA-ként hivatkoznak.
A Siemens ipari rendszerei szinte minden szektorban és iparágban megtalálhatóak, az energiaszektortól az egészségügyön és a szállítmányozáson át a tömegközlekedésig.

Innominate

Az Innominate Security Technologies AG egy németországi vállalat, amely ipari környezetben használt hálózati eszközök fejlesztésével és gyártásával foglalkozik. Az Innominate legfontosabb termékvonalát az ipari hálózatok és távoli, Interneten keresztüli távoli hozzáférések biztonságát garantáló megoldások adják, amiket összefoglalóan mGuard-nak neveznek. az mGuard termékeket OEM-partneken és az Innominate nemzetközi hálózatán keresztül lehet elérni.  Jellemző termékek? Iparágak?

Endress+Hauser

Az Endress+Hauser központjai Németországban és Svájcban találhatóak, irodái és fejlesztési központjai pedig világszerte mintegy 200 helyen vannak. Fő tevékenységi körük ipari környezetben és folyamat-automatizálásban használt eszközök gyártása, amelyek áramlási, sűrűségi, nyomás és hőmérséklet-méréseket végeznek. Ezeken kívül olyan analitikai berendezéseket is, amiket a vízek minőségének ellenőrzésében szoktak használni.

Az Endress+Hauser leányvállalatával 2001 óta van jelen Magyarországon.

OSIsoft

Az OSIsoft 1980 óta van jelen PI System nevű, valósidejű adatokat gyűjtő és tároló infrastruktúra-megoldásával az ipari rendszereket gyártó cégek piacán. Ügyfeleik között egyaránt megtalálhatók olaj és gázipari cégek, vegyipari és petrolkémiai vállalatok, bányák és kohászati cégek, közmű vállalatok és sok más iparágban működő szervezetek.

Eaton's Cooper Power Systems

Az Eaton's Cooper Power Systems a Cooper Industries egyik leányvállalata. Fő profilja a közép és nagyfeszültségű villamosenergia-ipari átviteli berendezések és megoldások szállítása közművállalatok és egyéb ipari felhasználók számára. Portfoliójukban ugyancsak megtalálhatóak a különböző "okos" eszközök, sok egyéb mellett feszültségszabályozók és okosszenzorok.

Wind River

A Wind River az Intel egyik leányvállalata, olyan beágyazott szoftverek fejlesztője és szállítója, amelyek ipari szoftvermegoldásokat, szimulációs technológiát, fejlesztő eszközöket és köztes réteg megoldást (middleware) egyaránt tartalmaznak. A Wind River fejlesztéseit az intelligens rendszerekhez szükséges middleware megoldásokra koncentrál, ezeket a termékeit számos iparágban használják, többek között katonai és autóipari cégek mellett az energiaszektorban és egészségügyi eszközökben is fontos szerepet kapnak a Wind River termékei.

GarrettCom

A GarrettCom (amit 1989-ben alapítottak és 2010 végén felvásárolt a Belden) egy ipari hálózati eszközöket gyártó, amerikai vállalat. Termékeik között megtalálhatóak menedzselt és nem menedzselt, ipari felhasználásra tervezett switch-ek, média konverterek, multi-protokol routerek, terminál szerverek és kiberbiztonsági megoldások. A GarrettCom megoldásait jellemzően szélsőségesen durva körülmények között használják, ahol elsődleges feltétel a nagy megbízhatóság, többek közötttt villamoshálózati alállomásokon, Smart Grid központokban, megfigyelő és egyéb, fizikai biztonságot támogató rendszerekben.

Az ICS-CERT ma kiadott figyelmeztetésében a Westermo, egy svéd gyártó termékeit érintő sérülékenységet jelentett be. Az ipari környezetben használt Westermo switch-ekben hardcode-olt tanúsítványok miatt az SSL/TLS titkosításhoz használt kulcsokat nem lehet cserélni, így ha a kulcs kompromittálódik, egy támadónak lehetőséget ad Man-in-the-middle támadásra. A hibát Neil Smith, egy független kutató fedezte fel, a Westermo termékei közül minden, WeOS 4.19.0 és korábbi verziót használó eszköz érintett az alábbi termékvonalakból:

- Falcon,
- Lynx,
- Wolverine,
- Corazon,
- Viper,
- Redfox sorozatok.

A gyártó a 4.15.2-nél régebbi verziójú WeOS-t használó ügyfeleinek a szoftverfrissítést javasolja, ezután már lehetőség van a tanúsítványok cseréjére (pl. saját, belső PKI-ból kiállított tanúsítványra).

A mai napon több szakmai híroldal és blog vette át a Times of Israel által közölt hírt, amely szerint Yuval Steinitz, Izrael állam energiaügyi minisztere a Tel avivi CyberTech 2016 konferencián beszélt az izraeli Közműszabályozó Hatóság informatikai rendszerei ellen indított kibertámadásról.

Steinitz szerint ez a legnagyobb szabású támadás, amit mostanáig tapasztaltak. Egyes források egy ideig arról is írtak, hogy a támadással összefüggésben az izraeli villamosenergia-rendszert is részlegesen le kellett állítani, ezt azonban később több helyen határozottan cáfolták.

Egyelőre lassan érkeznek a részletek az incidenssel kapcsolatban, de a következő 1-2 napban várhatóan több részlet fog napvilágot látni, hiszen ez a téma (különösen a karácsony előtti ukrán incidens után) minden korábbinál nagyobb figyelmet kap.

Az ICS-CERT a tegnapi napon két ICS rendszerrel kapcsolatos sérülékenységről szóló bejelentést tett közzé.

Az első a Rockwell Automation MicroLogix 1100 PLC eszközét érinti, amiben David Atch, a CyberX munkatársa talált puffer-túlcsordulásos híbát. A hiba az alábbi kontroller-platformokat érinti:

- 1763-L16AWA, Series B, 15.000 korábbi verziók;
- 1763-L16BBB, Series B, 15.000 korábbi verziók;
- 1763-L16BWA, Series B, 15.000 korábbi verziók;
- 1763-L16DWD, Series B, 15.000 korábbi verziók;
- 1763-L16AWA, Series A, 15.000 korábbi verziók;
- 1763-L16BBB, Series A, 15.000 korábbi verziók;
- 1763-L16BWA, Series A, 15.000 korábbi verziók;
- 1763-L16DWD, Series A, 15.000 korábbi verziók.

A hiba sikeres kihasználásával egy támadó távolról tetszőleges kódfuttatásra lehet képes. A Rockwell Automation weboldalán elérhetővé tette a hibát javító firmware-verziót: http://compatibility.rockwellautomation.com/Pages/MultiProductDownload.aspx?famID=30

A firmware-frissítésen túl a gyártó további tanácsokkal is szolgál a sérülékenység hatásainak csökkentésére:

- Javasolt letiltani a MicroLogix 1100-as sorozatú eszközökben alapértelmezetten engedélyezett webszervert;
- A key switch-nek RUN értéket javasolt adni, hogy a letiltott webszervert az RSLogix 500-on keresztül ne lehessen újra engedélyezni;
- A gyártó javasolja az ügyfeleknek, hogy iratkozzanak fel a Security Advisory Index-szolgáltatásra, ami napra kész biztonsági információkat szolgáltat a Rockwell Automation termékekkel kapcsolatban.

Mindemellett az ICS-CERT is elismétli a szokásos biztonsági intézkedésekre vonatkozó tanácsait:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettl;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A második bejelentés a MICROSYS PROMOTIC termékének 8.3.11-nél korábbi verzióit érintő memória-korrupciós sérülékenységéről szól, amit Praveen Darshanam, a Versa Networks munkatársa fedezett fel.

A MICROSYS egy cseh ICS/SCADA-fejlesztő cég, az érintett termék ICS/SCADA HMI szoftverfejlesztő csomag, amellyel technológiai folyamatok vezérlő, megjelenítő és felügyeleti alkalmazásait lehet fejleszteni. A PROMOTIC-ot elsősorban Csehországban és Szlovákiában, valamint jellemzően Közép- és Kelet-Európában (többek között Magyarországon is) használják.

A hiba kihasználásához felhasználói interakcióra van szükség, a támadónak el kell érnie, hogy egy felhasználó megnyisson egy kártékony HTML-állományt a sérülékeny szoftverrel.

A gyártó minden, sérülékeny verziójú PROMOTIC-ot használó ügyfelének azt javasolja, hogy telepítsék a legfrissebb, elérhető verziót, amelyben ezt a hibát már javították: http://www.promotic.eu/en/promotic/download/download.htm