Nagyon gyakran (én például igyekszem hetente írni egy összefoglalót a témában) esik szó a különböző ICS/OT rendszerek sérülékenységeiről, azonban sok esetben a támadók nem vagy nem elsősorban ilyen sérülékenységeken keresztül szereznek hozzáférést a rendszerekhez. Ma egy olyan cikket hoztam, amiben a szerző azokból az eseteiből mutat be néhányat, amikor a célpont rendszer konfigurációs hibáit használta ki sérülékenységek helyett azért, hogy kompromittálni tudja azt.

A múlt heti posztban pont arról írtam (Dale Peterson S4X főszervező posztja alapján), hogy vajon miben és mennyiben különbözőnek a kórházi folyamatirányító rendszerek az ipari folyamatvezérlő rendszerektől és az egyik első megállapítás az volt, hogy a kórházakban a fizikai hozzáférés-kontroll sokkal kevésbé tud szigorú lenni, mint a különböző nehézipari szektorokban. Ez a jellegzetessége az egészségügyi/kórházi rendszereknek most is megjelenik, a cikkben külön fejezet foglalkozik a fizikai hozzáférések kérdésével csakúgy, mint a a NAC (Network Admission Control) rendszer, a Link Local Multicast Name Resolution, a végponti rendszerek menedzselésére használt megoldás, az Active Directory címtár és egy jumphost konfigurációs hibáinak kihasználásával.

A cikk ezen a linken érhető el: https://www.opswright.com/article/5-times-i-gained-admin-due-to-misconfiguration-part-1

Bejelentés dátuma: 2024.09.03.
Gyártó: LOYTEC electronics GmbH
Érintett rendszer(ek):
- LINX-151 minden verziója;
- LINX-212 minden verziója;
- LVIS-3ME12-A1 minden verziója;
- LIOB-586 minden verziója;
- LIOB-580 V2 minden verziója;
- LIOB-588 minden verziója;
- L-INX Configurator minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2023-46380)/súlyos;
- Missing Authentication for Critical Function (CVE-2023-46381)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-46382)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-46383)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2023-46384)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-46385)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2023-46386)/súlyos;
- Improper Access Control (CVE-2023-46387)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2023-46388)/súlyos;
- Improper Access Control (CVE-2023-46389)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-247-01

Bejelentés dátuma: 2024.09.04.
Gyártó: Moxa
Érintett rendszer(ek):
- OnCell 3120-LTE-1 sorozatú eszközök v2.3-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2020-7656)/közepes;
- Cross-site Scripting (CVE-2020-11022)/közepes;
- Cross-site Scripting (CVE-2020-11023)/közepes;
- Prototype Pollution (CVE-2019-11358)/közepes;
Javítás: Elérhető a Moxa Technical Support-nál.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.09.05.
Gyártó: Hughes Network Systems
Érintett rendszer(ek):
- WL3000 Fusion Software 2.7.0.10-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2024-39278)/közepes;
- Missing Encryption of Sensitive Data (CVE-2024-42495)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-249-01

Bejelentés dátuma: 2024.09.10.
Gyártó: iniNet Solutions
Érintett rendszer(ek):
- SpiderControl SCADA Web Server v2.09-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unrestricted Upload of File with Dangerous Type (CVE-2024-8232)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-254-02

Bejelentés dátuma: 2024.09.10.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- SequenceManager 2.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unquoted Search Path or Element (CVE-2024-4609)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-254-03

Bejelentés dátuma: 2024.09.10.
Gyártó: Viessmann Climate Solutions
Érintett rendszer(ek):
- Viessmann Vitogate 300 2.1.3.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2023-5222)/kritikus;
- Forced Browsing (CVE-2023-5702)/közepes;
- Command Injection (CVE-2023-45852)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-254-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Ritkán, de én is meg szoktam emlékezni arról, hogy folyamatvezérlő rendszerek az egészségügyi szektorban is vannak. Nemrég Dale Peterson (az S4X konferencia szervezője) írt egy egészen érdekes cikket arról, hogy szerinte miért és miben mások az egészségügyi folyamatirányító rendszerek, mint a legtöbb iparágban (villamosenergia-rendszer, olaj- és gázszektor, víziközmű-rendszerek, gyártásautomatizálás, stb.).

A fent hivatkozott régi posztjaimban is írtam már arról, ennek milyen nagyon súlyos, safety incidensekben is végződhető következményei lehetnek, de arra is emlékezhetünk, hogy az elmúlt néhány évben mennyire gyakoribbá váltak a kórházi IT rendszerek elleni zsarolóvírus-támadások. Ezek együtt pedig jó megmutatják, hogy miért fontos foglalkozni a témával és minél jobban megismerni a kórházi folyamatirányító rendszerek sajátosságait.

Dale fő szempontjai:

- a kórházi rendszerekhez sokkal több embernek (orvosok, ápolók) kell tudniuk hozzáférni, mint a legtöbb ipari folyamatirányító rendszernél ezt megszoktuk;
- a kórházi rendszerek gyakran különálló rendszerek és nem részei egy nagyobb rendszernek;
- a kórházi rendszerekhez számos olyan ember is hozzáférhet fizikailag, akiknek nincs (illetve nem lenne szabad, hogy legyen) hozzáférése ezekhez a rendszerekhez;

Ahogy Dale cikkének végén is írja, érdemes lenne összeszedni, hogy miben is más egy kórházi-egészségügyi folyamatirányító rendszer, mint egy bármilyen más iparágban használt folyamatvezérlő. Van kedve valakinek elkezdeni egy listát? Kommentben jöhetnek az ötletek.

Incidensek

Ransomware-támadás ért egy amerikai vérellátó szervezetet

A OneBlood egy non-profit amerikai vérbank, ami 250-300 amerikai kórházat lát el vérkészítményekkel és ami egy zsarolóvírus támadás következtében kényszerült átmenetileg leállítani a működését.

SecurityAffairs.com
SecurityWeek.com

McLaren Health Care incidens

A McLaren Health Care augusztus 7-én hozta nyilvánosságra, hogy kibertámadás érte az amerikai középnyugaton működő egészségügyi szervezet rendszereit.

SecurityMagazine.com

ADT biztonsági incidens

Az ADT egy riasztó- és egyéb fizikai biztonsági rendszereket gyártó cég, ami elsősorban otthoni és kisvállalati ügyfeleknek gyárt megoldásokat. Az augusztus elején napvilágot látott hírek szerint egy támadásban "korlátozott mértékben" ügyféladatokhoz férhettek hozzá a támadók, azonban az ADT szerint nincs okuk azt feltételezni, hogy az ügyfeleik fizikai biztonsági rendszereihez is hozzáférhettek a támadók.

SecurityWeek.com

Kootenai Health elleni támadás

A Kootenai Health egy Idaho állambeli egészségügyi szolgáltató, akiknek a rendszereit ért támadás bizonyíthatóan 460.000 páciens adataihoz fértek hozzá a támadók. Arról nincs hír, hogy a támadásban a Kootenai Health egészségügyi rendszerei is érintettek lettek volna.

SecurityWeek.com

Halliburton incidens

Az amerikai (Houston-i) központú amerikai olajipari óriás, a Halliburton egyes rendszereit augusztus közepén érte kibertámadás. Az incidensről kevés részletet lehet tudni, különböző források szerint a Houston-i központ egyes rendszerei éppúgy érintettek, mint a cég globális hálózatának egyes részei.

SecurityWeek.com
TheRegister.com
CyberScoop.com

Amerikai mikrochip-gyártót ért kibertámadás

Augusztus 17-én észlelt kibertámadást a Microchip Technology nevű amerikai félvezető-gyártó cég. A támadás a beszámolók szerint súlyosan érintette a cég félvezető-gyártási folyamatait is.

SecurityAffairs.com
TheRegister.com

Ransomware-támadás ért egy ausztrál aranybányát

Augusztus 8-án zsarolóvírus-támadás érte az Evolution Mining nevű ausztrál aranybánya IT rendszereit. Részleteket sajnos nem lehet tudni az incidensről, ahogy azt sem, a cég mi alapján feltételezik, hogy az ausztrál bányáik és egy kanadai létesítményük rendszerei nem érintettek.

HelpNetSecurity.com

Seattle-i kikötő és repülőtér elleni kibertámadás

Kibertámadás érte a Seattle-i kikötőt üzemeltető cég rendszereit és figyelembe véve, hogy ugyanez a cég üzemelteti a a Seattle-Tacoma repülőteret is, az incidensről tudósító cikkek szerint a repülőtér rendszerei is érintettek lehetnek, ahol az Alaska Airlines szóvivője szerint az alkalmazottaknak kézzel kellett szétválogatniuk az utasok csomagjait, így talán nem túlzás azt gondolni, hogy a repülőtéren egyes folyamatvezérlő rendszerek (legalább csomag-továbbítás és osztályozás).

SecurityAffairs.com
TheRegister.com
DarkReading.com
SecurityWeek.com

Hírek

FrostyGoop cikk a SANS blogján

A FrostíGoop ugye a mindmáig utolsó ICS-specifikus malware és az első, ami bizonyíthatóan képes Modbus/TCP protokollon keresztül támadni ICS/OT rendszereket. Az első hírek júliusban érkeztek a Dragos publikációja alapján, most a SANS Institute blogján Tim Conway és Dean Parsons, a SANS ICS biztonsági tanfolyamainak két meghatározó alakja írták le a FrostyGoop-pal kapcsolatos gondolataikat.

Folyamatosan nő az indiai kritikus infrastruktúrák elleni kibertámadások száma

India a Dél-ázsiai színtér egyik legjelentősebb feltörekvő hatalma, úgy gazdasági, mint katonai téren, ráadásul nemrég már a világ legnépesebb országa címet is magukénak tudhatják. Ráadásul történelmi okok miatt meglehetősen rossz a viszonyuk Pakisztánnal és Kínával is, így talán nem meglepő az, hogy az indiai kritikus infrasturktúrák elleni kibertámadások is viszonylag gyakoriak (visszanézve a posztjaimat, két korábbi írásomat találtam, ahol indiai kritikus infrastruktúrák elleni támadásokról írtam). Néhány napja a DarkReading.com-on talált cikk írója szerint egyre nő az indiai kritikus infra elleni kibertámadások száma. Érdekes lesz látni, hogy egy (nem csak régiós, de globálisan) feltörekvő hatalom hogyan próbálja majd megvédeni a saját kritikus infrastruktúrájához tartozó rendszereket.

Az ICS/OT biztonság témájának egyik gyenge pontja (a számos gyenge pont közül) az elérhető gyakorló/teszt laborok alacsony száma. Ennek a hiányzó gyakorlási lehetőségnek a pótlásában meglehetősen nagy szerepet vállal a Dragos és a cég alapító-vezérigazgatója, Rob Lee, aki a SANS ICS 515 tanfolyamához is készített már 2 laborgyakorlat-sorozatot és a Dragos mérnökei minden évben legalább 2 ICS/OT témájú CTF-et is összeállítanak, egyet-egyet a SANS ICS Security Summit-ra, egyet pedig a november 5-i Dragos Industrial Security Conference-re.

Kicsit hosszú bevezető után jöjjön a mai poszt témája, az Alchemy, ami Dragos és a Hack-the-Box együttműködésében elkészült OT biztonsági laborkörnyezet, ahol egy szimulált sörgyár folyamatvezérlő rendszereinek kompromittálását lehet gyakorolni.

Az Alchemy az alábbi témakörökkel ismerteti meg a résztvevőket:

- ICS/OT biztonsági alapok, egyebek mellett az ICS-specifikus protokollokkal kapcsolatos ismeretek;
- ICS/OT hálózatok szegmentálása;
- Active Directory-k használatának különbségei IT és OT hálózatokban;
- Laterális támadások IT és OT hálózatok között, jogosultsági szint-emelés;
- Gyakori támadási módok PLC-k és HMI-k ellen;

Az Alchemy labor a Hack-the-Box weboldalán érhető el: https://www.hackthebox.com/blog/alchemy-ics-professional-lab

Bejelentés dátuma: 2024.08.22.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Emulate3D (digitális iker megoldás) 17.00.00.13276-os verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2024-6079)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-235-01

Bejelentés dátuma: 2024.08.22.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 5015 - AENFTXT (a FLEXHA 5000 I/O Modulok részének) 2.011-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-6089)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-235-02

Bejelentés dátuma: 2024.08.22.
Gyártó: MOBOTIX
Érintett rendszer(ek):
- Mobotix P3 D24M: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 M24M: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 Q24M: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 T24M: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 D14Di: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 S14: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 V14D: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 i25: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 c25: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 p25: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 v25: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 D25M: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 M25M: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 Q25M: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 T25M: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 D15Di: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 M15: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 M15-Thermal: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 S15: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix P3 V15D: MX-V4.1.4.11, MX-V4.1.4.70, MX-V4.1.6.25, MX-V4.1.6.27, MX-V4.1.9.29, MX-V4.1.10.28, MX-V4.1.10.35, MX-V4.2.1.43, MX-V4.2.1.61, MX-V4.3.0.15, MX-V4.3.2.45, MX-V4.3.2.53, MX-V4.3.2.68, MX-V4.3.2.72, MX-V4.3.2.77, MX-V4.3.4.50, MX-V4.3.4.66, MX-V4.3.4.83, MX-V4.4.0.31, MX-V4.4.0.31.r1, MX-V4.4.1.55, MX-V4.4.1.56, MX-V4.4.2.34, MX-V4.4.2.51.r1, MX-V4.4.2.69, MX-V4.4.2.73;
- Mobotix Mx6 D16: MX-V5.0.0.127, MX-V5.0.0.130, MX-V5.0.0.133, MX-V5.0.1.53, MX-V5.0.2.14, MX-V5.1.0.99, MX-V5.1.0.99-r3, MX-V5.1.0.99-r4;
- Mobotix Mx6 M16: MX-V5.0.0.127, MX-V5.0.0.130, MX-V5.0.0.133, MX-V5.0.1.53, MX-V5.0.2.14, MX-V5.1.0.99, MX-V5.1.0.99-r3, MX-V5.1.0.99-r4;
- Mobotix Mx6 S16: MX-V5.0.0.127, MX-V5.0.0.130, MX-V5.0.0.133, MX-V5.0.1.53, MX-V5.0.2.14, MX-V5.1.0.99, MX-V5.1.0.99-r3, MX-V5.1.0.99-r4;
- Mobotix Mx6 V16: MX-V5.0.0.127, MX-V5.0.0.130, MX-V5.0.0.133, MX-V5.0.1.53, MX-V5.0.2.14, MX-V5.1.0.99, MX-V5.1.0.99-r3, MX-V5.1.0.99-r4;
- Mobotix Mx6 D26: MX-V5.0.0.127, MX-V5.0.0.130, MX-V5.0.0.133, MX-V5.0.1.53, MX-V5.0.2.14, MX-V5.1.0.99, MX-V5.1.0.99-r3, MX-V5.1.0.99-r4;
- Mobotix Mx6 M26: MX-V5.0.0.127, MX-V5.0.0.130, MX-V5.0.0.133, MX-V5.0.1.53, MX-V5.0.2.14, MX-V5.1.0.99, MX-V5.1.0.99-r3, MX-V5.1.0.99-r4;
- Mobotix Mx6 Q26: MX-V5.0.0.127, MX-V5.0.0.130, MX-V5.0.0.133, MX-V5.0.1.53, MX-V5.0.2.14, MX-V5.1.0.99, MX-V5.1.0.99-r3, MX-V5.1.0.99-r4;
- Mobotix Mx6 S26: MX-V5.0.0.127, MX-V5.0.0.130, MX-V5.0.0.133, MX-V5.0.1.53, MX-V5.0.2.14, MX-V5.1.0.99, MX-V5.1.0.99-r3, MX-V5.1.0.99-r4;
- Mobotix Mx6 T26: MX-V5.0.0.127, MX-V5.0.0.130, MX-V5.0.0.133, MX-V5.0.1.53, MX-V5.0.2.14, MX-V5.1.0.99, MX-V5.1.0.99-r3, MX-V5.1.0.99-r4;
- Mobotix Mx6 c26: MX-V5.0.0.127, MX-V5.0.0.130, MX-V5.0.0.133, MX-V5.0.1.53, MX-V5.0.2.14, MX-V5.1.0.99, MX-V5.1.0.99-r3, MX-V5.1.0.99-r4;
- Mobotix Mx6 i26: MX-V5.0.0.127, MX-V5.0.0.130, MX-V5.0.0.133, MX-V5.0.1.53, MX-V5.0.2.14, MX-V5.1.0.99, MX-V5.1.0.99-r3, MX-V5.1.0.99-r4;
- Mobotix Mx6 p26: MX-V5.0.0.127, MX-V5.0.0.130, MX-V5.0.0.133, MX-V5.0.1.53, MX-V5.0.2.14, MX-V5.1.0.99, MX-V5.1.0.99-r3, MX-V5.1.0.99-r4;
- Mobotix Mx6 v26: MX-V5.0.0.127, MX-V5.0.0.130, MX-V5.0.0.133, MX-V5.0.1.53, MX-V5.0.2.14, MX-V5.1.0.99, MX-V5.1.0.99-r3, MX-V5.1.0.99-r4;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Neutralization of Expression/Command Delimiters (CVE-2023-34873)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-235-03

Bejelentés dátuma: 2024.08.22.
Gyártó: Avtec
Érintett rendszer(ek):
- Outpost 0810 v5.0.0-nál korábbi verziói;
- Outpost Uploader Utility v5.0.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Storage of File with Sensitive Data Under Web Root (CVE-2024-39776)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2024-42418)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-235-04

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az elektromos autó terjedésével párhuzamosan az ilyen autók töltői is szaporodni kezdtek. Lehet ma már ilyeneket a nyílt utcán, bevásárlóközpontok parkolóiban és akár magánházaknál is találni. Ezek a töltőállomások, mint ma már szinte minden, aminek köze van a villamosenergia-rendszerhez, szintén kommunikálnak IP hálózatokon, különösen azok, amelyeknél fizetni kell a töltésért. Azonban ami képes IP hálózaton (és gyakran publikus hálózaton) kommunikáni, azt előbb vagy utóbb támadni is fogják és ha valaki egy szoftveres eszközben hibát keres, előbb vagy utóbb találni is fog valamit. Ezen az elven működik hosszú évek óta a Zero Day Initiative, ami minden évben megrendezi a kanadai Vancouver-ben a Pwn2Own rendezvényét. Az idén márciusi esemény felvezetéseként jelent meg két blogbejegyzés az oldalukon, amikben a ChargePoint Home Flex és az Ubiquiti EV Station vizsgálatáról osztottak meg részleteket.

Bejelentés dátuma: 2024.08.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Pavilion8 v5.20-as és későbbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Encryption of Sensitive Data (CVE-2024-40620)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-04

Bejelentés dátuma: 2024.08.13.
Gyártó: AVEVA
Érintett rendszer(ek):
- SuiteLink 3.7.0 és korábbi verziói;
- Historian 2023 R2 P01 és korábbi verziói;
- InTouch: 2023 R2 P01 és korábbi verziói;
- Application Server 2023 R2 P01 és korábbi verziói;
- Communication Drivers Pack 2023 R2 és korábbi verziói;
- Batch Management 2023 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2024-7113)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-01

Bejelentés dátuma: 2024.08.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ControlLogix 5580 v34.011-es és későbbi verziói;
- GuardLogix 5580 v34.011-es és későbbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2024-40619)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-03

Bejelentés dátuma: 2024.08.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- AADvance Standalone OPC-DA Server v2.01.510 és későbbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2018-1285)/kritikus;
- Use of Externally Controlled Format String (CVE-2006-0743)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-02

Bejelentés dátuma: 2024.08.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- CompactLogix 5380 (5069 - L3z) v36.011, v35.013, v34.014-nél korábbi verziói;
- CompactLogix 5480 (5069 - L4) v36.011, v35.013, v34.014-nél korábbi verziói;
- ControlLogix 5580 (1756 - L8z) v36.011, v35.013, v34.014-nél korábbi verziói;
- GuardLogix 5580 (1756 - L8z) v36.011, v35.013, v34.014-nél korábbi verziói;
- Compact GuardLogix 5380 (5069 - L3zS2) v36.011, v35.013, v34.014-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-7507)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-09

Bejelentés dátuma: 2024.08.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View SE 13.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2024-7513)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-06

Bejelentés dátuma: 2024.08.13.
Gyártó: Ocean Data Systems
Érintett rendszer(ek):
- Dream Report 2023 23.0.17795.1010 és korábbi verziói;
- AVEVA Reports for Operations 2023 23.0.17795.1010 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2024-6618)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2024-6619)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-08

Bejelentés dátuma: 2024.08.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- DataMosaix Private Cloud 7.07-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2024-6078)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-05

Bejelentés dátuma: 2024.08.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- CompactLogix 5380 (5069 - L3z) v36.011, v35.013, v34.014-esnél korábbi verziói;
- CompactLogix 5480 (5069 - L4) v36.011, v35.013, v34.014-esnél korábbi verziói;
- ControlLogix 5580 (1756 - L8z) v36.011, v35.013, v34.014-esnél korábbi verziói;
- GuardLogix 5580 (1756 - L8z) v36.011, v35.013, v34.014-esnél korábbi verziói;
- Compact GuardLogix 5380 (5069 - L3zS2) v36.011, v35.013, v34.014-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-7515)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-10

Bejelentés dátuma: 2024.08.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- PLC - Micro850/870 (2080 -L50E/2080 -L70E) v22.011-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2024-7567)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-07

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) V8.1-nél korábbi verziói;
- Siemens RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M804PB (6GK5804-0AP00-2AA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M812-1 ADSL-Router family V8.1-nél korábbi verziói;
- Siemens SCALANCE M816-1 ADSL-Router family V8.1-nél korábbi verziói;
- Siemens SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M874-2 (6GK5874-2AA00-2AA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M874-3 3G-Router (CN) (6GK5874-3AA00-2FA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M874-3 (6GK5874-3AA00-2AA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M876-3 (6GK5876-3AA02-2BA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M876-4 (6GK5876-4AA10-2BA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE MUM853-1 (A1) (6GK5853-2EA10-2AA1) V8.1-nél korábbi verziói;
- Siemens SCALANCE MUM853-1 (B1) (6GK5853-2EA10-2BA1) V8.1-nél korábbi verziói;
- Siemens SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) V8.1-nél korábbi verziói;
- Siemens SCALANCE MUM856-1 (A1) (6GK5856-2EA10-3AA1) V8.1-nél korábbi verziói;
- Siemens SCALANCE MUM856-1 (B1) (6GK5856-2EA10-3BA1) V8.1-nél korábbi verziói;
- Siemens SCALANCE MUM856-1 (CN) (6GK5856-2EA00-3FA1) V8.1-nél korábbi verziói;
- Siemens SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) V8.1-nél korábbi verziói;
- Siemens SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) V8.1-nél korábbi verziói;
- Siemens SCALANCE S615 EEC LAN-Router (6GK5615-0AA01-2AA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE S615 LAN-Router (6GK5615-0AA00-2AA2) V8.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2023-44321)/alacsony;
- Improper Input Validation (CVE-2024-41976)/súlyos;
- Exposure of Data Element to Wrong Session (CVE-2024-41977)/súlyos;
- Insertion of Sensitive Information into Log File (CVE-2024-41978)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) V2.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Privilege Management (CVE-2024-41903)/közepes;
- Improper Restriction of Excessive Authentication Attempts (CVE-2024-41904)/súlyos;
- Improper Access Control (CVE-2024-41905)/közepes;
- Use of Cache Containing Sensitive Information (CVE-2024-41906)/közepes;
- Improperly Implemented Security Check for Standard (CVE-2024-41907)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Location Intelligence V4.4-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2024-41681)/közepes;
- Improper Restriction of Excessive Authentication Attempts (CVE-2024-41682)/közepes;
- Weak Password Requirements (CVE-2024-41683)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens INTRALOG WMS V4-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2024-0056)/súlyos;
- Heap-based Buffer Overflow (CVE-2024-30045)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens LOGO! 12/24RCE (6ED1052-1MD08-0BA1) minden verziója;
- Siemens LOGO! 12/24RCEo (6ED1052-2MD08-0BA1) minden verziója;
- Siemens LOGO! 24CE (6ED1052-1CC08-0BA1) minden verziója;
- Siemens LOGO! 24CEo (6ED1052-2CC08-0BA1) minden verziója;
- Siemens LOGO! 24RCE (6ED1052-1HB08-0BA1) minden verziója;
- Siemens LOGO! 24RCEo (6ED1052-2HB08-0BA1) minden verziója;
- Siemens LOGO! 230RCE (6ED1052-1FB08-0BA1) minden verziója;
- Siemens LOGO! 230RCEo (6ED1052-2FB08-0BA1) minden verziója;
- Siemens SIPLUS LOGO! 12/24RCE (6AG1052-1MD08-7BA1) minden verziója;
- Siemens SIPLUS LOGO! 12/24RCEo (6AG1052-2MD08-7BA1) minden verziója;
- Siemens SIPLUS LOGO! 24CE (6AG1052-1CC08-7BA1) minden verziója;
- Siemens SIPLUS LOGO! 24CEo (6AG1052-2CC08-7BA1) minden verziója;
- Siemens SIPLUS LOGO! 24RCE (6AG1052-1HB08-7BA1) minden verziója;
- Siemens SIPLUS LOGO! 24RCEo (6AG1052-2HB08-7BA1) minden verziója;
- Siemens SIPLUS LOGO! 230RCE (6AG1052-1FB08-7BA1) minden verziója;
- Siemens SIPLUS LOGO! 230RCEo (6AG1052-2FB08-7BA1) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Plaintext Storage of a Password (CVE-2024-39922)/közepes;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens JT2Go V2312.0005-nél korábbi verziói;
- Siemens Teamcenter Visualization V14.2 V14.2.0.12-nél korábbi verziói;
- Siemens Teamcenter Visualization V14.3 V14.3.0.10-nél korábbi verziói;
- Siemens Teamcenter Visualization V2312 V2312.0005-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-32635)/súlyos;
- Out-of-bounds Read (CVE-2024-32636)/súlyos;
- NULL Pointer Dereference (CVE-2024-32637)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS V3.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use After Free (CVE-2023-4611)/közepes;
- Improper Input Validation (CVE-2023-5868)/közepes;
- Improper Input Validation (CVE-2023-5869)/súlyos;
- Improper Input Validation (CVE-2023-5870)/közepes;
- Improper Input Validation (CVE-2023-6378)/súlyos;
- Improper Input Validation (CVE-2023-6481)/súlyos;
- Improper Input Validation (CVE-2023-31122)//súlyos;
- Deserialization of Untrusted Data (CVE-2023-34050)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-39615)/közepes;
- Improper Input Validation (CVE-2023-42794)/közepes;
- Improper Input Validation (CVE-2023-42795)/közepes;
- Improper Input Validation (CVE-2023-43622)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-44487)/súlyos;
- Improper Input Validation (CVE-2023-45648)/közepes;
- Improper Input Validation (CVE-2023-45802)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-46120)/közepes;
- Out-of-bounds Read (CVE-2023-46280)/közepes;
- Improper Input Validation (CVE-2023-46589)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-52425)/súlyos;
- XML Entity Expansion (CVE-2023-52426)/közepes;
- Privilege Dropping/Lowering Errors (CVE-2024-0985)/súlyos;
- Use After Free (CVE-2024-25062)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2024-28182)/közepes;
- XML Entity Expansion (CVE-2024-28757)/súlyos;
- Execution with Unnecessary Privileges (CVE-2024-36398)/súlyos;
- Path Traversal (CVE-2024-41938)/közepes;
- Incorrect Authorization (CVE-2024-41939)/súlyos;
- Improper Input Validation (CVE-2024-41940)/kritikus;
- Incorrect Authorization (CVE-2024-41941)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- COMOS minden, V10.5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-5180)/súlyos;
- Use After Free (CVE-2023-26495)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- NX minden, V2406.3000-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-41908)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Accutech Manager 2.8.0.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2024-6918)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.08.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Machine SCADA Expert 2020 SP3 HF1-nél korábbi verziói;
- Pro-face BLUE Open Studio 2020 SP3 HF1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2023-6132)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.08.15.
Gyártó: AVEVA
Érintett rendszer(ek):
- Historian Server 2023 R2-es verziója;
- Historian Server 2023-tól 2023 P03-ig terjedő verziói;
- Historian Server 2020-tól 2020 R2 SP1 P01-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SQL Injection (CVE-2024-6456)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-228-10

Bejelentés dátuma: 2024.08.15.
Gyártó: PTC
Érintett rendszer(ek):
- PTC Kepware ThingWorx Kepware Server V6-os verziója;
- PTC Kepware KEPServerEX V6-os verziója;
- Software Toolbox TOP Server V6-os verziója;
- GE IGS V7.6x verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2024-6098)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-228-11

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

ICS/OT rendszereken sérülékenység vizsgálatokat és/vagy behatolás teszteket végezni kifejezetten rizikós tevékenység. Aki még nem rúgott hanyatt éles folyamatirányító rendszert egy mégannyira körültekintően megtervezett és előzetesen az OT mérnökökkel is leegyeztetett biztonsági vizsgálat során, az el sem tudja képzelni, milyen izgalmakat lehet okozni akár csak egy ártatlan(nak gondolt) Nmap scan-nel is...

Mivel azonban az ilyen tevékenységeket időnként akkor is el kell végezni, ha tudjuk, hogy bizony nagyon ingoványos talajra téved az egyszeri biztonsági szakember, nem árt, ha az embernek van lehetősége minimális kockázatok mellett gyakorolni és kidolgozni az ICS/OT rendszerek sérülékenység vizsgálatának/behatolás tesztelésének valamennyire biztonságos módszereit és eljárásait.

Ehhez nyújthat segítséget Marcel Rick-Cen medium.com-on megjelent írása, amiben a Conpot nevű ICS/OT honeypot telepítését és alapvető port scan-ek teszteléséhez történő felhasználását mutatja be.

Bejelentés dátuma: 2024.07.26.
Gyártó: ABB
Érintett rendszer(ek):
- CODESYS OPC DA Server 3.5 minden, 3.5.18.20-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Password (CVE-2022-1794)/közepes;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2024.08.08.
Gyártó: Dorsett Controls
Érintett rendszer(ek):
- InfoScan v1.32-es, v1.33-as és v1.35-ös verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Sensitive Information To An Unauthorized Actor (CVE-2024-42493)/közepes;
- Path Traversal (CVE-2024-42408)/közepes;
- Exposure of Sensitive Information To An Unauthorized Actor (CVE-2024-39287)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-221-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.