A különböző esettanulmányokat elég hasznosnak tartom, különösen igaz ez az ICS biztonság területén, ahol azért még ma is meglehetősen kevesen akarnak/mernek/szabad nekik nyilvánosan beszélni a valós életből származó tapasztalataikról. Ebben a témában találtam nemrég egy 5 részes blogsorozatot Steve Mustard-tól.

A sorozat első részében Steve a kockázatkezelés témáját járja körül, a bekövetkezési valószínűségek becslését, a kockázatcsökkentés különböző lehetőségeit és az ALARP (as low as reasonably practicable) pocim-nelkul_4341108nt, vagyis a kockázatcsökkentés és annak költségeinek optimum-pontjának meghatározását bemutatva.

A második rész a Purdue-modellt mutatja be, de nem csak az alapvető, szintekre bontott modellt, hanem az IIoT rendszerek és a Purdue-modell kapcsolatát illetve az egyes szinteken található IT és OT/ICS komponensek válaszidőit is vázolja, illetve a Purdue-hierarchia és a kiberbiztonsági ellenállóképesség kapcsolatát is röviden körüljárja.

A sorozat harmadik része a kapcsolódó folyamatokról szól, az ICS rendszerekkel kapcsolatos projekt menedzsmentről és a kiberbiztonság projektekbe történő beépítéséről, valamint a változáskezelésről, incidenskezelésre történő felkészülésről és red-team gyakorlatokról szól.

A negyedik rész témája az, hogy mit is tanulhatna az ICS kiberbiztonság a safety folyamatoktól és a safety rendszereket és folyamatokat fejlesztő mérnököktől. Részletesebben áttekinti az emberi hibákból eredő fenyegetések hatásait, valamint gyakorlatok és megfelelő kompetenciák kialakításának fontosságát, végül pedig ezeknek a tevékenységeknek a folyamatos kiértékelési rendszerét és ennek fontosságát is bemutatja.

A sorozat utolsó, ötödik része az üzemeltetés támogatásához szükséges kiegészítő tevékenységeket mutatja be, ilyenek például a kiberbiztonsági kontroll-rendszer monitoringja, az ICS/OT rendszerekkel kapcsolatba kerülő emberekhez kapcsolódó kontrollok (például háttér-ellenőrzések, feladatközök szétválasztása, az új belépők, áthelyezett munkatársak és kilépőkkel kapcsolatos szabályok és folyamatok), valamint a leltár-menedzsment, incidens-kezelés (ismét), beszállítók, alvállalkozók és gyártók munkatársaival kapcsolatos szabályok, eljárások és kontrollok, végül pedig a kiberbiztonsággal kapcsolatos biztosítások.

Bejelentés dátuma: 2023.11.14.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA SystemPlatform 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA Historian 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA Application Server 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA InTouch 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA Enterprise Licensing (korábbi nevén License Manager) version 3.7.002 and prior
- AVEVA Manufacturing Execution System (korábbi nevén Wonderware MES) 2020 P01-es és korábbi verziói;
- AVEVA Recipe Management 2020 R2 Update 1 Patch 2-es és korábbi verziói;
- AVEVA Batch Management 2020 SP1-es és korábbi verziói;
- AVEVA Edge (korábbi nevén Indusoft Web Studio) 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA Worktasks (korábbi nevén Workflow Management) 2020 U2-es és korábbi verziói;
- AVEVA Plant SCADA (korábbi nevén Citect) 2020 R2 Update 15-ös és korábbi verziói;
- AVEVA Mobile Operator (korábbi nevén IntelaTrac Mobile Operator Rounds) 2020 R1-es és korábbi verziói;
- AVEVA Communication Drivers Pack 2020 R2 SP1-es és korábbi verziói;
- AVEVA Telemetry Server 2020 R2 SP1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Execution with Unnecessary Privileges (CVE-2023-33873)/súlyos;
- External Control of File Name or Path (CVE-2023-34982)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-318-01

Bejelentés dátuma: 2023.11.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Safety Instrumented System Workstation v1.2-től v2.00-ig terjedő verziói (a v2.00 már nem érintett);
- ISaGRAF Workbench v6.6.9-től v6.06.10-ig terjedő verziói (a v6.06.10 már nem érintett);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2015-9268)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-318-02

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC PNI V2.0;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-30184)/közepes;
- Out-of-bounds Write (CVE-2022-37434)/kritikus;
- Improper Input Validation (CVE-2022-41032)/súlyos;
- Improper Input Validation (CVE-2023-21808)/súlyos;
- Improper Input Validation (CVE-2023-24895)/súlyos;
- Improper Input Validation (CVE-2023-24897)/súlyos;
- Improper Input Validation (CVE-2023-24936)/súlyos;
- Improper Input Validation (CVE-2023-28260)/súlyos;
- Improper Input Validation (CVE-2023-29331)/súlyos;
- Improper Input Validation (CVE-2023-32032)/közepes;
- Improper Input Validation (CVE-2023-33126)/súlyos;
- Improper Input Validation (CVE-2023-33128)/súlyos;
- Improper Input Validation (CVE-2023-33135)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7-et használó Mendix alkalmazások minden, V7.23.37-nél korábbi verziója;
- Mendix 8-at használó Mendix alkalmazások minden, V8.18.27-nél korábbi verziója;
- Mendix 9-et használó Mendix alkalmazások minden, V9.24.10-nél korábbi verziója;
- Mendix 10-et használó Mendix alkalmazások minden, V10.4.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Capture-Replay (CVE-2023-45794)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- OPC UA Modelling Editor (SiOME) V2.8-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2023-46590)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- COMOS minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2020-25020)/kritikus;
- Path Traversal (CVE-2020-35460)/közepes;
- Out-of-bounds Write (CVE-2022-23095)/súlyos;
- Out-of-bounds Read (CVE-2022-28807)/súlyos;
- Out-of-bounds Read (CVE-2022-28808)/súlyos;
- Out-of-bounds Read (CVE-2022-28809)/súlyos;
- Integer Overflow or Wraparound (CVE-2023-0933)/súlyos;
- Use After Free (CVE-2023-1530)/súlyos;
- Use After Free (CVE-2023-2931)/súlyos;
- Use After Free (CVE-2023-2932)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-22669)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-22670)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-43503)/alacsony;
- Classic Buffer Overflow (CVE-2023-43504)/kritikus;
- Improper Access Control (CVE-2023-43505)/kritikus;
- Improper Access Control (CVE-2023-46601)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS neo V4.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-46096)/közepes;
- SQL Injection (CVE-2023-46097)/közepes;
- Permissive Cross-domain Policy with Untrusted Domains (CVE-2023-46098)/súlyos;
- Cross-site Scripting (CVE-2023-46099)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Desigo CC product family V5.0 minden verziója;
- Desigo CC product family V5.1 minden verziója;
- Desigo CC product family V6 minden verziója;
- Desigo CC product family V7 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Over-Read (CVE-2021-20093)/kritikus;
- Buffer Over-Read (CVE-2021-20094)/súlyos;
- Heap-Based Buffer Overflow (CVE-2023-3935)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Nozomi Guardian-nal/CMC-vel használt RUGGEDCOM APE1808 minden, V22.6.3-nál korábbi illetve 23.1.0 verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2023-2567)/súlyos;
- SQL Injection (CVE-2023-29245)/súlyos;
- Improper Input Validation (CVE-2023-32649)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a sérülékenységek javításán.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Studio Pro 7 V7.23.37-nél korábbi verziói;
- Mendix Studio Pro 8 V8.18.27-nél korábbi verziói;
- Mendix Studio Pro 9 V9.24.0-nál korábbi verziói;
- Mendix Studio Pro 10 V10.3.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-4863)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE XB205-3 (SC, PN) (6GK5205-3BB00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3 (ST, E/IP) (6GK5205-3BB00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3 (ST, E/IP) (6GK5205-3BD00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3 (ST, PN) (6GK5205-3BD00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3LD (SC, E/IP) (6GK5205-3BF00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3LD (SC, PN) (6GK5205-3BF00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB208 (E/IP) (6GK5208-0BA00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB208 (PN) (6GK5208-0BA00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3 (SC, E/IP) (6GK5213-3BD00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3 (SC, PN) (6GK5213-3BD00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3 (ST, E/IP) (6GK5213-3BB00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3 (ST, PN) (6GK5213-3BB00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3LD (SC, E/IP) (6GK5213-3BF00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3LD (SC, PN) (6GK5213-3BF00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB216 (E/IP) (6GK5216-0BA00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB216 (PN) (6GK5216-0BA00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2 (SC) (6GK5206-2BD00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2 (ST/BFOC) (6GK5206-2BB00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2G PoE (6GK5206-2RS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2G PoE (54 V DC) (6GK5206-2RS00-5AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2G PoE EEC (54 V DC) (6GK5206-2RS00-5FC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP (6GK5206-2BS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP EEC (6GK5206-2BS00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP G (6GK5206-2GS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP G (EIP DEF.) (6GK5206-2GS00-2TC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP G EEC (6GK5206-2GS00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC208 (6GK5208-0BA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC208EEC (6GK5208-0BA00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G (6GK5208-0GA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G (EIP def.) (6GK5208-0GA00-2TC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G EEC (6GK5208-0GA00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G PoE (6GK5208-0RA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G PoE (54 V DC) (6GK5208-0RA00-5AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216 (6GK5216-0BA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-3G PoE (6GK5216-3RS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-3G PoE (54 V DC) (6GK5216-3RS00-5AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-4C (6GK5216-4BS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-4C G (6GK5216-4GS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-4C G (EIP Def.) (6GK5216-4GS00-2TC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-4C G EEC (6GK5216-4GS00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC216EEC (6GK5216-0BA00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC224 (6GK5224-0BA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC224-4C G (6GK5224-4GS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC224-4C G (EIP Def.) (6GK5224-4GS00-2TC2) V4.5-nél korábbi verziói;
- SCALANCE XC224-4C G EEC (6GK5224-4GS00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XF204 (6GK5204-0BA00-2GF2) V4.5-nél korábbi verziói;
- SCALANCE XF204 DNA (6GK5204-0BA00-2YF2) V4.5-nél korábbi verziói;
- SCALANCE XF204-2BA (6GK5204-2AA00-2GF2) V4.5-nél korábbi verziói;
- SCALANCE XF204-2BA DNA (6GK5204-2AA00-2YF2) V4.5-nél korábbi verziói;
- SCALANCE XP208 (6GK5208-0HA00-2AS6) V4.5-nél korábbi verziói;
- SCALANCE XP208 (Ethernet/IP) (6GK5208-0HA00-2TS6) V4.5-nél korábbi verziói;
- SCALANCE XP208EEC (6GK5208-0HA00-2ES6) V4.5-nél korábbi verziói;
- SCALANCE XP208PoE EEC (6GK5208-0UA00-5ES6) V4.5-nél korábbi verziói;
- SCALANCE XP216 (6GK5216-0HA00-2AS6) V4.5-nél korábbi verziói;
- SCALANCE XP216 (Ethernet/IP) (6GK5216-0HA00-2TS6) V4.5-nél korábbi verziói;
- SCALANCE XP216EEC (6GK5216-0HA00-2ES6) V4.5-nél korábbi verziói;
- SCALANCE XP216POE EEC (6GK5216-0UA00-5ES6) V4.5-nél korábbi verziói;
- SCALANCE XR324WG (24 x FE, AC 230V) (6GK5324-0BA00-3AR3) V4.5-nél korábbi verziói;
- SCALANCE XR324WG (24 X FE, DC 24V) (6GK5324-0BA00-2AR3) V4.5-nél korábbi verziói;
- SCALANCE XR326-2C PoE WG (6GK5326-2QS00-3AR3) V4.5-nél korábbi verziói;
- SCALANCE XR326-2C PoE WG (without UL) (6GK5326-2QS00-3RR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (24xFE, 4xGE, AC230V) (6GK5328-4FS00-3AR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (24xFE, 4xGE, AC230V) (6GK5328-4FS00-3RR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (24XFE, 4XGE, 24V) (6GK5328-4FS00-2AR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (24xFE, 4xGE,DC24V) (6GK5328-4FS00-2RR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (28xGE, AC 230V) (6GK5328-4SS00-3AR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (28xGE, DC 24V) (6GK5328-4SS00-2AR3) V4.5-nél korábbi verziói;
- SIPLUS NET SCALANCE XC206-2 (6AG1206-2BB00-7AC2) V4.5-nél korábbi verziói;
- SIPLUS NET SCALANCE XC206-2SFP (6AG1206-2BS00-7AC2) V4.5-nél korábbi verziói;
- SIPLUS NET SCALANCE XC208 (6AG1208-0BA00-7AC2) V4.5-nél korábbi verziói;
- SIPLUS NET SCALANCE XC216-4C (6AG1216-4BS00-7AC2) V4.5-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-4203)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- NULL Pointer Dereference (CVE-2023-0216)/súlyos;
- NULL Pointer Dereference (CVE-2023-0217)/súlyos;
- NULL Pointer Dereference (CVE-2023-0401)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2023-2650)/közepes;
- Acceptance of Extraneous Untrusted Data With Trusted Data (CVE-2023-44317)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2023-44318)/közepes;
- Use of Weak Hash (CVE-2023-44319)/közepes;
- Forced Browsing (CVE-2023-44320)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44321)/alacsony;
- Unchecked Return Value (CVE-2023-44322)/alacsony;
- Injection (CVE-2023-44373)/kritikus;
- Unsynchronized Access to Shared Data in a Multithreaded Context (CVE-2023-44374)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W721-1 RJ45 (6GK5721-1FC00-0AA0) minden verziója;
- SCALANCE W721-1 RJ45 (6GK5721-1FC00-0AB0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AA0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AB0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AC0) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AA0) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AA6) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AB0) minden verziója;
- SCALANCE W734-1 RJ45 (USA) (6GK5734-1FX00-0AB6) minden verziója;
- SCALANCE W738-1 M12 (6GK5738-1GY00-0AA0) minden verziója;
- SCALANCE W738-1 M12 (6GK5738-1GY00-0AB0) minden verziója;
- SCALANCE W748-1 M12 (6GK5748-1GD00-0AA0) minden verziója;
- SCALANCE W748-1 M12 (6GK5748-1GD00-0AB0) minden verziója;
- SCALANCE W748-1 RJ45 (6GK5748-1FC00-0AA0) minden verziója;
- SCALANCE W748-1 RJ45 (6GK5748-1FC00-0AB0) minden verziója;
- SCALANCE W761-1 RJ45 (6GK5761-1FC00-0AA0) minden verziója;
- SCALANCE W761-1 RJ45 (6GK5761-1FC00-0AB0) minden verziója;
- SCALANCE W774-1 M12 EEC (6GK5774-1FY00-0TA0) minden verziója;
- SCALANCE W774-1 M12 EEC (6GK5774-1FY00-0TB0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AA0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AA6) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AB0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AC0) minden verziója;
- SCALANCE W774-1 RJ45 (USA) (6GK5774-1FX00-0AB6) minden verziója;
- SCALANCE W778-1 M12 (6GK5778-1GY00-0AA0) minden verziója;
- SCALANCE W778-1 M12 (6GK5778-1GY00-0AB0) minden verziója;
- SCALANCE W778-1 M12 EEC (6GK5778-1GY00-0TA0) minden verziója;
- SCALANCE W778-1 M12 EEC (USA) (6GK5778-1GY00-0TB0) minden verziója;
- SCALANCE W786-1 RJ45 (6GK5786-1FC00-0AA0) minden verziója;
- SCALANCE W786-1 RJ45 (6GK5786-1FC00-0AB0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AA0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AB0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AC0) minden verziója;
- SCALANCE W786-2 SFP (6GK5786-2FE00-0AA0) minden verziója;
- SCALANCE W786-2 SFP (6GK5786-2FE00-0AB0) minden verziója;
- SCALANCE W786-2IA RJ45 (6GK5786-2HC00-0AA0) minden verziója;
- SCALANCE W786-2IA RJ45 (6GK5786-2HC00-0AB0) minden verziója;
- SCALANCE W788-1 M12 (6GK5788-1GD00-0AA0) minden verziója;
- SCALANCE W788-1 M12 (6GK5788-1GD00-0AB0) minden verziója;
- SCALANCE W788-1 RJ45 (6GK5788-1FC00-0AA0) minden verziója;
- SCALANCE W788-1 RJ45 (6GK5788-1FC00-0AB0) minden verziója;
- SCALANCE W788-2 M12 (6GK5788-2GD00-0AA0) minden verziója;
- SCALANCE W788-2 M12 (6GK5788-2GD00-0AB0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TA0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TB0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TC0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AA0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AB0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AC0) minden verziója;
- SCALANCE W1748-1 M12 (6GK5748-1GY01-0AA0) minden verziója;
- SCALANCE W1748-1 M12 (6GK5748-1GY01-0TA0) minden verziója;
- SCALANCE W1788-1 M12 (6GK5788-1GY01-0AA0) minden verziója;
- SCALANCE W1788-2 EEC M12 (6GK5788-2GY01-0TA0) minden verziója;
- SCALANCE W1788-2 M12 (6GK5788-2GY01-0AA0) minden verziója;
- SCALANCE W1788-2IA M12 (6GK5788-2HY01-0AA0) minden verziója;
- SCALANCE WAM763-1 (6GK5763-1AL00-7DA0) minden verziója;
- SCALANCE WAM766-1 (EU) (6GK5766-1GE00-7DA0) minden verziója;
- SCALANCE WAM766-1 (US) (6GK5766-1GE00-7DB0) minden verziója;
- SCALANCE WAM766-1 EEC (EU) (6GK5766-1GE00-7TA0) minden verziója;
- SCALANCE WAM766-1 EEC (US) (6GK5766-1GE00-7TB0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3AA0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3DA0) minden verziója;
- SCALANCE WUM766-1 (EU) (6GK5766-1GE00-3DA0) minden verziója;
- SCALANCE WUM766-1 (US) (6GK5766-1GE00-3DB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-47522)/súlyos;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC MV500-család minden, V3.3.5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2022-23218)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2201 minden, V2201.0010-nél korábbi verziója;
- Tecnomatix Plant Simulation V2302 minden, V2302.0004-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-38070)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38071)/súlyos;
- Out-of-bounds Write (CVE-2023-38072)/súlyos;
- Type Confusion (CVE-2023-38073)/súlyos;
- Type Confusion (CVE-2023-38074)/súlyos;
- Use After Free (CVE-2023-38075)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38076)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIPROTEC 4 7SJ66 minden, V4.41-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2019-12255)/kritikus;
- Classic Buffer Overflow (CVE-2019-12256)/kritikus;
- Session Fixation (CVE-2019-12258)/súlyos;
- NULL Pointer Dereference (CVE-2019-12259)/súlyos;
- Classic Buffer Overflow (CVE-2019-12260)/kritikus;
- Classic Buffer Overflow (CVE-2019-12261)/kritikus;
- Origin Validation Error (CVE-2019-12262)/kritikus;
- Race Condition (CVE-2019-12263)/súlyos;
- Missing Release of Memory after Effective Lifetime (CVE-2019-12265)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap V2301 minden, V2301.0003-nál korábbi verziója;
- Simcenter Femap V2306 minden, V2306.0001-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-41032)/súlyos;
- Out-of-bounds Write (CVE-2023-41033)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- ION8650 minden verziója;
- ION8800 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Download of Code Without Integrity Check (CVE-2023-5984)/súlyos;
- Improper Neutralization of Input During Web Page Generation (CVE-2023-5985)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.11.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Monitoring Expert (PME) 2021-es kiadásának CU2-t megelőző verziói;
- EcoStruxure™ Power Monitoring Expert (PME) 2020-as kiadásának CU3-t megelőző verziói;
- EcoStruxure™ Power Operation 2021-hez használható Advanced Reporting and Dashboards Module 2021-es kiadásának CU2-esnél korábbi verziói;
- EcoStruxure™ Power SCADA Operation (PSO) 2020-hoz vagy 2020 R2-höz használható Advanced Reporting and Dashboards Module 2020-as kiadásának CU3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- URL Redirection to Untrusted Site (CVE-2023-5986)/súlyos;
- Cross-site Scripting (CVE-2023-5987)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.11.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Galaxy VS v6.82-es verziója;
- Galaxy VL v12.21-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-6032)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.11.16.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MACH SSW 5.0-tól 7.17.0.0-ig terjedő verziói;
- MACH SSW 7.10.0.0-tól 7.18.0.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-2621)/közepes;
- Exposure of Resource to Wrong Sphere (CVE-2023-2622)/alacsony;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-320-02

Bejelentés dátuma: 2023.11.16.
Gyártó: Red Lion
Érintett rendszer(ek):
- ST-IPm-8460 6.0.202-es és későbbi firmware-verziói;
- ST-IPm-6350 4.9.114-es és későbbi firmware-verziói;
- VT-mIPm-135-D 4.9.114-es és későbbi firmware-verziói;
- VT-mIPm-245-D 4.9.114-es és későbbi firmware-verziói;
- VT-IPm2m-213-D 4.9.114-es és későbbi firmware-verziói;
- VT-IPm2m-113-D 4.9.114-es és későbbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass using an Alternative Path or Channel (CVE-2023-42770)/kritikus;
- Exposed Dangerous Method or Function (CVE-2023-40151)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-320-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A dán SektorCERT elemzése szerint 2023. május 11-én összesen 16 villamosenergia céget ért kibertámadás (11-et sikeres, 5-öt sikertelen támadás). Az esetről a dán SektorCERT publikált egy igen alapos, 32 oldalas összefoglalót, amiből a legérdekesebb részeket gyűjtöttem ki.

A támadók a célba vett szervezetek által használt Zyxel tűzfalakban megtalálható, CVE-2023-28771 azonosítójú, kritikus besorolású sérülékenységet használták ki ahhoz, hogy bejussanak az érintett cégek hálózataiba. Az első igazán érdekes részlete az incidenseknek, hogy a SektorCERT-es kollégák szerint a támadók valamilyen nem publikus forrásból tudhatták, hogy melyik cégek használják az érintett Zyxel tűzfalakat, mert ezt az információt publikus forrásokból (pl. Shodan vagy Censys keresőket használva) nem lehetett megszerezni és jelenleg nincs is értékelhető magyarázatuk arra, hogy a támadók honnan tudták, hogy milyen tűzfalak elleni támadásra kell felkészülniük.

A másik kiemelt részlet az elemzésben az egyszerre megtámadott szervezetek nagy száma, ami jelentős erőforrásokat és koordinációt igényel a támadók oldaláról. Emellett viszont vitathatatlan előny a támadók számára, hogy ilyen módon az első támadásról szóló információk nem tudja figyelmeztetni a többi, megtámadni szervezetet. Ráadásul így a SektorCERT-nek egyszer nem egy, hanem 16 incidens kezelését kellett elvégeznie/koordinálnia (ezt már ugyan én teszem hozzá, hogy meglehetősen irigylésre méltónak tartom azt, hogy a dán villamosenergia-szektor CERT-jének van arra erőforrása, hogy egyidőben 16 incidenst vizsgáljon és csökkentse a károk mértékét - szeretném én ennek a képességnek és tapasztalatnak akár csak a felét vagy negyedét látni a hazai környezetben...)

A támadás második hulláma május 22-én indult. Jelenleg nem lehet tudni, hogy a 22-i támadás(ok?)ért ugyanaz a támadói csoport felelős, mint a 11-i támadásért vagy egy teljesen másik csoport, de a SektorCERT munkatársai arra következtetnek, hogy feltehetően két csoport állhat a két támadás mögött.

A második támadás kiindulópontja ismét egy tűzfal volt, ami egy szoftverletöltés után úgy kezdett viselkedni, mint a Mirai botnet által fertőzött számítógépek. 22-én még nem lehetett tudni, hogy a támadók ezúttal milyen sérülékenységen keresztül kompromittálták a tűzfalat, aztán május 24-én a Zyxel két új sérülékenységről (CVE-2023-33009 és CVE-2023-33010) publikált részleteket. A SektorCERT elemzőinek oka van feltételezni, hogy a támadóknak tudomásuk lehetett a fenti két sérülékenységről még azok publikálása előtt.

A támadások május 23-án is folytatódtak és újabb szervezethez tudtak betörni a támadók, aminek a hálózatából brute force SSH-támadást indítottak egy kanadai cég rendszerei ellen, mielőtt a SektorCERT és a dán cég ki tudták volna zárni a támadókat a dán villamosenergia cég rendszereiből.

24-én több újabb céget ért támadás, ezeket a támadásokat elemezve a SektorCERT munkatársai újabb részleteket tudtak megfigyelni a támadók módszereiről. Aznap esti riasztások alapján a SektorCERT okkal feltételezi, hogy a támadások legalább egy részéért a Sandworm nevű, GRU/GU-hoz köthető orosz APT csoport lehet a felelős.

25-én újabb támadások történtek, amik megerősítették a SektorCERT munkatársait abbéli feltételezésükben, hogy a támadásokat a Sandworm hajtja végre.

Ez az események lényege, a fent hivatkozott dokumentumban még számos következtetést és ajánlást adott közre a SektorCERT, amiket mindenkinek, aki kritikus infrastruktúrák kiberbiztonságával foglalkozik, hasznos lehet elolvasni és végiggondolni, mit és hogyan tudnának a saját rendszereikre vonatkozóan alkalmazni.

Bejelentés dátuma: 2023.10.30.
Gyártó: ABB
Érintett rendszer(ek):
- ABB COM600 4.x és 5.x verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial-of-service (CVE-2022-47378)/közepes;
- Out-of-bounds Write (CVE-2022-47379)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47380)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47381)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47382)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47383)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47384)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47385)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47386)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47387)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47388)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47389)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47390)/súlyos;
- Denial-of-service (CVE-2022-47391)/súlyos;
- Denial-of-service (CVE-2022-47392)/közepes;
- Untrusted Pointer Dereference (CVE-2022-47393)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.11.07.
Gyártó: General Electric
Érintett rendszer(ek):
- MiCOM S1 Agile minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2023-0898)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-311-01

Bejelentés dátuma: 2023.11.09.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Quantum HD Unity Compressor control panels (Q5) minden, v11.22-nél korábbi verziója;
- Quantum HD Unity Compressor control panels (Q6) minden, v12.22-nél korábbi verziója;
- Quantum HD Unity AcuAir control panels(Q5) minden, v11.12-nél korábbi verziója;
- Quantum HD Unity AcuAir control panels(Q6) minden, v12.12-nél korábbi verziója;
- Quantum HD Unity Condenser/Vessel control panels (Q5) minden, v11.11-nél korábbi verziója;
- Quantum HD Unity Condenser/Vessel control panels (Q6) minden, v12.11-nél korábbi verziója;
- Quantum HD Unity Evaporator control panels (Q5) minden, v11.11-nél korábbi verziója;
- Quantum HD Unity Evaporator control panels (Q6) minden, v12.11-nél korábbi verziója;
- Quantum HD Unity Engine Room control panels (Q5) minden, v11.11-nél korábbi verziója;
- Quantum HD Unity Engine Room control panels (Q6) minden, v12.11-nél korábbi verziója;
- Quantum HD Unity Interface control panels (Q5) minden, v11.11-nél korábbi verziója;
- Quantum HD Unity Interface control panels (Q6) minden, v12.11-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Active Debug Code (CVE-2023-4804)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-313-01

Bejelentés dátuma: 2023.11.09.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- eSOMS v6.3.13-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Generation of Error Message Containing Sensitive Information (CVE-2023-5514)/közepes;
- Exposure of Sensitive System Information to an Unauthorized Control Sphere (CVE-2023-5515)/közepes;
- Exposure of Sensitive System Information to an Unauthorized Control Sphere (CVE-2023-5516)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-313-02

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Úgy tűnik, Alphv/BlackCat ransomware-támadás érte a Japan Aviation Electronics nevű gyártó rendszereit. A JAE weboldalán közzétett információk szerint az incidens november 2-án történt. A JAE állítása szerint a támadók nem tudtak fájlokat letölteni a rendszereikből, de az Alphv/BlackCat csoport szerint kb. 150.000 cim-nelkul_323678dokumentumot szereztek meg.

Az incidensről én a SecurityWeek oldalán olvastam: https://www.securityweek.com/japan-aviation-electronics-targeted-in-ransomware-attack/

Bejelentés dátuma: 2023.10.31.
Gyártó: Zavio
Érintett rendszer(ek):
- CF7500 M2.1.6.05-ös verziója;
- CF7300 M2.1.6.05-ös verziója;
- CF7201 M2.1.6.05-ös verziója;
- CF7501 M2.1.6.05-ös verziója;
- CB3211 M2.1.6.05-ös verziója;
- CB3212 M2.1.6.05-ös verziója;
- CB5220 M2.1.6.05-ös verziója;
- CB6231 M2.1.6.05-ös verziója;
- B8520 M2.1.6.05-ös verziója;
- B8220 M2.1.6.05-ös verziója;
- CD321 M2.1.6.05-ös verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-3959)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-45225)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-43755)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-39435)/súlyos;
- OS Command Injection (CVE-2023-4249)/súlyos;
Javítás: Nincs, az érintett termékek elérték életciklusuk végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-304-03

Bejelentés dátuma: 2023.10.31.
Gyártó: INEA
Érintett rendszer(ek):
- Inea ME RTU 3.36b és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2023-35762)/kritikus;
- Improper Authentication (CVE-2023-29155)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-304-02

Bejelentés dátuma: 2023.11.01.
Gyártó: Moxa
Érintett rendszer(ek):
- Moxa EDR-810 sorozatú eszközök v5.12.28-as és korábbi verziói;
- Moxa EDR G902 sorozatú eszközök v5.7.20-as és korábbi verziói;
- Moxa EDR G903 sorozatú eszközök v5.7.20-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Copy Without Checking Size of Input (CVE-2023-4452)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2023.11.01.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort 6000 sorozatú eszközök v1.21-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Authentication Mechanism (CVE-2023-5627)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2023.11.02.
Gyártó: Moxa
Érintett rendszer(ek):
- Moxa PT-G503 sorozatú eszközök 5.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2015-9251)/közepes;
- Cross-site Scripting (CVE-2020-11022)/közepes;
- Cross-site Scripting (CVE-2020-11023)/közepes;
- Prototype Pollution (CVE-2019-11358)/közepes;
- Inadequate Encryption Strength (CVE-2005-4900)/közepes;
- Sensitive Cookie Without 'HttpOnly' Flag (CVE-2023-4217)/alacsony;
- Sensitive Cookie in HTTPS Session Without 'Secure' Attribute (CVE-2023-5035)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2023.11.02.
Gyártó: Franklin Fueling System
Érintett rendszer(ek):
- TS-550 minden, 1.9.23.8960-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Password Hash with Insufficient Computational Effort (CVE-2023-5846)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-306-04

Bejelentés dátuma: 2023.11.02.
Gyártó: Red Lion
Érintett rendszer(ek):
- Crimson v3.2.0053.18-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Neutralization of Null Byte or NUL Character (CVE-2023-5719)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-306-01

Bejelentés dátuma: 2023.11.02.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC-F sorozatú eszközök FX3U-xMy/z x=16,32,48,64,80,128, y=T,R, z=ES,ESS,DS,DSS minden verziója;
- MELSEC-F sorozatú eszközök FX3U-32MR/UA1, FX3U-64MR/UA1 minden verziója;
- MELSEC-F sorozatú eszközök FX3U-32MS/ES, FX3U-64MS/ES minden verziója;
- MELSEC-F sorozatú eszközök FX3U-xMy/ES-A x=16,32,48,64,80,128, y=T,R minden verziója;
- MELSEC-F sorozatú eszközök FX3UC-xMT/z x=16,32,64,96, z=D,DSS minden verziója;
- MELSEC-F sorozatú eszközök FX3UC-16MR/D-T, FX3UC-16MR/DS-T minden verziója;
- MELSEC-F sorozatú eszközök FX3UC-32MT-LT, FX3UC-32MT-LT-2 minden verziója;
- MELSEC-F sorozatú eszközök FX3UC-16MT/D-P4, FX3UC-16MT/DSS-P4 minden verziója;
- MELSEC-F sorozatú eszközök FX3G-xMy/z x=14,24,40,60, y=T,R, z=ES,ESS,DS,DSS minden verziója;
- MELSEC-F sorozatú eszközök FX3G-xMy/ES-A x=14,24,40,60, y=T,R minden verziója;
- MELSEC-F sorozatú eszközök FX3GC-32MT/D, FX3GC-32MT/DSS minden verziója;
- MELSEC-F sorozatú eszközök FX3GE-xMy/z x=24,40, y=T,R, z=ES,ESS,DS,DSS minden verziója;
- MELSEC-F sorozatú eszközök FX3GA-xMy-CM x=24,40,60, y=T,R minden verziója;
- MELSEC-F sorozatú eszközök FX3S-xMy/z x=10,14,20,30, y=T,R, z=ES,ESS,DS,DSS minden verziója;
- MELSEC-F sorozatú eszközök FX3S-30My/z-2AD y=T,R, z=ES,ESS minden verziója;
- MELSEC-F sorozatú eszközök FX3SA-xMy-CM x=10,14,20,30, y=T,R minden verziója;
- MELSEC iQ-F sorozatú eszközök FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS minden verziója;
- MELSEC iQ-F sorozatú eszközök FX5UC-xMy/z x=32,64,96, y=T, z=D,DSS minden verziója;
- MELSEC iQ-F sorozatú eszközök FX5UC-32MT/DS-TS, FX5UC-32MT/DSS-TS, FX5UC-32MR/DS-TS minden verziója;
- MELSEC iQ-F sorozatú eszközök FX5UJ-xMy/z x=24,40,60, y=T,R, z=ES,ESS,DS,DSS minden verziója;
- MELSEC iQ-F sorozatú eszközök FX5UJ-xMy/ES-A x=24,40,60, y=T,R minden verziója;
- MELSEC iQ-F sorozatú eszközök FX5S-xMy/z x=30,40,60,80, y=T,R, z=ES,ESS minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2023-4699)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-306-03

Bejelentés dátuma: 2023.11.02.
Gyártó: Weintek
Érintett rendszer(ek):
- EasyBuilder Pro v6.07.02-nél korábbi verziói;
- EasyBuilder Pro 6.08.01.592-nél korábbi verziói;
- EasyBuilder Pro 6.08.02.470-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2023-5777)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-306-05

Bejelentés dátuma: 2023.11.02.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS (17X**** és későbbi sorozatszámú) eszközök minden verziója;
- FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS (179**** és későbbi sorozatszámú) eszközök 1.060-as és későbbi verziói;
- FX5UC-xMy/z x=32,64,96, y=T, z=D,DSS (17X**** és későbbi sorozatszámú) eszközök minden verziója;
- FX5UC-xMy/z x=32,64,96, y=T, z=D,DSS (179**** és későbbi sorozatszámú) eszközök 1.060-as és későbbi verziói;
- FX5UC-32MT/DS-TS, FX5UC-32MT/DSS-TS, FX5UC-32MR/DS-TS eszközök minden verziója;
- FX5UJ-xMy/z x=24,40,60, y=T,R, z=ES,DS,ESS,DSS eszközök minden verziója;
- FX5UJ-xMy/ES-A* x=24,40,60, y=T,R eszközök minden verziója;
- FX5S-xMy/z x=30,40,60,80*, y=T,R, z=ES,ESS eszközök minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2023-4625)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-306-02

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A modern villamosenergia-rendszer méltatlanul elhanyagolt részei az alállomások - mármint kiberbiztonsági szempontból, mert a hagyományos erőművek esetén az ICS/OT rendszerek biztonsága olyan, amilyen, a nukleáris erőművek kiberbiztonsága pedig egy teljesen más szinten mozog. Viszont az alállomások automatizálási rendszereit jellemzően még mindig villamosmérnökök tervezik és építik és csak elvétve vonják be ezekben a feladatokba a kiberbiztonsági szakembereket. Ennek oka főként a még mindig szilárdan álló tévhit, ami szerint az alállomásokon használt berendezések nem érintetettek az átlagos kiberbiztonsági sérülékenységek terén, pedig én is számos olyan esetet ismerek, amikor az ilyen alállomási eszközökben teljesen átlagos IT komponensekben talált sérülékenységeket kihasználva sikerült bejutni, majd adminisztrátori jogosultságot szerezni. Az Interneten pedig szabadon elérhetőek a legtöbb alállomási automatizálásban használt eszköz kézikönyvei, amiket elolvasva viszonylag könnyen meg lehet tanulni ezeknek a berendezéseknek a használatát és konfigurációját.

Ez tehát a helyzet jelenleg, de mit tehetünk (tehetnek az illetékesek) annak érdekében, hogy a mostani, nem éppen jó helyzeten javítani lehessen? Néhány alapvető intézkedéssel meglehetősen hatékonyan lehet csökkenteni a villamosenergia-rendszer alállomási folyamatirányító rendszereinek kockázatait:

Alállomási eszközleltár

Régóta axióma az IT biztonság területén az, hogy amiről nem tudunk, azt megvédeni sem tudjuk. Ugyanígy igaz ez az ICS/OT biztonság területén is és így az alállomási rendszerekre vonatkozóan is. Ráadásul az alállomások távkezelésének terjedésével a villamosmérnök kollégáknál ezek az eszközleltárok valamilyen (általában némileg kezdetleges formában, táblázatkezelőket használva) formában már rendelkezésre állnak. Ezek a táblázatos formák ugyan esetleges adattartalommal rendelkeznek és nehézkes lehet a használatuk, de a semminél mindenképp jobbak. Minden esetre egy olyan szervezetnek, ami alállomásokat üzemeltet és több ezer vagy tízezer Eurós berendezésekből építi fel ezeket az alállomásokat, nem gondolom, hogy pont egy normális eszköznyilvántartó szoftver licencén kéne spórolnia.

Védekezés-szempontú hálózat- és rendszerarchitektúra tervezés

A védekezés- (vagy védelem-) szempontú hálózat- és architektúra tervezés első és talán legfontosabb része a megfelelő hálózatszegmentálás. Ez azt jelenti, hogy a teljes folyamatirányítási rendszereket tartalmazó hálózat ne egyetlen nagy hálózat legyen, hanem legyenek szétválasztva a folyamatirányító rendszer, egyes logikailag különállóként kezelhető egységei (pl. SCADA/DCS rendszer szerverei egy hálózati szegmensben, az operátori és mérnöki munkállomások egy másik szegmens, az RTU-k, PLC-k és egyéb kontrollerek egy újabb hálózati zóna, stb). Ehhez fel lehet használni kiindulási alapnak a Purdue-modellt, bár egyre több (főleg OT irányból érkező) OT biztonsági szakértőtől (főleg amerikaiktól) lehet arról hallani/olvasni, hogy a Purdue egy referencia-architektúra modell és nem egy-az-egyben, tervrajzként kéne használni a folyamatirányító rendszerek hálózatszegmentációjának tervezése során.

Az architektúra tervezés másik lépése az egyes számítógépek és egyéb komponensek (RTU-k, PLC-k, stb.) biztonságának tervezése és megvalósítása, beleértve a hardening-et is.

ICS/OT hálózatmonitoring

Ahogy az IT biztonság terén, úgy az OT biztonság esetén is igaz, hogy a hatékony védekezéshez tudnunk kell, mi történik az adott rendszerekben és hálózatokban. Ennek az egyik leghatékonyabb módja a hálózati forgalom felügyelete (a folyamatiránytó rendszer hostjainak felügyelete mellett), amihez célszerű az IT/információbiztonsági területen már hosszú ideje használt SIEM megoldások mellett a kifejezetten OT hálózatmonitoring megoldásként fejlesztett rendszerek közül választani egyet. Ezek a rendszerek, szemben az IT biztonsági megoldásokkal szemben számos ICS/OT-specifikus protokollt is ismernek és képesek figyelni az ezen prokollok felhasználásával folytatott hálózati kommunikációkban látható anomáliák észlelésére.

Nagyon fontos hangsúlyozni, hogy az OT hálózatbiztonsági megoldások nem váltják ki az IT biztonsági megoldásokat, hanem kiegészítik azokat. Mivel az OT rendszerekben egyre kiegyensúlyozottabban keverednek az IT és OT komponensek, ezért látható és belátható, hogy mindkét terület megoldásaira szükség lehet ahhoz, hogy az elvárt szintű hálózatbiztonsági monitoringot az ICS/OT hálózatokban biztosítani lehessen.

Biztonságos távoli hozzáférés-menedzsment

A távoli hozzáférések terén az egyik utolsó terület volt a folyamatirányító rendszereké, ami "elesett a harcban", de ma már egyáltalán nem számít rendkívülinek, hogy az adott folyamatirányító rendszert vagy alállomási automatizálási eszközt távolról konfigurálják a szervezet belsős mérnökei vagy a gyártó támogató szakemberei. Az is mindennapossá vált, hogy egy ezek a szakemberek nemhogy nem az adott országban vannak, de még csak nem is ugyanazon a kontinensen dolgoznak, mint ahol az érintett rendszer működik. Figyelembe véve a mind nagyobb hiányt a képzett és tapasztalt munkaerőben, nem várható, hogy ebben bármikor a belátható jovőben pozitív irányú változások jönnének, így ezzel a helyzettel együtt kell élnünk és ezt kell megfelelően biztonságossá tenni. Ehhez szerintem két kulcs tényező, megoldás már a szervezetek rendelkezésére áll és többnyire már használják is ezeket (legalább is az IT területen meglehetősen elterjedtek).

2 vagy több (Multi-) Faktor Authentikáció: Sok éve hallgatjuk már az IT/információbiztonság világában, hogy a felhasználónév/jelszó-alapú authentikáció nem kellőképpen biztonságos, a különböző IT biztonsági megoldásokat gyártó cégeken túl már olyan szoftveróriások, mint pl. Microsoft is sok éve ajánlja ügyfeleinek a különböző 2 vagy többfaktoros authentikációs megoldásokat. Az elmúlt néhány évben már ezen is túllépve a jelszómentes authentikációt, mint biztonságos authentikációs megoldást népszerűsítik ahhoz, hogy a felhasználó egyáltalán távolról, az Internetet használva csatlakozzon VPN-kapcsolaton a szervezet belső hálózatához.

Privilégizált felhasználó menedzsment (Privileged User and Access Management) megoldások

A privilégizált felhasználó menedzsment megoldások szintén eredetileg az IT rendszerekben kezdték pályafutásukat, de az OT rendszerek egy része esetén ugyanolyan jól lehet használni őket, mint az IT rendszerek esetén. Még inkább igaz ez azóta, hogy egyre több alállomási automatizálási rendszerben jelenik meg a webes menedzsment/konfigurációs felület, amihez a legtöbb PUAM megoldás képes natív hozzáférést biztosítani. A privilégizált felhasználómenedzsment rendszerek számos biztonsági kontrollt tudnak biztosítani, többek között 2FA/MFA megoldásokkal is integrálhatóak, ezzel is tovább fokozva az OT rendszerek biztonságát.

Kockázatalapú sérülékenység-menedzsment

A sérülékenységek kezelése és ennek keretében a hibajavítások (patch-ek) telepítése nagyon régóta az OT rendszerek egyik leginkább neuralgikus pontja. Különösen igaz ez az alállomásokon használt berendezések esetén, hiszen ezekre patch-et telepíteni a legenyhébb megfogalmazás esetén sem "szokás", jobb esetben a rendszerek 10-15-20 éves életciklusa során talán egy, maximum két alkalommal cserélik a rajtuk futó firmware-t, de még ez sem 100%-ig biztos. A probléma ezzel az, hogy mindezt az elmaradó intézkedés és az adott sérülékenység okozta kockázatok értékelése és ismerete nélkül szokták eldönteni, ami ugyan lehetséges, de nem kifejezetten bölcs gyakorlat.

Ahogy az ICS/OT biztonság esetében oly sokszor, itt is a kompromisszumos megoldás lehet a célravezető, vagyis az egyes, alállomási berendezéseket érintő sérülékenységek esetén érdemes egy kockázatelemzés során értékelni, hogy az adott sérülékenység az érintett alállomási automatizálási berendezések esetén milyen kockázatnövekedést okoz és ennek a kockázatelemzésnek az eredménye alapján hozhatja meg az adott folyamat- vagy rendszergazda a döntést az egyes patch-ek telepítésének idejéről vagy kihagyásáról.

ICS/OT-specifikus incidens-kezelési tervek

Az incidenskezelés IT biztonsági rendszerek esetén sem egyszerű művelet, ami több, különböző szakterület képviselőinek hatékony együttműködését igényli. Ez (is) fokozottan igaz, amikor ICS/OT rendszerekkel kapcsolatos incidenst kell elhárítani, ebben az esetben a "szokásos" résztvevőkön (kiberbiztonsági elemzők, incidenskezelési vezető, a szervezet felsővezetői, HR és kommunikációs szakemberek/vezetők mellett elengedhetetlen az OT hálózat szakértőinek/üzemeltetőinek és a fizikai folyamatvezérlést elejétől a végéig alaposan ismerős mérnökök (jellemzően villamosmérnökök, gépészmérnökök, vegyészmérnökök, stb.) bevonása. Ráadásul az IT biztonsági incidenskezelésben hosszú évek alatt kidolgozott eljárások sem alkalmazhatóak egy az egyben egy ICS/OT biztonsági incidens során, ipari területen számos dolgot máshogy kell csinálni, mások a prioritások. Vegyünk például egy vírusfertőzött számítógépet az OT hálózaton (egy SCADA/DCS szervert vagy operátori/mérnöki munkaállomást). IT környezetben a malware-fertőzött számítógép leválasztása a hálózatról az egyik első és leginkább időkritikus tevékenység, hogy meg lehessen előzni a malware továbbterjedését a hálózaton. Ezzel szemben egy ICS/OT eszköz malware-fertőzése esetén az első kérdés, amit meg kell válaszolni, hogy a kártékony kód jelenlétének van-e hatása a fizikai folyamatvezérlésre. Itt nem csak egy Stuxnet-szerű működésre kell gondolni, de arra is, hogy vajon a malware jelenléte és működése okozhat-e üzembiztonsági vagy performancia-problémát a fertőzött host folyamatirányításban betöltött funkciójára nézve? Ha a vizsgálat eredménye az, hogy nincs ilyen érezhető hatás, akkor bizony még az előfordulhat, hogy a helyes döntés az, hogy a malware-fertőzött hostot a hálózaton hagyjuk és engedjük tovább működni addig, amíg egy karbantartás során a fizikai folyamatok vezérlésének megzavarása nélkül el lehet távolítani a kártékony kódot. Ez csak egy példa, de talán már ebből is látszik, hogy mennyire különböző célok és prioritások mentén mennyire más lehet egy ICS/OT rendszer/környezet esetében az incidensek kezelése - és akkor az alállomási automatizálási berendezésekkel kapcsolatos incidenskezelését még nem is érintettük...

Még év elején, az S4x23 konferencián volt egy előadás, amint az INL munkatársa, Andy Bochman tartott a címben írt témáról. Az előadás azzal a kérdéssel indul, hogy vajon az ICS/OT kiberbiztonsági kockázatokra koncentrálás vajon azt is eredményezi, hogy elmulasztjuk a klímaváltozás okozta kockázatok megfelelő kezelését? Pedig (ahogy láthattuk, akár az elmúlt nyáron is, itt, Magyarországon illetve Európa számos vidékén) a klímaváltozás okozta problémák (túl kevés víz, túl sok víz, erdőtüzek, hőhullámok és még sok más időjárási jelenség) pedig közvetett vagy közvetlen hatással lehetnek például a villamosenergia-rendszer működőképességére illetve teljesítményére is.

Az előadásában Andy Bochman egy újfajta megközelítést mutat be, ami egyszerre tartalmaz fizikai biztonsági, kiberbiztonsági és villamosenergetikai részleteket.

Az előadás felvétele itt érhető el: https://www.youtube.com/watch?v=4GsZo-6tyhQ

Bejelentés dátuma: 2023.10.12.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC-F sorozatú eszközök FX3U-xMy/z x=16,32,48,64,80,128, y=T,R, z=ES,ESS,DS,DSS minden verziója;
- MELSEC-F sorozatú eszközök FX3U-32MR/UA1, FX3U-64MR/UA1 minden verziója;
- MELSEC-F FX3U-32MS/ES, FX3U-64MS/ES minden verziója;
- MELSEC-F FX3U-xMy/ES-A x=16,32,48,64,80,128, y=T,R minden verziója;
- MELSEC-F FX3UC-xMT/z x=16,32,64,96, z=D,DSS minden verziója;
- MELSEC-F FX3UC-16MR/D-T, FX3UC-16MR/DS-T minden verziója;
- MELSEC-F FX3UC-32MT-LT, FX3UC-32MT-LT-2 minden verziója;
- MELSEC-F FX3UC-16MT/D-P4, FX3UC-16MT/DSS-P4 minden verziója;
- MELSEC-F FX3G-xMy/z x=14,24,40,60, y=T,R, z=ES,ESS,DS,DSS minden verziója;
- MELSEC-F FX3G-xMy/ES-A x=14,24,40,60, y=T,R minden verziója;
- MELSEC-F FX3GC-32MT/D, FX3GC-32MT/DSS minden verziója;
- MELSEC-F FX3GE-xMy/z x=24,40, y=T,R, z=ES,ESS,DS,DSS minden verziója;
- MELSEC-F FX3GA-xMy-CM x=24,40,60, y=T,R minden verziója;
- MELSEC-F FX3S-xMy/z x=10,14,20,30, y=T,R, z=ES,ESS,DS,DSS minden verziója;
- MELSEC-F FX3S-30My/z-2AD y=T,R, z=ES,ESS minden verziója;
- MELSEC-F FX3SA-xMy-CM x=10,14,20,30, y=T,R minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-4562)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-285-13

Bejelentés dátuma: 2023.10.12.
Gyártó: Advantech
Érintett rendszer(ek):
- Advantech WebAccess 9.1.3-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-4215)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-285-15

Bejelentés dátuma: 2023.10.17.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Linx v6.20-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2023-29464)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-290-02

Bejelentés dátuma: 2023.10.24.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Stratix 5800 (Cisco IOS XE Software-t futtató változatai engedélyezett Web UI funkcióval) minden verziója;
- Stratix 5200 (Cisco IOS XE Software-t futtató változatai engedélyezett Web UI funkcióval) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Unprotected Alternate Channel (CVE-2023-20198)/kritikus;
Javítás: A gyártó kockázatcsökkentő intézekdések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-297-01

Bejelentés dátuma: 2023.10.26.
Gyártó: Sielco
Érintett rendszer(ek):
- Analog FM transmitter: 2.12 (EXC5000GX);
- Analog FM transmitter: 2.12 (EXC120GX);
- Analog FM transmitter: 2.11 (EXC300GX);
- Analog FM transmitter: 2.10 (EXC1600GX);
- Analog FM transmitter: 2.10 (EXC2000GX);
- Analog FM transmitter: 2.08 (EXC1600GX);
- Analog FM transmitter: 2.08 (EXC1000GX);
- Analog FM transmitter: 2.07 (EXC3000GX);
- Analog FM transmitter: 2.06 (EXC5000GX);
- Analog FM transmitter: 1.7.7 (EXC30GT);
- Analog FM transmitter: 1.7.4 (EXC300GT);
- Analog FM transmitter: 1.7.4 (EXC100GT);
- Analog FM transmitter: 1.7.4 (EXC5000GT);
- Analog FM transmitter: 1.6.3 (EXC1000GT);
- Analog FM transmitter: 1.5.4 (EXC120GT);
- Radio Link: 2.06 (RTX19);
- Radio Link: 2.05 (RTX19);
- Radio Link: 2.00 (EXC19);
- Radio Link: 1.60 (RTX19);
- Radio Link: 1.59 (RTX19);
- Radio Link: 1.55 (EXC19);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-42769)/kritikus;
- Cross-Site Request Forgery (CVE-2023-45317)/súlyos;
- Improper Access Control (CVE-2023-45228)/közepes;
- Privilege Defined with Unsafe Actions (CVE-2023-41966)/alacsony;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-08

Bejelentés dátuma: 2023.10.26.
Gyártó: Dingtian
Érintett rendszer(ek):
- DT-R002 relay board 3.1.276A verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Capture-Replay (CVE-2022-29593)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-01

Bejelentés dátuma: 2023.10.26.
Gyártó: Centralite
Érintett rendszer(ek):
- Pearl Thermostat 0x04075010 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2023-24678)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-02

Bejelentés dátuma: 2023.10.26.
Gyártó: Ashlar-Vellum
Érintett rendszer(ek):
- Cobalt v12 SP0 Build (1204.77) és korábbi verziói;
- Graphite v13.0.48 és korábbi verziói;
- Xenon v12 SP0 Build (1204.77) és korábbi verziói;
- Argon v12 SP0 Build (1204.77) és korábbi verziói;
- Lithium v12 SP0 Build (1204.77) és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-Bounds Write (CVE-2023-39427)/súlyos;
- Out-of-Bounds Read (CVE-2023-39936)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-03

Bejelentés dátuma: 2023.10.26.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Arena szimulációs szoftver 16.20.00001-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-Bounds Read (CVE-2023-27854)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-27858)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-04

Bejelentés dátuma: 2023.10.26.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View Site Edition V11.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2023-46289)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-05

Bejelentés dátuma: 2023.10.26.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Services Platform v2.74-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-46290)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-06

Bejelentés dátuma: 2023.10.26.
Gyártó: Sielco
Érintett rendszer(ek):
- PolyEco1000: CPU:2.0.6 FPGA:10.19;
- PolyEco1000: CPU:1.9.4 FPGA:10.19;
- PolyEco1000: CPU:1.9.3 FPGA:10.19;
- PolyEco500: CPU:1.7.0 FPGA:10.16;
- PolyEco300: CPU:2.0.2 FPGA:10.19;
- PolyEco300: CPU:2.0.0 FPGA:10.19;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Session Fixation (CVE-2023-0897)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2023-5754)/kritikus;
- Improper Access Control (CVE-2023-46661)/kritikus;
- Improper Access Control (CVE-2023-46662)/súlyos;
- Improper Access Control (CVE-2023-46663)/súlyos;
- Improper Access Control (CVE-2023-46664)/súlyos;
- Improper Access Control (CVE-2023-46665)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-299-07

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A mai poszt tárgyát a Control Loop podcast-sorozat 31. része fogja képezni. Az adott epizód három témát ölel fel, ezekből engem Mea Clift, a Woodard&Curran munkatársának OT biztonsági mentorálásról, szakmai gyakornoki programokról és gyakornoki képzésekről szóló gondolatai késztettek arra, hogy ez a poszt erre a témára hívja fel a figyelmet. A podcast itt érhető el: https://thecyberwire.com/podcasts/control-loop/31/notes