Gondolom a rendszeres olvasóimnak (annak a néhánynak) nem sok újat mondok azzal, hogy az ICS/OT rendszerek esetén a katasztrófa-elhárítási tervek sem pont ugyanúgy néznek ki, mint amit az IT rendszereknél sokan megszokhattak.

Az OT környezetek katasztrófa-helyreállítási sajátosságairól tartott előadást a Honeywell egyik munkatársa, Mashirova Saltanat.

Az OT rendszerek (erről is számtalanszor szó volt már), soha nem választhatóak el az általuk vezérelt fizikai folyamatoktól és azok biztonságától (process safety). Az OT DRP is innen indul, erről is beszél Mashirova az előadásában, ahol különböző szintű veszélyes forgatókönyveket, helyreállítási forgatókönyveket mutat be, az egyes, SIS (safety) rendszerek leállítási szintjeihez párosítva.

Az előadás másik nagyon fontos gondolata, hogy az OT DRP folyamatoknak mennyire összetett folyamatok, mennyi részletet kell ismerni az OT (és kapcsolódó IT) rendszerek összefüggéseiről, függőségeiről és ezeket milyen sorrendben kell (és lehet) újraindítani és erre vonatkozóan példákat is vázol, amik legalább is segíthetnek elkezdeni a gondolkodást egy saját OT rendszerre vonatkozó DRP kidolgozására.

Az előadás teljes fevétele a YouTube-on az S4 Events csatornán érhető el: https://www.youtube.com/watch?v=zjwUwGa3rLw&t=135s&ab_channel=S4Events

Bejelentés dátuma: 2024.10.14.
Gyártó: Moxa
Érintett rendszer(ek):
- EDR-8010 sorozatú eszközök 3.12.1-es és korábbi firmware-verziói;
- EDR-G9004 sorozatú eszközök 3.12.1-es és korábbi firmware-verziói;
- EDR-G9010 sorozatú eszközök 3.12.1-es és korábbi firmware-verziói;
- EDR-G1002-BP sorozatú eszközök 3.12.1-es és korábbi firmware-verziói;
- NAT-102 sorozatú eszközök 1.0.5-ös és korábbi firmware-verziói;
- OnCell G4302-LTE4 sorozatú eszközök 3.9-es és korábbi firmware-verziói;
- TN-4900 sorozatú eszközök 3.6-os és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2024-9137)/kritikus;
- OS Command Injection (CVE-2024-9139)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.10.17.
Gyártó: Elvaco
Érintett rendszer(ek):
- CMe3100 1.12-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2024-49396)/súlyos;
- Cross-site Scripting (CVE-2024-49397)/súlyos;
- Unrestricted Upload of File with Dangerous Type (CVE-2024-49398)/kritikus;
- Missing Authentication for Critical Function (CVE-2024-49399)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-291-01

Bejelentés dátuma: 2024.10.17.
Gyártó: LCDS
Érintett rendszer(ek):
- LAquis SCADA: Version 4.7.1.511
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-9414)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-291-02

Bejelentés dátuma: 2024.10.17.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- Mitsubishi Electric M800VW (BND-2051W000-**) minden verziója;
- Mitsubishi Electric M800VS (BND-2052W000-**) minden verziója;
- Mitsubishi Electric M80V (BND-2053W000-**) minden verziója;
- Mitsubishi Electric M80VW (BND-2054W000-**) minden verziója;
- Mitsubishi Electric M800W (BND-2005W000-**) minden verziója;
- Mitsubishi Electric M800S (BND-2006W000-**) minden verziója;
- Mitsubishi Electric M80 (BND-2007W000-**) minden verziója;
- Mitsubishi Electric M80W (BND-2008W000-**) minden verziója;
- Mitsubishi Electric E80 (BND-2009W000-**) minden verziója;
- Mitsubishi Electric C80 (BND-2036W000-**) minden verziója;
- Mitsubishi Electric M750VW (BND-1015W002-**) minden verziója;
- Mitsubishi Electric M730VW/M720VW (BND-1015W000-**) minden verziója;
- Mitsubishi Electric M750VS (BND-1012W002-**) minden verziója;
- Mitsubishi Electric M730VS/M720VS (BND-1012W000-**) minden verziója;
- Mitsubishi Electric M70V (BND-1018W000-**) minden verziója;
- Mitsubishi Electric E70 (BND-1022W000-**) minden verziója;
- Mitsubishi Electric NC Trainer2 (BND-1802W000-**) minden verziója;
- Mitsubishi Electric NC Trainer2 plus (BND-1803W000-**) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Specified Quantity in Input (CVE-2024-7316)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-291-03

Bejelentés dátuma: 2024.10.17.
Gyártó: HMS Networks
Érintett rendszer(ek):
- EWON FLEXY 202 14.2s0 firmware-verziója;;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2024-7755)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-291-04

Bejelentés dátuma: 2024.10.17.
Gyártó: Kieback&Peter
Érintett rendszer(ek):
- DDC4002 1.12.14-es és korábbi verziói;
- DDC4100 1.7.4-es és korábbi verziói;
- DDC4200 1.12.14-es és korábbi verziói;
- DDC4200-L 1.12.14-es és korábbi verziói;
- DDC4400 1.12.14-es és korábbi verziói;
- DDC4002e 1.17.6-os és korábbi verziói;
- DDC4200e 1.17.6-os és korábbi verziói;
- DDC4400e 1.17.6-os és korábbi verziói;
- DDC4020e 1.17.6-os és korábbi verziói;
- DDC4040e 1.17.6-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2024-41717)/kritikus;
- Insufficiently Protected Credentials (CVE-2024-43812)/súlyos;
- Use of Weak Credentials (CVE-2024-43698)/kritikus;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-291-05

Bejelentés dátuma: 2024.10.18.
Gyártó: Moxa
Érintett rendszer(ek):
- MXsecurity sorozat v1.1.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposed Dangerous Method or Function (CVE-2024-4739)/közepes;
- Use of Hard-coded Credential (CVE-2024-4740)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.10.21.
Gyártó: Moxa
Érintett rendszer(ek):
- NE-4100 sorozatú eszközök 4.2-es és korábbi firmware-verziói;
- MiiNePort E1 sorozatú eszközök 1.9-es és korábbi firmware-verziói;
- MiiNePort E2 sorozatú eszközök 1.5-ös és korábbi firmware-verziói;
- MiiNePort E3 sorozatú eszközök 1.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2016-9361)/kritikus;
Javítás: Javasolt a gyártó műszaki támogatási központjával felvenni a kapcsolatot.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.10.22.
Gyártó: ICONICS, Mitsubishi Electric
Érintett rendszer(ek):
- ICONICS Suite, beleértve a GENESIS64, Hyper Historian, AnalytiX és MobileHMI termékek 10.97.3-as és korábbi verziói;
- Mitsubishi Electric MC Works64 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Default Permissions (CVE-2024-7587)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-296-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Sliding Scale of Cyber Security néven ismert modellről szóló publikációt Robert M. Lee (a Dragos későbbi alapítója és mai napig vezérigazgatója) írta még 2015-ben (kb. egy évvel a Dragos alapítása előtt). A modell lényege, hogy öt tevékenység-kategóriát bemutatva segítsen felépíteni egy kiberbiztonsági programot. Az öt kategória az alábbiak:

- Architektúra,
ami több minta-architektúra modellt is ismertet röviden, pl. a NIST 800-as sorozatát, a Purdue modellt és a PCI-DSS szabványt.
- Passzív védelmi intézkedések,
az ajánlott modellek a témában a Defense-in-Depth, a NIST 800-as sorozata és szintén a NIST-től a Cybersecurity Framework.
- Aktív védelmi intézkedések,
ahol szintén RML egy SANS tanfolyamhoz (ICS 515) készített modelljét ismerteti:
- Fenyegetés-elemzés;
- Eszköz-azonosítás és hálózatbiztonsági monitoring;
- Incidenskezelés;
- Fenyegetés- és környezet-manipuláció;
- Információgyűjtés és elemzés,
ami részben az aktív védelmi intézkedéseknél is szóba kerül, itt pedig három információgyűjtési és elemzési modellt sorol fel:
- Cyber Kill Chain (én a blogon két részben dolgoztam fel);
- A behatolás-elemzés gyémánt-modellje;
- Információgyűjtési életciklus vagy folyamat;
- Támadó műveletek,
ami gyakorlatilag a katonai és rendvédelmi szervek kivételével, illetve a rendvédelmi szervek felhatalmazása nélkül bármilyen szervezet számára a mindenkor hatályos jogszabályok azonnali és nyílt megsértését jelenti és ezért senki számára nem ajánlott tevékenység. Nagyon nem. Akkor sem, ha minden körülmény abba az irányba mutat, hogy ez lenne a leggyorsabb és/vagy leghatékonyabb megoldása az adott kiberbiztonsági problémának.

A modell maga a fenti kategóriákra épülve egy balról jobbra mozgó skálát mutat be, amit követve egy egyre érettebb biztonsági környezetet építhet fel a szervezet, ami ezt a modellt alkalmazza. Ráadásul a fenti lista sorrendje fordított arányban lévő költség-hatékonyság arányban sorolja a biztonsági intézkedések kategóriáit (ahol az architektúra-tervezés és kialakítás igényli a legkisebb költség-ráfordítást, ellenben ez adja a legnagyobb javulást egy szervezet kiberbiztonsági állapotához).

A fenti témák mindegyike alkalmazható (több-kevesebb változtatással) OT környezetben is, ráadásul számos témakörnek van kifejezett ICS/OT rendszerekre adaptált verziója is, így mindenképp hasznosnak tartom ennek a SANS Reading Room-ban elérhető 20 oldalnak a tanulmányozását.

Bejelentés dátuma: 2024.10.04.
Gyártó: Moxa
Érintett rendszer(ek):
- TN-5900 sorozatú eszközök 3.4-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Observable Discrepancy (CVE-2022-4304)/közepes;
- Use After Free (CVE-2023-0215)/súlyos;
- Type Confusion (CVE-2023-0286)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.10.08.
Gyártó: Phoenix Contact
Érintett rendszer(ek):
- PLCnext Engineer 2024.0.4 LTS-nél korábbi verziói;
- PLCnext Engineer 2024.06--nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2024-30105)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2024-067/

Bejelentés dátuma: 2024.10.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Data Center Expert 8.1.1.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Verification of Cryptographic Signature (CVE-2024-8531)/súlyos;
- Missing Authentication for Critical Function (CVE-2024-8530)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.10.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Harmony iPC – HMIBSC IIoT Edge Box Core HMIBSCEA53D1L0T minden verziója;
- Harmony iPC – HMIBSC IIoT Edge Box Core HMIBSCEA53D1L0A minden verziója;
- Harmony iPC – HMIBSC IIoT Edge Box Core HMIBSCEA53D1L01 minden verziója;
- Harmony iPC – HMIBSC IIoT Edge Box Core HMIBSCEA53D1LSE minden verziója;
- Harmony iPC – HMIBSC IIoT Edge Box Core HMIBSCEA53D1LSU minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- A Yocto OS (v2.1 Krogoth) számos súlyos és kritikus sérülékenysége ismert, amik megtalálhatóak a Yocto OS érintett verzióit használó Harmony iPC – HMIBSC IIoT Edge Box Core eszközöket is.
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.10.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy Studio 9.3.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Privilege Management (CVE-2024-9002)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.10.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Monitoring Expert (PME) 2022-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2024-9005)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.10.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Zelio Soft 2 5.4.2.2-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use After Free (CVE-2024-8422)/súlyos;
- Improper Input Validation (CVE-2024-8518)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2024.10.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Harmony Industrial PC HMIBMO/HMIBMI/HMIPSO/HMIBMP/HMIBMU/HMIPSP/HMIPEP sorozatú eszközök monitoring alkalmazásának minden verziója;
- Pro-face Industrial PC PS5000 sorozatú eszközök monitoring alkalmazásának minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2024-8884)/kritikus;
Javítás: Nincs.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.10.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure EV Charging Expert minden, V6.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- A Yocto OS (v2.1 Krogoth) számos súlyos és kritikus sérülékenysége ismert, amik megtalálhatóak a Yocto OS érintett verzióit használó Harmony iPC – HMIBSC IIoT Edge Box Core eszközöket is.
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.10.08.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Drive Controller CPU 1504D TF (6ES7615-4DF10-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC Drive Controller CPU 1507D TF (6ES7615-7DF10-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1200 CPU 1211C AC/DC/Rly (6ES7211-1BE40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1211C DC/DC/DC (6ES7211-1AE40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1211C DC/DC/Rly (6ES7211-1HE40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1212C AC/DC/Rly (6ES7212-1BE40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1212C DC/DC/DC (6ES7212-1AE40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1212C DC/DC/Rly (6ES7212-1HE40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1212FC DC/DC/DC (6ES7212-1AF40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1212FC DC/DC/Rly (6ES7212-1HF40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1214C AC/DC/Rly (6ES7214-1BG40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1214C DC/DC/DC (6ES7214-1AG40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1214C DC/DC/Rly (6ES7214-1HG40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1214FC DC/DC/DC (6ES7214-1AF40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1214FC DC/DC/Rly (6ES7214-1HF40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1215C AC/DC/Rly (6ES7215-1BG40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1215C DC/DC/DC (6ES7215-1AG40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1215C DC/DC/Rly (6ES7215-1HG40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1215FC DC/DC/DC (6ES7215-1AF40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1215FC DC/DC/Rly (6ES7215-1HF40-0XB0) minden verziója;
- SIMATIC S7-1200 CPU 1217C DC/DC/DC (6ES7217-1AG40-0XB0) minden verziója;
- SIMATIC S7-1500 CPU 1510SP F-1 PN (6ES7510-1SJ01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1510SP F-1 PN (6ES7510-1SK03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1510SP-1 PN (6ES7510-1DJ01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1510SP-1 PN (6ES7510-1DK03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AK02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AL03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1511C-1 PN (6ES7511-1CK00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511C-1 PN (6ES7511-1CK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511C-1 PN (6ES7511-1CL03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FK02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FL03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1511T-1 PN (6ES7511-1TK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511T-1 PN (6ES7511-1TL03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1511TF-1 PN (6ES7511-1UK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511TF-1 PN (6ES7511-1UL03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1512C-1 PN (6ES7512-1CK00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1512C-1 PN (6ES7512-1CK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1512C-1 PN (6ES7512-1CM03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1512SP F-1 PN (6ES7512-1SK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1512SP F-1 PN (6ES7512-1SM03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1512SP-1 PN (6ES7512-1DK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1512SP-1 PN (6ES7512-1DM03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AL01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AL02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AM03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FL01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FL02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FM03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1513pro F-2 PN (6ES7513-2GM03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1513pro-2 PN (6ES7513-2PM03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1514SP F-2 PN (6ES7514-2SN03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1514SP-2 PN (6ES7514-2DN03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1514SPT F-2 PN (6ES7514-2WN03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1514SPT-2 PN (6ES7514-2VN03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AM01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AM02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AN03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FM01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FM02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FN03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1515T-2 PN (6ES7515-2TM01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515T-2 PN (6ES7515-2TN03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1515TF-2 PN (6ES7515-2UM01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515TF-2 PN (6ES7515-2UN03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AN01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AN02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AP03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FN01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FN02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FP03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1516pro F-2 PN (6ES7516-2GP03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1516pro-2 PN (6ES7516-2PP03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1516T-3 PN/DP (6ES7516-3TN00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1516TF-3 PN/DP (6ES7516-3UN00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1517-3 PN/DP (6ES7517-3AP00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1517F-3 PN/DP (6ES7517-3FP00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1517F-3 PN/DP (6ES7517-3FP01-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1517T-3 PN/DP (6ES7517-3TP00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1517TF-3 PN/DP (6ES7517-3UP00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1518-4 PN/DP (6ES7518-4AP00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AB0) minden verziója;
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AC0) minden verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP (6ES7518-4FP00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AB0) minden verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AC0) minden verziója;
- SIMATIC S7-1500 CPU 1518T-4 PN/DP (6ES7518-4TP00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1518TF-4 PN/DP (6ES7518-4UP00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU S7-1518-4 PN/DP ODK (6ES7518-4AP00-3AB0) minden verziója;
- SIMATIC S7-1500 CPU S7-1518F-4 PN/DP ODK (6ES7518-4FP00-3AB0) minden verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1513PRO F-2 PN (6ES7513-2GL00-0AB0) minden verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1513PRO-2 PN (6ES7513-2PL00-0AB0) minden verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1516PRO F-2 PN (6ES7516-2GN00-0AB0) minden verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1516PRO-2 PN (6ES7516-2PN00-0AB0) minden verziója;
- SIMATIC S7-1500 Software Controller CPU 1507S F V2 minden verziója;
- SIMATIC S7-1500 Software Controller CPU 1507S F V3 minden verziója;
- SIMATIC S7-1500 Software Controller CPU 1507S V2 minden verziója;
- SIMATIC S7-1500 Software Controller CPU 1507S V3 minden verziója;
- SIMATIC S7-1500 Software Controller CPU 1508S F V2 minden verziója;
- SIMATIC S7-1500 Software Controller CPU 1508S F V3 minden verziója;
- SIMATIC S7-1500 Software Controller CPU 1508S T V3 minden verziója;
- SIMATIC S7-1500 Software Controller CPU 1508S TF V3 minden verziója;
- SIMATIC S7-1500 Software Controller CPU 1508S V2 minden verziója;
- SIMATIC S7-1500 Software Controller CPU 1508S V3 minden verziója;
- SIMATIC S7-1500 Software Controller Linux V2 minden verziója;
- SIMATIC S7-1500 Software Controller Linux V3 minden verziója;
- SIMATIC S7-PLCSIM Advanced minden verziója;
- SIPLUS ET 200SP CPU 1510SP F-1 PN (6AG1510-1SJ01-2AB0) minden verziója;
- SIPLUS ET 200SP CPU 1510SP F-1 PN RAIL (6AG2510-1SJ01-1AB0) minden verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN (6AG1510-1DJ01-2AB0) minden verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN (6AG1510-1DJ01-7AB0) minden verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN RAIL (6AG2510-1DJ01-1AB0) minden verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN RAIL (6AG2510-1DJ01-4AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN (6AG1512-1SK01-2AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN (6AG1512-1SK01-7AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN RAIL (6AG2512-1SK01-1AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN RAIL (6AG2512-1SK01-4AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN (6AG1512-1DK01-2AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN (6AG1512-1DK01-7AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN RAIL (6AG2512-1DK01-1AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN RAIL (6AG2512-1DK01-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK01-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK02-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN T1 RAIL (6AG2511-1AK01-1AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN T1 RAIL (6AG2511-1AK02-1AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN TX RAIL (6AG2511-1AK01-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN TX RAIL (6AG2511-1AK02-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511F-1 PN (6AG1511-1FK01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511F-1 PN (6AG1511-1FK02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL01-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL02-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513F-1 PN (6AG1513-1FL01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513F-1 PN (6AG1513-1FL02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN (6AG1515-2FM01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN (6AG1515-2FM02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN RAIL (6AG2515-2FM02-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN T2 RAIL (6AG2515-2FM01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1515R-2 PN TX RAIL (6AG2515-2RM00-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN01-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN02-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP RAIL (6AG2516-3AN02-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP TX RAIL (6AG2516-3AN01-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP (6AG1516-3FN01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP (6AG1516-3FN02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP RAIL (6AG2516-3FN02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP RAIL (6AG2516-3FN02-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1518-4 PN/DP (6AG1518-4AP00-4AB0) V3.1.4-nél korábbi verziói;
- SIPLUS S7-1500 CPU 1518-4 PN/DP MFP (6AG1518-4AX00-4AC0) minden verziója;
- SIPLUS S7-1500 CPU 1518F-4 PN/DP (6AG1518-4FP00-4AB0) V3.1.4-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Open Redirect (CVE-2024-46886)/közepes;
Javítás:
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.10.08.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Nastran 2306 minden verziója;
- Simcenter Nastran 2312 minden verziója;
- Simcenter Nastran 2406 V2406.5000-esnél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2024-41981)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-47046)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.10.08.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden, V2406.0003-nál korábbi verziója;
- Teamcenter Visualization V14.2 minden, V14.2.0.13-nál korábbi verziója;
- Teamcenter Visualization V14.3 minden, V14.3.0.11-nél korábbi verziója;
- Teamcenter Visualization V2312 minden, V2312.0008-nál korábbi verziója;
- Teamcenter Visualization V2406 minden, V2406.0003-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- NULL Pointer Dereference (CVE-2024-37996)/alacsony;
- Stack-based Buffer Overflow (CVE-2024-37997)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.10.08.
Gyártó: Siemens
Érintett rendszer(ek):
- SENTRON 7KM PAC3200-as minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2024-41798)/kritikus;
Javítás: Nincs.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.10.08.
Gyártó: Siemens
Érintett rendszer(ek):
- ModelSim minden, V2024.3-nál korábbi verziói;
- Questa minden, V2024.3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2024-47194)/közepes;
- Uncontrolled Search Path Element (CVE-2024-47195)/közepes;
- Uncontrolled Search Path Element (CVE-2024-47196)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.10.08.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC Security Monitor minden, V4.9.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Argument Injection (CVE-2024-47553)/kritikus;
- Command Injection (CVE-2024-47562)/súlyos;
- Path Traversal (CVE-2024-47563)/közepes;
- Permissive List of Allowed Inputs (CVE-2024-47565)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.10.08.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden, V2406.0003-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2024-41902)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.10.08.
Gyártó: Siemens
Érintett rendszer(ek):
- HiMed Cockpit 12 pro (J31032-K2017-H259) V11.5.1-től V11.6.2-ig terjedő verziói (a V11.6.2 már nem érintett);
- HiMed Cockpit 14 pro+ (J31032-K2017-H435) V11.5.1-től V11.6.2-ig terjedő verziói (a V11.6.2 már nem érintett);
- HiMed Cockpit 18 pro (J31032-K2017-H260) V11.5.1-től V11.6.2-ig terjedő verziói (a V11.6.2 már nem érintett);
- HiMed Cockpit 18 pro+ (J31032-K2017-H436) V11.5.1-től V11.6.2-ig terjedő verziói (a V11.6.2 már nem érintett);
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Protection of Alternate Path (CVE-2023-52952)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.10.08.
Gyártó: Siemens
Érintett rendszer(ek):
- PSS SINCAL minden verziója, ha használnak hozzá a WibuKey-t;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45181)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45182)/közepes;
Javítás: Elérhető (a WibuKey újabb verzióját kell telepíteni);
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.10.08.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Drive Controller CPU 1504D TF (6ES7615-4DF10-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC Drive Controller CPU 1507D TF (6ES7615-7DF10-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1500 CPU 1510SP F-1 PN (6ES7510-1SJ01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1510SP F-1 PN (6ES7510-1SK03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1510SP-1 PN (6ES7510-1DJ01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1510SP-1 PN (6ES7510-1DK03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AK02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AL03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1511C-1 PN (6ES7511-1CK00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511C-1 PN (6ES7511-1CK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511C-1 PN (6ES7511-1CL03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FK02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FL03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1511T-1 PN (6ES7511-1TK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511T-1 PN (6ES7511-1TL03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1511TF-1 PN (6ES7511-1UK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511TF-1 PN (6ES7511-1UL03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1512C-1 PN (6ES7512-1CK00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1512C-1 PN (6ES7512-1CK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1512C-1 PN (6ES7512-1CM03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1512SP F-1 PN (6ES7512-1SK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1512SP F-1 PN (6ES7512-1SM03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1512SP-1 PN (6ES7512-1DK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1512SP-1 PN (6ES7512-1DM03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AL01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AL02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AM03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FL01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FL02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FM03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1513pro F-2 PN (6ES7513-2GM03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1513pro-2 PN (6ES7513-2PM03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1514SP F-2 PN (6ES7514-2SN03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1514SP-2 PN (6ES7514-2DN03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1514SPT F-2 PN (6ES7514-2WN03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1514SPT-2 PN (6ES7514-2VN03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AM01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AM02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AN03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FM01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FM02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FN03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1515T-2 PN (6ES7515-2TM01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515T-2 PN (6ES7515-2TN03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1515TF-2 PN (6ES7515-2UM01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515TF-2 PN (6ES7515-2UN03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AN01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AN02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AP03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FN01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FN02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FP03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1516pro F-2 PN (6ES7516-2GP03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1516pro-2 PN (6ES7516-2PP03-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1516T-3 PN/DP (6ES7516-3TN00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1516TF-3 PN/DP (6ES7516-3UN00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1517-3 PN/DP (6ES7517-3AP00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1517F-3 PN/DP (6ES7517-3FP00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1517F-3 PN/DP (6ES7517-3FP01-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1517T-3 PN/DP (6ES7517-3TP00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1517TF-3 PN/DP (6ES7517-3UP00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1518-4 PN/DP (6ES7518-4AP00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AB0) minden verziója;
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AC0) minden verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP (6ES7518-4FP00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AB0) minden verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AC0) minden verziója;
- SIMATIC S7-1500 CPU 1518T-4 PN/DP (6ES7518-4TP00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU 1518TF-4 PN/DP (6ES7518-4UP00-0AB0) V3.1.4-nél korábbi verziói;
- SIMATIC S7-1500 CPU S7-1518-4 PN/DP ODK (6ES7518-4AP00-3AB0) minden verziója;
- SIMATIC S7-1500 CPU S7-1518F-4 PN/DP ODK (6ES7518-4FP00-3AB0) minden verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1513PRO F-2 PN (6ES7513-2GL00-0AB0) minden verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1513PRO-2 PN (6ES7513-2PL00-0AB0) minden verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1516PRO F-2 PN (6ES7516-2GN00-0AB0) minden verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1516PRO-2 PN (6ES7516-2PN00-0AB0) minden verziója;
- SIMATIC S7-1500 Software Controller V2 minden verziója;
- SIMATIC S7-1500 Software Controller V3 minden verziója;
- SIMATIC S7-PLCSIM Advanced minden verziója;
- SIPLUS ET 200SP CPU 1510SP F-1 PN (6AG1510-1SJ01-2AB0) minden verziója;
- SIPLUS ET 200SP CPU 1510SP F-1 PN RAIL (6AG2510-1SJ01-1AB0) minden verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN (6AG1510-1DJ01-2AB0) minden verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN (6AG1510-1DJ01-7AB0) minden verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN RAIL (6AG2510-1DJ01-1AB0) minden verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN RAIL (6AG2510-1DJ01-4AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN (6AG1512-1SK01-2AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN (6AG1512-1SK01-7AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN RAIL (6AG2512-1SK01-1AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN RAIL (6AG2512-1SK01-4AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN (6AG1512-1DK01-2AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN (6AG1512-1DK01-7AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN RAIL (6AG2512-1DK01-1AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN RAIL (6AG2512-1DK01-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK01-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK02-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN T1 RAIL (6AG2511-1AK01-1AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN T1 RAIL (6AG2511-1AK02-1AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN TX RAIL (6AG2511-1AK01-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN TX RAIL (6AG2511-1AK02-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511F-1 PN (6AG1511-1FK01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511F-1 PN (6AG1511-1FK02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL01-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL02-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513F-1 PN (6AG1513-1FL01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513F-1 PN (6AG1513-1FL02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN (6AG1515-2FM01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN (6AG1515-2FM02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN RAIL (6AG2515-2FM02-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN T2 RAIL (6AG2515-2FM01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN01-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN02-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP RAIL (6AG2516-3AN02-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP TX RAIL (6AG2516-3AN01-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP (6AG1516-3FN01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP (6AG1516-3FN02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP RAIL (6AG2516-3FN02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP RAIL (6AG2516-3FN02-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1518-4 PN/DP (6AG1518-4AP00-4AB0) V3.1.4-nél korábbi verziói;
- SIPLUS S7-1500 CPU 1518-4 PN/DP MFP (6AG1518-4AX00-4AC0) minden verziója;
- SIPLUS S7-1500 CPU 1518F-4 PN/DP (6AG1518-4FP00-4AB0) V3.1.4-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2024-46887)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.10.08.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808LNX (6GK6015-0AL20-0GH0) minden verziója;
- RUGGEDCOM APE1808LNX CC (6GK6015-0AL20-0GH1) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Authorization (CVE-2024-4465)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.10.08.
Gyártó: Siemens
Érintett rendszer(ek):
- SENTRON Powercenter 1000 (7KN1110-0MC00) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-6874)/súlyos;
Javítás: Nincs, a gyártó fizikai biztonsági kontrollok alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.10.08.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2302 V2302.0016-nál korábbi verziói;
- Tecnomatix Plant Simulation V2404 V2404.0005-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-45463)/súlyos;
- Out-of-bounds Read (CVE-2024-45464)/súlyos;
- Out-of-bounds Read (CVE-2024-45465)/súlyos;
- Out-of-bounds Read (CVE-2024-45466)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45467)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45468)/súlyos;
- Out-of-bounds Write (CVE-2024-45469)/súlyos;
- Out-of-bounds Write (CVE-2024-45470)/súlyos;
- Out-of-bounds Write (CVE-2024-45471)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45472)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45473)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45474)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45475)/súlyos;
- NULL Pointer Dereference (CVE-2024-45476)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.10.08.
Gyártó: Siemens
Érintett rendszer(ek):
- Siveillance Video Device Pack minden, V13.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2024-3506)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.10.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EVlink Home Smart minden, 2.0.6.0.0-nál korábbi verziója;
- Schneider Charge minden, 1.13.4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2024-8070)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.10.10.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- PowerFlex 6000T 8.001-es, 8.002-es és 9.001-es verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2024-9124)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-284-19

Bejelentés dátuma: 2024.10.10.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- DataMosaix privát felhő 7.07-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2019-14855)/súlyos;
- Out-of-bounds Write (CVE-2019-17543)/súlyos;
- Improper Check for Dropped Privileges (CVE-2019-18276)/súlyos;
- Reliance on Insufficiently Trustworthy Component (CVE-2019-19244)/súlyos;
- Reliance on Insufficiently Trustworthy Component (CVE-2019-9893)/kritikus;
- NULL Pointer Dereference (CVE-2019-9923)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-284-16

Bejelentés dátuma: 2024.10.10.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft-G2 2.1.0.10-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- - Stack-based Buffer Overflow (CVE-2024-47962)/súlyos;
- Out-of-bounds Write (CVE-2024-47963)/súlyos;
- Heap-Based Buffer Overflow (CVE-2024-47964)/súlyos;
- Out-of-bounds Read (CVE-2024-47965)/súlyos;
- Use of Uninitialized Variable (CVE-2024-47966)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-284-21

Bejelentés dátuma: 2024.10.10.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ControlLogix 5580 V33.017, V34.014, V35.013, V36.011-nél korábbi verziói;
- ControlLogix 5580 Process V33.017, V34.014, V35.013, V36.011-nél korábbi verziói;
- GuardLogix 5580 V33.017, V34.014, V35.013, V36.011-nél korábbi verziói;
- CompactLogix 5380 V33.017, V34.014, V35.013, V36.011-nél korábbi verziói;
- Compact GuardLogix 5380 SIL 2 V33.017, V34.014, V35.013, V36.011-nél korábbi verziói;
- Compact GuardLogix 5380 SIL 3 V33.017, V34.014, V35.013, V36.011-nél korábbi verziói;
- CompactLogix 5480 V33.017, V34.014, V35.013, V36.011-nél korábbi verziói;
- FactoryTalk Logix Echo V33.017, V34.014, V35.013, V36.011-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-6207)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-284-20

Bejelentés dátuma: 2024.10.10.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Verve Asset Manager 1.38-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Placement of User into Incorrect Group (CVE-2024-9412)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-284-17

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az IT világban (és különösen az IoT világban) az End-of-Sale, End-of-Support, End-of-Life dátumok már évek óta széles körben velünk élnek és az ezekkel dolgozó kollégák meg is tanultak ezekkel együtt élni (elég csak a nagyobb operációs rendszer gyártók által már az éles megjelenéskor bejelentett megszűnési dátumok publikálására gondolni - és ez nem csak a Microsoft-ra igaz, de pl. az Ubuntu-nál ugyanígy tudhatja mindenki, egy-egy verzióhoz meddig számíthat támogatásra). Ahogy az IT komponensek egyre gyakoribbá váltak és válnak az ICS/OT világban (különösen az ipari rendszerek Purdue-modell szerinti magasabb rétegeiben, OT-DMZ, L3, L2), úgy jelennek meg ezek a dátumok az OT világában is, újabb ütközési pontot jelentve az IT-OT világok között. Az OT mérnökök ugyanis nem úgy szocializálódtak, hogy figyeljenek ilyen gyártói életciklus lejáratokat, különösen nem olyan rendszereknél, amik adott esetben annyiba kerültek, amennyiből IT eszközökkel (szerverek, storage-alrendszerek, hálózati eszközök, stb.) egy komplett adatközpontot fel lehet építeni és ekkor még csak egy közepesen nagy és bonyolult DCS rendszerről beszélünk, nem pedig egy fél kontinens villamosenergia-rendszerét felügyelő SCADA rendszerről.

Aztán persze időközben már az OT rendszerek gyártói is rászoktak arra, hogy hivatalosan is bejelentsék, mikor szűnik meg egy-egy termékük adott verziójának a gyártói támogatása, ma már számos sérülékenységről szóló publikációban találhatunk olyan megjegyzést a gyártótól, hogy adott sérülékenység által érintett verzióhoz nem készül új verzió, amiben a hibát javítanák, helyette az érintett verziót használó ügyfelek váltsanak egy újabb verzióra (aminek még nem járt le a támogatási időszaka).

Itt azonban megint megjelenik az IT-OT gondolkodásbeli különbség: biztosan le kell-e cserélni egy folyamatirányító rendszert, ami még tökéletesen ellátja azt az egy feladatot, amire tervezték, építették és üzemeltetik, csak azért, mert már nincs rá gyártói támogatás? Ez talán a legnehezebb kérdés, különösen, hogy azok a vállalati vezetők, akiktől ehhez pénzügyi forrásokat kell igényelni, szinte biztosan fel fogják tenni a kérdést: Mi fog történni 1 hónap, fél év, 1 év, 5 év múlva, ha tovább használjuk az End-of-Life OT rendszert? Erre a kérdésre pedig az egyik legnehezebb olyan választ adni, ami egyrészt igaz is, másrészt érthetően és reálisan ábrázolja a támogatás nélküli rendszer használatának kockázatait.

Az ember persze azt gondolná, hogy mindenki tisztában van azzal, a kritikus infrastruktúrákban használt folyamatirányító rendszerek esetén mennyire nem kívánatos kockázatokat jelent az, hogy egy támogatással már nem vagy részben nem rendelkező rendszert használjunk, de sajnos azt kell mondjam, én már több esetben láttam olyan rendszereket, amik részben (egyes komponenseik esetén) vagy egészében (hardvertől az operációs rendszeren keresztül az alkalmazásig) régen túl voltak az End-of-Life időponton és még mindig kritikus feladatokat láttak el.

Hogy mi lehet a válasz azokra a kihívásokra, amiket az OT rendszerek életciklus kérdéseire? Van néhány ötletem, de kíváncsi lennék, ti mit gondoltok?

Bejelentés dátuma: 2024.09.21.
Gyártó: Moxa
Érintett rendszer(ek):
- MXview One sorozatú eszközök 1.3.0 és korábbi verziói;
- MXview One Central Manager sorozat 1.0.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Storage in a File or on Disk (CVE-2024-6785)/közepes;
- Path Traversal (CVE-2024-6786)/közepes;
- Time-of-check Time-of-use (TOCTOU) Race Condition (CVE-2024-6787)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa, ICS-CERT

Bejelentés dátuma: 2024.10.01.
Gyártó: Optigo Networks
Érintett rendszer(ek):
- ONS-S8 Spectra Aggregation Switch nevű OT hálózatmenedzsment megoldás 1.3.7-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- PHP Remote File Inclusion (CVE-2024-41925)/kritikus;
- Weak Authentication (CVE-2024-45367)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-275-01

Bejelentés dátuma: 2024.10.01.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-F FX5-OPC minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- NULL Pointer Dereference (CVE-2024-0727)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-275-02

Bejelentés dátuma: 2024.10.03.
Gyártó: TEM
Érintett rendszer(ek):
- Opera Plus FM Transmitter-család 35.45-ös verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2024-41988)/kritikus;
- Cross-Site Request Forgery - CSRF (CVE-2024-41987)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-277-01

Bejelentés dátuma: 2024.10.03.
Gyártó: Subnet Solutions
Érintett rendszer(ek):
- PowerSYSTEM Center: PSC 2020 v5.21.x and prior
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Server-Side Request Forgery - SSRF (CVE-2020-28168)/közepes;
- Inefficient Regular Expression Complexity (CVE-2021-3749)/súlyos;
- Cross-Site Request Forgery - CSRF (CVE-2023-45857)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-277-02

Bejelentés dátuma: 2024.10.03.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DIAEnergie: v1.10.01.008-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SQL Injection (CVE-2024-43699)/kritikus;
- SQL Injection (CVE-2024-42417)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-277-03

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A múlt heti, OT kiberbiztonsághoz talált bevezető anyagok után adta magát, hogy a mai posztba egy nemrég talált podcast-et hozzak. A Security Cocktail Hour két amerikai info/IT biztonsági veterán, Joe Patti és Adam Roth műsora, ahol idén júniusban a Dragos vezérigazgató Robert M. Lee volt a vendég: https://podcasters.spotify.com/pod/show/security-cocktail-hour-po/episodes/Ep--32-Going-into-OT-Operational-Technology-with-Robert-Lee-e2knour

Bejelentés dátuma: 2024.09.24.
Gyártó: CODESYS
Érintett rendszer(ek):
- CODESYS Control RTE (SL) minden, 3.5.20.30-asnál korábbi verziója;
- CODESYS Control RTE (for Beckhoff CX) SL minden, 3.5.20.30-asnál korábbi verziója;
- CODESYS Control Win (SL) minden, 3.5.20.30-asnál korábbi verziója;
- CODESYS HMI (SL) minden, 3.5.20.30-asnál korábbi verziója;
- CODESYS Runtime Toolkit minden, 3.5.20.30-asnál korábbi verziója;
- CODESYS Embedded Target Visu Toolkit minden, 3.5.20.30-asnál korábbi verziója;
- CODESYS Remote Target Visu Toolkit minden, 3.5.20.30-asnál korábbi verziója;
- CODESYS Control for BeagleBone SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for emPC-A/iMX6 SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for IOT2000 SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for Linux ARM SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for Linux SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for PFC100 SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for PFC200 SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for PLCnext SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for Raspberry Pi SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for WAGO Touch Panels 600 SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Virtual Control SL minden, 4.14.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2024-8175)/súlyos;
Javítás: Elérhető
Link a publikációhoz: CODESYS

Bejelentés dátuma: 2024.09.26.
Gyártó: Advantech
Érintett rendszer(ek):
- Advantech ADAM 5550 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Encoding for Password (CVE-2024-37187)/közepes;
- Cross-site Scripting (CVE-2024-38308)/súlyos;
Javítás: Nincs, a gyártó az ADAM-5630 v2.5.2-es vagy újabb firmware-verziójára történő frissítést javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-270-01

Bejelentés dátuma: 2024.09.26.
Gyártó: Advantech
Érintett rendszer(ek):
- Advantech ADAM-5630 v2.5.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Persistent Cookies Containing Sensitive Information (CVE-2024-39275)/súlyos;
- Cross-site Request Forgery (CSRF) (CVE-2024-28948)/súlyos;
- Weak Encoding for Password (CVE-2024-34542)/közepes;
- Missing Authentication for Critical Function (CVE-2024-39364)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-270-02

Bejelentés dátuma: 2024.09.26.
Gyártó: Atelmo
Érintett rendszer(ek):
- Atemio AM 520 HD típusú műholdas kommunikáció vevőkészülékének TitanNit 2.01-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2024-9166)/kritikus;
Javítás: Nincs, a termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-270-03

Bejelentés dátuma: 2024.09.26.
Gyártó: goTenna
Érintett rendszer(ek):
- goTenna Pro App 1.6.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Password Requirements (CVE-2024-47121)/közepes;
- Insecure Storage of Sensitive Information (CVE-2024-47122)/közepes;
- Missing Support for Integrity Check (CVE-2024-47123)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2024-47124)/közepes;
- Improper Restriction of Communication Channel to Intended Endpoints (CVE-2024-47125)/súlyos;
- Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) (CVE-2024-47126)/közepes;
- Weak Authentication (CVE-2024-47127)/közepes;
- Insertion of Sensitive Information Into Sent Data (CVE-2024-47128)/közepes;
- Observable Response Discrepancy (CVE-2024-47129)/közepes;
- Missing Authentication for Critical Function (CVE-2024-47130)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-270-04

Bejelentés dátuma: 2024.09.26.
Gyártó: goTenna
Érintett rendszer(ek):
- goTenna Pro ATAK Plugin 1.9.12-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Password Requirements (CVE-2024-45374)/közepes;
- Insecure Storage of Sensitive Information (CVE-2024-43694)/közepes;
- Missing Support for Integrity Check (CVE-2024-43108)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2024-45838)/közepes;
- Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) (CVE-2024-45723)/közepes;
- Weak Authentication (CVE-2024-41722)/közepes;
- Insertion of Sensitive Information Into Sent Data (CVE-2024-41931)/közepes;
- Observable Response Discrepancy (CVE-2024-41715)/közepes;
- Insertion of Sensitive Information Into Sent Data (CVE-2024-43814)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-270-05

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Többször írtam már olyan posztokat (pl. ez vagy ez vagy ez és ez is olyanok), amikben az ICS/OT biztonság területével még csak most ismerkedőknek szántam elsődlegesen. A mai is ilyen témájú poszt lesz, nemrég ugyanis egy LinkedIn posztban számos olyan linket találtam, amiken a Cisco weboldalain elérhető, különböző OT hálózati témákban nyújt kapaszkodót azon kollégák számára, akik még csak az első lépéseiket teszik ezen a szép, de kihívásokkal jócskán terhelt szakterületen.

Referencia hálózati architektúrák ipari felhasználásra

Ez egy gyűjtőoldal, ahol az alábbi területekhez lehet információt találni:
- Gyártás-automatizálás;
- Extended Enterprise - a nagyvállalati hálózat kiterjesztése zord(abb) fizikai körülmények közé. Erről adott esetben majd érdemes lesz komolyabban is beszélni.
- Közművek és megújuló energiák;
- Okos és biztonságos városok;
- Közutak és forgalmi csomópontok;
- Tömegközlekedés;
- Kikötői terminálok;
- Bányászat;
- Olaj- és gázszektor;

A fenti bányászati aloldal mellett találtam egy másikat is (ezt itt), ami az Ipari automatizálás bányákban címet viseli és önmagában is egy egészen fajsúlyos anyag.

Ezen másik oldalon az Ipari automatizálás biztonsági tervezési útmutatójának 2.0 verziója érhető el.

Itt pedig az olaj- és gázszektor-specifikus Cisco design guide érhető el, kifejezetten finomítók számára.

Ennyi volt (mára, mert azt hiszem, nagyon jó forrásokra bukkantam a Cisco-nál, szóval ha egyszer sikerül átrágnom magam rajtuk, nem kizárt, hogy egyik-másik szektor-specifikus kiadványukról még fogok írni) a Cisco-s rész, de még nincs vége a posztnak, mert találtam nemrég egy Dragos publikációt is a kezdőknek szóló témában (regisztráció után érhető el): https://hub.dragos.com/guide/ot-cs-quick-start-guide

Bejelentés dátuma: 2024.09.17.
Gyártó: Kastle Systems
Érintett rendszer(ek):
- Access Control System 2024. május 1-jénél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2024-45861)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2024-45862)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-263-05

Bejelentés dátuma: 2024.09.17.
Gyártó: IDEC
Érintett rendszer(ek):
- FC6A sorozatú MICROSmart All-in-One CPU modulok Ver.2.60-as és korábbi verziói;
- FC6B sorozatú MICROSmart All-in-One CPU modulok Ver.2.60-as és korábbi verziói;
- FC6A sorozatú MICROSmart Plus CPU modulok Ver.2.40-es és korábbi verziói;
- FC6B sorozatú MICROSmart Plus CPU modulok Ver.2.60-as és korábbi verziói;
- FT1A sorozatú SmartAXIS Pro/Lite Ver.2.41-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2024-41927)/közepes;
- Generation of Predictable Identifiers (CVE-2024-28957)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-263-02

Bejelentés dátuma: 2024.09.17.
Gyártó: MegaSys Computer Technologies
Érintett rendszer(ek):
- Telenium Online Web Application 8.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-6404)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-263-04

Bejelentés dátuma: 2024.09.19.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- RSLogix 500 minden verziója;
- RSLogix Micro Developer and Starter minden verziója;
- RSLogix 5 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficient verification of data authenticity (CVE-2024-7847)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-263-01

Bejelentés dátuma: 2024.09.19.
Gyártó: IDEC
Érintett rendszer(ek):
- WindLDR Ver.9.1.0 és korábbi verziói;
- WindO/I-NV4 Ver.3.0.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2024-41716)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-263-03

Bejelentés dátuma: 2024.09.19.
Gyártó: Millbeck Communications
Érintett rendszer(ek):
- Proroute H685t-w 4G router 3.2.334-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2024-45682)/súlyos;
- Cross-site Scripting (CVE-2024-38380)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-261-02

Bejelentés dátuma: 2024.09.19.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-200 SMART CPU CR40 (6ES7288-1CR40-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU CR60 (6ES7288-1CR60-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU SR20 (6ES7288-1SR20-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU SR20 (6ES7288-1SR20-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU SR30 (6ES7288-1SR30-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU SR30 (6ES7288-1SR30-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU SR40 (6ES7288-1SR40-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU SR40 (6ES7288-1SR40-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU SR60 (6ES7288-1SR60-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU SR60 (6ES7288-1SR60-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU ST20 (6ES7288-1ST20-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU ST20 (6ES7288-1ST20-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU ST30 (6ES7288-1ST30-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU ST30 (6ES7288-1ST30-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU ST40 (6ES7288-1ST40-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU ST40 (6ES7288-1ST40-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU ST60 (6ES7288-1ST60-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU ST60 (6ES7288-1ST60-0AA1) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2024-43647)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-261-01

Bejelentés dátuma: 2024.09.19.
Gyártó: Yokogawa
Érintett rendszer(ek):
- Dual-redundant Platform for Computer (PC2CKM) R1.01.00-tól R2.03.00-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unchecked Return Value (CVE-2024-8110)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-261-03

Bejelentés dátuma: 2024.09.21.
Gyártó: Moxa
Érintett rendszer(ek):
- MXview One sorozatú eszközök 1.3.0 és korábbi verziói;
- MXview One Central Manager sorozatú eszközök 1.0.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Storage in a File or on Disk (CVE-2024-6785)/közepes;
- Path Traversal (CVE-2024-6786)/közepes;
- Time-of-check Time-of-use (TOCTOU) Race Condition (CVE-2024-6787)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa, ICS-CERT

Bejelentés dátuma: 2024.09.24.
Gyártó: OMNTEC
Érintett rendszer(ek):
- OMNTEC Proteus Tank Monitoring OEL8000III sorozata;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2024-6981)/kritikus;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-268-06

Bejelentés dátuma: 2024.09.24.
Gyártó: Franklin Fueling Systems
Érintett rendszer(ek):
- TS-550 EVO 2.26.4.8967-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Absolute Path Traversal (CVE-2024-8497)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-268-03

Bejelentés dátuma: 2024.09.24.
Gyártó: Alisonic
Érintett rendszer(ek):
- Sibylla minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SQL Injection (CVE-2024-8630)/kritikus;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-268-02

Bejelentés dátuma: 2024.09.24.
Gyártó: OPW Fuel Managements Systems
Érintett rendszer(ek):
- SiteSentinel 17Q2.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication For Critical Function (CVE-2024-8310)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-268-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.