Az elmúlt években (nem teljesen függetlenül az ukrán-orosz háborútól és legújabban az izraeli-palesztin összecsapásoktól) egyre romlott az ICS/OT rendszerek és kritikus infrastruktúrák biztonsági helyzete. Ezt felismerve az NSA sorban publikál tanácsokat és eszközöket, amiket az ICS/OT rendszerek védelméért felelős kollégák jellemzően ingyen és bérmentve érhetnek el és használhatnak fel.

A legutolsó ilyen NSA-publikáció neve ELITEWOLF, ami egy GitHub repository, ahol a Snort-alapú IDS/IPS rendszerekhez tesznek elérhetővé szignatúrákat. Jelenleg 3 gyártó (Allen Bradley/Rockwell Automation, Schweitzer Engineering Laboratories és Siemens) rendszereihez tartozó specifikus Snort szignatúrák érhetőek el. Fontos kiemelni (amit az NSA is hangsúlyoz a GitHub oldalán), hogy az ELITEWOLF repoban elérhető szignatúrák nem minden esetben és nem szükségszerűen jeleznek kártékony aktivitást, az így kapott riasztásokat minden esetben alaposan ki kell vizsgálni!

Az ELITEWOLF itt érhető el: https://github.com/nsacyber/ELITEWOLF

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) V8.10.0.6-nál korábbi verziói;
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) V8.10.0.6-nál korábbi verziói;
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) V8.10.0.6-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-22779)/kritikus;
- Classic Buffer Overflow (CVE-2023-22780)/kritikus;
- Classic Buffer Overflow (CVE-2023-22781)/kritikus;
- Classic Buffer Overflow (CVE-2023-22782)/kritikus;
- Classic Buffer Overflow (CVE-2023-22783)/kritikus;
- Classic Buffer Overflow (CVE-2023-22784)/kritikus;
- Classic Buffer Overflow (CVE-2023-22785)/kritikus;
- Classic Buffer Overflow (CVE-2023-22786)/kritikus;
- Improper Input Validation (CVE-2023-22787)/súlyos;
- Command Injection (CVE-2023-22788)/súlyos;
- Command Injection (CVE-2023-22789)/súlyos;
- Command Injection (CVE-2023-22790)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-22791)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- CP-8031 MASTER MODULE (6MF2803-1AA00) minden, CPCI85 V05.11-nél korábbi verziója;
- CP-8050 MASTER MODULE (6MF2805-0AA00) minden, CPCI85 V05.11-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2023-36380)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CP 1604 (6GK1160-4AA01) minden verziója;
- SIMATIC CP 1616 (6GK1161-6AA02) minden verziója;
- SIMATIC CP 1623 (6GK1162-3AA00) minden verziója;
- SIMATIC CP 1626 (6GK1162-6AA01) minden verziója;
- SIMATIC CP 1628 (6GK1162-8AA00) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-37194)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-37195)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Amesim minden, V2021.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-43625)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Xpedition Layout Browser minden, VX.2.14-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-Based Buffer Overflow (CVE-2023-30900)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS minden, V2.0-nál régebbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2022-30527)/súlyos;
- Cross-site Scripting (CVE-2023-44315)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7 kompatibilis Mendix Forgot Password minden, V3.7.3-nál korábbi verziója;
- Mendix 8 kompatibilis Mendix Forgot Password minden, V4.1.3-nál korábbi verziója;
- Mendix 9 kompatibilis Mendix Forgot Password minden, V5.4.0-nál korábbi verziója;
- Mendix 10 kompatibilis Mendix Forgot Password minden, V5.4.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Discrepancy (CVE-2023-43623)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- CP-8031 MASTER MODULE (6MF2803-1AA00) minden, CPCI85 V05.11-nél korábbi verziója;
- CP-8050 MASTER MODULE (6MF2805-0AA00) minden, CPCI85 V05.11-nél korábbi verziója;Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-42796)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM PAS/PQS 8.00-tól 8.22-ig terjedő verziói (a 8.22-es verzió nem érintett);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2023-38640)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 minden, Nozomi Guardian/CMC-vel használt verziója a V22.6.2 előtt;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2023-22378)/közepes;
- Cross-site Scripting (CVE-2023-22843)/közepes;
- SQL Injection (CVE-2023-23574)/súlyos;
- Improper Input Validation (CVE-2023-23903)/közepes;
- Improper Input Validation (CVE-2023-24015)/közepes;
- Incorrect Authorization (CVE-2023-24471)/közepes;
- Session Fixation (CVE-2023-24477)/közepes;
Javítás: Jelenleg nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEMA Server V14 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2023-35796)/súlyos;
Javítás: Jelenleg nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid V35.0 minden, V35.0.262-nél korábbi verziója;
- Parasolid V35.1 minden, V35.1.250-nál korábbi verziója;
- Parasolid V36.0 minden, V36.0.169-nél korábbi verziója;
- Tecnomatix Plant Simulation V2201 V2201.0009-nél korábbi verziója;
- Tecnomatix Plant Simulation V2302 V2302.0003-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-44081)/súlyos;
- Out-of-bounds Write (CVE-2023-44082)/súlyos;
- Out-of-bounds Write (CVE-2023-44083)/súlyos;
- Out-of-bounds Read (CVE-2023-44084)/súlyos;
- Out-of-bounds Read (CVE-2023-44085)/súlyos;
- Out-of-bounds Read (CVE-2023-44086)/súlyos;
- Out-of-bounds Read (CVE-2023-44087)/súlyos;
- Incorrect Type Conversion or Cast (CVE-2023-45204)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-45601)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Monitoring Expert (PME) minden, Hotfix-145271-nél korábbi verziója;
- EcoStruxure™ Power Operation (EPO) with Advanced Reports minden, Hotfix-145271-nél korábbi verziója;
- EcoStruxure™ Power SCADA Operation with Advanced Reports minden, Hotfix-145271-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of untrusted data (CVE-2023-5391)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.10.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- SpaceLogic C-Bus Toolkit v1.16.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2023-5402)/kritikus;
- Path Traversal (CVE-2023-5399)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.10.11.
Gyártó: Yifan
Érintett rendszer(ek):
- Yifan YF325-ös mobil terminálok;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Overflow (CVE-2023-35055)/kritikus;
- Buffer Overflow (CVE-2023-35056)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-34365)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-34346)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-31272)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-34426)/kritikus;
- Heap-based Buffer Overflow (CVE-2023-35965)/kritikus;
- Heap-based Buffer Overflow (CVE-2023-35966)/kritikus;
- Heap-based Buffer Overflow (CVE-2023-35967)/kritikus;
- Heap-based Buffer Overflow (CVE-2023-35968)/kritikus;
Javítás: Nincs
Link a publikációhoz: Cisco Talos

Bejelentés dátuma: 2023.10.12.
Gyártó: Weintek
Érintett rendszer(ek):
- cMT-FHD 20210210-es és korábbi operációs rendszer verziói;
- cMT-HDM 20210204-es és korábbi operációs rendszer verziói;
- cMT3071 20210218-as és korábbi operációs rendszer verziói;
- cMT3072 20210218-as és korábbi operációs rendszer verziói;
- cMT3103 20210218-as és korábbi operációs rendszer verziói;
- cMT3090 20210218-as és korábbi operációs rendszer verziói;
- cMT3151 20210218-as és korábbi operációs rendszer verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-38584)/kritikus;
- OS Command Injection (CVE-2023-40145)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-43492)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-285-12

Bejelentés dátuma: 2023.10.12.
Gyártó: Hikvision
Érintett rendszer(ek):
- DS-K1T804AXX V1.4.0_build221212 és korábbi verziói;
- DS-K1T341AXX V3.2.30_build221223 és korábbi verziói;
- DS-K1T671XXX V3.2.30_build221223 és korábbi verziói;
- DS-K1T343XXX V3.14.0_build230117 és korábbi verziói;
- DS-K1T341C V3.3.8_build230112 és korábbi verziói;
- DS-K1T320XXX V3.5.0_build220706 és korábbi verziói;
- DS-KH63 Series V2.2.8_build230219 és korábbi verziói;
- DS-KH85 Series V2.2.8_build230219 és korábbi verziói;
- DS-KH62 Series V1.4.62_build220414 és korábbi verziói;
- DS-KH9310-WTE1(B) V2.1.76_build230204 és korábbi verziói;
- DS-KH9510-WTE1(B) V2.1.76_build230204 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Session Fixation (CVE-2023-28809)/súlyos;
- Improper Access Control (CVE-2023-28810)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-285-14

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az ISA/IEC 62443-as szabvány-sorozata az egyik legfontosabb és leginkább elismert az ICS/OT kiberbiztonsági szabványok között, nem utolsó sorban azért, mert ezt a szabványt az ISA gondozza. A sorozatnak két része van, amivel mi ebben a poszt-sorozatban foglalkozni fogunk, ezek közül az első a 3-3-as rész, ami a hálózat- és rendszerbiztonság témáját dolgozza fel.

A 3-3 négy biztonsági szintet (Security Level) határoz meg, az alábbiak szerint:

SL 1 - Az információk lehallgatással vagy véletlen közzététellel történő jogosulatlan megismerése elleni védelem.
SL 2 - Az információk kis erőfeszítést igénylő aktív keresés eredményeként bekövetkező jogosulatlan megismerése elleni védelem.
SL 3 - Az információk jelentős erőfeszítést, IACS (Industrial Automation and Control System)-specifikus tudást és közepes motivációt igénylő aktív keresés eredményeként bekövetkező jogosulatlan megismerése elleni védelem.
SL 4 - Az információk jelentős erőfeszítést, IACS (Industrial Automation and Control System)-specifikus tudást, valamint komoly motivációt és erőforrásokat igénylő aktív keresés eredményeként bekövetkező jogosulatlan megismerése elleni védelem.

A 3-3-as részben ismertetett rendszer szintű követelmények (SR, System Requirements) az 1-1-es részben ismertetett funkcionális követelmények (FR, Functional Requirements) részletes követelményeit ismerteti. Az SR fejezet és alfejezt után az RE a követelmény kifejtését (Requirement enhancement) tartalmazza, a fent ismertetett SL-szinteknek megfelelően, az alábbiak szerint:

FR 1 – Identification and authentication control

SR 1.1 – Human user identification and authentication
SR 1.1 RE 1 – Unique identification and authentication
SR 1.1 RE 2 – Multifactor authentication for untrusted networks
SR 1.1 RE 3 – Multifactor authentication for all networks

SR 1.2 – Software process and device identification and authentication
SR 1.2 RE 1 – Unique identification and authentication

SR 1.3 – Account management
SR 1.3 RE 1 – Unified account management

SR 1.4 – Identifier management

SR 1.5 – Authenticator management
SR 1.5 RE 1 – Hardware security for software process identity credentials

SR 1.6 – Wireless access management
SR 1.6 RE 1 – Unique identification and authentication

SR 1.7 – Strength of password-based authentication
SR 1.7 RE 1 – Password generation and lifetime restrictions for human users
SR 1.7 RE 2 – Password lifetime restrictions for all users

SR 1.8 – Public key infrastructure (PKI) certificates

SR 1.9 – Strength of public key authentication
SR 1.9 RE 1 – Hardware security for public key authentication

SR 1.10 – Authenticator feedback

SR 1.11 – Unsuccessful login attempts

SR 1.12 – System use notification

SR 1.13 – Access via untrusted networks
SR 1.13 RE 1 – Explicit access request approval

FR 2 – Use control

SR 2.1 – Authorization enforcement
SR 2.1 RE 1 – Authorization enforcement for all users
SR 2.1 RE 2 – Permission mapping to roles
SR 2.1 RE 3 – Supervisor override
SR 2.1 RE 4 – Dual approval

SR 2.2 – Wireless use control
SR 2.2 RE 1 – Identify and report unauthorized wireless devices

SR 2.3 – Use control for portable and mobile devices
SR 2.3 RE 1 – Enforcement of security status of portable and mobile devices

SR 2.4 – Mobile code
SR 2.4 RE 1 – Mobile code integrity check

SR 2.5 – Session lock

SR 2.6 – Remote session termination

SR 2.7 – Concurrent session control

SR 2.8 – Auditable events
SR 2.8 RE 1 – Centrally managed, system-wide audit trail

SR 2.9 – Audit storage capacity
SR 2.9 RE 1 – Warn when audit record storage capacity threshold reached

SR 2.10 – Response to audit processing failures

SR 2.11 – Timestamps
SR 2.11 RE 1 – Internal time synchronization
SR 2.11 RE 2 – Protection of time source integrity

SR 2.12 – Non-repudiation
SR 2.12 RE 1 – Non-repudiation for all users

FR 3 – System integrity

SR 3.1 – Communication integrity
SR 3.1 RE 1 – Cryptographic integrity protection

SR 3.2 – Malicious code protection
SR 3.2 RE 1 – Malicious code protection on entry and exit points
SR 3.2 RE 2 – Central management and reporting for malicious code protection

SR 3.3 – Security functionality verification
SR 3.3 RE 1 – Automated mechanisms for security functionality verification
SR 3.3 RE 2 – Security functionality verification during normal operation

SR 3.4 – Software and information integrity
SR 3.4 RE 1 – Automated notification about integrity violations

SR 3.5 – Input validation

SR 3.6 – Deterministic output

SR 3.7 – Error handling

SR 3.8 – Session integrity
SR 3.8 RE 1 – Invalidation of session IDs after session termination
SR 3.8 RE 2 – Unique session ID generation
SR 3.8 RE 3 – Randomness of session IDs

SR 3.9 – Protection of audit information
SR 3.9 RE 1 – Audit records on write-once media

FR 4 – Data confidentiality

SR 4.1 – Information confidentiality
SR 4.1 RE 1 – Protection of confidentiality at rest or in transit via untrusted networks
SR 4.1 RE 2 – Protection of confidentiality across zone boundaries

SR 4.2 – Information persistence
SR 4.2 RE 1 – Purging of shared memory resources

SR 4.3 – Use of cryptography

FR 5 – Restricted data flow

SR 5.1 – Network segmentation
SR 5.1 RE 1 – Physical network segmentation
SR 5.1 RE 2 – Independence from non-control system networks
SR 5.1 RE 3 – Logical and physical isolation of critical networks

SR 5.2 – Zone boundary protection
SR 5.2 RE 1 – Deny by default, allow by exception
SR 5.2 RE 2 – Island mode
SR 5.2 RE 3 – Fail close

SR 5.3 – General purpose person-to-person communication restrictions
SR 5.3 RE 1 – Prohibit all general purpose person-to-person communications

SR 5.4 – Application partitioning

FR 6 – Timely response to events

SR 6.1 – Audit log accessibility
SR 6.1 RE 1 – Programmatic access to audit logs

SR 6.2 – Continuous monitoring

FR 7 – Resource availability

SR 7.1 – Denial of service protection
SR 7.1 RE 1 – Manage communication loads
SR 7.1 RE 2 – Limit DoS effects to other systems or networks

SR 7.2 – Resource management

SR 7.3 – Control system backup
SR 7.3 RE 1 – Backup verification
SR 7.3 RE 2 – Backup automation

SR 7.4 – Control system recovery and reconstitution

SR 7.5 – Emergency power

SR 7.6 – Network and security configuration settings

SR 7.7 – Least functionality

A 62443-as szabványcsalád sajnos licencdíj ellenében érhető el, így ehhez sajnos csak a hivatalos, ISA weboldalra mutató i tudom bemásolni, ahol 260 amerikai dollárért lehet megvásárolni a szabványt.

Az elmúlt években gyakorlatilag annyi, ICS rendszereket vagy ipari szervezeteket érintő zsarolóvírus-támadásról írtam a blogon, hogy megszámolni sem könnyű (+1). Mostanra jutottam oda, hogy kell ennek a témának egy saját sorozat, ez pedig az első rész.

A Johnson Controls egy olyan ICS gyártó, amely számos iparág számára fejleszt automatizálási rendszereket. A hírek szerint szeptember végén súlyos kibertámadás érte a gyártó rendszereit, amiért a Dark Angels ransomware-csoport a felelős. A támadók a hírek szerint 25 TB-nyi adatot loptak el és azzal fenyegették a Johnson Controls-t, hogy ha nem fizetnek 51 millió dollárt, akkor a Dunghill Leaks nevű oldalon fogják publikálni az ellopott adatokat.

Ez már önmagában is érdekes hír lenne, de ha hozzátesszük, hogy a Johnson Controls (és leányvállalatai, amik állítólag szintén érintettek lehettek az incidensben) számos olyan épület-automatizálási megoldást is gyártanak, amelyeket (egyebek mellett) az USA Belbiztonsági Minisztériumában (DHS) is használnak, így pedig a Dark Angels kezei között most lehetnek olyan adatok is, amik bizony a amerikai nemzetbiztonság szempontjából is érdekesek lehetnek.

Jelenleg nagyjából ennyit lehet tudni, érdekes lesz látni, hogy ez a történet hova fog továbbfejlődni.

Július elején a LockBit zsarolóvírus két és fél napra kivonta a forgalomból a legnagyobb japán kikötőt Nagoya-ban. Most azonban nem magáról az incidensről lesz szó, hanem az incidens kockázatkezeléssel kapcsolatos tapasztalatairól és a tapasztalatokból leszűrhető kérdésekről.

Dale Peterson cikkében rámutat arra, hogy bár kiberbiztonsági incidens következtében most először kellett leállítani a Nagoya-i kikötőt, más okokból (főleg tájfunok miatt) az elmúlt közel 7 évtizedben számos esetben állt le Nagoya-ban a kikötő, legutóbb éppen 2019-ben, amikor a Hagibis tájfun pusztított Japánban.

Nyilván a júliusi incidens után a kikötő vezetői fejleszteni fogják a rendszereik biztonsági szintjét, azonban számukra is érdemes lesz feltenni a kérdést, hogy milyen és mekkora fejlesztés (és a fejlesztések által bekövetkező kockázat-csökkenés) lesz még indokolható (pl. ráfordítás-haszon elemzések alapján) és mi lesz már az a költségszint, ahol minden szempontból (beleértve a reputációs károkat is) jobban meg fogja érni felvállalni a kockázatot.

Ezzel pedig el is érkeztünk a kockázat-felvállaláshoz, mint a mai poszt legfontosabb témájához. A kockázatok felvállalása a kockázatkezelés egyik egyenrangú módon legitim lehetősége, azonban a menedzsment egyes tagjai (jellemzően mint az adat/folyamatgazdák) hajlamosak a kiberbiztonsági fejlesztések költségei láttán a kockázat-felvállalás mellett dönteni, ez pedig egy rossz gyakorlat kialakulásához is vezethet (főleg, ha a kockázatok egy ideig nem realizálódnak valós incidensekben, hiszen ezzel a kockázatokat viselő menedzserek igazolva láthatják a gyakorlatuk helyességét és hajlamosak lehetnek a jövőben még több kockázatot felvállalhatónak ítélni).

Mint oly sok esetben, itt is az egyensúlyra törekvés lesz a megoldás, ennek egy (szerintem) igen jó módszeréről hallottam nemrég, ami szerint az egyes menedzserek bónuszát minden egyes kockázat, amit felvállalnak csökkenti valamilyen mértékben, ezzel is motiválva őket, hogy a kockázatelemzés során túl magasnak ítélt kockázatokat ne egy könnyed(nek tűnő) adminisztratív aktussal "tudják le", hanem valós kockázatcsökkentési intézkedéseket hozzanak.

Összességében csak elismételni tudom Dave cikkének utolsó mondatát: az OT rendszereket üzemeltető szervezeteknek nem célszerű megvárni egy, a Nagoya-i kikötőjéhez hasonló incidenst azért, hogy hozzákezdjenek az OT kockázatkezelési tevékenységeikhez.

Bejelentés dátuma: 2023.09.26.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann Classic RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS, OCTOPUS 09.1.07-es és korábbi verziói;
- Hirschmann HiOS RSP2S, RSPS, RSPL, EES, EESX, GRS1020, GRS1030, RED 07.1.05-ös és korábbi verziói;
- Hirschmann HiOS RSP, RSPE, MSP, GRS, OS, BRS 09.0.2-es és korábbi verziói;
- Hirschmann HiSecOS Eagle 04.2.01-es és korábbi verziói;
- Hirschmann HiLCOS BAT C2 9.12-es és korábbi verziói;
- Hirschmann Lite Managed GECKO 2.3.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Realloc Misbehavior (CVE-2021-45960)/súlyos;
- Integer Overflow (CVE-2021-46143)/súlyos;
- Integer Overflow (CVE-2022-22822)/kritikus;
- Integer Overflow (CVE-2022-22823)/kritikus;
- Integer Overflow (CVE-2022-22824)/kritikus;
- Integer Overflow (CVE-2022-22825)/súlyos;
- Integer Overflow (CVE-2022-22826)/súlyos;
- Integer Overflow (CVE-2022-22827)/súlyos;
- Integer Overflow (CVE-2022-25314)/súlyos;
- Integer Overflow (CVE-2022-25315)/súlyos;
- Lack of Validation of Encoding (CVE-2022-25235)/kritikus;
- Improper Input Validation (CVE-2022-25236)/kritikus;
- Integer Overflow (CVE-2022-23852)/kritikus;
- Integer Overflow (CVE-2022-23990)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Belden

Bejelentés dátuma: 2023.09.26.
Gyártó: Suprema
Érintett rendszer(ek):
- BioStar 2 2.8.16-os verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2023-27167)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-269-01

Bejelentés dátuma: 2023.09.26.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Asset Suite 9.6.3.11.1-es és korábbi verziói;
- Asset Suite 9.6.4-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-4816)/közepes;
Javítás: A gyártó jelenleg is dolgozik a javításon.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-269-02

Bejelentés dátuma: 2023.09.26.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GX Works3 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Default Permissions (CVE-2023-4088)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-269-03

Bejelentés dátuma: 2023.09.26.
Gyártó: Advantech
Érintett rendszer(ek):
- EKI-1524-CE sorozatú eszközök 1.24-es és korábbi verziói;
- EKI-1522-CE sorozatú eszközök 1.24-es és korábbi verziói;
- EKI-1521-CE sorozatú eszközök 1.24-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Scripting (CVE-2023-4202)/közepes;
- Cross-Site Scripting (CVE-2023-4203)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-269-04

Bejelentés dátuma: 2023.09.26.
Gyártó: Bently Nevada
Érintett rendszer(ek):
- Bently Nevada 3500 Rack (TDI Firmware) 5.05-ös verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-34437)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-34441)/közepes;
- Authentication Bypass by Capture-replay (CVE-2023-36857)/közepes;
Javítás: Nincs, a gyártó a hardening útmutatójában leírtak alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-269-05

Bejelentés dátuma: 2023.09.28.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- PanelView 800 2711R-T10T V3.011-es verziója;
- PanelView 800 2711R-T7T V3.011-es verziója;
- PanelView 800 2711R-T4T V3.011-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2017-12652)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-271-01

Bejelentés dátuma: 2023.09.28.
Gyártó: DEXMA
Érintett rendszer(ek):
- DEXGate 20130114;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Scripting (CVE-2023-40153)/közepes;
- Cross-Site Request Forgery (CVE-2023-42435)/közepes;
- Improper Authentication (CVE-2023-4108)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-41088)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-42666)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-271-02

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A különböző felhős megoldások idestova jó 2 évtizede velünk élnek (még ha sokan sokáig nem is tudták vagy még mindig nem tudják, hogy hány felhőszolgáltatást is használnak napi rendszerességgel), azonban az OT világba a felhő nagyon sokáig az említés szintjén sem jelent meg. Aztán valamikor a 2010-es évek derekán kezdtek néhányan ipari felhőről (industrial cloud) beszélni, de a kezdeti felhajtás (és abból induló, az ICS/OT kiberbiztonsági közösségre időnként jellemzően kissé túlfűtött viták) után a téma elfeküdt a háttérben, az évtized második felében történt súlyos, ICS/OT rendszereket (is) érintő incidensek árnyékában. Később, az ipari IoT (IIoT) megoldások terjedése nyomán ismét felmerült az ICS/OT rendszerek felhőkapcsolatának kérdése, de ez még mindig nem arról szólt, hogy az OT rendszerek egy részét egy publikus felhőszolgáltatóhoz mozgassák ki az ipari szervezetek.

Most azonban egy olyan, a Microsoft Tech Community-n még 2022-ben megjelent cikket találtam, ami miatt mindenképp érdemes kicsit újra megvizsgálnunk a témát. Ebben a cikkben bizony a Microsoft egyik ausztráliai munkatársa egy esettanulmányt bemutatva arról ír, hogy terjesztették ki egy ügyfelük OT hálózatának egy részét (a Purdue-modell szerinti L3-at) egy második (az ügyfél IT Azure tenant-jától elkülönített) OT Azure tenant-ba. A cikk szerint ez a kialakítás amellett, hogy lehetőséget adott az ügyfél számára a publikus felhő biztosította számítási, elemzési, gépi tanulási és mesterséges intelligencia-képességek kihasználására úgy, hogy közben fenntartották az ICS/OT biztonság olyan alapelveit, mint az IT és OT címtárak teljeskörű szétválasztása, az erőforrások szétválasztása az IT és OT rendszerek között.

Egyelőre (nekem legalább is) nehéz megítélni, hogy a publikus felhőbe történő OT-kiterjesztés előnyei ellensúlyozzák-e vagy inkább meghaladják egyes OT szolgáltatások felhőbe költöztetésének kockázatait. A kezdeti véleményem az, hogy talán azoknál a szolgálatásoknál lehetne elgondolkozni a felhőbe költöztetéséről, ahol az L3 OT szolgáltatások önálló rendelkezésre állása a legfontosabb (vagy inkább az egyetlen) szempont és az sem jelent problémát, ha ezek a szolgáltatások elveszítik a kapcsolatot az on-premise L3 és L2 rendszerekkel és szolgáltatásokkal és (természetesen) az adatok/rendszerek bizalmassága nem szempont. Fontos szempontnak gondolnám továbbá, hogy a publikus felhőbe költöző L3 rendszerek NE tudjanak kapcsolatokat kezdeményezni az L2 (vagy L1, L0) rendszerek felé - hiszen tudjuk, semmi, így a Purdue-modellben meghatározott szabályok és adatutak sincsenek kőbe vésve.

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden, V14.3.0.1-nél korábbi verziója;
- Teamcenter Visualization V13.3 minden, V13.3.0.12-nél korábbi verziója;
- Teamcenter Visualization V14.0 minden verziója;
- Teamcenter Visualization V14.1 minden, V14.1.0.11-nél korábbi verziója;
- Teamcenter Visualization V14.2 minden, V14.2.0.6-nál korábbi verziója;
- Teamcenter Visualization V14.3 minden, V14.3.0.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-38070)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38071)/súlyos;
- Out-of-bounds Write (CVE-2023-38072)/súlyos;
- Type Confusion (CVE-2023-38073)/súlyos;
- Type Confusion (CVE-2023-38074)/súlyos;
- Use After Free (CVE-2023-38075)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38076)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 ADM (6GK6015-0AL20-0GL0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 ADM CC (6GK6015-0AL20-0GL1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 CKP (6GK6015-0AL20-0GK0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 CKP CC (6GK6015-0AL20-0GK1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 CLOUDCONNECT (6GK6015-0AL20-0GM0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 CLOUDCONNECT CC (6GK6015-0AL20-0GM1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 ELAN (6GK6015-0AL20-0GP0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 ELAN CC (6GK6015-0AL20-0GP1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 SAM-L (6GK6015-0AL20-0GN0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 SAM-L CC (6GK6015-0AL20-0GN1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-P (6GK6015-0AL20-1AA0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-P CC (6GK6015-0AL20-1AA1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S1 (6GK6015-0AL20-1AB0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S1 CC (6GK6015-0AL20-1AB1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S3 (6GK6015-0AL20-1AD0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S3 CC (6GK6015-0AL20-1AD1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S5 (6GK6015-0AL20-1AF0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S5 CC (6GK6015-0AL20-1AF1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808LNX (6GK6015-0AL20-0GH0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808LNX CC (6GK6015-0AL20-0GH1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808W10 (6GK6015-0AL20-0GJ0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808W10 CC (6GK6015-0AL20-0GJ1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insyde BIOS Vulnerability (CVE-2017-5715)/közepes;
- Insyde BIOS Vulnerability (CVE-2021-38578)/kritikus;
- Insyde BIOS Vulnerability (CVE-2022-24350)/közepes;
- Insyde BIOS Vulnerability (CVE-2022-24351)/közepes;
- Insyde BIOS Vulnerability (CVE-2022-27405)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-29275)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-30283)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-30772)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32469)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32470)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32471)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32475)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32477)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32953)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32954)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-35893)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-35894)/közepes;
- Insyde BIOS Vulnerability (CVE-2022-35895)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-35896)/közepes;
- Insyde BIOS Vulnerability (CVE-2022-36338)/súlyos;
- Insyde BIOS Vulnerability (CVE-2023-24932)/közepes;
- Insyde BIOS Vulnerability (CVE-2023-27373)/közepes;
- Insyde BIOS Vulnerability (CVE-2023-31041)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Spectrum Power 7 minden, V23Q3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2023-38557)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS neo (Administration Console) V4.0 minden verziója;
- SIMATIC PCS neo (Administration Console) V4.0 Update 1 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insertion of Sensitive Information into Externally-Accessible File or Directory (CVE-2023-38558)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.14
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Pavilion8 v5.17.00 és v5.17.01-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-29463)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-257-07

Bejelentés dátuma: 2023.09.19.
Gyártó: Omron
Érintett rendszer(ek):
- Sysmac Studio 1.54-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2022-45793)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-262-04

Bejelentés dátuma: 2023.09.19.
Gyártó: Omron
Érintett rendszer(ek):
- Sysmac Studio1.54-es és korábbi verziói;
- NX-IO Configurator 1.22-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2018-1002205)
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-262-03

Bejelentés dátuma: 2023.09.19.
Gyártó: Omron
Érintett rendszer(ek):
- Smart Security Manager 1.4-es és 1.31-ig terjedő korábbi verziói;
- Smart Security Manager 1.5-ös és korábbi verziói;
- CJ2H-CPU ** (-EIP) 1.4-es és korábbi verziói;
- CJ2M-CPU ** 2.0 és korábbi verziói;
- CS1H/G-CPU ** H、CJ1G-CPU ** P 4.0 és korábbi verziói;
- CS1D-CPU ** H / -CPU ** P 1.3-as és korábbi verziói;
- CS1D-CPU ** S 2.0 és korábbi verziói;
- CP1E-E / -N 1.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Control of Interaction Frequency (CVE-2022-45790)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-262-05

Bejelentés dátuma: 2023.09.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Connected Components Workbench R21-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free (CVE-2020-16017)/kritikus;
- Use After Free (CVE-2022-0609)/súlyos;
- Out-of-bounds Write (CVE-2020-16009)/súlyos;
- Out-of-bounds Write (CVE-2020-16013)/súlyos;
- Out-of-bounds Write (CVE-2020-15999)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-05

Bejelentés dátuma: 2023.09.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1756-EN2T A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2T A sorozatú eszközök 5.028-as verziója;
- 1756-EN2T B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2T B sorozatú eszközök 5.028-as verziója;
- 1756-EN2T C sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2T C sorozatú eszközök 5.028-as verziója;
- 1756-EN2T D sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TK A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TK A sorozatú eszközök 5.028-as verziója;
- 1756-EN2TK B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TK B sorozatú eszközök 5.028-as verziója;
- 1756-EN2TK C sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TK C sorozatú eszközök 5.028-as verziója;
- 1756-EN2TK D sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TXT A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TXT A sorozatú eszközök and 5.028-as verziója;
- 1756-EN2TXT B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TXT B sorozatú eszközök 5.028-as verziója;
- 1756-EN2TXT C sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TXT C sorozatú eszközök 5.028-as verziója;
- 1756-EN2TXT D sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TP A sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TPK A sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TPXT A sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TR A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TR A sorozatú eszközök 5.028-as verziója;
- 1756-EN2TR B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TR B sorozatú eszközök 5.028-as verziója;
- 1756-EN2TR C sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TRK A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TRK A sorozatú eszközök 5.028-as verziója;
- 1756-EN2TRK B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TRK B sorozatú eszközök 5.028-as verziója;
- 1756-EN2TRK C sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TRXT A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TRXT A sorozatú eszközök 5.028-as verziója;
- 1756-EN2TRXT B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TRXT B sorozatú eszközök 5.028-as verziója;
- 1756-EN2TRXT C sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2F A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2F A sorozatú eszközök 5.028-as verziója;
- 1756-EN2F B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2F B sorozatú eszközök 5.028-as verziója;
- 1756-EN2F C sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2FK A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2FK A sorozatú eszközök 5.028-as verziója;
- 1756-EN2FK B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2FK B sorozatú eszközök 5.028-as verziója;
- 1756-EN2FK C sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN3TR A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN3TR A sorozatú eszközök 5.028-as verziója;
- 1756-EN3TR B sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN3TRK A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN3TRK A sorozatú eszközök 5.028-as verziója;
- 1756-EN3TRK B sorozatú eszközök 11.002-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-2262)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-04

Bejelentés dátuma: 2023.09.21.
Gyártó: Real Time Automation
Érintett rendszer(ek):
- 460 sorozat v8.9.8-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2023-4523)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-01

Bejelentés dátuma: 2023.09.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View Machine Edition v13.0 verziója;
- FactoryTalk View Machine Edition v12.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2023-2071)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-06

Bejelentés dátuma: 2023.09.21.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DIAScreen v1.3.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-5068)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-03

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nemrég egy érdekesnek tűnő cikksorozat első részeire találtam rá az ISA weboldalán. A sorozatban egy három fázisú, 14 részből álló kezdeményezést mutatnak be, ami alapja lehet egy ICS biztonsági programnak.

Az első fázis az ICS/OT kiberbiztonsági értékelés és szabályzat-alkotás, valamint a governance témáival foglalkozik.

a második fázisba 7 témakör tartozik:

- ICS/OT kiberbiztonsági tervezés és hálózatszegmentáció (IT és OT hálózatok közötti szegmentáció);
- ICS/OT eszközfelderítés és fenyegetés-észletés (OT IDS rendszerek kiválasztása és implementálása);
- ICS/OT konfiguráció-higénia;
- ICS/OT biztonságos távoli hozzáférés;
- ICS/OT hozzáférés-vezérlés;
- ICS/OT végpontvédelem (antivírus, host IDS/EDR, USB eszközkontroll);
- ICS/OT beszállító lánc-biztonság;

A harmadik fázis 3 részből áll:

- ICS/OT biztonsági monitoring;
- ICS/OT biztonsági incidenskezelési terv;
- ICS/OT audit és biztonsági tesztelés;

A sorozat eddig megjelent négy része az alábbi linkeken érhető el:

Első rész;
Második rész;
Harmadik rész;
Negyedik rész;

Bejelentés dátuma: 2023.09.12.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Lumada APM Edge 4.0 és korábbi verziói;
- Lumada APM Edge 6.3-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free (CVE-2023-0215)/súlyos;
- Double Free (CVE-2022-4450)/súlyos;
- Type Confusion (CVE-2023-0286)/súlyos;
- Observable Discrepancy (CVE-2022-4304)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-255-01

Bejelentés dátuma: 2023.09.12.
Gyártó: Fujitsu Software
Érintett rendszer(ek):
- Infrastructure Manager Advanced Edition V2.8.0.060-as verziója;
- Infrastructure Manager Advanced Edition for PRIMEFLEX V2.8.0.060-as verziója;
- Infrastructure Manager Essential Edition V2.8.0.060-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2023-39903)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-255-02

Bejelentés dátuma: 2023.09.12.
Gyártó: JTEKT
Érintett rendszer(ek):
- Kostac PLC programozási szoftver (korábbi nevén Koyo PLC programozási szoftver) 1.6.11.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Double free (CVE-2023-41374)/súlyos;
- Use-after-free (CVE-2023-41375)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://jvn.jp/en/vu/JVNVU95282683/index.html

Bejelentés dátuma: 2023.09.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS Update Service (IGSSupdateservice.exe) v16.0.0.23211-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-4516)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- PSS(R)CAPE V14 minden, V14.2023-08-23-nál korábbi verziója;
- PSS(R)CAPE V15 minden, V15.0.22-nél korábbi verziója;
- PSS(R)E V34 minden, V34.9.6-nál korábbi verziója;
- PSS(R)E V35 minden verziója;
- PSS(R)ODMS V13.0 minden verziója;
- PSS(R)ODMS V13.1 minden, V13.1.12.1-nél korábbi verziója;
- SIMATIC PCS neo V3 minden verziója;
- SIMATIC PCS neo V4 minden verziója;
- SIMATIC WinCC OA V3.17 minden verziója;
- SIMATIC WinCC OA V3.18 minden verziója;
- SIMATIC WinCC OA V3.19 minden, V3.19 P006-nál korábbi verziója;
- SIMIT Simulation Platform minden verziója;
- SINEC INS minden verziója;
- SINEMA Remote Connect minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-Based Buffer Overflow (CVE-2023-3935)/kritikus;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- QMS Automotive minden, v12.39-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Plaintext Storage of a Password (CVE-2022-43958)/súlyos;
- Cleartext Storage of Sensitive Information in Memory (CVE-2023-40724)/súlyos;
- Generation of Error Message Containing Sensitive Information (CVE-2023-40725)/közepes;
- Server-generated Error Message Containing Sensitive Information (CVE-2023-40726)/súlyos;
- Improper Verification of Cryptographic Signature (CVE-2023-40727)/súlyos;
- Insecure Storage of Sensitive Information (CVE-2023-40728)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-40729)/súlyos;
- Improper Access Control (CVE-2023-40730)/súlyos;
- Unrestricted Upload of File with Dangerous Type (CVE-2023-40731)/közepes;
- Insufficient Session Expiration (CVE-2023-40732)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Field PG M6 minden verziója;
- SIMATIC IPC BX-39A minden verziója;
- SIMATIC IPC PX-39A minden verziója;
- SIMATIC IPC PX-39A PRO minden verziója;
- SIMATIC IPC RW-543A minden verziója;
- SIMATIC IPC627E minden verziója;
- SIMATIC IPC647E minden verziója;
- SIMATIC IPC677E minden verziója;
- SIMATIC IPC847E minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-40982)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid V34.1 minden, V34.1.258-nál korábbi verziója;
- Parasolid V35.0 minden, V35.0.253-nál korábbi verziója;
- Parasolid V35.0 minden, V35.0.260-nál korábbi verziója;
- Parasolid V35.1 minden, V35.1.184-nél korábbi verziója;
- Parasolid V35.1 minden, V35.1.246-nál korábbi verziója;
- Parasolid V36.0 minden, V36.0.142-nél korábbi verziója;
- Parasolid V36.0 minden, V36.0.156-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-41032)/súlyos;
- Out-of-bounds Write (CVE-2023-41033)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Cloud Connect 7 CC712 (6GK1411-1AC00) minden, v2.2-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC716 (6GK1411-5AC00) minden, v2.2-nél korábbi verziója;
- SIMATIC Drive Controller CPU 1504D TF (6ES7615-4DF10-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC Drive Controller CPU 1504D TF (6ES7615-4DF10-0AB0) minden, v3.0.1-től v3.0.3-ig terjedő verziója;
- SIMATIC Drive Controller CPU 1507D TF (6ES7615-7DF10-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC Drive Controller CPU 1507D TF (6ES7615-7DF10-0AB0) minden, v3.0.1-től v3.0.3-ig terjedő verziója;
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (beleértve a SIPLUS változatokat is) minden v21.9.7-nél korábbi verziója;
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (beleértve a SIPLUS változatokat is): Versions 30.0.0 and prior
- SIMATIC S7-1200 CPU family (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1500 CPU 1510SP F-1 PN (6ES7510-1SJ01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1510SP F-1 PN (6ES7510-1SK03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1510SP-1 PN (6ES7510-1DJ01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1510SP-1 PN (6ES7510-1DK03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AK01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AK02-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AL03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511C-1 PN (6ES7511-1CK00-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511C-1 PN (6ES7511-1CK01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FK01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FK02-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FL03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511T-1 PN (6ES7511-1TK01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511T-1 PN (6ES7511-1TL03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511TF-1 PN (6ES7511-1UK01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511TF-1 PN (6ES7511-1UL03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1512C-1 PN (6ES7512-1CK00-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1512C-1 PN (6ES7512-1CK01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1512SP F-1 PN (6ES7512-1SK01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1512SP F-1 PN (6ES7512-1SM03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1512SP-1 PN (6ES7512-1DK01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1512SP-1 PN (6ES7512-1DM03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AL01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AL02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AM03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FL01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FL02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FM03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1513R-1 PN (6ES7513-1RL00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1513R-1 PN (6ES7513-1RM03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1514SP F-2 PN (6ES7514-2SN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1514SP-2 PN (6ES7514-2DN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1514SPT F-2 PN (6ES7514-2WN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1514SPT-2 PN (6ES7514-2VN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AM01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AM02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FM01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FM02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515R-2 PN (6ES7515-2RM00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515R-2 PN (6ES7515-2RN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515T-2 PN (6ES7515-2TM01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515T-2 PN (6ES7515-2TN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515TF-2 PN (6ES7515-2UM01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515TF-2 PN (6ES7515-2UN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AN01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AN02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AP03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FN01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FN02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FP03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1516T-3 PN/DP (6ES7516-3TN00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1516TF-3 PN/DP (6ES7516-3UN00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517-3 PN/DP (6ES7517-3AP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517F-3 PN/DP (6ES7517-3FP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517H-3 PN (6ES7517-3HP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517T-3 PN/DP (6ES7517-3TP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517TF-3 PN/DP (6ES7517-3UP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518-4 PN/DP (6ES7518-4AP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP (6ES7518-4FP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518HF-4 PN (6ES7518-4JP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518T-4 PN/DP (6ES7518-4TP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518TF-4 PN/DP (6ES7518-4UP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU S7-1518-4 PN/DP ODK (6ES7518-4AP00-3AB0):All versions prior to v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU S7-1518F-4 PN/DP ODK (6ES7518-4FP00-3AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1513PRO F-2 PN (6ES7513-2GL00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1513PRO-2 PN (6ES7513-2PL00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1516PRO F-2 PN (6ES7516-2GN00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1516PRO-2 PN (6ES7516-2PN00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 Software Controller V2 minden, v21.9.7-nél korábbi verziója;
- SIMATIC S7-1500 Software Controller V3 minden verziója;
- SIMATIC S7-PLCSIM Advanced minden verziója;
- SIPLUS ET 200SP CPU 1510SP F-1 PN (6AG1510-1SJ01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1510SP F-1 PN RAIL (6AG2510-1SJ01-1AB0):All versions prior to v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN (6AG1510-1DJ01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN (6AG1510-1DJ01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN RAIL (6AG2510-1DJ01-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN RAIL (6AG2510-1DJ01-1AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN (6AG1512-1SK01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN (6AG1512-1SK01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN RAIL (6AG2512-1SK01-1AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN RAIL (6AG2512-1SK01-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN (6AG1512-1DK01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN (6AG1512-1DK01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN RAIL (6AG2512-1DK01-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN RAIL (6AG2512-1DK01-1AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK02-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN T1 RAIL (6AG2511-1AK01-1AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN T1 RAIL (6AG2511-1AK02-1AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN TX RAIL (6AG2511-1AK01-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN TX RAIL (6AG2511-1AK02-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511F-1 PN (6AG1511-1FK01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511F-1 PN (6AG1511-1FK02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL02-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513F-1 PN (6AG1513-1FL01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513F-1 PN (6AG1513-1FL02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN (6AG1515-2FM01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN (6AG1515-2FM02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN RAIL (6AG2515-2FM02-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN T2 RAIL (6AG2515-2FM01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515R-2 PN (6AG1515-2RM00-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515R-2 PN TX RAIL (6AG2515-2RM00-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN02-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP RAIL (6AG2516-3AN02-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP TX RAIL (6AG2516-3AN01-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP (6AG1516-3FN02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP (6AG1516-3FN01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP RAIL (6AG2516-3FN02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP RAIL (6AG2516-3FN02-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1517H-3 PN (6AG1517-3HP00-4AB0) minden, v3.0.3-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518-4 PN/DP (6AG1518-4AP00-4AB0) minden, v3.0.3-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518-4 PN/DP MFP (6AG1518-4AX00-4AC0) minden, v3.0.3-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518F-4 PN/DP (6AG1518-4FP00-4AB0) minden, v3.0.3-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518HF-4 PN (6AG1518-4JP00-4AB0) minden, v3.0.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Integer Overflow or Wraparound (CVE-2023-28831)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.