Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- POWER METER SICAM Q200-as termékcsalád V2.70-nél korábbi összes verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Session Fixation (CVE-2022-43398)/súlyos;
- Improper Input Validation (CVE-2022-43439)/kritikus;
- Improper Input Validation (CVE-2022-43545)/kritikus;
- Improper Input Validation (CVE-2022-43546)/kritikus;
- Cross-Site Request Forgery (CSRF) (CVE-2023-30901)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2023-31238)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.06.22.
Gyártó: Enphase
Érintett rendszer(ek):
- Enphase Installer Toolkit
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2023-32274)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-171-02

Bejelentés dátuma: 2023.06.27.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- FOXMAN-UN R16A verziója;
- FOXMAN-UN R15B verziója;
- FOXMAN-UN R15A verziója;
- UNEM R16A verziója;
- UNEM R15B verziója;
- UNEM R15A verziója;
- FOXMAN-UN R14B verziója;
- FOXMAN-UN R14A verziója;
- FOXMAN-UN R11B verziója;
- FOXMAN-UN R11A verziója;
- FOXMAN-UN R10C verziója;
- FOXMAN-UN R9C verziója;
- UNEM R14B verziója;
- UNEM R14A verziója;
- UNEM R11B verziója;
- UNEM R11A verziója;
- UNEM R10C verziója;
- UNEM R9C verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Output Neutralization for Logs
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-178-01

Bejelentés dátuma: 2023.06.29.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- FX3U-xMy/z x=16,32,48,64,80,128, y=T,R, z=ES,ESS,DS,DSS *1 minden verziója;
- FX3U-32MR/UA1, FX3U-64MR/UA1 *1 minden verziója;
- FX3U-32MS/ES, FX3U-64MS/ES *1 minden verziója;
- FX3U-xMy/ES-A x=16,32,48,64,80,128, y=T,R *1*2 minden verziója;
- FX3UC-xMT/z x=16,32,64,96, z=D,DSS *1 minden verziója;
- FX3UC-16MR/D-T, FX3UC-16MR/DS-T *1 minden verziója;
- FX3UC-32MT-LT, FX3UC-32MT-LT-2 *1 minden verziója;
- FX3UC-16MT/D-P4, FX3UC-16MR/DSS-P4 *1*2 minden verziója;
- FX3G-xMy/z x=14,24,40,60, y=T,R, z=ES,ESS,DS,DSS *1 minden verziója;
- FX3G-xMy/ES-A x=14,24,40,60, y=T,R *1*2 minden verziója;
- FX3GC-32MT/D, FX3GC-32MT/DSS *1 minden verziója;
- FX3GE-xMy/z x=24,40, y=T,R, z=ES,ESS,DS,DSS *2 minden verziója;
- FX3GA-xMy-CM x=24,40,60, y=T,R *1*2 minden verziója;
- FX3S-xMy/z x=10,14,20,30, y=T,R, z=ES,ESS,DS,DSS *1 minden verziója;
- FX3S-30My/z-2AD y=T,R, z=ES,ESS *1 minden verziója;
- FX3SA-xMy-CM x=10,14,20,30, y=T,R *1*2 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Capture-replay (CVE-2023-2846)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-180-04

Bejelentés dátuma: 2023.06.29.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- InfraSuite Device Master 1.0.7-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-34316)/közepes;
- Improper Access Control (CVE-2023-30765)/súlyos;
- Deserialization of Untrusted Data (CVE-2023-34347)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-180-01

Bejelentés dátuma: 2023.06.29.
Gyártó: Ovarro
Érintett rendszer(ek):
- TBox MS-CPU32 1.50.598-as és korábbi verziói;
- TBox MS-CPU32-S2 1.50.598-as és korábbi verziói;
- TBox LT2 1.50.598-as és korábbi verziói;
- TBox TG2 1.50.598-as és korábbi verziói;
- TBox RM2 1.50.598-as és korábbi verziói;
- TBox MS-CPU32 1.46-tól 1.50.598-ig terjedő verziói;
- TBox MS-CPU32-S2 1.46-tól 1.50.598-ig terjedő verziói;
- TBox LT2 1.46-tól 1.50.598-ig terjedő verziói;
- TBox TG2 1.46-tól 1.50.598-ig terjedő verziói;
- TBox RM2 1.46-tól 1.50.598-ig terjedő verziói;
- TBox MS-CPU32 minden, verziója;
- TBox MS-CPU32-S2 minden, verziója;
- TBox LT2 minden, verziója;
- TBox TG2 minden, verziója;
- TBox RM2 minden, verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authorization (CVE-2023-36607)/közepes;
- Use of Broken or Risky Cryptographic Algorithm (CVE-2023-36608)/közepes;
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2023-36609)/súlyos;
- Insufficient Entropy (CVE-2023-36610)/közepes;
- Improper Authorization (CVE-2023-36611)/közepes;
- Plaintext Storage of a Password (CVE-2023-3395)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-180-03

Bejelentés dátuma: 2023.06.29.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Operator Terminal Expert HMI 3.3 SP1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-1049)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-180-02

Bejelentés dátuma: 2023.07.03.
Gyártó: Moxa
Érintett rendszer(ek):
- TN-5900 sorozatú eszközök 3.3-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Response Discrepancy (CVE-2023-3336)/n/a;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/mpsa-230401-tn-5900-series-user-enumeration-vulnerability

Bejelentés dátuma: 2023.07.06.
Gyártó: ABUS
Érintett rendszer(ek):
- ABUS TVIP beltéri biztonsági kamerák 20000-21150-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-26609)/súlyos;
Javítás: Nincs, az érintett termékvonal támogatása 2019-ben megszűnt.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-187-02

Bejelentés dátuma: 2023.07.06.
Gyártó: PiiGAB
Érintett rendszer(ek):
- M-Bus SoftwarePack 900S típusú vezeték nélküli okosmérő;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-36859)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2023-33868)/közepes;
- Unprotected Transport of Credentials (CVE-2023-31277)/súlyos;
- Use of Hard-coded Credentials (CVE-2023-35987)/kritikus;
- Plaintext Storage of a Password (CVE-2023-35765)/közepes;
- Cross-site Scripting (CVE-2023-32652)/súlyos;
- Weak Password Requirements (CVE-2023-34995)/súlyos;
- Use of Password Hash with Insufficient Computational Effort (CVE-2023-34433)/súlyos;
- Cross-Site Request Forgery (CVE-2023-35120)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-187-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Sok más egyéb különbség mellett a patch-ek telepítése az egyik legkarakteresebb különbség az ICS/OT és az IT rendszerek között. Persze tudjuk, hogy az IT rendszerek esetében is gyakorta elmarad a szoftveres javítócsomagok telepítése, de ott ez (ma már) egy elismerten rossz gyakorlat és senkinek nem ajánlják ezt, míg az ICS/OT rendszerek esetén mind a mai napig megszokottnak számít, hogy

a) a hibajavításokat egyáltalán nem telepítik;
b) a javításokat csak a gyártó előzetes, írásos hozzájárulása után telepítik (mert a gyártó jóváhagyása nélkül telepített szoftverek, akár a hivatalos, Microsoft Windows patch-ek telepítése a gyártói garancia azonnali elvesztését eredményezhetik);

Látható tehát, hogy még ha az adott szervezet ICS/OT rendszereiért felelős kollégák értik a szoftveres javítások telepítésének fontosságát és szándékukban áll azokat mielőbb telepíteni, még ebben az ideális esetben is jóval lassabb lehet a patch-ek telepítése, mint egy átlagos IT rendszer esetén. A kérdés már csak az, hogy milyen lehetőségeink vannak akkor, ha bármilyen ok miatt nem vagy nem kellően gyorsan tudunk patch-elni egy ICS/OT rendszert?

Ezt a témát járja körbe az isa.org-on megjelent cikkében Stephan Venter (Linux evangelista és TuxCare-publicista).

Stephan első, témába vágó tanácsa (Linux-os kötődésére emlékezve nem igazán meglepő módon) a live patch-ing lehetőségének mérlegelése, ami azonban egyrészt csak Linux operációs rendszereket futtató ICS/OT rendszerek esetén létezhet, mint lehetőség, másrészt én személy szerint kíváncsi lennék, hogy melyik ICS gyártó fog jóváhagyást adni egy éles folyamatirányító rendszer üzem közben live patch-elésére (főleg, ha ez a frissítés egy kernel patch-et is tartalmaz)? Fogalmazzunk úgy, hogy nem számítok túl nagy tolongásra a gyártók között...

A többi tanács már jóval konzervatívabb (és - szerintem legalább is - realistább):

- eszköz (hardver- és szoftverleltár) és priorizálás;
- biztonságos ICS/OT/IoT architektúra modellek (Purdue, Gartner IoT reference architecture vagy az ENISA IoT security baseline ajánlása) alkalmazása (ez mindenképp hasznos tanács, de az én tapasztalataim szerint már üzemelő ICS/OT rendszerek Purdue- vagy egyéb referencia architektúra modellhez hasonló architektúrára történő átalakítására ritkán és csak hosszabb átmenet eredményeként szokott lehetőség nyílni, szóval egy sürgősen telepítésre váró, kritikus hibát javító patch telepítése esetén nem biztos, hogy ez a leggyorsabb megoldás);
- az alkalmazások fehérlistázása (vagyis csak az ismert és bizonyítottan nem kártékony alkalmazások futtatásának engedélyezése);
- monitoring megoldások és eljárások, biztonsági naplózás és incidenskezelési eljáráok kidolgozása és bevezetése.

Bejelentés dátuma: 2023.06.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure TM Foxboro DCS Control Core Services minden, HF98577958-as patchnél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-Bounds Write (CVE-2023-2569)/súlyos;
- Improper Validation of Array Index (CVE-2023-2570)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.06.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Foxboro SCADA minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Clear Text Storage of Sensitive Information in Memory (n/a)/közepes;
Javítás: Nincs, a termék elérte életciklusa végét.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.06.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS (Interactive Graphical SCADA System) Dashboard v16.0.0.23130 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-3001)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.06.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Operator Terminal Expert 3.3 SP1-es és korábbi verziói;
- Pro-face BLUE 3.3 SP1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-1049)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.06.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Transaction Manager 13.10-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2023-2778)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-164-04

Bejelentés dátuma: 2023.06.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Edge Gateway v1.3-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2021-35940)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-164-03

Bejelentés dátuma: 2023.06.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Policy Manager v6.11.0 verziója;
- FactoryTalk System Services v6.11.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Cryptographic Key (CVE-2023-2637)/súlyos;
- Improper Authentication (CVE-2023-2638)/közepes;
- Origin Validation Error (CVE-2023-2639)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-164-02

Bejelentés dátuma: 2023.06.13.
Gyártó: Datalogics
Érintett rendszer(ek):
- Datalogics Library APDFL v18.0.4PlusP1e és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based buffer overflow (CVE-2023-1709)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-164-01

Bejelentés dátuma: 2023.06.15.
Gyártó: SUBNET Solutions Inc.
Érintett rendszer(ek):
- PowerSYSTEM Center 2020 U10-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2023-32659)/közepes;
- Authentication Bypass by Capture-replay (CVE-2023-29158)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-166-01

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMOTION C240 (6AU1240-1AA00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION C240 PN (6AU1240-1AB00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D410-2 DP (6AU1410-2AA00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D410-2 DP/PN (6AU1410-2AD00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D425-2 DP (6AU1425-2AA00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D425-2 DP/PN (6AU1425-2AD00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D435-2 DP (6AU1435-2AA00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D435-2 DP/PN (6AU1435-2AD00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D445-2 DP/PN (6AU1445-2AD00-0AA0) minden, V5.4-es és újabb verziói;
- SIMOTION D445-2 DP/PN (6AU1445-2AD00-0AA1) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D455-2 DP/PN (6AU1455-2AD00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION P320-4 E (6AU1320-4DE65-3AF0) minden, V5.4-es és újabb verziói;
- SIMOTION P320-4 S (6AU1320-4DS66-3AG0) minden, V5.4-es és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information Due to Incompatible Policies (CVE-2023-27465)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SINAMICS GL150 minden, 2021. október 2023. május között kiadott, C68-as opcióval működő verziója;
- SINAMICS PERFECT HARMONY GH180 6SR5 minden, 2021. október 2023. május között kiadott, SCALANCE S615-ös eszközzel telepített verziója;
- SINAMICS SL150 minden, 2021. október 2023. május között kiadott, C68-as opcióval működő verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2018-25032)/súlyos;
- Out-of-bounds Read (CVE-2021-42374)/közepes;
- Use After Free (CVE-2021-42378)/közepes;
- Use After Free (CVE-2021-42379)/közepes;
- Use After Free (CVE-2021-42380)/közepes;
- Use After Free (CVE-2021-42381)/közepes;
- Use After Free (CVE-2021-42382)/közepes;
- Use After Free (CVE-2021-42383)/közepes;
- Use After Free (CVE-2021-42384)/közepes;
- Use After Free (CVE-2021-42385)/közepes;
- Use After Free (CVE-2021-42386)/közepes;
- Improper Authentication (CVE-2022-0547)/kritikus;
- Use After Free (CVE-2022-1199)/súlyos;
- OS Command Injection (CVE-2022-1292)/kritikus;
- Improper Certificate Validation (CVE-2022-1343)/közepes;
- Improper Resource Shutdown or Release (CVE-2022-1473)/súlyos;
- Use After Free (CVE-2022-23308)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32205)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32206)/közepes;
- Incorrect Default Permissions (CVE-2022-32207)/kritikus;
- Out-of-bounds Write (CVE-2022-32208)/közepes;
- Improper Validation of Syntactic Correctness of Input (CVE-2022-35252)/súlyos;
- Improper Input Validation (CVE-2022-36946)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge SE2023 minden, V223.0 Update 5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-26495)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- CP-8031 MASTER MODULE (6MF2803-1AA00) minden, CPCI85 V05-nél korábbi verziója;
- CP-8050 MASTER MODULE (6MF2805-0AA00) minden, CPCI85 V05-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-33919)/súlyos;
- Use of Hard-coded Credentials (CVE-2023-33920)/közepes;
- Exposed Dangerous Method or Function (CVE-2023-33921)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC WinCC minden, V7.5.2.13-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2023-30897)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS 7 minden verziója;
- SIMATIC S7-PM minden verziója;
- SIMATIC STEP 7 V5 minden, V5.7-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-25910)/kritikus;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC NET PC Software V14 minden verziója;
- SIMATIC NET PC Software V15 minden verziója;
- SIMATIC PCS 7 V8.2 minden verziója;
- SIMATIC PCS 7 V9.0 minden verziója;
- SIMATIC PCS 7 V9.1 minden verziója;
- SIMATIC WinCC minden, V8.0-nál korábbi verziója;
- SINAUT Software ST7sc minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Obsolete Function (CVE-2023-28829)/alacsony;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Totally Integrated Automation Portal (TIA Portal) V14 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V15 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V15.1 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V16 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V17 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V18 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Protection Mechanism Failure (CVE-2023-30757)/közepes;
Javítás: Jelenleg nincs tervezett javítás.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden, V14.2.0.3-nál korábbi verziója;
- Teamcenter Visualization V13.2 minden, V13.2.0.13-nél korábbi verziója;
- Teamcenter Visualization V13.3 minden, V13.3.0.10-nél korábbi verziója;
- Teamcenter Visualization V14.0 minden, V14.0.0.6-nál korábbi verziója;
- Teamcenter Visualization V14.1 minden, V14.1.0.8-nál korábbi verziója;
- Teamcenter Visualization V14.2 minden, V14.2.0.3-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2023-33121)/alacsony;
- Out-of-bounds Read (CVE-2023-33122)/alacsony;
- Out-of-bounds Read (CVE-2023-33123)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-33124)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-1500 TM MFP - Linux Kernel minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2021-3759)/közepes;
- Improper Access Control (CVE-2021-4037)/súlyos;
- Out-of-bounds Write (CVE-2021-33655)/közepes;
- Incomplete Cleanup (CVE-2022-0171)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2022-1012)/súlyos;
- Use After Free (CVE-2022-1184)/közepes;
- OS Command Injection (CVE-2022-1292)/kritikus;
- Improper Certificate Validation (CVE-2022-1343)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-1434)/közepes;
- Race Condition (CVE-2022-1462)/közepes;
- Improper Resource Shutdown or Release (CVE-2022-1473)/súlyos;
- Use After Free (CVE-2022-1679)/súlyos;
- NULL Pointer Dereference (CVE-2022-1852)/közepes;
- Use After Free (CVE-2022-1882)/súlyos;
- OS Command Injection (CVE-2022-2068)/kritikus;
- Stack-based Buffer Overflow (CVE-2022-2078)/közepes;
- Inadequate Encryption Strength (CVE-2022-2097)/közepes;
- NULL Pointer Dereference (CVE-2022-2153)/közepes;
- Out-of-bounds Write (CVE-2022-2274)/kritikus;
- Double Free (CVE-2022-2327)/súlyos;
- Improper Authentication (CVE-2022-2503)/közepes;
- Use After Free (CVE-2022-2586)/közepes;
- Improper Input Validation (CVE-2022-2588)/súlyos;
- Improper Input Validation (CVE-2022-2602)/súlyos;
- Improper Restriction of Communication Channel to Intended Endpoints (CVE-2022-2663)/közepes;
- Out-of-bounds Read (CVE-2022-2905)/közepes;
- Race Condition (CVE-2022-2959)/súlyos;
- Use After Free (CVE-2022-2978)/súlyos;
- Race Condition (CVE-2022-3028)/súlyos;
- NULL Pointer Dereference (CVE-2022-3104)/közepes;
- NULL Pointer Dereference (CVE-2022-3115)/közepes;
- Improper Input Validation (CVE-2022-3169)/közepes;
- Race Condition (CVE-2022-3303)/közepes;
- Race Condition (CVE-2022-3521)/alacsony;
- Improper Resource Shutdown or Release (CVE-2022-3524)/közepes;
- Use After Free (CVE-2022-3534)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3545)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3564)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3565)/súlyos;
- Use After Free (CVE-2022-3586)/közepes;
- Improper Resource Shutdown or Release (CVE-2022-3594)/közepes;
- NULL Pointer Dereference (CVE-2022-3606)/közepes;
- NULL Pointer Dereference (CVE-2022-3621)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3625)/súlyos;
- Classic Buffer Overflow (CVE-2022-3628)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2022-3629)/alacsony;
- Missing Release of Memory after Effective Lifetime (CVE-2022-3633)/alacsony;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3635)/súlyos;
- Improper Resource Shutdown or Release (CVE-2022-3646)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3649)/súlyos;
- Use After Free (CVE-2022-4095)/súlyos;
- Improper Locking (CVE-2022-4129)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2022-4139)/súlyos;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Non-exit on Failed Initialization (CVE-2022-4662)/közepes;
- Use After Free (CVE-2022-20421)/súlyos;
- Race Condition (CVE-2022-20422)/súlyos;
- Use After Free (CVE-2022-20566)/súlyos;
- Incorrect Authorization (CVE-2022-20572)/közepes;
- Incomplete Cleanup (CVE-2022-21123)/közepes;
- Incomplete Cleanup (CVE-2022-21125)/közepes;
- Incomplete Cleanup (CVE-2022-21166)/közepes;
- Authentication Bypass by Primary Weakness (CVE-2022-21505)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-26373)/közepes;
- Use After Free (CVE-2022-32250)/súlyos;
- Observable Discrepancy (CVE-2022-32296)/alacsony;
- Type Confusion (CVE-2022-34918)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-36123)/súlyos;
- Out-of-bounds Write (CVE-2022-36280)/közepes;
- Improper Input Validation (CVE-2022-36879)/közepes;
- Improper Input Validation (CVE-2022-36946)/súlyos;
- Race Condition (CVE-2022-39188)/közepes;
- Uncontrolled Resource Consumption (CVE-2022-39190)/közepes;
- Use After Free (CVE-2022-40307)/közepes;
- Exposure of Resource to Wrong Sphere (CVE-2022-40768)/közepes;
- Use After Free (CVE-2022-41218)/közepes;
- Use After Free (CVE-2022-41222)/súlyos;
- Out-of-bounds Write (CVE-2022-41674)/súlyos;
- Race Condition (CVE-2022-41849)/közepes;
- Race Condition (CVE-2022-41850)/közepes;
- Improper Locking (CVE-2022-42328)/közepes;
- Improper Locking (CVE-2022-42329)/közepes;
- Use of Uninitialized Variable (CVE-2022-42432)/közepes;
- Use After Free (CVE-2022-42703)/közepes;
- Use After Free (CVE-2022-42719)/súlyos;
- Use After Free (CVE-2022-42720)/súlyos;
- Infinite Loop (CVE-2022-42721)/közepes;
- NULL Pointer Dereference (CVE-2022-42722)/közepes;
- Access of Uninitialized Pointer (CVE-2022-42895)/közepes;
- Use After Free (CVE-2022-42896)/súlyos;
- Out-of-bounds Write (CVE-2022-43750)/közepes;
- Out-of-bounds Write (CVE-2022-47518)/súlyos;
- Out-of-bounds Read (CVE-2022-47520)/súlyos;
- NULL Pointer Dereference (CVE-2022-47929)/közepes;
- Use After Free (CVE-2022-47946)/közepes;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- Use After Free (CVE-2023-0590)/közepes;
- Type Confusion (CVE-2023-1077)/súlyos;
- NULL Pointer Dereference (CVE-2023-1095)/közepes;
- Type Confusion (CVE-2023-23454)/közepes;
- Type Confusion (CVE-2023-23455)/közepes;
- Integer Overflow or Wraparound (CVE-2023-23559)/súlyos;
- Out-of-bounds Read (CVE-2023-26607)/súlyos;
Javítás: Jelenleg nincs elérhető javítás.
Link a publikációhoz: Siemens ProductCERT

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Hosszú évek óta próbltam elérni, hogy részt vehessek a Dragos Industrial Security Conference (DISC) nevű rendezvényén, de ennek többnyire egynél több akadálya is volt. Egyrészt nem volt közöm a Dragos ügyfeleihez, másrészt egy egynapos konferenciáért Maryland-ig utazni nem kicsit tűnt túlzásnak. Aztán 2021-ben, a CoVID-19 következtében a DISC '21 is virtuális konferenciaként lett megrendezve, ráadásul megnyitották minden érdeklődő számára, így én is végig tudtam nézni az előadásokat. Aztán mindenféle változások történtek, a legfontosabb pedig az volt, hogy a Dragos (európai terjedszkedése nyomán) idén először Európában is rendezett konferenciát június 26-28-a között Londonban. A helyszín már önmagában egy hihetetlen élmény volt (legalább is a hozzám hasonló alakoknak, akiknek tetszenek a régi, ipari épületeket újrahasznosított formában), mert a Dragos European Forum-nak nevezett 3 napos konferenciáját London egyik ikonikus épületében (jelentkezzen kérem, akinek a fénykép láttán megszólal a fejében a Command&Conquer: Red Alert zenéje), a Battersea Power Plant-ben rendezték.

Az első napon (június 26-án) a Dragos Platform nevű OT hálózatbiztonsági megoldásának bemutatásával telt, nekem ez a nap különböző okok miatt kimaradt.

A második napon előadások voltak az erőműben kialakított mozi egyik termében. Előadók és előadások az alábbi témákban voltak:

Robert M. Lee: Keynote - Industrial Threat Landscape
Jan Hoff - Plant Champions
Emily Hithersay - OT Risk
Magpie Graham - Pipedream
Tim Watkins (Schweitzer Engineering Laboratory) - Solving legacy problems using SDN
Tim Ennis, Alan Paice - Incident response
Jacob Benjamin - Establishing an OT SOC
Kai Thompsen - Dancing on the Edge

A harmadik napon pedig az OT incidenskezelési tervek és playbook-ok készítésével és tesztelésével kapcsolatos workshop volt a BSPP melletti egyik szálloda konferenciatermében. A workshop egyik érdekes pontja a Black Hills Information Security és a Dragos munkatársai által készített, Backdoors & Breaches nevű kártya/társasjáték ICS/OT-változatának OT incidenskezelésben történő használhatóságának bemutatása volt.

Összességében a Dragos European Forum szerintem egy egészen jó hangulatú és használható tudást/gondolatokat/ötleteket adó rendezvény, akinek lehetősége van rá és érdekli az ICS/OT kiberbiztonság témája vagy foglalkoznia kell vele, érdemes lehet figyelnie a vele kapcsolatos híreket.

Ami pedig a Battersea Power Plant-et illeti, szerintem kb. így kéne megőrizni az ipari műemlék kategóriába tartozó épületeket. A BSPP-t gyakorlatilag kibelezték és egy modern bevásárlóközpontot hoztak benne létre (még mindig nincs kész, számos üzletet csak most építenek, de nagyobb divatmárkák üzletei, amerikai kávézó-franchise és más hasonló üzletek már most is üzemelnek, van egy több vetítőtermes mozi az épületben, több étterem és bár is), de ezt sikerült úgy megtenni, hogy közben nem vesztek el az egykori erőmű meghatározó részletei. Megmaradtak a turbinacsarnokok darui, megtartottak egy egykori gőzfejlesztő kazánt és megőrizték az erőművi vezénylő berendezéseit is - ez utóbbiak mellé akár kávézni is beülhet a látogató, mert egy étterem/bár működik az egykori B turbinacsarnok vezénylőjében. Szokásomtól eltérően csatolok ide néhány képet, amikkel megpróbálom visszaadni a hely hangulatát.

A NERC CIP-014-3 a villamosenergia-rendszer létesítményeinek fizikai biztonsági követelményeit foglalja össze, beleértve az alállomások és a kapcsolódó elsődleges folyamatirányító rendszerek fizikai biztonságát is.

A CIP-014-3 alapján a villamosenergia-rendszerben szerepet betöltő szervezetnek a kezdeti fizikai biztonsági kockázatelemzés után minden 30 hónapban egy újabb kockázatelemzést kell végeznie, amennyiben egy vagy több létesítményét fizikai biztonsági incidens következtében történő kiesését reális kockázatnak értékelték, illetve 60 havonta, ha ilyen létesítményt a korábbi kockázatelemzések nem azonosítottak.

Minden, a CIP-014-3 hatálya alá tartozó szervezetnek egy független, harmadik fél által kell ellenőriztetnie az elvégzett kockázatelemzést, ahol az ellenőrzést végző harmadik félnek villamosenergia-átviteli tervezési vagy elemzési tapasztalattal kell rendelkeznie.

A további követelményeket a NERC weboldalán, a CIP-014 jelenleg hatályos verziójában lehet megtalálni: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-014-3.pdf

Bejelentés dátuma: 2023.06.01.
Gyártó: ABB
Érintett rendszer(ek):
- ASPECT®-Enterprise 3-as firmware-verziója;
- NEXUS sorozatú NEX-2x modelljeinek 3-as firmware-verziója;
- NEXUS sorozatú NEXUS-3-x modelljeinek 3-as firmware-verziója;
- MATRIX sorozatú MAT-x modelljeinek 3-as firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2023-0635)/súlyos;
- Improper Input Validation (CVE-2023-0636)/súlyos;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.06.05.
Gyártó: Moxa
Érintett rendszer(ek):
- CN2600 sorozatú eszközök 4.5-ös és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Weak cryptographic algorithm (n/a)/n/a;
Javítás: A Moxa Technical Support-nál elérhető.
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/cn2600-series-multiple-weak-cryptographic-algorithm-vulnerabilities

Bejelentés dátuma: 2023.06.05.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- RJ71EIP91 típusú MELSEC iQ-R/iQ-F sorozatú EtherNet/IP modulok és EtherNet/IP konfigurátor eszközök minden verziója;
- SW1DNN-EIPCT-BD típusú MELSEC iQ-R/iQ-F sorozatú EtherNet/IP modulok és EtherNet/IP konfigurátor eszközök minden verziója;
- FX5-ENET/IP típusú MELSEC iQ-R/iQ-F sorozatú EtherNet/IP modulok és EtherNet/IP konfigurátor eszközök minden verziója;
- SW1DNN-EIPCTFX5-BD típusú MELSEC iQ-R/iQ-F sorozatú EtherNet/IP modulok és EtherNet/IP konfigurátor eszközök minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Weak Password Requirements (CVE-2023-2060)/súlyos;
- Use of Hard-coded Password (CVE-2023-2061)/közepes;
- Missing Password Field Masking (CVE-2023-2062)/közepes;
- Unrestricted Upload of File with Dangerous Type (CVE-2023-2063)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-157-02

Bejelentés dátuma: 2023.06.08.
Gyártó: Atlas Copco
Érintett rendszer(ek):
- Power Focus 6000 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2023-1897)/közepes;
- Small Space of Random Values (CVE-2023-1898)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2023-1899)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-159-01

Bejelentés dátuma: 2023.06.08.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft-B DOPSoft v4.0.0.82-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-25177)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-24014)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-157-01

Bejelentés dátuma: 2023.06.08.
Gyártó: Sensormatic Electronics (Johnson Controls leányvállalat)
Érintett rendszer(ek):
- Sensormatic Electronics Illustra Pro Gen 4 Dome Illustra.SS016.05.09.04.0006-os és korábbi verziói;
- Sensormatic Electronics Illustra Pro Gen 4 PTZ Illustra.SS010.05.09.04.0022-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Active Debug Code (CVE-2023-0954)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-159-02

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Április végén jelentették be, hogy 11, IT illetve OT kiberbiztonsági területen működő cég (az 1898 & Co., az ABS Group, a Claroty, a Dragos, a Forescout, a NetRise, a Network Perception, a Nozomi Networks, a Schneider Electric, a Tenable és a Waterfall Security) közös kezdményezéseként elindul az ETHOS (Emerging Threat Open Sharing) platform, ahol a különböző iparágakban dolgozó cégek megoszthatják egymással az ICS/OT rendszereikkel kapcsolatos biztonsági információikat.

A DHS CISA Shields Up! felhívására induló projekt szoftvereit a Github-on lehet megtalálni, a részleteiről pedig az ethos-org.io oldalon lehet olvasni.

Bejelentés dátuma: 2023.05.30.
Gyártó: Advantech
Érintett rendszer(ek):
- WebAccess/SCADA 8.4.5-ös verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Type Distinction (CVE-2023-2866)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-150-01

Bejelentés dátuma: 2023.06.01.
Gyártó: HID Global
Érintett rendszer(ek):
- External Visitor Manager portal-t használó HID SAFE 5.8.0-tól 5.11.3-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Modification of Assumed-Immutable Data (CVE-2023-2904)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-152-02

Bejelentés dátuma: 2023.06.01.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-R sorozatú, RJ71EIP91-es EtherNet/IP egységek minden verziója;
- RJ71EIP91-es EtherNet/IP egységek SW1DNN-EIPCT-BD konfigurációs eszközének minden verziója;
- MELSEC iQ-F sorozatú, FX5-ENET/IP EtherNet/IP egységek minden verziója;
- FX5-ENET/IP EtherNet/IP egységek SW1DNN-EIPCTFX5-BD konfigurációs eszközének minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient password strength (CVE-2023-2060)/súlyos;
- Use of hardcoded passwords (CVE-2023-2061)/közepes;
- Lack of masking when entering password fields (CVE-2023-2062)/közepes;
- Insufficient validation of uploaded files (CVE-2023-2063)/közepes;
Javítás: Nincs információ
Link a publikációhoz: JP-CERT

Bejelentés dátuma: 2023.06.02.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- FRENIC RHC Loader v1.1.0.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based buffer overflow (CVE-2023-29160)/súlyos;
- Out-of-bounds read (CVE-2023-29167)/súlyos;
- XML External Entity Reference (XXE) Improper Restriction (CVE-2023-29498)/közepes;
Javítás: Elérhető
Link a publikációhoz: JP-CERT

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az S4x az egyik legnagyobb, ICS biztonsági konferencia az USA-ban, amit hagyományosan februárban és Miami-ban szoktak megrendezni, a TrendMicro pedig egyike azoknak az IT biztonsági cégeknek, akik már felkapaszkodtak az évről-évre erősödő ICS biztonsági vonatra és igyekeznek ezt a piacot is meghódítani a termékeikkel és szolgáltatásaikkal. Az S4x23-ról nemrég a TrendMicro egy négy részes cikksorozatot közölt, amiben részletes(ebb)en összefoglalták, hogy mit is találtak érdekesnek az idei konferencia témái közül.

Az első részben az ICS/OT biztonság újdonságairól írtak, ami gyakorlatilag néhány, az S4x23-on Dale Peterson, a konferencia ötletgazdája és főszervezője által készített interjúról szól. Dale olyan emberekkel beszélgetett, mint Michael Fischerkeller a Cyber Persistence Theory nevű könyv egyik szerzője, és Eugene H. Spafford, a Purdue Egyetem professzora.

A második részben olyan, a (villamos)energia-szektor kiberbiztonsági helyzetéről szóló előadások összefoglalója található, mint például Spencer Wilcox keynote-előadása, a Bill Fehrman-nal, a Berkshire Hathaway Energy vezérigazgatójával készített interjú vagy Emma Stewart az NRECA vezető kutatójának előadása.

A harmadik rész az egészségügyi rendszerek kiberbiztonságával foglalkozó előadások összefoglalóját tartalmazza Munish Walther-Puri, New York városának korábbi kiberbiztonsági kockázati igazgatójának előadása és Josh Corman, a CISA CoVID Task Force-a által tanultakról és levont következtetésekről szóló eladása alapján.

A negyedik rész az ipari IoT (IIoT) rendszerek kiberbiztonságával foglalkozó előadásokból szemléz, ilyenek voltak például Marianne Bellotti, Ryan Dsouza és Abdullah Yousif előadásai.

Bejelentés dátuma: 2023.05.15.
Gyártó: WAGO
Érintett rendszer(ek):
- Compact Controller CC100-as vezérlőinek FW20-tól FW22-ig terjedő firmware-verziói;
- Compact Controller CC100-as vezérlőinek FW23-as firmware-verziója;
- Edge Controller FW22-es firmware-verziója;
- PFC100-as vezérlőinek FW20-tól FW22-ig terjedő firmware-verziói;
- PFC100-as vezérlőinek FW23-as firmware-verziója;
- PFC200-as vezérlőinek FW20-tól FW22-ig terjedő firmware-verziói;
- PFC200-as vezérlőinek FW23-as firmware-verziója;
- Touch Panel 600 Advanced Line FW22-es firmware-verziója;
- Touch Panel 600 Marine Line FW22-es firmware-verziója;
- Touch Panel 600 Standard Line FW22-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2023-1698)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2023-007/

Bejelentés dátuma: 2023.05.17.
Gyártó: ABB
Érintett rendszer(ek):
- Terra AC wallbox (UL40/80A) 1.5.5-ös és korábbi verziói;
- Terra AC wallbox (UL32A) 1.6.5-ös és korábbi verziói;
- Terra AC wallbox (CE) Terra AC MID 1.6.5-ös és korábbi verziói;
- Terra AC wallbox (CE) Terra AC Juno CE 1.6.5-ös és korábbi verziói;
- Terra AC wallbox (CE) Terra AC PTB 1.5.25-ös és korábbi verziói;
- Terra AC wallbox (CE) Symbiosis 1.2.7-es és korábbi verziói;
- Terra AC wallbox (JP) 1.6.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass (CVE-2023-0863)/súlyos;
- Plaintext Communication of Configuration Data (CVE-2023-0864)/súlyos;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.05.18.
Gyártó: Mitshubishi Electric
Érintett rendszer(ek):
- MELSEC WS0-GETH00200 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Active Debug Code (CVE-2023-1618)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-002_en.pdf

Bejelentés dátuma: 2023.05.18.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MicroSCADA Pro/X SYS600: 9.4 FP2 Hotfix 5 és korábbi verziói;
- MicroSCADA Pro/X SYS600 10.1.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Permissions, Privileges, and Access Controls (CVE-2011-1207)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-138-03

Bejelentés dátuma: 2023.05.18.
Gyártó: Carlo Gavazzi
Érintett rendszer(ek):
- Powersoft Energy Management System 2.1.1.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2017-20184)/súlyos;
Javítás: Nincs, a termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-138-01

Bejelentés dátuma: 2023.05.23.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- AFS660/665S, AFS660/665C, AFS670v2 7.1.05-ös és korábbi firmware-verziói;
- AFS670/675, AFR67x 9.1.07-es és korábbi firmware-verziói;
- AFF660/665 03.0.02-es és korábbi firmware-verziói;
- AFS65x minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free (CVE-2022-40674)/súlyos;
- Use After Free (CVE-2022-43680)/súlyos;
Javítás: Részben fejlesztés alatt.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-01

Bejelentés dátuma: 2023.05.23.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú eszközök 12.0.1-től 12.0.15-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.2.1-től 12.2.12-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.4.1-től 12.4.12-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.6.1-től 12.6.9-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.7.1-től 12.7.6-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 13.2.1-től 13.2.6-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 13.3.1-től 13.3.3-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 13.4.1-től 13.4.2-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.0.1-től 12.0.14-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.2.1-től 12.2.11-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.4.1-től 12.4.11-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.6.1-től 12.6.8-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 12.7.1-től 12.7.5-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 13.2.1-től 13.2.5-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 13.3.1-től 13.3.3-ig terjedő CMU firmware-verziók;
- RTU500 sorozatú eszközök 13.4.1-től 13.4.1-ig terjedő CMU firmware-verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion (CVE-2023-0286)/súlyos;
- Observable Timing Discrepancy (CVE-2022-4304)/közepes;
- Out-of-bounds Read (CVE-2022-23937)/súlyos;
- Infinite Loop (CVE-2022-0778)/súlyos;
- Classic Buffer Overflow (CVE-2021-3711)/kritikus;
- Out-of-bounds Read (CVE-2021-3712)/súlyos;
Javítás: A gyártó jelenleg is dolgozik rajta.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02

Bejelentés dátuma: 2023.05.23.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-F sorozatú eszközök következő változatai és verziói: FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS 17X**** és későbbi sorozatszámú eszközeinek 1.220 és későbbi verziói;
- MELSEC iQ-F sorozatú eszközök következő változatai és verziói: FX5UC-xMy/z x=32,64,96, y=T, z=D,DSS 17X**** és későbbi sorozatszámú eszközeinek 1.220 és későbbi verziói;
- MELSEC iQ-F sorozatú eszközök következő változatai és verziói: FX5UC-32MT/DS-TS, FX5UC-32MT/DSS-TS, FX5UC-32MR/DS-TS 1.220 és későbbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-1424)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-03

Bejelentés dátuma: 2023.05.23.
Gyártó: Horner Automation
Érintett rendszer(ek):
- Cscape: v9.90 SP8;
- Cscape EnvisionRV: v4.70;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-29503)/súlyos;
- Out-of-bounds Read (CVE-2023-32281)/súlyos;
- Out-of-bounds Read (CVE-2023-32289)/súlyos;
- Out-of-bounds Read (CVE-2023-32545)/súlyos;
- Out-of-bounds Read (CVE-2023-27916)/súlyos;
- Use After Free (CVE-2023-28653)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-31244)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-32203)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-32539)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-31278)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-04

Bejelentés dátuma: 2023.05.25.
Gyártó: Moxa
Érintett rendszer(ek):
- MXsecurity sorozat v1.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-33235)/súlyos;
- Use of Hard-Coded Credentials (CVE-2023-33236)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-145-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.