Bejelentés dátuma: 2024.09.24.
Gyártó: CODESYS
Érintett rendszer(ek):
- CODESYS Control RTE (SL) minden, 3.5.20.30-asnál korábbi verziója;
- CODESYS Control RTE (for Beckhoff CX) SL minden, 3.5.20.30-asnál korábbi verziója;
- CODESYS Control Win (SL) minden, 3.5.20.30-asnál korábbi verziója;
- CODESYS HMI (SL) minden, 3.5.20.30-asnál korábbi verziója;
- CODESYS Runtime Toolkit minden, 3.5.20.30-asnál korábbi verziója;
- CODESYS Embedded Target Visu Toolkit minden, 3.5.20.30-asnál korábbi verziója;
- CODESYS Remote Target Visu Toolkit minden, 3.5.20.30-asnál korábbi verziója;
- CODESYS Control for BeagleBone SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for emPC-A/iMX6 SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for IOT2000 SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for Linux ARM SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for Linux SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for PFC100 SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for PFC200 SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for PLCnext SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for Raspberry Pi SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Control for WAGO Touch Panels 600 SL minden, 4.14.0.0-nál korábbi verziója;
- CODESYS Virtual Control SL minden, 4.14.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2024-8175)/súlyos;
Javítás: Elérhető
Link a publikációhoz: CODESYS

Bejelentés dátuma: 2024.09.26.
Gyártó: Advantech
Érintett rendszer(ek):
- Advantech ADAM 5550 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Encoding for Password (CVE-2024-37187)/közepes;
- Cross-site Scripting (CVE-2024-38308)/súlyos;
Javítás: Nincs, a gyártó az ADAM-5630 v2.5.2-es vagy újabb firmware-verziójára történő frissítést javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-270-01

Bejelentés dátuma: 2024.09.26.
Gyártó: Advantech
Érintett rendszer(ek):
- Advantech ADAM-5630 v2.5.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Persistent Cookies Containing Sensitive Information (CVE-2024-39275)/súlyos;
- Cross-site Request Forgery (CSRF) (CVE-2024-28948)/súlyos;
- Weak Encoding for Password (CVE-2024-34542)/közepes;
- Missing Authentication for Critical Function (CVE-2024-39364)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-270-02

Bejelentés dátuma: 2024.09.26.
Gyártó: Atelmo
Érintett rendszer(ek):
- Atemio AM 520 HD típusú műholdas kommunikáció vevőkészülékének TitanNit 2.01-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2024-9166)/kritikus;
Javítás: Nincs, a termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-270-03

Bejelentés dátuma: 2024.09.26.
Gyártó: goTenna
Érintett rendszer(ek):
- goTenna Pro App 1.6.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Password Requirements (CVE-2024-47121)/közepes;
- Insecure Storage of Sensitive Information (CVE-2024-47122)/közepes;
- Missing Support for Integrity Check (CVE-2024-47123)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2024-47124)/közepes;
- Improper Restriction of Communication Channel to Intended Endpoints (CVE-2024-47125)/súlyos;
- Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) (CVE-2024-47126)/közepes;
- Weak Authentication (CVE-2024-47127)/közepes;
- Insertion of Sensitive Information Into Sent Data (CVE-2024-47128)/közepes;
- Observable Response Discrepancy (CVE-2024-47129)/közepes;
- Missing Authentication for Critical Function (CVE-2024-47130)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-270-04

Bejelentés dátuma: 2024.09.26.
Gyártó: goTenna
Érintett rendszer(ek):
- goTenna Pro ATAK Plugin 1.9.12-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Password Requirements (CVE-2024-45374)/közepes;
- Insecure Storage of Sensitive Information (CVE-2024-43694)/közepes;
- Missing Support for Integrity Check (CVE-2024-43108)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2024-45838)/közepes;
- Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) (CVE-2024-45723)/közepes;
- Weak Authentication (CVE-2024-41722)/közepes;
- Insertion of Sensitive Information Into Sent Data (CVE-2024-41931)/közepes;
- Observable Response Discrepancy (CVE-2024-41715)/közepes;
- Insertion of Sensitive Information Into Sent Data (CVE-2024-43814)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-270-05

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Többször írtam már olyan posztokat (pl. ez vagy ez vagy ez és ez is olyanok), amikben az ICS/OT biztonság területével még csak most ismerkedőknek szántam elsődlegesen. A mai is ilyen témájú poszt lesz, nemrég ugyanis egy LinkedIn posztban számos olyan linket találtam, amiken a Cisco weboldalain elérhető, különböző OT hálózati témákban nyújt kapaszkodót azon kollégák számára, akik még csak az első lépéseiket teszik ezen a szép, de kihívásokkal jócskán terhelt szakterületen.

Referencia hálózati architektúrák ipari felhasználásra

Ez egy gyűjtőoldal, ahol az alábbi területekhez lehet információt találni:
- Gyártás-automatizálás;
- Extended Enterprise - a nagyvállalati hálózat kiterjesztése zord(abb) fizikai körülmények közé. Erről adott esetben majd érdemes lesz komolyabban is beszélni.
- Közművek és megújuló energiák;
- Okos és biztonságos városok;
- Közutak és forgalmi csomópontok;
- Tömegközlekedés;
- Kikötői terminálok;
- Bányászat;
- Olaj- és gázszektor;

A fenti bányászati aloldal mellett találtam egy másikat is (ezt itt), ami az Ipari automatizálás bányákban címet viseli és önmagában is egy egészen fajsúlyos anyag.

Ezen másik oldalon az Ipari automatizálás biztonsági tervezési útmutatójának 2.0 verziója érhető el.

Itt pedig az olaj- és gázszektor-specifikus Cisco design guide érhető el, kifejezetten finomítók számára.

Ennyi volt (mára, mert azt hiszem, nagyon jó forrásokra bukkantam a Cisco-nál, szóval ha egyszer sikerül átrágnom magam rajtuk, nem kizárt, hogy egyik-másik szektor-specifikus kiadványukról még fogok írni) a Cisco-s rész, de még nincs vége a posztnak, mert találtam nemrég egy Dragos publikációt is a kezdőknek szóló témában (regisztráció után érhető el): https://hub.dragos.com/guide/ot-cs-quick-start-guide

Bejelentés dátuma: 2024.09.17.
Gyártó: Kastle Systems
Érintett rendszer(ek):
- Access Control System 2024. május 1-jénél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2024-45861)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2024-45862)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-263-05

Bejelentés dátuma: 2024.09.17.
Gyártó: IDEC
Érintett rendszer(ek):
- FC6A sorozatú MICROSmart All-in-One CPU modulok Ver.2.60-as és korábbi verziói;
- FC6B sorozatú MICROSmart All-in-One CPU modulok Ver.2.60-as és korábbi verziói;
- FC6A sorozatú MICROSmart Plus CPU modulok Ver.2.40-es és korábbi verziói;
- FC6B sorozatú MICROSmart Plus CPU modulok Ver.2.60-as és korábbi verziói;
- FT1A sorozatú SmartAXIS Pro/Lite Ver.2.41-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2024-41927)/közepes;
- Generation of Predictable Identifiers (CVE-2024-28957)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-263-02

Bejelentés dátuma: 2024.09.17.
Gyártó: MegaSys Computer Technologies
Érintett rendszer(ek):
- Telenium Online Web Application 8.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-6404)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-263-04

Bejelentés dátuma: 2024.09.19.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- RSLogix 500 minden verziója;
- RSLogix Micro Developer and Starter minden verziója;
- RSLogix 5 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficient verification of data authenticity (CVE-2024-7847)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-263-01

Bejelentés dátuma: 2024.09.19.
Gyártó: IDEC
Érintett rendszer(ek):
- WindLDR Ver.9.1.0 és korábbi verziói;
- WindO/I-NV4 Ver.3.0.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2024-41716)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-263-03

Bejelentés dátuma: 2024.09.19.
Gyártó: Millbeck Communications
Érintett rendszer(ek):
- Proroute H685t-w 4G router 3.2.334-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2024-45682)/súlyos;
- Cross-site Scripting (CVE-2024-38380)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-261-02

Bejelentés dátuma: 2024.09.19.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-200 SMART CPU CR40 (6ES7288-1CR40-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU CR60 (6ES7288-1CR60-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU SR20 (6ES7288-1SR20-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU SR20 (6ES7288-1SR20-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU SR30 (6ES7288-1SR30-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU SR30 (6ES7288-1SR30-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU SR40 (6ES7288-1SR40-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU SR40 (6ES7288-1SR40-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU SR60 (6ES7288-1SR60-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU SR60 (6ES7288-1SR60-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU ST20 (6ES7288-1ST20-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU ST20 (6ES7288-1ST20-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU ST30 (6ES7288-1ST30-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU ST30 (6ES7288-1ST30-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU ST40 (6ES7288-1ST40-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU ST40 (6ES7288-1ST40-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU ST60 (6ES7288-1ST60-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU ST60 (6ES7288-1ST60-0AA1) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2024-43647)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-261-01

Bejelentés dátuma: 2024.09.19.
Gyártó: Yokogawa
Érintett rendszer(ek):
- Dual-redundant Platform for Computer (PC2CKM) R1.01.00-tól R2.03.00-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unchecked Return Value (CVE-2024-8110)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-261-03

Bejelentés dátuma: 2024.09.21.
Gyártó: Moxa
Érintett rendszer(ek):
- MXview One sorozatú eszközök 1.3.0 és korábbi verziói;
- MXview One Central Manager sorozatú eszközök 1.0.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Storage in a File or on Disk (CVE-2024-6785)/közepes;
- Path Traversal (CVE-2024-6786)/közepes;
- Time-of-check Time-of-use (TOCTOU) Race Condition (CVE-2024-6787)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa, ICS-CERT

Bejelentés dátuma: 2024.09.24.
Gyártó: OMNTEC
Érintett rendszer(ek):
- OMNTEC Proteus Tank Monitoring OEL8000III sorozata;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2024-6981)/kritikus;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-268-06

Bejelentés dátuma: 2024.09.24.
Gyártó: Franklin Fueling Systems
Érintett rendszer(ek):
- TS-550 EVO 2.26.4.8967-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Absolute Path Traversal (CVE-2024-8497)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-268-03

Bejelentés dátuma: 2024.09.24.
Gyártó: Alisonic
Érintett rendszer(ek):
- Sibylla minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SQL Injection (CVE-2024-8630)/kritikus;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-268-02

Bejelentés dátuma: 2024.09.24.
Gyártó: OPW Fuel Managements Systems
Érintett rendszer(ek):
- SiteSentinel 17Q2.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication For Critical Function (CVE-2024-8310)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-268-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A távoli hozzáférés OT rendszerekhez egy elengedhetetlenül szükséges, ám annál kockázatosabb szolgáltatás. Elengedhetetlen, hiszen az operátorok, a szervezeten belüli és szervezeten kívüli üzemeltetők és támogató mérnökök számára muszáj távoli hozzáférést biztosítani (így volt ez a COViD-19 előtt is, de különösen 2020 óta még inkább), mert nincs annyi üzemeltető és támogató mérnök, hogy mindig, minden rendszert a helyszínen tudják konfigurálni. Kockázatot pedig főként azért jelent, mert dacára minden biztonsági intézkedésnek, mindmáig nem sikerült olyan távoli hozzáférési módot kialakítani, amit ne tudnának a támadók (különösen a különböző állami/titkosszolgálati hátterű APT-csoportok) kihasználni arra, hogy ezeken a legitim távoli hozzáférési módokat illegális hozzáférésekhez használjanak fel és zavarják meg az ipari folyamatirányító rendszerek működését (és általuk vezérelt fizikai folyamatokat).

Erről a témáról írt még tavasszal egy cikkében Joe Weiss, érintve a modemek biztosította távoli hozzáférések példáját, a 2024 elején az USA, Kanada, az Egyesült Királyság, Ausztrália és Új-Zéland (gyakorlatilag a Five Eyes néven ismert hírszerzési szövetség) kormányai által kiadott “Joint Guidance: Identifying and Mitigating Living off the Land Techniques” című publikációt a Living-of-the-Land, vagyis a megtámadott rendszerekben használt legitim eszközök támadók által történő felhasználásáról. Ahogy Joe is kiemeli az írásában, a LotL támadások legnagyobb problémája, hogy a legtöbb szervezet nem rendelkezik olyan monitoring megoldásokkal, amik képesek lennének jelezni a legitim szoftvereszközök illegális használatát.

Egy meglehetősen hosszú fejezetben Joe ismét felhozza az egyik régi figyelmeztetését, a kínai transzformátorokban felfedezett, nem dokumentált kommunikációs eszközök kérdését, amik állítása szerint szintén egy illegális távoli hozzáférési lehetőséget biztosítanak azoknak, akik ismerik ezeknek a kommunikációs eszközöknek a pontos működését.

A cikk végén néhány javaslat is található, különösen a modemek biztonságos(abb) használatára vonatkozóan.

Joe Weiss írása itt olvasható:
https://www.controlglobal.com/blogs/unfettered/blog/33038948/exploiting-remote-access-the-ultimate-living-off-the-land-attack

Bejelentés dátuma: 2024.09.10.
Gyártó: PHOENIX CONTACT
Érintett rendszer(ek):
- FL MGUARD 2102 10.4.1-nél korábbi verziói;
- FL MGUARD 2105 10.4.1-nél korábbi verziói;
- FL MGUARD 4102 PCI 10.4.1-nél korábbi verziói;
- FL MGUARD 4102 PCIE 10.4.1-nél korábbi verziói;
- FL MGUARD 43-nál korábbi verziói;02 10.4.1-nél korábbi verziói;
- FL MGUARD 43-nál korábbi verziói;05 10.4.1-nél korábbi verziói;
- FL MGUARD CENTERPORT VPN-1000 8.9.3-nál korábbi verziói;
- FL MGUARD CORE TX 8.9.3-nál korábbi verziói;
- FL MGUARD CORE TX VPN 8.9.3-nál korábbi verziói;
- FL MGUARD DELTA TX/TX 8.9.3-nál korábbi verziói;
- FL MGUARD DELTA TX/TX VPN 8.9.3-nál korábbi verziói;
- FL MGUARD GT/GT 8.9.3-nál korábbi verziói;
- FL MGUARD GT/GT VPN 8.9.3-nál korábbi verziói;
- FL MGUARD PCI4000 8.9.3-nál korábbi verziói;
- FL MGUARD PCI4000 VPN 8.9.3-nál korábbi verziói;
- FL MGUARD PCIE4000 8.9.3-nál korábbi verziói;
- FL MGUARD PCIE4000 VPN 8.9.3-nál korábbi verziói;
- FL MGUARD RS2000 TX/TX-B 8.9.3-nál korábbi verziói;
- FL MGUARD RS2000 TX/TX VPN 8.9.3-nál korábbi verziói;
- FL MGUARD RS2005 TX VPN 8.9.3-nál korábbi verziói;
- FL MGUARD RS4000 TX/TX 8.9.3-nál korábbi verziói;
- FL MGUARD RS4000 TX/TX-M 8.9.3-nál korábbi verziói;
- FL MGUARD RS4000 TX/TX-P 8.9.3-nál korábbi verziói;
- FL MGUARD RS4000 TX/TX VPN 8.9.3-nál korábbi verziói;
- FL MGUARD RS4004 TX/DTX 8.9.3-nál korábbi verziói;
- FL MGUARD RS4004 TX/DTX VPN 8.9.3-nál korábbi verziói;
- FL MGUARD SMART2 8.9.3-nál korábbi verziói;
- FL MGUARD SMART2 VPN 8.9.3-nál korábbi verziói;
- TC MGUARD RS2000 3-nál korábbi verziói;G VPN 8.9.3-nál korábbi verziói;
- TC MGUARD RS2000 4G ATT VPN 8.9.3-nál korábbi verziói;
- TC MGUARD RS2000 4G VPN 8.9.3-nál korábbi verziói;
- TC MGUARD RS2000 4G VZW VPN 8.9.3-nál korábbi verziói;
- TC MGUARD RS4000 3-nál korábbi verziói;G VPN 8.9.3-nál korábbi verziói;
- TC MGUARD RS4000 4G ATT VPN 8.9.3-nál korábbi verziói;
- TC MGUARD RS4000 4G VPN 8.9.3-nál korábbi verziói;
- TC MGUARD RS4000 4G VZW VPN 8.9.3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Race Condition (CVE-2024-6387)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2024-051/

Bejelentés dátuma: 2024.09.10.
Gyártó: PHOENIX CONTACT
Érintett rendszer(ek):
- FL MGUARD 2102 10.4.1-nél korábbi verziói;
- FL MGUARD 2105 10.4.1-nél korábbi verziói;
- FL MGUARD 4102 PCI 10.4.1-nél korábbi verziói;
- FL MGUARD 4102 PCIE 10.4.1-nél korábbi verziói;
- FL MGUARD 4302 10.4.1-nél korábbi verziói;
- FL MGUARD 4305 10.4.1-nél korábbi verziói;
- FL MGUARD CENTERPORT VPN-1000 8.9.3-nál korábbi verziói;
- FL MGUARD CORE TX 8.9.3-nál korábbi verziói;
- FL MGUARD CORE TX VPN 8.9.3-nál korábbi verziói;
- FL MGUARD DELTA TX/TX 8.9.3-nál korábbi verziói;
- FL MGUARD DELTA TX/TX VPN 8.9.3-nál korábbi verziói;
- FL MGUARD GT/GT 8.9.3-nál korábbi verziói;
- FL MGUARD GT/GT VPN 8.9.3-nál korábbi verziói;
- FL MGUARD PCI4000 8.9.3-nál korábbi verziói;
- FL MGUARD PCI4000 VPN 8.9.3-nál korábbi verziói;
- FL MGUARD PCIE4000 8.9.3-nál korábbi verziói;
- FL MGUARD PCIE4000 VPN 8.9.3-nál korábbi verziói;
- FL MGUARD RS2000 TX/TX-B 8.9.3-nál korábbi verziói;
- FL MGUARD RS2000 TX/TX VPN 8.9.3-nál korábbi verziói;
- FL MGUARD RS2005 TX VPN 8.9.3-nál korábbi verziói;
- FL MGUARD RS4000 TX/TX 8.9.3-nál korábbi verziói;
- FL MGUARD RS4000 TX/TX-M 8.9.3-nál korábbi verziói;
- FL MGUARD RS4000 TX/TX-P 8.9.3-nál korábbi verziói;
- FL MGUARD RS4000 TX/TX VPN 8.9.3-nál korábbi verziói;
- FL MGUARD RS4004 TX/DTX 8.9.3-nál korábbi verziói;
- FL MGUARD RS4004 TX/DTX VPN 8.9.3-nál korábbi verziói;
- FL MGUARD SMART2 8.9.3-nál korábbi verziói;
- FL MGUARD SMART2 VPN 8.9.3-nál korábbi verziói;
- TC MGUARD RS2000 3G VPN 8.9.3-nál korábbi verziói;
- TC MGUARD RS2000 4G ATT VPN 8.9.3-nál korábbi verziói;
- TC MGUARD RS2000 4G VPN 8.9.3-nál korábbi verziói;
- TC MGUARD RS2000 4G VZW VPN 8.9.3-nál korábbi verziói;
- TC MGUARD RS4000 3G VPN 8.9.3-nál korábbi verziói;
- TC MGUARD RS4000 4G ATT VPN 8.9.3-nál korábbi verziói;
- TC MGUARD RS4000 4G VPN 8.9.3-nál korábbi verziói;
- TC MGUARD RS4000 4G VZW VPN 8.9.3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2024-7734)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2024-052/

Bejelentés dátuma: 2024.09.12.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- AADvance Trusted SIS Workstation 2.00.01-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2023-31102)/súlyos;
- Out-of-bounds Write (CVE-2023-40481)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-256-20

Bejelentés dátuma: 2024.09.12.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Batch View 2.01.00 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2024-45823)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-256-22

Bejelentés dátuma: 2024.09.12.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View Site Edition V12.0, V13.0, V14.0 verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2024-45824)/kritikus;
Javítás: Elérhető
Link a publikációhoz https://www.cisa.gov/news-events/ics-advisories/icsa-24-256-23

Bejelentés dátuma: 2024.09.12.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ThinManager V13.1.0-tól 13.1.2-ig terjedő verziói;
- ThinManager V13.2.0-tól 13.2.1-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2024-45826)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-256-25

Bejelentés dátuma: 2024.09.12.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- DirectLogic H2-DM1E 2.8.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass by Capture-replay (CVE-2024-43099)/súlyos;
- Session Fixation (CVE-2024-45368)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézekdések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-256-17

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SINUMERIK 828D V4 minden verziója;
- SINUMERIK 828D V5 minden, V5.24-nél korábbi verziója;
- SINUMERIK 840D sl V4 minden verziója;
- SINUMERIK ONE minden, V6.24-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2024-41171)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Runtime V8 minden verziója, ha a basic authentication mechanizmust használja az alkalmazás;
- Mendix Runtime V9 minden verziója, ha a basic authentication mechanizmust használja az alkalmazás;
- Mendix Runtime V10 minden verziója, ha a basic authentication mechanizmust használja az alkalmazás;
- Mendix Runtime V10.6 minden verziója, ha a basic authentication mechanizmust használja az alkalmazás;
- Mendix Runtime V10.12 minden verziója, ha a basic authentication mechanizmust használja az alkalmazás;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Observable Response Discrepancy (CVE-2023-49069)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- AI Model Deployer V1.1-nél korábbi verziói;
- Data Flow Monitoring Industrial Edge Device User Interface (DFM IED UI) V0.0.6-nál korábbi verziói;
- LiveTwin Industrial Edge app (6AV2170-0BL00-0AA0) V2.4-nél korábbi verziói;
- SIMATIC PCS neo V4.1 V4.1 Update 2-nél korábbi verziói;
- SIMATIC PCS neo V5.0 minden verziója;
- SIMATIC WinCC Runtime Professional V17 minden verziója;
- SIMATIC WinCC Runtime Professional V18 minden verziója;
- SIMATIC WinCC Runtime Professional V19 minden verziója;
- SIMATIC WinCC Runtime Professional V20 minden verziója;
- SIMATIC WinCC V7.4 with installed WebRH minden verziója;
- SIMATIC WinCC V7.5 minden verziója;
- SIMATIC WinCC V8.0 minden verziója;
- TIA Administrator V3.0 SP3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-38355)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Industrial Edge Management Pro V1.9.5-nél korábbi verziói;
- Industrial Edge Management Virtual V2.3.1-1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authorization Bypass Through User-Controlled Key (CVE-2024-45032)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC BATCH V9.1 minden verziója;
- SIMATIC Information Server 2020 minden verziója;
- SIMATIC Information Server 2022 minden verziója;
- SIMATIC PCS 7 V9.1 minden verziója;
- SIMATIC Process Historian 2020 minden verziója;
- SIMATIC Process Historian 2022 minden verziója;
- SIMATIC WinCC Runtime Professional V18 minden verziója;
- SIMATIC WinCC Runtime Professional V19 minden verziója;
- SIMATIC WinCC V7.4 minden verziója;
- SIMATIC WinCC V7.5 minden, V7.5 SP2 Update 18-nál korábbi verziója;
- SIMATIC WinCC V8.0 minden, V8.0 Update 5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Execution with Unnecessary Privileges (CVE-2024-35783)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Information Server 2022 minden verziója;
- SIMATIC Information Server 2024 minden verziója;
- SIMATIC PCS neo V4.0 minden verziója;
- SIMATIC PCS neo V4.1 minden V4.1 Update 2-nél korábbi verziója;
- SIMATIC PCS neo V5.0 minden verziója;
- SINEC NMS minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V16 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V17 minden V17 Update 8-nál korábbi verziója;
- Totally Integrated Automation Portal (TIA Portal) V18 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V19 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2024-33698)/kritikus;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Automation License Manager V5 minden verziója;
- Automation License Manager V6.0 minden verziója;
- Automation License Manager V6.2 minden, V6.2 Upd3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Integer Overflow or Wraparound (CVE-2024-44087)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SINUMERIK 828D V4 minden, V4.95 SP3-nál korábbi verziója;
- SINUMERIK 840D sl V4 minden, V4.95 SP3-nál korábbi verziója, ami a Create MyConfig (CMC) V4.8 SP1 HF6-os és korábbi verzióit használja;
- SINUMERIK ONE;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insertion of Sensitive Information into Log File (CVE-2024-43781)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEMA Remote Connect Client minden, V3.2 SP2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use After Free (CVE-2023-46850)/kritikus;
- Improper Input Validation (CVE-2024-2004)/közepes;
- Improper Certificate Validation (CVE-2024-2379)/közepes;
- Missing Release of Resource after Effective Lifetime (CVE-2024-2398)/súlyos;
- Improper Validation of Certificate with Host Mismatch (CVE-2024-2466)/súlyos;
- Insufficient Session Expiration (CVE-2024-32006)/közepes;
- Insertion of Sensitive Information into Log File (CVE-2024-42344)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CP 1242-7 V2 (incl. SIPLUS variants) minden, V3.5.20-asnál korábbi verziója;
- SIMATIC CP 1243-1 (incl. SIPLUS variants) minden, V3.5.20-asnál korábbi verziója;
- SIMATIC CP 1243-1 DNP3 (incl. SIPLUS variants) minden, V3.5.20-asnál korábbi verziója;
- SIMATIC CP 1243-1 IEC (incl. SIPLUS variants) minden, V3.5.20-asnál korábbi verziója;
- SIMATIC CP 1243-7 LTE minden, V3.5.20-asnál korábbi verziója;
- SIMATIC CP 1243-8 IRC (6GK7243-8RX30-0XE0) minden, V3.5.20-asnál korábbi verziója;
- SIMATIC HMI Comfort Panels (incl. SIPLUS variants) minden verziója;
- SIMATIC IPC DiagBase minden verziója;
- SIMATIC IPC DiagMonitor minden verziója;
- SIMATIC WinCC Runtime Advanced minden verziója;
- SIPLUS TIM 1531 IRC (6AG1543-1MX00-7XE0) minden, V2.4.8-asnál korábbi verziója;
- TIM 1531 IRC (6GK7543-1MX00-0XE0) minden, V2.4.8-asnál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- NULL Pointer Dereference (CVE-2023-28827)/közepes;
- NULL Pointer Dereference (CVE-2023-30755)/közepes;
- NULL Pointer Dereference (CVE-2023-30756)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2302 minden, V2302.0015-nél korábbi verziója;
- Tecnomatix Plant Simulation V2404 minden, V2404.0004-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2024-41170)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Industrial Edge Management OS (IEM-OS) minden verziója;
- SINEMA Remote Connect Server minden, V3.2 SP2-nél korábbi verziója;
- SINUMERIK ONE minden, V6.24-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Signal Handler Race Condition (CVE-2024-6387)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- ETI5 Ethernet Int. 1x100TX IEC61850 minden, V05.30-nál korábbi verziója;
- SICAM SCC minden, V10.0-nál korábbi verziója;
- SITIPE AT minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2024-34057)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W-700 IEEE 802.11ax család;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Injection (CVE-2023-44373)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC READER RF1xxC család;
- SIMATIC Reader RF610R CMIIT (6GT2811-6BC10-2AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF610R ETSI (6GT2811-6BC10-0AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF610R FCC (6GT2811-6BC10-1AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF615R CMIIT (6GT2811-6CC10-2AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF615R ETSI (6GT2811-6CC10-0AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF615R FCC (6GT2811-6CC10-1AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF650R ARIB (6GT2811-6AB20-4AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF650R CMIIT (6GT2811-6AB20-2AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF650R ETSI (6GT2811-6AB20-0AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF650R FCC (6GT2811-6AB20-1AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF680R ARIB (6GT2811-6AA10-4AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF680R CMIIT (6GT2811-6AA10-2AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF680R ETSI (6GT2811-6AA10-0AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF680R FCC (6GT2811-6AA10-1AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF685R ARIB (6GT2811-6CA10-4AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF685R CMIIT (6GT2811-6CA10-2AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF685R ETSI (6GT2811-6CA10-0AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC Reader RF685R FCC (6GT2811-6CA10-1AA0) minden, V4.2-nél korábbi verziója;
- SIMATIC RF11xxR család;
- SIMATIC RF360R (6GT2801-5BA30) minden, V2.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2024-37991)/közepes;
- Improper Check or Handling of Exceptional Conditions (CVE-2024-37992)/közepes;
- Improper Access Control (CVE-2024-37993)/közepes;
- Hidden Functionality (CVE-2024-37994)/közepes;
- Improper Check or Handling of Exceptional Conditions (CVE-2024-37995)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEMA Remote Connect Server minden, V3.2 SP2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Session Fixation (CVE-2024-42345)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-200 SMART CPU család;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2024-43647)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.09.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Monitoring Expert 2021 CU1-es és korábbi verziói;
- EcoStruxure™ Power Monitoring Expert 2020 CU3-as és korábbi verziói;
- EcoStruxure™ Power Operation 2022 CU4-es és korábbi verziói;
- EcoStruxure™ Power Operation 2022 CU4-es és korábbi verziói;
- EcoStruxure™ Power Operation 2021 CU3 with Hotfix 2 és korábbi verziói;
- EcoStruxure™ Power Operation 2021 CU3 with Hotfix 2 és korábbi verziói;
- EcoStruxure™ Power SCADA Operation 2020 (PSO) - Advanced Reporting and Dashboards Module minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-8401)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.09.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Vijeo Designer V6.3 SP1-nél korábbi verziói;
- EcoStruxure™ Machine Expert-be beágyazott Vijeo Designer minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Privilege Management (CVE-2024-8306)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nagyon gyakran (én például igyekszem hetente írni egy összefoglalót a témában) esik szó a különböző ICS/OT rendszerek sérülékenységeiről, azonban sok esetben a támadók nem vagy nem elsősorban ilyen sérülékenységeken keresztül szereznek hozzáférést a rendszerekhez. Ma egy olyan cikket hoztam, amiben a szerző azokból az eseteiből mutat be néhányat, amikor a célpont rendszer konfigurációs hibáit használta ki sérülékenységek helyett azért, hogy kompromittálni tudja azt.

A múlt heti posztban pont arról írtam (Dale Peterson S4X főszervező posztja alapján), hogy vajon miben és mennyiben különbözőnek a kórházi folyamatirányító rendszerek az ipari folyamatvezérlő rendszerektől és az egyik első megállapítás az volt, hogy a kórházakban a fizikai hozzáférés-kontroll sokkal kevésbé tud szigorú lenni, mint a különböző nehézipari szektorokban. Ez a jellegzetessége az egészségügyi/kórházi rendszereknek most is megjelenik, a cikkben külön fejezet foglalkozik a fizikai hozzáférések kérdésével csakúgy, mint a a NAC (Network Admission Control) rendszer, a Link Local Multicast Name Resolution, a végponti rendszerek menedzselésére használt megoldás, az Active Directory címtár és egy jumphost konfigurációs hibáinak kihasználásával.

A cikk ezen a linken érhető el: https://www.opswright.com/article/5-times-i-gained-admin-due-to-misconfiguration-part-1

Bejelentés dátuma: 2024.09.03.
Gyártó: LOYTEC electronics GmbH
Érintett rendszer(ek):
- LINX-151 minden verziója;
- LINX-212 minden verziója;
- LVIS-3ME12-A1 minden verziója;
- LIOB-586 minden verziója;
- LIOB-580 V2 minden verziója;
- LIOB-588 minden verziója;
- L-INX Configurator minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2023-46380)/súlyos;
- Missing Authentication for Critical Function (CVE-2023-46381)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-46382)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-46383)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2023-46384)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-46385)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2023-46386)/súlyos;
- Improper Access Control (CVE-2023-46387)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2023-46388)/súlyos;
- Improper Access Control (CVE-2023-46389)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-247-01

Bejelentés dátuma: 2024.09.04.
Gyártó: Moxa
Érintett rendszer(ek):
- OnCell 3120-LTE-1 sorozatú eszközök v2.3-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2020-7656)/közepes;
- Cross-site Scripting (CVE-2020-11022)/közepes;
- Cross-site Scripting (CVE-2020-11023)/közepes;
- Prototype Pollution (CVE-2019-11358)/közepes;
Javítás: Elérhető a Moxa Technical Support-nál.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.09.05.
Gyártó: Hughes Network Systems
Érintett rendszer(ek):
- WL3000 Fusion Software 2.7.0.10-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2024-39278)/közepes;
- Missing Encryption of Sensitive Data (CVE-2024-42495)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-249-01

Bejelentés dátuma: 2024.09.10.
Gyártó: iniNet Solutions
Érintett rendszer(ek):
- SpiderControl SCADA Web Server v2.09-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unrestricted Upload of File with Dangerous Type (CVE-2024-8232)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-254-02

Bejelentés dátuma: 2024.09.10.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- SequenceManager 2.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unquoted Search Path or Element (CVE-2024-4609)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-254-03

Bejelentés dátuma: 2024.09.10.
Gyártó: Viessmann Climate Solutions
Érintett rendszer(ek):
- Viessmann Vitogate 300 2.1.3.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2023-5222)/kritikus;
- Forced Browsing (CVE-2023-5702)/közepes;
- Command Injection (CVE-2023-45852)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-254-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Ritkán, de én is meg szoktam emlékezni arról, hogy folyamatvezérlő rendszerek az egészségügyi szektorban is vannak. Nemrég Dale Peterson (az S4X konferencia szervezője) írt egy egészen érdekes cikket arról, hogy szerinte miért és miben mások az egészségügyi folyamatirányító rendszerek, mint a legtöbb iparágban (villamosenergia-rendszer, olaj- és gázszektor, víziközmű-rendszerek, gyártásautomatizálás, stb.).

A fent hivatkozott régi posztjaimban is írtam már arról, ennek milyen nagyon súlyos, safety incidensekben is végződhető következményei lehetnek, de arra is emlékezhetünk, hogy az elmúlt néhány évben mennyire gyakoribbá váltak a kórházi IT rendszerek elleni zsarolóvírus-támadások. Ezek együtt pedig jó megmutatják, hogy miért fontos foglalkozni a témával és minél jobban megismerni a kórházi folyamatirányító rendszerek sajátosságait.

Dale fő szempontjai:

- a kórházi rendszerekhez sokkal több embernek (orvosok, ápolók) kell tudniuk hozzáférni, mint a legtöbb ipari folyamatirányító rendszernél ezt megszoktuk;
- a kórházi rendszerek gyakran különálló rendszerek és nem részei egy nagyobb rendszernek;
- a kórházi rendszerekhez számos olyan ember is hozzáférhet fizikailag, akiknek nincs (illetve nem lenne szabad, hogy legyen) hozzáférése ezekhez a rendszerekhez;

Ahogy Dale cikkének végén is írja, érdemes lenne összeszedni, hogy miben is más egy kórházi-egészségügyi folyamatirányító rendszer, mint egy bármilyen más iparágban használt folyamatvezérlő. Van kedve valakinek elkezdeni egy listát? Kommentben jöhetnek az ötletek.

Incidensek

Ransomware-támadás ért egy amerikai vérellátó szervezetet

A OneBlood egy non-profit amerikai vérbank, ami 250-300 amerikai kórházat lát el vérkészítményekkel és ami egy zsarolóvírus támadás következtében kényszerült átmenetileg leállítani a működését.

SecurityAffairs.com
SecurityWeek.com

McLaren Health Care incidens

A McLaren Health Care augusztus 7-én hozta nyilvánosságra, hogy kibertámadás érte az amerikai középnyugaton működő egészségügyi szervezet rendszereit.

SecurityMagazine.com

ADT biztonsági incidens

Az ADT egy riasztó- és egyéb fizikai biztonsági rendszereket gyártó cég, ami elsősorban otthoni és kisvállalati ügyfeleknek gyárt megoldásokat. Az augusztus elején napvilágot látott hírek szerint egy támadásban "korlátozott mértékben" ügyféladatokhoz férhettek hozzá a támadók, azonban az ADT szerint nincs okuk azt feltételezni, hogy az ügyfeleik fizikai biztonsági rendszereihez is hozzáférhettek a támadók.

SecurityWeek.com

Kootenai Health elleni támadás

A Kootenai Health egy Idaho állambeli egészségügyi szolgáltató, akiknek a rendszereit ért támadás bizonyíthatóan 460.000 páciens adataihoz fértek hozzá a támadók. Arról nincs hír, hogy a támadásban a Kootenai Health egészségügyi rendszerei is érintettek lettek volna.

SecurityWeek.com

Halliburton incidens

Az amerikai (Houston-i) központú amerikai olajipari óriás, a Halliburton egyes rendszereit augusztus közepén érte kibertámadás. Az incidensről kevés részletet lehet tudni, különböző források szerint a Houston-i központ egyes rendszerei éppúgy érintettek, mint a cég globális hálózatának egyes részei.

SecurityWeek.com
TheRegister.com
CyberScoop.com

Amerikai mikrochip-gyártót ért kibertámadás

Augusztus 17-én észlelt kibertámadást a Microchip Technology nevű amerikai félvezető-gyártó cég. A támadás a beszámolók szerint súlyosan érintette a cég félvezető-gyártási folyamatait is.

SecurityAffairs.com
TheRegister.com

Ransomware-támadás ért egy ausztrál aranybányát

Augusztus 8-án zsarolóvírus-támadás érte az Evolution Mining nevű ausztrál aranybánya IT rendszereit. Részleteket sajnos nem lehet tudni az incidensről, ahogy azt sem, a cég mi alapján feltételezik, hogy az ausztrál bányáik és egy kanadai létesítményük rendszerei nem érintettek.

HelpNetSecurity.com

Seattle-i kikötő és repülőtér elleni kibertámadás

Kibertámadás érte a Seattle-i kikötőt üzemeltető cég rendszereit és figyelembe véve, hogy ugyanez a cég üzemelteti a a Seattle-Tacoma repülőteret is, az incidensről tudósító cikkek szerint a repülőtér rendszerei is érintettek lehetnek, ahol az Alaska Airlines szóvivője szerint az alkalmazottaknak kézzel kellett szétválogatniuk az utasok csomagjait, így talán nem túlzás azt gondolni, hogy a repülőtéren egyes folyamatvezérlő rendszerek (legalább csomag-továbbítás és osztályozás).

SecurityAffairs.com
TheRegister.com
DarkReading.com
SecurityWeek.com

Hírek

FrostyGoop cikk a SANS blogján

A FrostíGoop ugye a mindmáig utolsó ICS-specifikus malware és az első, ami bizonyíthatóan képes Modbus/TCP protokollon keresztül támadni ICS/OT rendszereket. Az első hírek júliusban érkeztek a Dragos publikációja alapján, most a SANS Institute blogján Tim Conway és Dean Parsons, a SANS ICS biztonsági tanfolyamainak két meghatározó alakja írták le a FrostyGoop-pal kapcsolatos gondolataikat.

Folyamatosan nő az indiai kritikus infrastruktúrák elleni kibertámadások száma

India a Dél-ázsiai színtér egyik legjelentősebb feltörekvő hatalma, úgy gazdasági, mint katonai téren, ráadásul nemrég már a világ legnépesebb országa címet is magukénak tudhatják. Ráadásul történelmi okok miatt meglehetősen rossz a viszonyuk Pakisztánnal és Kínával is, így talán nem meglepő az, hogy az indiai kritikus infrasturktúrák elleni kibertámadások is viszonylag gyakoriak (visszanézve a posztjaimat, két korábbi írásomat találtam, ahol indiai kritikus infrastruktúrák elleni támadásokról írtam). Néhány napja a DarkReading.com-on talált cikk írója szerint egyre nő az indiai kritikus infra elleni kibertámadások száma. Érdekes lesz látni, hogy egy (nem csak régiós, de globálisan) feltörekvő hatalom hogyan próbálja majd megvédeni a saját kritikus infrastruktúrájához tartozó rendszereket.

Az ICS/OT biztonság témájának egyik gyenge pontja (a számos gyenge pont közül) az elérhető gyakorló/teszt laborok alacsony száma. Ennek a hiányzó gyakorlási lehetőségnek a pótlásában meglehetősen nagy szerepet vállal a Dragos és a cég alapító-vezérigazgatója, Rob Lee, aki a SANS ICS 515 tanfolyamához is készített már 2 laborgyakorlat-sorozatot és a Dragos mérnökei minden évben legalább 2 ICS/OT témájú CTF-et is összeállítanak, egyet-egyet a SANS ICS Security Summit-ra, egyet pedig a november 5-i Dragos Industrial Security Conference-re.

Kicsit hosszú bevezető után jöjjön a mai poszt témája, az Alchemy, ami Dragos és a Hack-the-Box együttműködésében elkészült OT biztonsági laborkörnyezet, ahol egy szimulált sörgyár folyamatvezérlő rendszereinek kompromittálását lehet gyakorolni.

Az Alchemy az alábbi témakörökkel ismerteti meg a résztvevőket:

- ICS/OT biztonsági alapok, egyebek mellett az ICS-specifikus protokollokkal kapcsolatos ismeretek;
- ICS/OT hálózatok szegmentálása;
- Active Directory-k használatának különbségei IT és OT hálózatokban;
- Laterális támadások IT és OT hálózatok között, jogosultsági szint-emelés;
- Gyakori támadási módok PLC-k és HMI-k ellen;

Az Alchemy labor a Hack-the-Box weboldalán érhető el: https://www.hackthebox.com/blog/alchemy-ics-professional-lab