A Mandiant kutatói egy újabb, ICS rendszerekre specializált malware-t azonosítottak és a CosmicEnergy nevet adták neki. Hasonlóan a 2016. decemberben és 2022 áprilisben az ESET által felfedezett Industroyer és Industroyer2 malware-ekhez, a CosmicEnergy is képes az IEC-104-es protokoll manipulálására, ebben az esetben a Lightwork nevű kártékony eszközt használva. A Mandiant szerint az újonnan felfedezett malware egy red team-eszköz lehet, amit a Rostelecom-Solar-nál orosz állami támogatásból fejlesztettek ki azért, hogy hatékonyabban tudjak támadásokat szimulálni az orosz nemzeti kritikus infrastruktúra ellen. A Mandiant CosmicEnergy-ről készült elemzése itt érhető el.

https://www.mandiant.com/resources/blog/cosmicenergy-ot-malware-russian-response

Nem sokkal a Madiant publikációjának megjelenése után számos helyen írtak a CosmicEnergy-ről, a legérdekesebb véleményt én Joe Slowik-tól olvastam. Joe-ról egyebek mellett azt is érdemes tudni, hogy a 2016-ban felfedezett és az elemzők szerint az orosz Sandworm-csoportnak tulajdonított malware egyik legkitartóbb elemzői közé tartozott, aki még 2019-ban publikálta azt a tanulmányát, ahol az Industroyer védelmek elleni támadáshoz használt funkcióit elemezte. Joe szerint a CosmicEnergy-ben ugyanaz a hibás, IEC-104-es kódrészlet található, ami miatt az Industroyer is kudarcot vallott. Ez persze lehet szándékos is, ezzel biztosítva, hogy a CosmicEnergy valódi károkat ne tudjon okozni a Rostelecom-Solar rendszereiben.

A Searchlight Cyber nevű, kifejezetten dark webes információgyűjtésre és fenyegetés-elemzésre szakosodott cég által publikált jelentés szerint több ország (az USA, Kanada, Nagy-Britannia, Franciaország, Olaszország és Indonézia) villamosenergia-szektoraiban működő cégek folyamatirányító rendszereihez kínálnak kezdeti hozzáférési lehetőségeket (pl. távoli eléréshez használt felhasználói azonosítókat és jelszavakat, stb. RDP-hez vagy VPN-szolgáltatásokhoz). Ezeket használva a támadók már az adott szervezet belső hálózatából folytathatják a célba vett rendszerek vizsgálatát. Egy ilyen hozzáférés ára a Searchlight Cyber kutatói szerint jellemzően 20 amerikai dollártól 2.500 dollárig terjedhet, ezért az árért a vevő nem csak a hozzáféréshez szükséges információkat, hanem részletes utasításokat is arra vonatkozóan, hogyan használják ezeket.

Abban túl sok meglepetés nincs, hogy az Interneten számos folyamatirányító rendszer elérhető, gyakran a legalapvetőbb biztonsági intézkedések alkalmazása nélkül. 2020. elején a régi Index.hu-n jelent meg egy hír a BlackCell által készített tanulmányról, amiben csak az Internet magyar szegletében 2.000 folyamatirányító rendszert azonosítottak és erős a gyanúm, hogy ez a helyzet azóta sem lett jobb, szóval lehet, hogy nem ártana a hazai cégeknek sem ilyen téren is tájékozódni a saját rendszereikről.

Bejelentés dátuma: 2023.05.11.
Gyártó: BirdDog
Érintett rendszer(ek):
- 4K QUAD 4.5.181-es és 4.5.196-os verziói;
- MINI 2.6.2-es verziója;
- A300 EYES 3.4-es verziója;
- STUDIO R3 3.6.4-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Request Forgery (CVE-2023-2505)/súlyos;
- Use of Hard-Coded Credentials (CVE-2023-2504)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-11

Bejelentés dátuma: 2023.05.11.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ThinManager 13.0-tól 13.0.1-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2023-2443)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-15

Bejelentés dátuma: 2023.05.11.
Gyártó: SDG Technologies
Érintett rendszer(ek):
- PnPSCADA v2.* verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2023-1934)/kritikus;
Javítás: A gyártó jelenleg is dolgozik rajta.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-12

Bejelentés dátuma: 2023.05.11.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 2022 május és 2023 január között gyártott Kinetix 5500-as eszközök 7.13-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-1834)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-09

Bejelentés dátuma: 2023.05.11.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- PanelView 800-2711R-T4T grafikus terminál 5.011-től 8.011-ig terjedő verziói;
- PanelView 800-2711R-T7T grafikus terminál 5.011-től 8.011-ig terjedő verziói;
- PanelView 800-2711R-T10T grafikus terminál 5.011-től 8.011-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2020-36177)/kritikus;
- Out-of-bounds Read (CVE-2019-16748)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-14

Bejelentés dátuma: 2023.05.11.
Gyártó: Teltonika
Érintett rendszer(ek):
- Remote Management System (RMS) 4.14.0-nál korábbi verziói;
- RUT router modellek 00.07.00-tól 00.07.03.4-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Response Discrepancy (CVE-2023-32346)/közepes;
- Improper Authentication (CVE-2023-32347)/kritikus;
- Server-Side Request Forgery (CVE-2023-32348)/kritikus;
- Improper Authentication (CVE-2023-2586)/kritikus;
- Cross-site Scripting (CVE-2023-2587)/súlyos;
- Inclusion of Web Functionality from an Untrusted Source (CVE-2023-2588)/súlyos;
- External Control of System of Configuration Setting (CVE-2023-32349)/súlyos;
- OS Command Injection (CVE-2023-32350)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-08

Bejelentés dátuma: 2023.05.11.
Gyártó: PTC
Érintett rendszer(ek):
- Vuforia Studio minden, 9.9-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2023-29168)/alacsony;
- Improper Authorization (CVE-2023-24476)/alacsony;
- Improper Authorization (CVE-2023-29152)/közepes;
- Unrestricted Upload of File with Dangerous Type (CVE-2023-27881)/súlyos;
- Path Traversal (CVE-2023-29502)/közepes;
- Cross-site Request Forgery (CVE-2023-31200)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-13

Bejelentés dátuma: 2023.05.11.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Arena Simulation Software v16.20.01 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-29460)/súlyos;
- Incorrect Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-29461)/súlyos;
- Incorrect Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-29462)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-10

Bejelentés dátuma: 2023.05.11.
Gyártó: Sierra Wireless
Érintett rendszer(ek):
- AirVantage Platform
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-31279)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-31280)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-07

Bejelentés dátuma: 2023.05.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Vantagepoint minden, 8.40-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2023-2444)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-136-03

Bejelentés dátuma: 2023.05.16.
Gyártó: Rockwell
Érintett rendszer(ek):
- ArmorStart ST281E 2.004.06-os és későbbi verziói;
- ArmorStart ST284E minden verziója;
- ArmorStart ST280E minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2023-29031)/súlyos;
- Improper Input Validation (CVE-2023-29030)/súlyos;
- Improper Input Validation (CVE-2023-29023)/súlyos;
- Improper Input Validation (CVE-2023-29024)/közepes;
- Improper Input Validation (CVE-2023-29025)/közepes;
- Improper Input Validation (CVE-2023-29026)/közepes;
- Improper Input Validation (CVE-2023-29027)/közepes;
- Improper Input Validation (CVE-2023-29028)/közepes;
- Improper Input Validation (CVE-2023-29029)/közepes;
- Improper Input Validation (CVE-2023-29022)/közepes;
Javítás: Nincs a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-136-02

Bejelentés dátuma: 2023.05.16.
Gyártó: Snap One
Érintett rendszer(ek):
- OvrC Pro 7.1-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2023-28649)/súlyos;
- Observable Response Discrepancy (CVE-2023-28412)/közepes;
- Improper Access Control (CVE-2023-31241)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-31193)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2023-28386)/súlyos;
- Open Redirect (CVE-2023-31245)/súlyos;
- Use of Hard-coded Credentials (CVE-2023-31240)/súlyos;
- Hidden Functionality (CVE-2023-25183)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-136-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Május 11-én jelent meg a hír, hogy május 7-én Black Basta zsarolóvírus-támadás érte a svájci központú nemzetközi ICS gyártó, az ABB egyes rendszereit. A BleepingComputer.com információi szerint a támadás az ABB Windows-alapú Active Directory szervereit érintette - több száz eszközt. Az incidens következtében az ABB megszűntette az ügyfeleivel létesített VPN-kapcsolatokat, hogy megelőzze a zsarolóvírus további terjedését.

Az ABB nyilatkozata szerint az incidensben érintett rendszereik izolálása már megtörtént, a nem érintett rendszerek és a gyáraik működését május 12-ére helyreállították.

Május 10-én publikálta a Dragos, hogy 9-én, kibertámadás érte a cég rendszereit. Egy új belépő értékesítési munkatárs privát e-mail fiókján keresztül a támadók hozzáfértek a Dragos új munkatársainak belépési folyamatában érintett egyes rendszereihez. Egyebek mellett egyes, csak a cég ügyfelei számára elérhető fenyegetés-elemzési riportokhoz, valamint egy meg nem nevezett, de azonnal értesített ügyfél bizonyos szerződéses adataihoz. A Dragos incidenskezeléssel foglalkozó csapata mintegy 16 és fél óra alatt számolták fel az illetéktelen hozzáférést, de az igazán érdekes (és kevésbé megszokott) az, hogy egy nappal később már nyilvánosan olvashatóak az incidens részletei, támadói TTP-kkel és IoC-kkel együtt. Ez a fajta transzparens incidenskezelés és kommunikáció (szerintem legalábbis) ma még korántsem nevezhető általánosnak.

A Pipedream ICS malware-ről először 2022. áprilisában publikált a Dragos, most a hónap elején pedig új részleteket közöltek a moduláris malware OPC UA moduljáról, amit MouseHole-nak neveztek el. A MouseHole modul az OPCUA Python modulra épül és számos funkcióval rendelkezik, képes scannelni a hálózatot OPC UA szervert keresve, brute force-olni tudja az OPC UA szerver authentikációs mechanizmusát, olvasni tudja a szerver struktúráját és írni/olvasni tudja az OPC UA szerver node attribútumait valamint manipulálni tudja a szerver biztonsági beállításait, tanúsítványait és privát kulcsait.

Bejelentés dátuma: 2023.04.24.
Gyártó: Omron
Érintett rendszer(ek):
- CX-Drive minden, V3.01-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-27585)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: http://jvn.jp/en/vu/JVNVU97372625/index.html

Bejelentés dátuma: 2023.04.25.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann HiOS BRS, RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED 09.1.XX és korábbi verziói;
- Hirschmann HiOS BRS, RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED 09.0.05 és korábbi verziói;
- Hirschmann HiOS BRS, RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED 07.1.07 és korábbi verziói;
- Hirschmann Classic RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS, OCTOPUS 09.1.07 és korábbi verziói;
- HiSecOS EAGLE 04.3.XX és korábbi verziói;
- Wireless BAT-C2 BAT-C2 9.14.1.0R2 és korábbi verziói;
- Lite Managed GECKO 2.3.2 és korábbi verziói;
- Edge OpEdge-8D 01.0.00;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use-after-free (CVE-2022-40674)/kritikus;
- Use-after-free (CVE-2022-43680)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://assets.belden.com/m/6f2d4e1f6bbaeb54/original/BSECV-2022-26.pdf

Bejelentés dátuma: 2023.04.25.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú CMU Firmware-ek minden verziója;
- RTU500 sorozatú CMU Firmware-ek 12.0.1 – 12.0.14 verziói;
- RTU500 sorozatú CMU Firmware-ek 12.2.1 – 12.2.11 verziói;
- RTU500 sorozatú CMU Firmware-ek 12.4.1 – 12.4.11 verziói;
- RTU500 sorozatú CMU Firmware-ek 12.6.1 – 12.6.8 verziói;
- RTU500 sorozatú CMU Firmware-ek 12.7.1 – 12.7.5 verziói;
- RTU500 sorozatú CMU Firmware-ek 13.2.1 – 13.2.5 verziói;
- RTU500 sorozatú CMU Firmware-ek 13.3.1 – 13.3.3 verziói;
- RTU500 sorozatú CMU Firmware-ek 13.4.1 verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-23937)/súlyos;
- Infinite Loop (CVE-2022-0778)/súlyos;
- Classic Buffer Overflow (CVE-2021-3711)/kritikus;
- Out-of-bounds Read (CVE-2021-3712)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.04.25.
Gyártó: Keysight
Érintett rendszer(ek):
- N8844A Data Analytics Web Service 2.1.7351 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-1967)/kritikus;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-115-01

Bejelentés dátuma: 2023.04.25.
Gyártó: Scada-LTS
Érintett rendszer(ek):
- Scada-LTS 2.7.4-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2015-1179)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-115-02

Bejelentés dátuma: 2023.04.26.
Gyártó: Bosch
Érintett rendszer(ek):
- Bosch B420 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-47648)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://psirt.bosch.com/security-advisories/bosch-sa-341298-bt.html

Bejelentés dátuma: 2023.04.27.
Gyártó: Illumina
Érintett rendszer(ek):
- iScan Control Software v4.0.0 verziója;
- iScan Control Software v4.0.5 verziója;
- iSeq 100 minden verziója;
- MiniSeq Control Software v2.0 és újabb verziói;
- MiSeq Control Software v4.0 (RUO Mode) verziója;
- MiSeqDx Operating Software v4.0.1 és újabb verziói;
- NextSeq 500/550 Control Software v4.0 verziója;
- NextSeq 550Dx Control Software v4.0 (RUO Mode) verziója;
- NextSeq 550Dx Operating Software v1.0.0-tól 1.3.1-ig terjedő verziói;
- NextSeq 550Dx Operating Software v1.3.3 és újabb verziói;
- NextSeq 1000/2000 Control Software v1.4.1 és újabb verziói;
- NovaSeq 6000 Control Software v1.7 és újabb verziói;
- NovaSeq Control Software v1.8 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Binding to an Unrestricted IP Address (CVE-2023-1968)/kritikus;
- Execution with Unnecessary Privileges (CVE-2023-1966)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-23-117-01

Bejelentés dátuma: 2023.05.02.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELIPC sorozat MI5122-VM modelljének minden verziója;
- MELIPC sorozat MI1002-W modelljének minden verziója;
- MELIPC sorozat MI2012-W modelljének minden verziója;
- MELIPC sorozat MI3321G-W modelljének minden verziója;
- MELIPC sorozat MI3315G-W modelljének minden verziója;
- MELSEC iQ-R sorozat R102WCPU-W modelljének minden verziója;
- MELSEC Q sorozat Q24DHCCPU-V modelljének minden verziója;
- MELSEC Q sorozat Q24DHCCPU-VG modelljének minden verziója;
- MELSEC Q sorozat Q24DHCCPU-LS modelljének minden verziója;
- MELSEC Q sorozat Q26DHCCPU-LS modelljének minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Dependency on Vulnerable Third-Party Component (CVE-2020-8670)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2020-24489)/súlyos;
- Dependency on Vulnerable Third-Party Component (CVE-2020-24512)/alacsony;
- Dependency on Vulnerable Third-Party Component (CVE-2021-0127)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2021-0146)közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2021-0086)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2021-0089)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2021-33150)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2022-0002)/közepes;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-122-01

Bejelentés dátuma: 2023.05.09.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Modular Switchgear Monitoring 2.2.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2021-43298)/kritikus;
- Authentication Bypass by Capture-replay (CVE-2020-15688)/súlyos;
- Code Injection (CVE-2019-16645)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2019-12822)/súlyos;
- NULL Pointer Dereference (CVE-2018-15504)/súlyos;
- NULL Pointer Dereference (CVE-2018-15505)/súlyos;
- Insufficient Entropy (CVE-2021-41615)/kritikus;
- Insufficient Entropy (CVE-2023-23916)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-129-02

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE LPE9403 (6GK5998-3GS00-2AC2) minden, V2.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-27407)/kritikus;
- Creation of Temporary File With Insecure Permissions (CVE-2023-27408)/alacsony;
- Path Traversal (CVE-2023-27409)/alacsony;
- Heap-based Buffer Overflow (CVE-2023-27410)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-325383.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) minden verziója;
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) minden verziója;
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-47522)/súlyos;
Javítás: Nincs
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-516174.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Cloud Connect 7 CC712 (6GK1411-1AC00) minden, V2.0 és újabb, de V2.1-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC712 (6GK1411-1AC00) minden, V2.1-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC716 (6GK1411-5AC00) minden, V2.0 és újabb, de V2.1-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC716 (6GK1411-5AC00) minden, V2.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-28832)/súlyos;
- Use of Hard-coded Password (CVE-2023-29103)/közepes;
- Path Traversal (CVE-2023-29104)/közepes;
- Missing Standardized Error Handling Mechanism (CVE-2023-29105)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-29106)/közepes;
- Files or Directories Accessible to External Parties (CVE-2023-29107)/közepes;
- Path Traversal (CVE-2023-29128)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-555292.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siveillance Video 2020 R2 minden, V20.2 HotfixRev14-nél korábbi verziója;
- Siveillance Video 2020 R3 minden, V20.3 HotfixRev12-nél korábbi verziója;
- Siveillance Video 2021 R1 minden, V21.1 HotfixRev12-nél korábbi verziója;
- Siveillance Video 2021 R2 minden, V21.2 HotfixRev8-nél korábbi verziója;
- Siveillance Video 2022 R1 minden, V22.1 HotfixRev7-nél korábbi verziója;
- Siveillance Video 2022 R2 minden, V22.2 HotfixRev5-nél korábbi verziója;
- Siveillance Video 2022 R3 minden, V22.3 HotfixRev2-nél korábbi verziója;
- Siveillance Video 2023 R1 minden, V23.1 HotfixRev1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-30898)/kritikus;
- Deserialization of Untrusted Data (CVE-2023-30899)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-789345.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS minden, V1.0.3.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Expected Behavior Violation (CVE-2022-32221)/súlyos;
- Improper Validation of Syntactic Correctness of Input (CVE-2022-35252)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-35260)/súlyos;
- Use After Free (CVE-2022-40674)/kritikus;
- Double Free (CVE-2022-42915)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2022-42916)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2022-43551)/súlyos;
- Use After Free (CVE-2022-43552)/közepes;
- Use After Free (CVE-2022-43680)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-892048.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge SE2023 minden, VX.223.0 Update 3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2023-0973)/alacsony;
- Out-of-bounds Read (CVE-2023-30985)/alacsony;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-30986)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/html/ssa-932528.html

Bejelentés dátuma: 2023.05.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- OPC Factory Server (OFS) V3.63SP2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- mproper Restriction of XML External Entity Reference (CVE-2023-2161)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.05.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Operation 2022-es verziója;
- EcoStruxure™ Power Operation 2021 CU3 és korábbi verziói;
- EcoStruxure™ Power SCADA Operation Versions 2020 R2 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2023-1256)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.05.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PowerLogic ION9000 4.0.0-nál korábbi verziója;
- PowerLogic ION7400 4.0.0-nál korábbi verziója;
- PowerLogic PM8000 4.0.0-nál korábbi verziója;
- PowerLogic ION8650 minden verziója;
- PowerLogic ION8800 minden verziója;
- Legacy ION products minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext transmission of sensitive information (CVE-2022-46680)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.05.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure TM Power Operation Power SCADA Anywhere-rel telepítve;
- EcoStruxure TM Power SCADA Operation Power SCADA Anywhere-rel telepítve;
- Power SCADA Anywhere Versions 1.1 and 1.2;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Outdated OpenSSL (CVE-2021-3711)/kritikus;
- Relative Path Traversal (CVE-2022-23854)/súlyos;
- Outdated jQuery (CVE-2020-11022)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Ma már egyáltalán nem számít ritkának a kritikus infrastruktúrák és a villamosenergia-rendszer kiberbiztonsági fenyegetettségéről beszélni, de a transzformátorok, a villamosenergia-rendszer egyik, ha nem a legfontosabb berendezéseinek kiberbiztonsági kockázatairól még mindig viszonylag kevés szó esik. Annak ellenére is így van ez, hogy az újabb transzformátor modellek egyre többször rendelkeznek olyan kiegészítő modulokkal, amik lehetővé teszik az IP (OT) hálózatokon keresztül történő közvetlen felügyeletet vagy akár konfigurációt is. Ezeket a kockázatokat felismerve indult egy kutatás, amely során Hossein Rahimpour, Joe Tusek, Alsharif Abuadbba, Aruna Seneviratne, Toan Phung, Ahmed Musleh és Boyu Liu az ilyen, transzformátorok elleni kibertámadások észlelésének és megelőzésének lehetséges megoldásait keresték és vizsgálták.

A kutatás eredményeként született tanulmányt itt lehet elolvasni: https://arxiv.org/pdf/2302.13161.pdf

Ausztrália ugyan messze van, de mára már közhellyé vált, hogy mennyire nincs ez így a kibertérben. Éppen ezért úgy gondolom, érdekes lehet ez a podcast, ahol az Ausztráliában is aktív Dragos alapító-vezérigazgatója, Rob Lee-t kérdezik Phil Tarrant és Dr. Marcus Thompson, az ausztrál fegyveres erők nyugalmazott tábornoka.

Bejelentés dátuma: 2023.04.10.
Gyártó: HikVision
Érintett rendszer(ek):
- Hikvision Hybrid SAN/Cluster Storage DS-A71024/48/72R V2.3.8-8-as és korábbi verziói;
- Hikvision Hybrid SAN/Cluster Storage DS-A80624S V2.3.8-8-as és korábbi verziói;
- Hikvision Hybrid SAN/Cluster Storage DS-A81016S V2.3.8-8-as és korábbi verziói;
- Hikvision Hybrid SAN/Cluster Storage DS-A72024/72R V2.3.8-8-as és korábbi verziói;
- Hikvision Hybrid SAN/Cluster Storage DS-A80316S V2.3.8-8-as és korábbi verziói;
- Hikvision Hybrid SAN/Cluster Storage DS-A82024D V2.3.8-8-as és korábbi verziói;
- Hikvision Hybrid SAN/Cluster Storage DS-A71024/48R-CVS V1.1.4-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Privilege Escalation (CVE-2023-28808)/kritikus;
Javítás: Elérhető
Link a publikációhoz: HikVision

Bejelentés dátuma: 2023.04.18.
Gyártó: Omron
Érintett rendszer(ek):
- SYSMAC CJ2H-CPU6-EIP minden verziója;
- SYSMAC CJ2H-CPU6 minden verziója;
- SYSMAC CJ2M-CPU minden verziója;
- SYSMAC CJ1G-CPU-P minden verziója;
- SYSMAC CS1H-CPU-H minden verziója;
- SYSMAC CS1G-CPU-H minden verziója;
- SYSMAC CS1D-CPU-HA minden verziója;
- SYSMAC CS1D-CPU-H minden verziója;
- SYSMAC CS1D-CPU-SA minden verziója;
- SYSMAC CS1D-CPU-S minden verziója;
- SYSMAC CS1D-CPU-P minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-45794)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-108-01

Bejelentés dátuma: 2023.04.19.
Gyártó: Cisco
Érintett rendszer(ek):
- Cisco IND 1.11.3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- File Permissions Vulnerability (CVE-2023-20039)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ind-CAeLFk6V

Bejelentés dátuma: 2023.04.20.
Gyártó: INEA
Érintett rendszer(ek):
- ME RTU 3.36-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2023-2131)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-110-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nemrég találtam rá Sinclair Koelemij, egy veterán ICS biztonsági mérnök két cikkére, amikkel a 2023-as S4X-en tartott előadását vezette fel és követte le.

Időrendben a második, március 11-én publikált cikkével kezdem a mai posztot. Sinclair ebben ír arról, hogyan fejlődött a kiber-fizikai kockázatelemzés módszertana és arról is, hogy az általa és munkatársai által kidolgozott módszertan miben és mennyire különbözik az ISA/IEC 62443-as szabványcsaládban bemutatott kockázatelemzési módszertantól. Ebben a cikkben mutatja be Sinclair a ROPA néven az S4X-en is ismertetett kockázatelemzést.

A második (időrendben először megjelent) cikkben Sinclair a következő kérdéseket járja körül:

Mi a kockázatlemezés és miben különbözik a sérülékenység-elemzéstől?
Mi tartozik a kiber-fizikai kockázatelemzés körébe?

A kiber-fizikai rendszerek biztonságának, így a kockázatelemzésének fontosságát talán nem kell külön hangsúlyozni, azt viszont talán kevesebben tudják, hogy a Budapesti Műszaki és Gazdaságtudományi Egyetemen működő CrySys Lab kutatási területeinek egyike is ez: https://www.hit.bme.hu/page/59

https://www.hit.bme.hu/page/59