Bejelentés dátuma: 2023.04.11.
Gyártó: FANUC
Érintett rendszer(ek):
- ROBOGUIDE-HandlingPRO 9 Rev.ZD és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-1864)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-101-01

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- OpenPCS 7 V9.1 minden verziója;
- SIMATIC NET PC Software V14 minden verziója;
- SIMATIC NET PC Software V15 minden verziója;
- SIMATIC NET PC Software V16 minden verziója;
- SIMATIC NET PC Software V17 minden verziója;
- SIMATIC NET PC Software V18 minden verziója;
- SIMATIC Process Historian OPC UA Server minden verziója;
- SIMATIC WinCC minden V8.0-nál korábbi verziója;
- SIMATIC WinCC Runtime Professional minden verziója;
- SIMATIC WinCC Unified PC Runtime minden, V18.0 UPD 1 SR 1-nél korábbi verziója;
- TeleControl Server Basic V3 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-44725)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE X200-4P IRT (6GK5200-4AH00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X201-3P IRT (6GK5201-3BH00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X201-3P IRT PRO (6GK5201-3JR00-2BA6) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X202-2IRT (6GK5202-2BB00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X202-2IRT (6GK5202-2BB10-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X202-2P IRT (6GK5202-2BH00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X202-2P IRT PRO (6GK5202-2JR00-2BA6) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X204IRT (6GK5204-0BA00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X204IRT (6GK5204-0BA10-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X204IRT PRO (6GK5204-0JA00-2BA6) minden, V5.5.2-nél korábbi verziója;
- SCALANCE XF201-3P IRT (6GK5201-3BH00-2BD2) minden, V5.5.2-nél korábbi verziója;
- SCALANCE XF202-2P IRT (6GK5202-2BH00-2BD2) minden, V5.5.2-nél korábbi verziója;
- SCALANCE XF204-2BA IRT (6GK5204-2AA00-2BD2) minden, V5.5.2-nél korábbi verziója;
- SCALANCE XF204IRT (6GK5204-0BA00-2BF2) minden, V5.5.2-nél korábbi verziója;
- SIPLUS NET SCALANCE X202-2P IRT (6AG1202-2BH00-2BA3) minden, V5.5.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2023-29054)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- JT Open minden, V11.3.2.0-nál korábbi verziója;
- JT Utilities minden, V13.3.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-29053)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- TIA Portal V15 minden verziója;
- TIA Portal V16 minden verziója;
- TIA Portal V17 minden verziója;
- TIA Portal V18 minden, v18 Update 1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2023-26293)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIPROTEC 5 6MD85 (CP200) minden verziója;
- SIPROTEC 5 6MD85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 6MD86 (CP200) minden verziója;
- SIPROTEC 5 6MD86 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 6MD89 (CP300) minden verziója;
- SIPROTEC 5 6MU85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7KE85 (CP200) minden verziója;
- SIPROTEC 5 7KE85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SA82 (CP100) minden verziója;
- SIPROTEC 5 7SA82 (CP150) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SA84 (CP200) minden verziója;
- SIPROTEC 5 7SA86 (CP200) minden verziója;
- SIPROTEC 5 7SA86 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SA87 (CP200) minden verziója;
- SIPROTEC 5 7SA87 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SD82 (CP100) minden verziója;
- SIPROTEC 5 7SD82 (CP150) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SD84 (CP200) minden verziója;
- SIPROTEC 5 7SD86 (CP200) minden verziója;
- SIPROTEC 5 7SD86 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SD87 (CP200) minden verziója;
- SIPROTEC 5 7SD87 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SJ81 (CP100) minden verziója;
- SIPROTEC 5 7SJ81 (CP150) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SJ82 (CP100) minden verziója;
- SIPROTEC 5 7SJ82 (CP150) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SJ85 (CP200) minden verziója;
- SIPROTEC 5 7SJ85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SJ86 (CP200) minden verziója;
- SIPROTEC 5 7SJ86 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SK82 (CP100) minden verziója;
- SIPROTEC 5 7SK82 (CP150) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SK85 (CP200) minden verziója;
- SIPROTEC 5 7SK85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SL82 (CP100) minden verziója;
- SIPROTEC 5 7SL82 (CP150) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SL86 (CP200) minden verziója;
- SIPROTEC 5 7SL86 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SL87 (CP200) minden verziója;
- SIPROTEC 5 7SL87 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SS85 (CP200) minden verziója;
- SIPROTEC 5 7SS85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7ST85 (CP200) minden verziója;
- SIPROTEC 5 7ST85 (CP300) minden verziója;
- SIPROTEC 5 7ST86 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SX82 (CP150) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SX85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7UM85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7UT82 (CP100) minden verziója;
- SIPROTEC 5 7UT82 (CP150) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7UT85 (CP200) minden verziója;
- SIPROTEC 5 7UT85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7UT86 (CP200) minden verziója;
- SIPROTEC 5 7UT86 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7UT87 (CP200) minden verziója;
- SIPROTEC 5 7UT87 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7VE85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7VK87 (CP200) minden verziója;
- SIPROTEC 5 7VK87 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7VU85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 Communication Module ETH-BA-2EL minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 Communication Module ETH-BB-2FO minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 Communication Module ETH-BD-2FO minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 Compact 7SX800 (CP050) minden, v9.40-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2023-28766)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- CP-8031 MASTER MODULE (6MF2803-1AA00) minden, CPCI85 V05-nél korábbi verziója;
- CP-8050 MASTER MODULE (6MF2805-0AA00) minden, CPCI85 V05-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-28489)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC IPC1047 minden verziója;
- SIMATIC IPC1047E minden, 4.09.00.25611-es verziónál korábbi, Windows-on, Adaptec maxView Storage Manager-rel telepített verziója;
- SIMATIC IPC647D minden verziója;
- SIMATIC IPC647E minden, 4.09.00.25611-es verziónál korábbi, Windows-on, Adaptec maxView Storage Manager-rel telepített verziója;
- SIMATIC IPC847D minden verziója;
- SIMATIC IPC847E minden, 4.09.00.25611-es verziónál korábbi, Windows-on, Adaptec maxView Storage Manager-rel telepített verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-23588)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CP 1242-7 V2 (6GK7242-7KX31-0XE0) minden verziója;
- SIMATIC CP 1243-1 (6GK7243-1BX30-0XE0) minden verziója;
- SIMATIC CP 1243-1 DNP3 (incl. SIPLUS variants) minden verziója;
- SIMATIC CP 1243-1 IEC (incl. SIPLUS variants) minden verziója;
- SIMATIC CP 1243-7 LTE EU (6GK7243-7KX30-0XE0) minden verziója;
- SIMATIC CP 1243-7 LTE US (6GK7243-7SX30-0XE0) minden verziója;
- SIMATIC CP 1243-8 IRC (6GK7243-8RX30-0XE0) minden verziója;
- SIMATIC CP 1542SP-1 (6GK7542-6UX00-0XE0) minden verziója;
- SIMATIC CP 1542SP-1 IRC (6GK7542-6VX00-0XE0) minden verziója;
- SIMATIC CP 1543SP-1 (6GK7543-6WX00-0XE0) minden verziója;
- SIMATIC CP 443-1 (6GK7443-1EX30-0XE0) minden, V3.3-nál korábbi verziója;
- SIMATIC CP 443-1 (6GK7443-1EX30-0XE1) minden, V3.3-nál korábbi verziója;
- SIMATIC CP 443-1 Advanced (6GK7443-1GX30-0XE0) minden, V3.3-nál korábbi verziója;
- SIMATIC IPC DiagBase minden verziója;
- SIMATIC IPC DiagMonitor minden verziója;
- SIPLUS ET 200SP CP 1542SP-1 IRC TX RAIL (6AG2542-6VX00-4XE0) minden verziója;
- SIPLUS ET 200SP CP 1543SP-1 ISEC (6AG1543-6WX00-7XE0) minden verziója;
- SIPLUS ET 200SP CP 1543SP-1 ISEC TX RAIL (6AG2543-6WX00-4XE0) minden verziója;
- SIPLUS NET CP 1242-7 V2 (6AG1242-7KX31-7XE0) minden verziója;
- SIPLUS NET CP 443-1 (6AG1443-1EX30-4XE0) minden, V3.3-nál korábbi verziója;
- SIPLUS NET CP 443-1 Advanced (6AG1443-1GX30-4XE0) minden, V3.3-nál korábbi verziója;
- SIPLUS S7-1200 CP 1243-1 (6AG1243-1BX30-2AX0) minden verziója;
- SIPLUS S7-1200 CP 1243-1 RAIL (6AG2243-1BX30-1XE0) minden verziója;
- SIPLUS TIM 1531 IRC (6AG1543-1MX00-7XE0) minden, V2.3.6-nál korábbi verziója;
- TIM 1531 IRC (6GK7543-1MX00-0XE0) minden, V2.3.6-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free (CVE-2022-43716)/súlyos;
- Deadlock (CVE-2022-43767)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2022-43768)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE XCM332 (6GK5332-0GA01-2AC2) minden, 2.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2021-46828)/súlyos;
- Use After Free (CVE-2022-1652)/súlyos;
- Race Condition (CVE-2022-1729)/súlyos;
- Use After Free (CVE-2022-30065)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32205)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32206)/közepes;
- Incorrect Default Permissions (CVE-2022-32207)/kritikus;
- Out-of-bounds Write (CVE-2022-32208)/közepes;
- Improper Validation of Syntactic Correctness of Input (CVE-2022-35252)/súlyos;
- Use After Free (CVE-2022-40674)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7 kompatibilies Mendix elfelejtett jelszó-modul 3.7.1-nél korábbi verziói;
- Mendix 8 kompatibilies Mendix elfelejtett jelszó-modul 4.1.1-nél korábbi verziói;
- Mendix 9 kompatibilies Mendix elfelejtett jelszó-modul 5.1.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Response Discrepancy (CVE-2023-27464)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Polarion ALM minden, V2304.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2023-28828)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden, V14.2.0.2-nél korábbi verziója;
- Teamcenter Visualization V13.2 minden, V13.2.0.13-nál korábbi verziója;
- Teamcenter Visualization V13.3 minden, V13.3.0.9-nél korábbi verziója;
- Teamcenter Visualization V14.0 minden, V14.0.0.5-nél korábbi verziója;
- Teamcenter Visualization V14.1 minden, V14.1.0.7-nél korábbi verziója;
- Teamcenter Visualization V14.2 minden, V14.2.0.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-1709)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE X200-4P IRT (6GK5200-4AH00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X201-3P IRT (6GK5201-3BH00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X201-3P IRT PRO (6GK5201-3JR00-2BA6) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X202-2IRT (6GK5202-2BB00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X202-2IRT (6GK5202-2BB10-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X202-2P IRT (6GK5202-2BH00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X202-2P IRT PRO (6GK5202-2JR00-2BA6) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X204-2 (6GK5204-2BB10-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X204-2FM (6GK5204-2BB11-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X204-2LD (6GK5204-2BC10-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X204-2LD TS (6GK5204-2BC10-2CA2) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X204-2TS (6GK5204-2BB10-2CA2) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X204IRT (6GK5204-0BA00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X204IRT (6GK5204-0BA10-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X204IRT PRO (6GK5204-0JA00-2BA6) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X206-1 (6GK5206-1BB10-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X206-1LD (6GK5206-1BC10-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X208 (6GK5208-0BA10-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X208PRO (6GK5208-0HA10-2AA6) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X212-2 (6GK5212-2BB00-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X212-2LD (6GK5212-2BC00-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X216 (6GK5216-0BA00-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X224 (6GK5224-0BA00-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X302-7 EEC (230V, coated) (6GK5302-7GD00-3GA3) minden verziója;
- SCALANCE X302-7 EEC (230V) (6GK5302-7GD00-3EA3) minden verziója;
- SCALANCE X302-7 EEC (24V, coated) (6GK5302-7GD00-1GA3) minden verziója;
- SCALANCE X302-7 EEC (24V) (6GK5302-7GD00-1EA3) minden verziója;
- SCALANCE X302-7 EEC (2x 230V, coated) (6GK5302-7GD00-4GA3) minden verziója;
- SCALANCE X302-7 EEC (2x 230V) (6GK5302-7GD00-4EA3) minden verziója;
- SCALANCE X302-7 EEC (2x 24V, coated) (6GK5302-7GD00-2GA3) minden verziója;
- SCALANCE X302-7 EEC (2x 24V) (6GK5302-7GD00-2EA3) minden verziója;
- SCALANCE X304-2FE (6GK5304-2BD00-2AA3) minden verziója;
- SCALANCE X306-1LD FE (6GK5306-1BF00-2AA3) minden verziója;
- SCALANCE X307-2 EEC (230V, coated) (6GK5307-2FD00-3GA3) minden verziója;
- SCALANCE X307-2 EEC (230V) (6GK5307-2FD00-3EA3) minden verziója;
- SCALANCE X307-2 EEC (24V, coated) (6GK5307-2FD00-1GA3) minden verziója;
- SCALANCE X307-2 EEC (24V) (6GK5307-2FD00-1EA3) minden verziója;
- SCALANCE X307-2 EEC (2x 230V, coated) (6GK5307-2FD00-4GA3) minden verziója;
- SCALANCE X307-2 EEC (2x 230V) (6GK5307-2FD00-4EA3) minden verziója;
- SCALANCE X307-2 EEC (2x 24V, coated) (6GK5307-2FD00-2GA3) minden verziója;
- SCALANCE X307-2 EEC (2x 24V) (6GK5307-2FD00-2EA3) minden verziója;
- SCALANCE X307-3 (6GK5307-3BL00-2AA3) minden verziója;
- SCALANCE X307-3 (6GK5307-3BL10-2AA3) minden verziója;
- SCALANCE X307-3LD (6GK5307-3BM00-2AA3) minden verziója;
- SCALANCE X307-3LD (6GK5307-3BM10-2AA3) minden verziója;
- SCALANCE X308-2 (6GK5308-2FL00-2AA3) minden verziója;
- SCALANCE X308-2 (6GK5308-2FL10-2AA3) minden verziója;
- SCALANCE X308-2LD (6GK5308-2FM00-2AA3) minden verziója;
- SCALANCE X308-2LD (6GK5308-2FM10-2AA3) minden verziója;
- SCALANCE X308-2LH (6GK5308-2FN00-2AA3) minden verziója;
- SCALANCE X308-2LH (6GK5308-2FN10-2AA3) minden verziója;
- SCALANCE X308-2LH+ (6GK5308-2FP00-2AA3) minden verziója;
- SCALANCE X308-2LH+ (6GK5308-2FP10-2AA3) minden verziója;
- SCALANCE X308-2M (6GK5308-2GG00-2AA2) minden verziója;
- SCALANCE X308-2M (6GK5308-2GG10-2AA2) minden verziója;
- SCALANCE X308-2M PoE (6GK5308-2QG00-2AA2) minden verziója;
- SCALANCE X308-2M PoE (6GK5308-2QG10-2AA2) minden verziója;
- SCALANCE X308-2M TS (6GK5308-2GG00-2CA2) minden verziója;
- SCALANCE X308-2M TS (6GK5308-2GG10-2CA2) minden verziója;
- SCALANCE X310 (6GK5310-0FA00-2AA3) minden verziója;
- SCALANCE X310 (6GK5310-0FA10-2AA3) minden verziója;
- SCALANCE X310FE (6GK5310-0BA00-2AA3) minden verziója;
- SCALANCE X310FE (6GK5310-0BA10-2AA3) minden verziója;
- SCALANCE X320-1 FE (6GK5320-1BD00-2AA3) minden verziója;
- SCALANCE X320-1-2LD FE (6GK5320-3BF00-2AA3) minden verziója;
- SCALANCE X408-2 (6GK5408-2FD00-2AA2) minden verziója;
- SCALANCE XF201-3P IRT (6GK5201-3BH00-2BD2) minden, V5.5.2-nél korábbi verziója;
- SCALANCE XF202-2P IRT (6GK5202-2BH00-2BD2) minden, V5.5.2-nél korábbi verziója;
- SCALANCE XF204 (6GK5204-0BA00-2AF2) minden, V5.2.6-nél korábbi verziója;
- SCALANCE XF204-2 (6GK5204-2BC00-2AF2) minden, V5.2.6-nél korábbi verziója;
- SCALANCE XF204-2BA IRT (6GK5204-2AA00-2BD2) minden, V5.5.2-nél korábbi verziója;
- SCALANCE XF204IRT (6GK5204-0BA00-2BF2) minden, V5.5.2-nél korábbi verziója;
- SCALANCE XF206-1 (6GK5206-1BC00-2AF2) minden, V5.2.6-nél korábbi verziója;
- SCALANCE XF208 (6GK5208-0BA00-2AF2) minden, V5.2.6-nél korábbi verziója;
- SCALANCE XR324-12M (230V, hálózati portok az eszköz előlapján) (6GK5324-0GG00-3AR2) minden verziója;
- SCALANCE XR324-12M (230V, hálózati portok az eszköz előlapján) (6GK5324-0GG10-3AR2) minden verziója;
- SCALANCE XR324-12M (230V, hálózati portok az eszköz hátoldalán) (6GK5324-0GG00-3HR2) minden verziója;
- SCALANCE XR324-12M (230V, hálózati portok az eszköz hátoldalán) (6GK5324-0GG10-3HR2) minden verziója;
- SCALANCE XR324-12M (24V, hálózati portok az eszköz előlapján) (6GK5324-0GG00-1AR2) minden verziója;
- SCALANCE XR324-12M (24V, hálózati portok az eszköz előlapján) (6GK5324-0GG10-1AR2) minden verziója;
- SCALANCE XR324-12M (24V, hálózati portok az eszköz hátoldalán) (6GK5324-0GG00-1HR2) minden verziója;
- SCALANCE XR324-12M (24V, hálózati portok az eszköz hátoldalán) (6GK5324-0GG10-1HR2) minden verziója;
- SCALANCE XR324-12M TS (24V) (6GK5324-0GG00-1CR2) minden verziója;
- SCALANCE XR324-12M TS (24V) (6GK5324-0GG10-1CR2) minden verziója;
- SCALANCE XR324-4M EEC (100-240VAC/60-250VDC, hálózati portok az eszköz előlapján) (6GK5324-4GG00-3ER2) minden verziója;
- SCALANCE XR324-4M EEC (100-240VAC/60-250VDC, hálózati portok az eszköz előlapján) (6GK5324-4GG10-3ER2) minden verziója;
- SCALANCE XR324-4M EEC (100-240VAC/60-250VDC, hálózati portok az eszköz hátoldalán) (6GK5324-4GG00-3JR2) minden verziója;
- SCALANCE XR324-4M EEC (100-240VAC/60-250VDC, hálózati portok az eszköz hátoldalán) (6GK5324-4GG10-3JR2) minden verziója;
- SCALANCE XR324-4M EEC (24V, hálózati portok az eszköz előlapján) (6GK5324-4GG00-1ER2) minden verziója;
- SCALANCE XR324-4M EEC (24V, hálózati portok az eszköz előlapján) (6GK5324-4GG10-1ER2) minden verziója;
- SCALANCE XR324-4M EEC (24V, hálózati portok az eszköz hátoldalán) (6GK5324-4GG00-1JR2) minden verziója;
- SCALANCE XR324-4M EEC (24V, hálózati portok az eszköz hátoldalán) (6GK5324-4GG10-1JR2) minden verziója;
- SCALANCE XR324-4M EEC (2x 100-240VAC/60-250VDC, hálózati portok az eszköz előlapján) (6GK5324-4GG00-4ER2) minden verziója;
- SCALANCE XR324-4M EEC (2x 100-240VAC/60-250VDC, hálózati portok az eszköz előlapján) (6GK5324-4GG10-4ER2) minden verziója;
- SCALANCE XR324-4M EEC (2x 100-240VAC/60-250VDC, hálózati portok az eszköz hátoldalán) (6GK5324-4GG00-4JR2) minden verziója;
- SCALANCE XR324-4M EEC (2x 100-240VAC/60-250VDC, hálózati portok az eszköz hátoldalán) (6GK5324-4GG10-4JR2) minden verziója;
- SCALANCE XR324-4M EEC (2x 24V, hálózati portok az eszköz előlapján) (6GK5324-4GG00-2ER2) minden verziója;
- SCALANCE XR324-4M EEC (2x 24V, hálózati portok az eszköz előlapján) (6GK5324-4GG10-2ER2) minden verziója;
- SCALANCE XR324-4M EEC (2x 24V, hálózati portok az eszköz hátoldalán) (6GK5324-4GG00-2JR2) minden verziója;
- SCALANCE XR324-4M EEC (2x 24V, hálózati portok az eszköz hátoldalán) (6GK5324-4GG10-2JR2) minden verziója;
- SCALANCE XR324-4M PoE (230V, hálózati portok az eszköz előlapján) (6GK5324-4QG00-3AR2) minden verziója;
- SCALANCE XR324-4M PoE (230V, hálózati portok az eszköz hátoldalán) (6GK5324-4QG00-3HR2) minden verziója;
- SCALANCE XR324-4M PoE (24V, hálózati portok az eszköz előlapján) (6GK5324-4QG00-1AR2) minden verziója;
- SCALANCE XR324-4M PoE (24V, hálózati portok az eszköz hátoldalán) (6GK5324-4QG00-1HR2) minden verziója;
- SCALANCE XR324-4M PoE TS (24V, hálózati portok az eszköz előlapján) (6GK5324-4QG00-1CR2) minden verziója;
- SIPLUS NET SCALANCE X202-2P IRT (6AG1202-2BH00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SIPLUS NET SCALANCE X308-2 (6AG1308-2FL10-4AA3) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Integer Overflow or Wraparound (CVE-2020-28895)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-35198)/kritikus;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge SE2023 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-27044)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy Builder Installer 1.7.23-as és régebbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2022-34755)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.04.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 CPU (BMXP34* sorozatszámú eszközök) SV3.51-nél korábbi verziói;
- Modicon M580 CPU (BMEP* és BMEH* sorozatszámú eszközök) V4.10-esnél korábbi verziói;
- Modicon M580 CPU Safety (BMEP58*S és BMEH58*S sorozatszámú eszközök) minden verziója;
- Modicon Momentum Unity M1E Processor (171CBU*) minden verziója;
- Modicon MC80 (BMKC80) minden verziója;
- Legacy Modicon Quantum (140CPU65*) minden verziója;
- Legacy Modicon Premium CPUs (TSXP57*) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-25619)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-25620)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.04.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- APC Easy UPS Online Monitoring Software V2.5-GA-01-22320 és korábbi verziói (Windows 10, 11, Windows Server 2016, 2019, 2022 verziókra telepíthető változatok);
- Schneider Electric Easy UPS Online Monitoring Software V2.5-GS-01-22320és korábbi verziói (Windows 10, 11, Windows Server 2016, 2019, 2022 verziókra telepíthető változatok);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-29411)/kritikus;
- Improper Handling of Case Sensitivity (CVE-2023-29412)/kritikus;
- Missing Authentication for Critical Function (CVE-2023-29413)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.04.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Control Expert V15.1-es és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2023-27976)/súlyos;
- Improper Privilege Management (CVE-2023-1548)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.04.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- InsightHome v1.16 Build 004-es és korábbi verziói;
- InsightFacility v1.16 Build 004-es és korábbi verziói;
- Conext™ Gateway v1.16 Build 004-es és korábbi verziói (2019 óta nem fejlesztett és támogatott szoftver);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2023-29410)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.04.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PacDrive 3 Controllers LMC Eco/Pro/Pro2 minden verziója;
- PacDrive Controller LMC078 minden verziója;
- Modicon Controller M241
- Modicon Controller M251 minden verziója;
- Modicon Controller M262 minden verziója;
- Modicon Controller M258
- Modicon Controller LMC058 minden verziója;
- Modicon Controller M218 minden verziója;
- HMISCU Controller minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2022-4224)/súlyos;
- Improper Validation of Integrity Check Value (CVE-2023-28355)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-4046)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések bevezetését javasolja;
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.04.11.
Gyártó: PHOENIX CONTACT
Érintett rendszer(ek):
- ENERGY AXC PU V04.15.00.00-nál korábbi verziói;
- Infobox V02.02.00.00 és korábbi verziói;
- SMARTRTU AXC IG V01.02.00.01 és korábbi verziói;
- SMARTRTU AXC SG V01.08.00.02 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-1109)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2023-004/

Bejelentés dátuma: 2023.04.13.
Gyártó: B. Braun
Érintett rendszer(ek):
- Wi-Fi-s Battery pack SP (SN 138853 és magasabb sorozatszámú eszközök) 053L000091-es szoftverrel (világszinten)/054U000091-es szoftverrel (U.S.) és 053L000092-es szoftverrel (világszinten)/054U000092-es szoftverrel (U.S.)
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper neutralization of directives in dynamically evaluated code (CVE-2023-0888)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-23-103-01

Bejelentés dátuma: 2023.04.13.
Gyártó: Datakit
Érintett rendszer(ek):
- CrossCAD/Ware_x64 programkönyvtár minden, 2023.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-22295)/alacsony;
- Out-of-bounds Read (CVE-2023-22321)/alacsony;
- Out-of-bounds Read (CVE-2023-22354)/alacsony;
- Out-of-bounds Read (CVE-2023-22846)/alacsony;
- Out-of-bounds Write (CVE-2023-23579)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-103-14

Bejelentés dátuma: 2023.04.13.
Gyártó: Mitsubishi Electric India
Érintett rendszer(ek):
- Mitsubishi Electric India GC-ENET-COM 16XXXXXXXXX kezdetű sorozatszámú eszözei;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Signal Handler Race Condition (CVE-2023-1285)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-103-15

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az áramlásmérők olyan, számítógépekkel egybeépített megoldások, amik algoritmusokkal dolgoznak fel különböző szenzoroktól kapott adatokat analóg és digitális jelek felhasználásával. Az áramlásmérőket számos iparágban használják, de az egyik legfontosabb felhasználási területük az olaj- és gázszektorban használt csővezeték-rendszerekben található. Elég csak arra gondolni, hogy az elmúlt, lassan 13 hónapban, amióta kitört az orosz-ukrán háború, milyen gyakorisággal hallhatunk híreket a különböző gáz- és olajvezetékekről, de ha visszagondolunk az 1982-ben történt, szibériai gázvezetéket érintő robbanásra, egyes források szerint ezt az incidenst a gázvezeték-rendszer irányítására használt PLC-k szoftvereiben végrehajtott módosítások hatására előállt nyomásváltozások okozták.

Tavaly év végén a Claroty publikált egy cikket, amiben az általuk Team82-nek nevezett kutatócsoportjuk által az ABB TotalFlow nevű flow computer-eiben és vezérlőiben talált sérülékenység (CVE-2022-0902).

A sérülékenységről, a kihasználásával okozható incidensekről és az áramlásmérők további biztonsági problémáiról a Claroty cikkében lehet olvasni.

Bejelentés dátuma: 2023.03.27.
Gyártó: ABB
Érintett rendszer(ek):
- RCCMD minden, 4.40 230207-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of default password (CVE-2022-4126)/kritikus;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedés alkalmazását javasolja.
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.03.28.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann Industrial HiVision Network Management 05.0.00-tól 08.3.01-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Arbitrary Code Execution (BSECV-2023-06)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Belden

Bejelentés dátuma: 2023.04.04.
Gyártó: Nexx
Érintett rendszer(ek):
- Nexx Garage Door Controller (NXG-100B, NXG-200) nxg200v-p3-4-1-es és korábbi verziói;
- Nexx Smart Plug (NXPG-100W) nxpg100cv4-0-0 és korábbi verziói;
- Nexx Smart Alarm (NXAL-100) nxal100v-p1-9-1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2023-1748)/kritikus;
- Authorization Bypass through User-controlled Key (CVE-2023-1749)/közepes;
- Authorization Bypass through User-controlled Key (CVE-2023-1750)/súlyos;
- Improper Input Validation (CVE-2023-1751)/súlyos;
- Improper Authentication (CVE-2023-1752)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-094-01

Bejelentés dátuma: 2023.04.06.
Gyártó: mySCADA Technologies
Érintett rendszer(ek):
- myPRO 8.26.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2023-28400)/kritikus;
- OS Command Injection (CVE-2023-28716)/kritikus;
- OS Command Injection (CVE-2023-28384)/kritikus;
- OS Command Injection (CVE-2023-29169)/kritikus;
- OS Command Injection (CVE-2023-29150)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-096-02

Bejelentés dátuma: 2023.04.06.
Gyártó: JTEKT
Érintett rendszer(ek):
- JTEKT ELECTRONICS Screen Creator Advance 2 0.1.1.4 Build01-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-22345)/súlyos;
- Out-of-bounds Read (CVE-2023-22346)/súlyos;
- Out-of-bounds Read (CVE-2023-22347)/súlyos;
- Out-of-bounds Read (CVE-2023-22349)/súlyos;
- Out-of-bounds Read (CVE-2023-22350)/súlyos;
- Out-of-bounds Read (CVE-2023-22353)/súlyos;
- Use After Free (CVE-2023-22360)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-096-02

Bejelentés dátuma: 2023.04.06.
Gyártó: Industrial Control Links
Érintett rendszer(ek):
- ScadaFlex II SCADA Controller SW 1.03.07 (build 317), WebLib: 1.24;
- ScadaFlex II SCADA Controller SW 1.02.20 (build 286), WebLib: 1.24;
- ScadaFlex II SCADA Controller SW 1.02.15 (build 286), WebLib: 1.22;
- ScadaFlex II SCADA Controller SW 1.02.01 (build 229), WebLib: 1.16;
- ScadaFlex II SCADA Controller SW 1.01.14 (build 172), WebLib: 1.14;
- ScadaFlex II SCADA Controller SW 1.01.01 (build 2149), WebLib: 1.13;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- External Control of File Name or Path (CVE-2022-25359)/kritikus;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-096-01

Bejelentés dátuma: 2023.04.06.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MicroSCADA SDM600 v1.2 FP3 HF4 (Build Nr. 1.2.23000.291)-nél korábbi verziói;
- MicroSCADA SDM600 v1.3.0 (Build Nr. 1.3.0.1339)-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Unrestricted Upload of File with Dangerous Type (CVE-2022-3682)/kritikus;
- Improper Authorization (CVE-2022-3683)/súlyos;
- Improper Resource Shutdown or Release (CVE-2022-3684)/súlyos;
- Improper Privilege Management (CVE-2022-3685)/súlyos;
- Improper Authorization (CVE-2022-3686)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-096-05

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A NERC CIP-013-2 a nagyfeszültségű villamosenergia-rendszer beszállítóival kapcsolatos kockázatainak kezelésével foglalkozik.

A NERC CIP-013-2 hatálya alá eső villamosenergia-ipari szervezeteknek egy vagy több dokumentált tervvel kell rendelkezniük a nagyfeszültségű villamosenergia-rendszert kiszolgáló folyamatvezérlő, valamint az elektronikus hozzáférés-vezérlő és monitoring rendszerek (Electronic Access Control or Monitoring Systems, EACMS) és fizikai hozzáférés-vezérlő rendszerek Physical Access Control Systems, PACS). A tervnek ki kell terjednieaz érintett rendszerek és a hozzájuk kapcsolódó szolgáltatások beszerzési eljárásaira. Külön terveknek kell létezniük az alábbi esetekre vonatkozóan:

- A szállító által a saját rendszerében azonosított, a termékével és/vagy szolgáltatásával kapcsolatos és a villamosenergia-ipari szervezetet érintő kiberbiztonsági incidensekre;
- A szállító által a saját rendszerében azonosított, a termékével és/vagy szolgáltatásával kapcsolatos és a villamosenergia-ipari szervezetet érintő kiberbiztonsági incidensek kezelésének koordinálására;
- A szállító által már nem használt/nem szükséges távoli hozzáférések visszavonására;
- A szállító termékeiben és/vagy szolgáltatásaiban azonosított sérülékenységekről szóló tájékoztatásról;
- A szállító által biztosított szoftverek és hibajavítások integritásának és eredetiségének elenőrzésére vonatkozóan;

A CIP-013-2 további rendelkezéseit a szabvány jelenleg (2023.03.25-én) hatályos verziójában lehet olvasni: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-013-2.pdf

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIPROTEC 5 6MD85 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 6MD86 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 6MD89 (CP300) minden, V7.80-nál újabb verziója;
- SIPROTEC 5 6MU85 (CP300) minden, V7.90-nél újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7KE85 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7SA86 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7SA87 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7SD86 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7SD87 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7SJ85 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7SJ86 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7SK85 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7SL86 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7SL87 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7SS85 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7ST85 (CP300) minden, V8.81-nél újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7ST86 (CP300) minden, V9.20-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7SX85 (CP300) minden, V8.30-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7UM85 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7UT85 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7UT86 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7UT87 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7VE85 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 7VK87 (CP300) minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 Communication Module ETH-BA-2EL minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 Communication Module ETH-BB-2FO minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 Communication Module ETH-BD-2FO minden, V7.80-nál újabb és V9.30-nál korábbi verziója;
- SIPROTEC 5 Compact 7SX800 (CP050) minden, V8.70-nél újabb és V9.30-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Infinite Loop (CVE-2022-38767)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Monitoring Expert PME 2022-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Session Expiration (CVE-2023-28003)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.03.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PowerLogic™ HDPM6000 0.58.6-so és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper validation of an array index (CVE-2023-28004)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.03.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- GSS Data Server (IGSSdataServer.exe) V16.0.0.23040 és korábbi verziói;
- IGSS Dashboard (DashBoard.exe) V16.0.0.23040 és korábbi verziói;
- Custom Reports (RMS16.dll) V16.0.0.23040 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-27980)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2023-27982)/súlyos;
- Deserialization of Untrusted Data (CVE-2023-27978)/súlyos;
- Improper Limitation of a Pathname to a Restricted Directory (CVE-2023-27981)/súlyos;
- Improper Input Validation (CVE-2023-27984)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2023-27977)/közepes;
- Insufficient Verification of Data Authenticity (CVE-2023-27979)/közepes;
- Missing Authentication for Critical Function (CVE-2023-27983)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.03.14.
Gyártó: ABB
Érintett rendszer(ek):
- SYS600 9.4 FP2 Hotfix 5-ös és korábbi verziói;
- SYS600 10.1.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Permissions, Privileges, and Access Controls (CVE-2011-1207)/közepes;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.03.27.
Gyártó: ABB
Érintett rendszer(ek):
- RCCMD minden, 4.40 230207-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Default Password (CVE-2022-4126)/kritikus;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.03.14.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
Az alábbi, IEC 61850-es kommunikációs stack-et használó Hitachi Energy termékek:
- TXpert Hub CoreTec 4 2.0.x verziói;
- TXpert Hub CoreTec 4 2.1.x verziói;
- TXpert Hub CoreTec 4 2.2.x verziói;
- TXpert Hub CoreTec 4 2.3.x verziói;
- TXpert Hub CoreTec 4 2.4.x verziói;
- TXpert Hub CoreTec 4 3.0.x verziói;
- TXpert Hub CoreTec 5 3.0.x verziói;
- Tego1_r15b08 (FOX615 System Release R15B);
- Tego1_r2a16_03 (FOX615 System Release R14A);
- Tego1_r2a16;
- Tego1_r1e01;
- Tego1_r1d02;
- Tego1_r1c07;
- Tego1_r1b02;
- GMS600 version 1.3;
- Relion 670 1.2 (Limited);
- Relion 670 2.0 (Limited);
- Relion 650 version 1.1 (Limited);
- Relion 650 version 1.3 (Limited);
- Relion 650 version 2.1 (Classic);
- Relion 670 version 2.1 (Classic);
- Relion SAM600-IO 2.2.1;
- Relion SAM600-IO 2.2.5;
- Relion 670/650 version 2.2.0;
- Relion 670/650 version 2.2.1;
- Relion 670/650 version 2.2.2;
- Relion 670/650 version 2.2.3;
- Relion 670/650 version 2.2.4;
- Relion 670/650 version 2.2.5;
- ITT600 SA Explorer version 1.1.0;
- ITT600 SA Explorer version 1.1.1;
- ITT600 SA Explorer version 1.1.2;
- ITT600 SA Explorer version 1.5.0;
- ITT600 SA Explorer version 1.5.1;
- ITT600 SA Explorer version 1.6.0;
- ITT600 SA Explorer version 1.6.0.1;
- ITT600 SA Explorer version 1.7.0;
- ITT600 SA Explorer version 1.7.2;
- ITT600 SA Explorer version 1.8.0;
- ITT600 SA Explorer version 2.0.1;
- ITT600 SA Explorer version 2.0.2;
- ITT600 SA Explorer version 2.0.3;
- ITT600 SA Explorer version 2.0.4.1;
- ITT600 SA Explorer version 2.0.5.0;
- ITT600 SA Explorer version 2.0.5.4;
- ITT600 SA Explorer version 2.1.0.4;
- ITT600 SA Explorer version 2.1.0.5;
- MSM version 2.2.3 és korábbi verziói;
- PWC600 version 1.0;
- PWC600 version 1.1;
- PWC600 version 1.2;
- REB500 all V8.x verziói;
- REB500 all V7.x verziói;
- RTU500 sorozatú CMU-k 12.0.1-től 12.0.14-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 12.2.1-től 12.2.11-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 12.4.1-től 12.4.11-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 12.6.1-től 12.6.8-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 12.7.1-től 12.7.4-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 13.2.1-től 13.2.5-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 13.3.1-től 13.3.3-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 13.4.1-ig terjedő firmware-verziói;
- SYS600 version 10.1 to 10.3.1-ig terjedő firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Resource Shutdown or Release (CVE-2022-3353)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-089-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az ENCS (European Network for Cyber security) egy Hollandiában (Hágában) alapított nonprofit szervezet, amit európai villamosenergia-ipari cégek (áramszolgáltatók, vagyis DSO-k és átviteli rendszerirányítók, vagyis TSO-k) alapítottak és célja az európai villamosenergia-hálózat kiberbiztonsági helyzetének javítása.

Az ENCS 2022. októberében publikált egy dokumentumot, amiben az ISA/IEC 62443-as szabványra alapuló kiberbiztonsági követelményeket gyűjtötték össze. A témát alapvetően két részben tekintik át, az egyik az ICS rendszerek alállomási határterületét (substation perimeter) dolgozza fel, a másik pedig az alállomás belső rendszereinek biztonságával foglalkozik. Érintik az alállomási hálózatok szegmentálási feladatait és az alállomási automatizálási rendszerekkel kapcsolatos hozzáférés-vezérlési szabályokat.

A publikáció a 62443-3-3-as fejezetének, vagyis az automatizálási rendszerekkel szemben támasztott követelményeket (System Requirements, SR) dolgozza fel, a követelmények indoklásával együtt (ami elsőre nem tűnhet fontosnak, de akinek kellett már érvelnie akár a céges menedzsment, akár egyes OT mérnökök és/vagy menedzserek felé az ICS biztonsági fejlesztések megvalósulása érdekében).

Az ENCS által kiadott white paper-t remélhetőleg többen hasznosnak fogják találni (azt már csak félve merem megjegyezni, hogy talán nem ártana a magyar villamosenergia-rendszer meghatározó szervezeteinek is csatlakozni az ENCS-hez, ha már ott ilyen minőségű szakmai munka folyik).

Szerk: Időközben kiderült, hogy a korábbi linken már nem érhető el a dokumentum. Ez persze nem jó hír, bár nem is akkora csapás, hiszen (ahogy írtam is), a 62443 szabványban leírtakat dolgozták fel, tehát aki erre a tudásra vágyik, annak nincs más dolga, mint feldolgozni és a gyakorlatba átültetni a szabványban foglaltakat. Másik megoldás (újból csak magamat ismételve) a magyar villamosenergia-rendszer meghatározó szervezetei számára járható út: csatlakozni kell az ENCS-hez...

Bejelentés dátuma: 2023.03.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS Data Server (IGSSdataServer.exe) V16.0.0.23040-es és korábbi verziói;
- IGSS Dashboard (DashBoard.exe) V16.0.0.23040-es és korábbi verziói;
- Custom Reports (RMS16.dll) V16.0.0.23040-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-27980)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2023-27982)/súlyos;
- Deserialization of Untrusted Data (CVE-2023-27978)/súlyos;
- Improper Limitation of a Pathname to a Restricted Directory (CVE-2023-27981)/súlyos;
- Improper Input Validation (CVE-2023-27984)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2023-27977)/közepes;
- Insufficient Verification of Data Authenticity (CVE-2023-27979)/közepes;
- Missing Authentication for Critical Function (CVE-2023-27983)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Monitoring Expert PME 2022-es és korábbi veriói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Session Expiration (CVE-2023-28003)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.03.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PowerLogic™ HDPM6000 0.58.6-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper validation of an array index (CVE-2023-28004)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.03.14.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort 6000-es sorozatú eszközök 2.2-es és korábbi firmware-verziói;
- Windows Driver Manager sorozat (Windows 7-től Windows 10-ig és Windows Server 2008 R2-től 2019-ig terjedő verzióival használható) 3.4-es és korábbi verziói;
- Windows Driver Manager sorozat (Windows 11 és Server 2022 és későbbi verziókhoz használható) 4.0-s és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Certificate Validation (CVE-2022-43993)/n/a;
- Improper Certificate Validation (CVE-2022-43994)/n/a;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2023.03.21.
Gyártó: Keysight Technologies
Érintett rendszer(ek):
- N6854A Geolocation Server 2.4.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-1399)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-080-01

Bejelentés dátuma: 2023.03.23.
Gyártó: RoboDK
Érintett rendszer(ek):
- RoboDK programozási és monitoring szoftver v5.5.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2023-1516)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-082-01

Bejelentés dátuma: 2023.03.23.
Gyártó: ProPump and Controls
Érintett rendszer(ek):
- Osprey Pump Controller 1.01-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Entropy (CVE-2023-28395)/súlyos;
- Use of GET Request Method with Sensitive Query Strings (CVE-2023-28375)/súlyos;
- Use of Hard-coded Password (CVE-2023-28654)/kritikus;
- OS Command Injection (CVE-2023-27886)/kritikus;
- OS Command Injection (CVE-2023-27394)/kritikus;
- Cross-site Scripting (CVE-2023-28648)/súlyos;
- Authentication Bypass using an Alternate Path or Channel (CVE-2023-28398)/kritikus;
- Cross-Site Request Forgery (CVE-2023-28718)/súlyos;
- Command Injection (CVE-2023-28712)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-082-06

Bejelentés dátuma: 2023.03.23.
Gyártó: ABB
Érintett rendszer(ek):
- ABB Infinity DC Power Plant – H5692448 G104 G842 G224L G630-4 G451C(2) G461(2) – comcode 150047415;
- ABB Pulsar Plus System Controller – NE843_S – comcode 150042936;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Request Forgery (CVE-2022-1607)/közepes;
- Use of Insufficiently Random Values (CVE-2022-26080)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-082-05

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

2023. március 23-án (vagyis két nappal ezelőtt) második alkalommal tartott meghallgatást az USA szenátusának Energia- és természeti erőforrás-ügyi bizottsága. Az első meghallgatást még 2018-ban tartották a az ipari kiberbiztonságról és a privát szektor villamosenergia-rendszer kiberbiztonsági feladataival kapcsolatos szerepéről. Erről a meghallgatásról egy 7 oldalas jegyzőkönyv érhető el az amerikai szenátus weboldalán.

Az eltelt 5 évben számos változás volt úgy az amerikai, mint más országok nemzeti kritikus infrastruktúráinak és különösen a villamosenergia-rendszerek kiberbiztonságával kapcsolatban (nem kizárólag, de igen jelentő részben az immár lassan 400 napja dühöngő orosz-ukrán háború miatt, ami a kritikus infrastruktúrákat sem kíméli, elsősorban, de nem csak Ukrajnában). Ennek két, kritikus infrastruktúra kiberbiztonsági szempontból ikonikus pillanata volt közel egy éve az Industroyer2 és a Pipedream ICS malware-ek felfedezése, ami nem hagyta érintetlenül az USA kormányát sem. Hogy mi indokolta pont mostanra összehívni ezt az újabb meghallgatást, pontosan nem tudom, az viszont biztos, hogy a csütörtöki eseményről készült videófelvétel publikusan elérhető a www.energy.senate.gov weboldalon.

Bejelentés dátuma: 2023.03.14.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA Plant SCADA 2023, AVEVA Plant SCADA 2020R2 Update 10-es és minden korábbi verziója;
- AVEVA Telemetry Server 2020 R2 SP1-es és minden korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2023-1256)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-04

Bejelentés dátuma: 2023.03.14.
Gyártó: GE Digital
Érintett rendszer(ek):
- GE Digital Proficy iFIX 2022;
- GE Digital Proficy iFIX v6.1;
- GE Digital Proficy iFIX v6.5;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-0598)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-03

Bejelentés dátuma: 2023.03.14.
Gyártó: Autodesk
Érintett rendszer(ek):
- Autodesk FBX SDK versions 2020-as és korábbi verziói;
- Luxion KeyShot version 11.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-41302)/súlyos;
- Use After Free (CVE-2022-41303)/súlyos;
- Out-of-bounds Write (CVE-2022-41304)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-02

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) minden verziója;
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) minden verziója;
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézekdések bevezetését javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7 kompatibilis Mendix SAML 1.16.4-től 1.17.2-ig terjedő verziói;
- Mendix 8 kompatibilis Mendix SAML 2.2.0-tól 2.2.3-ig terjedő verziói;
- Mendix 9 (New Track) kompatibilis Mendix SAML 3.1.9-től 3.2.5-ig terjedő verziói;
- Mendix 9 (Upgrade Track) kompatibilis Mendix SAML 3.1.9-től 3.2.5-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Implementation of Authentication Algorithm (CVE-2023-25957)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM CROSSBOW minden, V5.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authorization (CVE-2023-27462)/alacsony;
- SQL Injection (CVE-2023-27463)/magas;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) minden, v7.2-nél korábbi verziója;
- RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M804PB (6GK5804-0AP00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M812-1 ADSL-Router (Annex A) (6GK5812-1AA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M812-1 ADSL-Router (Annex B) (6GK5812-1BA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M816-1 ADSL-Router (Annex A) (6GK5816-1AA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M816-1 ADSL-Router (Annex B) (6GK5816-1BA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) minden, v7.2-nél korábbi verziója;
- SCALANCE M874-2 (6GK5874-2AA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M874-3 (6GK5874-3AA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M876-3 (EVDO) (6GK5876-3AA02-2BA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M876-4 (6GK5876-4AA10-2BA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) minden, v7.2-nél korábbi verziója;
- SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) minden, v7.2-nél korábbi verziója;
- SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) minden, v7.2-nél korábbi verziója;
- SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) minden, v7.2-nél korábbi verziója;
- SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) minden, v7.2-nél korábbi verziója;
- SCALANCE S615 (6GK5615-0AA00-2AA2) minden, v7.2-nél korábbi verziója;
- SCALANCE S615 EEC (6GK5615-0AA01-2AA2) minden, v7.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2018-25032)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2019-1125)/közepes;
- Out-of-bounds Write (CVE-2021-4034)/súlyos;
- Improper Locking (CVE-2021-4149)/közepes;
- Improper Input Validation (CVE-2021-26401)/közepes;
- NULL Pointer Dereference (CVE-2021-42373)/közepes;
- Out-of-bounds Read (CVE-2021-42374)/közepes;
- Improper Input Validation (CVE-2021-42375)/közepes;
- NULL Pointer Dereference (CVE-2021-42376)/közepes;
- Release of Invalid Pointer or Reference (CVE-2021-42377)/közeps;
- Use After Free (CVE-2021-42378)/közepes;
- Use After Free (CVE-2021-42379)/közepes;
- Use After Free (CVE-2021-42380)/közepes;
- Use After Free (CVE-2021-42381)/közepes;
- Use After Free (CVE-2021-42382)/közepes;
- Use After Free (CVE-2021-42383)/közepes;
- Use After Free (CVE-2021-42384)/közepes;
- Use After Free (CVE-2021-42385)/közepes;
- Use After Free (CVE-2021-42386)/közepes;
- Improper Input Validation (CVE-2022-0001)/közepes;
- Improper Input Validation (CVE-2022-0002)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-0494)/közepes;
- Improper Authentication (CVE-2022-0547)/kritikus;
- Use After Free (CVE-2022-1011)/súlyos;
- Use After Free (CVE-2022-1016)/közepes;
- Use After Free (CVE-2022-1198)/közepes;
- Use After Free (CVE-2022-1199)/súlyos;
- OS Command Injection (CVE-2022-1292)/kritikus;
- Out-of-bounds Write (CVE-2022-1304)/súlyos;
- Improper Certificate Validation (CVE-2022-1343)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-1353)/súlyos;
- Improper Resource Shutdown or Release (CVE-2022-1473)/súlyos;
- Use After Free (CVE-2022-1516)/közepes;
- Use After Free (CVE-2022-1652)/súlyos;
- Race Condition (CVE-2022-1729)/súlyos;
- Use After Free (CVE-2022-1734)/súlyos;
- Use After Free (CVE-2022-1974)/közepes;
- Uncaught Exception (CVE-2022-1975)/közepes;
- Out-of-bounds Write (CVE-2022-2380)/közepes;
- Improper Input Validation (CVE-2022-2588)/súlyos;
- Integer Underflow (Wrap or Wraparound) (CVE-2022-2639)/súlyos;
- Use After Free (CVE-2022-20158)/közepes;
- Race Condition (CVE-2022-23036)/súlyos;
- Race Condition (CVE-2022-23037)/súlyos;
- Race Condition (CVE-2022-23038)/súlyos;
- Race Condition (CVE-2022-23039)/súlyos;
- Race Condition (CVE-2022-23040)/súlyos;
- Race Condition (CVE-2022-23041)/súlyos;
- Race Condition (CVE-2022-23042)/súlyos;
- Use After Free (CVE-2022-23308)/súlyos;
- Classic Buffer Overflow (CVE-2022-26490)/súlyos;
- Improper Input Validation (CVE-2022-28356)/közepes;
- Double Free (CVE-2022-28390)/súlyos;
- Use After Free (CVE-2022-30065)/súlyos;
- Incorrect Authorization (CVE-2022-30594)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32205)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32206)/közepes;
- Incorrect Default Permission (CVE-2022-32207)/kritikus;
- Out-of-bounds Write (CVE-2022-32208)/közepes;
- Observable Discrepancy (CVE-2022-32296)/alacsony;
- Classic Buffer Overflow (CVE-2022-32981)/súlyos;
- Use After Free (CVE-2022-33981)/alacsony;
- Improper Validation of Syntactic Correctness of Input (CVE-2022-35252)/súlyos;
- Improper Input Validation (CVE-2022-36879)/közepes;
- Improper Input Validation (CVE-2022-36946)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Omron
Érintett rendszer(ek) az Omron CJ1M PLC-k alábbi komponensei:
- SYSMAC CJ-sorozatú eszközök
- CJ2H-CPU6 EIP minden verziója;
- CJ2H-CPU6 minden verziója;
- CJ2M-CPU minden verziója;
- CJ1G-CPU P minden verziója;
- SYSMAC CS-sorozatú eszközök
- CS1H-CPU H minden verziója;
- CS1G-CPU H minden verziója;
- CS1D-CPU HA minden verziója;
- CS1D-CPU H minden verziója;
- CS1D-CPU SA minden verziója;
- CS1D-CPU S minden verziója;
- CS1D-CPU P minden verziója;
- SYSMAC CP-sorozatú eszközök
- CP2E-E D minden verziója;
- CP2E-S D minden verziója;
- CP2E-N D minden verziója;
- CP1H-X40D minden verziója;
- CP1H-XA40D minden verziója;
- CP1H-Y20DT-D minden verziója;
- CP1L-EL20D minden verziója;
- CP1L-EM D minden verziója;
- CP1L-L D minden verziója;
- CP1L-M D minden verziója;
- CP1E-E D minden verziója;
- CP1E-NA D minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-0811)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézekdések bevezetését javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-01

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM CROSSBOW minden, V5.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authorization (CVE-2023-27309)/közepes;
- Missing Authorization (CVE-2023-27310)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.03.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE WAM763-1 (6GK5763-1AL00-7DA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WAM766-1 (EU) (6GK5766-1GE00-7DA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WAM766-1 (US) (6GK5766-1GE00-7DB0) minden, V2.0-nál korábbi verziója;
- SCALANCE WAM766-1 EEC (EU) (6GK5766-1GE00-7TA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WAM766-1 EEC (US) (6GK5766-1GE00-7TB0) minden, V2.0-nál korábbi verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3AA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3DA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WUM766-1 (EU) (6GK5766-1GE00-3DA0) minden, V2.0-nál korábbi verziója;
- SCALANCE WUM766-1 (US) (6GK5766-1GE00-3DB0) minden, V2.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Generation of Error Message Containing Sensitive Information (CVE-2018-12886)/súlyos;
- Out-of-bounds Write (CVE-2018-25032)/súlyos;
- NULL Pointer Dereference (CVE-2021-42373)/közepes;
- Out-of-bounds Read (CVE-2021-42374)/közepes;
- Improper Input Validation (CVE-2021-42375)/közepes;
- NULL Pointer Dereference (CVE-2021-42376)/közepes;
- Release of Invalid Pointer or Reference (CVE-2021-42377)/közepes;
- Use After Free (CVE-2021-42378)/közepes;
- Use After Free (CVE-2021-42379)/közepes;
- Use After Free (CVE-2021-42380)/közepes;
- Use After Free (CVE-2021-42381)/közepes;
- Use After Free (CVE-2021-42382)/közepes;
- Use After Free (CVE-2021-42383)/közepes;
- Use After Free (CVE-2021-42384)/közepes;
- Use After Free (CVE-2021-42385)/közepes;
- Use After Free (CVE-2021-42386)/közepes;
- Improperly Controlled Modification of Object Prototype Attributes (Prototype Pollution) (CVE-2022-23395)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.03.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Modbus TCP Server AOI 2.00 és 2.03-as verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-0027)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-075-07

Bejelentés dátuma: 2023.03.16.
Gyártó: Honeywell
Érintett rendszer(ek):
- OneWireless WDM R322.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-46361)/kritikus;
- Use of Insufficiently Random Values (CVE-2022-43485)/közepes;
- Missing Authentication for Critical Function (CVE-2022-4240)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-075-06

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A NERC CIP-012-1-es fejezete a vezérlőközpontok/vezénylők közötti, valósidejű kommunikáció bizalmasságával és integritásával kapcsolatos szabályokat és ajánlásokat fogalmazza meg. A CIP-012-1 hatálya alá tartozó szervezeteknek megfelelően dokumentált terveket kell készíteniük a vezérlőközpontok/vezénylők közötti kommunikáció során esetlegesen illetéktelen kezekbe kerülő, valósidejű monitoring illetve kiértékelési adatok bizalmasságának vagy illetéktelen módosításának esélyét csökkentő intézkedéseikről.

A CIP-012-1 talán a legrövidebb (mindössze 5 oldalas) az összes CIP fejezet közül. A jelenleg (2023.03.07-én) hatályos változata itt érhető el: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-012-1.pdf