Bejelentés dátuma: 2023.03.07.
Gyártó: PHOENIX CONTACT
Érintett rendszer(ek):
- CLOUD CLIENT 2002T-4G EU 4.5.73.107-nél korábbi verziói;
- CLOUD CLIENT 2002T-WLAN 4.5.73.107-nél korábbi verziói;
- CLOUD CLIENT 2102T-4G EU WLAN 4.5.73.107-nél korábbi verziói;
- TC ROUTER 4002T-4G EU 1234352 4.5.72.107-nél korábbi verziói;
- TC ROUTER EU WLAN 4.5.72.107-nél korábbi verziói;
- TC ROUTER 4202T-4G EU WLAN 4.5.72.107-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-0862)/magas;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2022-053/

Bejelentés dátuma: 2023.03.08.
Gyártó: ABB
Érintett rendszer(ek):
- COM600 2.x, 3.x, 4.x és 5.x verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-29492)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.03.08.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GENESIS64TM 10.97.2-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer overflow (CVE-2022-3602)/közepes;
- Buffer overflow (CVE-2022-3786)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-024_en.pdf

Bejelentés dátuma: 2023.03.08.
Gyártó: Moxa
Érintett rendszer(ek):
- MXsecurity szoftverek 1.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (n/a)/n/a;
- Hard-coded Credentials (n/a)/n/a;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/mxsecurity-command-injection-and-hardcoded-credential-vulnerabilities

Bejelentés dátuma: 2023.03.09.
Gyártó: Step Tools
Érintett rendszer(ek):
- STEPTools v18SP1 ifcmesh könyvtár (v18.1);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Null Pointer Dereference (CVE-2023-0973)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-068-04

Bejelentés dátuma: 2023.03.09.
Gyártó: B&R Industrial Automation
Érintett rendszer(ek):
- System Diagnostics Manager 3.00 és korábbi verziói;
- System Diagnostics Manager C4.93 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-4286)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-068-02

Bejelentés dátuma: 2023.03.09.
Gyártó: Akuvox
Érintett rendszer(ek):
- E11 típusú kamerás kaputelefon minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Generation of Predictable IV with CBC (CVE-2023-0343)/közepes;
- User of Hard-coded Cryptographic Key (CVE-2023-0355)/közepes;
- Missing Authentication for Critical Function (CVE-2023-0354)/kritikus;
- Storing Passwords in a Recoverable Format (CVE-2023-0353)/magas;
- Weak Password Recovery Mechanism for Forgotten Password (CVE-2023-0352)/kritikus;
- Command Injection (CVE-2023-0351)/magas;
- Reliance on File Name or Extension of Externally-Supplied File (CVE-2023-0350)/közepes;
- Missing Authorization (CVE-2023-0349)/magas;
- Improper Access Control (CVE-2023-0348)/magas;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-0347)/magas;
- Improper Authentication (CVE-2023-0346)/magas;
- Use of hard-coded Credentials (CVE-2023-0345)/kritikus;
- Hidden Functionality (CVE-2023-0344)/kritikus;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-068-01

Bejelentés dátuma: 2023.03.10.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Relion 670/650 sorozatú eszközök 2.2.0 verziója;
- Relion 670/650/SAM600-io sorozatú eszközök 2.2.1 verziója;
- Relion 670 sorozatú eszközök 2.2.2 verziója;
- Relion 670 sorozatú eszközök 2.2.3 verziója;
- Relion 670/650 sorozatú eszközök 2.2.4 verziója;
- Relion 670/650 sorozatú eszközök 2.2.5 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-3864)/közepes;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-068-05

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az USA Nemzeti Szabványügyi és Technológiai Intézete (National Institute of Standards and Technology, NIST) nemrég az OT rendszereknél használható forensics és incidenskezelési eljárásokat bemutató publikációt adott ki.

A publikációban az IT rendszerek területén már régebb óta ismert és használt incidenskezelési eljárások OT környezetekre szabott változatainak részleteit mutatják be.

A dokumentumban a szerzők az IT és OT területek forensics és incidenskezelési eljárásainak különbségei mellett bemutatják az OT incidensek vizsgálata és elhárítása során az egyes szerepkört betöltő szakértők feladatait és felelősségeit valamint azokat az eszközöket, amikkel hatékonyabbá tehetőek ezek a tevékenységek.

A NIST IR 8428-as számú publikációja itt érhető el: https://www.nist.gov/publications/digital-forensics-and-incident-response-dfir-framework-operational-technology-ot

Bejelentés dátuma: 2023.02.15.
Gyártó: ABB
Érintett rendszer(ek): Az ABB Ability™ Symphony® Plus alábbi példányai:
- S+ Operations 3.3 SP2 (az SPR1 2023.0 része);
- S+ Operations 3.3 SP1 és korábbi, 3.x verziói;
- S+ Operations 2.2;
- S+ Operations 2.1 SP2 és korábbi, 2.x verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-0228)/magas;
Javítás: 2023. második félévében várható.
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.02.16.
Gyártó: Sub-IoT project
Érintett rendszer(ek):
- Sub-IoT DASH 7 Alliance protokoll implementáció minden, 0.5.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-0847)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-047-13

Bejelentés dátuma: 2023.02.23.
Gyártó: PTC
Érintett rendszer(ek):
- ThingWorx Edge C-SDK: v2.2.12.1052 és korábbi verziói;
- .NET-SDK: v5.8.4.971 és korábbi verziói;
- ThingWorx Edge MicroServer (EMS): v5.4.10.0 és korábbi verziói;
- Kepware KEPServerEX: v6.12 és korábbi verziói;
- ThingWorx Kepware Server (korábbi nevén ThingWorx Industrial Connectivity) v6.12 és korábbi verziói;
- ThingWorx Industrial Connectivity minden verziója;
- ThingWorx Kepware Edge v1.5 és korábbi verziói;
- Rockwell Automation KEPServer Enterprise v6.12 és korábbi verziói;
- GE Digital Industrial Gateway Server v7.612 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Validation of Array Index (CVE-2023-0755)/kritikus;
- Integer Overflow or Wraparound (CVE-2023-0754)/kritikus;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-054-01

Bejelentés dátuma: 2023.02.27
Gyártó: WAGO
Érintett rendszer(ek):
- Compact Controller CC100 16-ostól 22-esig terjedő firmware-verziói;
- Compact Controller CC100 23-as firmware-verziója
- Edge Controller 23-as firmware-verziója;
- Edge Controller 18-astól 22-esig terjedő firmware-verziói;
- PFC100 16-ostól 22-esig terjedő firmware-verziói;
- PFC100 23-as firmware-verziója;
- PFC200 16-ostól 22-esig terjedő firmware-verziói;
- PFC200 23-as firmware-verziója;
- Touch Panel 600 Advanced Line 16-ostól 22-esig terjedő firmware-verziói;
- Touch Panel 600 Advanced Line 23-as firmware-verziója;
- Touch Panel 600 Marine Line 16-ostól 22-esig terjedő firmware-verziói;
- Touch Panel 600 Marine Line 23-as firmware-verziója;
- Touch Panel 600 Standard Line 16-ostól 22-esig terjedő firmware-verziói;
- Touch Panel 600 Standard Line 23-as firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-45138)/kritikus;
- Missing Authentication for Critical Function (CVE-2022-45140)/kritikus;
- Cross-site Scripting (CVE-2022-45137)/közepes;
- Origin Validation Error (CVE-2022-45139)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2022-060/

Bejelentés dátuma: 2023.02.28.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- GWS 2.0.0.0;
- GWS 2.1.0.0;
- GWS 2.2.0.0;
- GWS 2.3.0.0;
- GWS 2.4.0.0;
- GWS 3.0.0.0;
- GWS 3.1.0.0;
- GWS 3.2.0.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2020-25692)/súlyos;
- Infinite Loop (CVE-2022-0778)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-059-01

Bejelentés dátuma: 2023.02.28.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- GWS 3.0.0.0;
- GWS 3.1.0.0;
- GWS 3.2.0.0;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-2277)/súlyos;
- Improper Input Validation (CVE-2022-29492)/közepes;
- Improper Input Validation (CVE-2022-29922)/súlyos;
- Classic Buffer Overflow (CVE-2022-1778)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-059-02

Bejelentés dátuma: 2023.03.02.
Gyártó: Rittal
Érintett rendszer(ek):
- CMC III-as control cabinet lock;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-40633)/közepes;
Javítás: Nincs, az érintett termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-061-03

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A mai posztban egy meglehetősen fontos, de méltatlanul keveset emlegetett témát igyekszem körüljárni, ez pedig az ICS rendszerekben végzett mentési eljárások és a mentések tesztelésének/visszatöltésének kérdése.

Úgy vélem a naprakész mentések fontosságát az elmúlt évek, nagy vihart és sajtóvisszhangot keltett zsarolóvírus-támadásai után nem kell és nem is lehet túlzottan hangsúlyozni, de arról már mindenképp érdemes lehet beszélni, hogy hogyan, milyen megoldással mentsük az ICS rendszereinket és azok melyik komponenseit érdemes menteni? Ezt a Purdue-modell alapján fogjuk áttekinteni.

Az L5/L4 szinteken működő komponensek (pl. különböző IT hálózatokban működő történeti adatbázisok) esetén nyugodtan használhatónak tartom az IT rendszerek mentésére használt megoldásokat, a lényeg itt is az, hogy az üzleti igényeknek és a kockázatviselési hajlandóságnak megfelelő (lehetőleg offline, esetleg geo-redundáns) mentésekkel rendelkezzen a szervezet.

Az ICS DMZ-ben (L3,5) üzemelő szerverek esetén már felmerülhet a kérdés, hogy az IT vagy az OT rendszerek mentését végző megoldás végezze-e ezt a tevékenységet, az én véleményem az, hogy a 62443-as szabványban megfogalmazott alapelveket követve soha ne egy kevésbé védett hálózatban futó szolgáltatástól függjön egy védettebb hálózatban működő szolgáltatásunk. Ezt figyelembe véve én úgy gondolom, hogy az ICS DMZ-ben működő szerverek mentését az L3-ra telepített mentőrendszer végezze.

Az L3-on működő rendszerek mentését az L3,5-nél már említett, az IT mentőrendszertől minden szempontból független mentési megoldás végezze, követve azt az ICS biztonsági alapelvet, hogy az IT és OT rendszerek lehetőleg soha ne osztozzanak egy szolgáltatáson (hiszen akkor az IT hálózatban sikeres támadás jó eséllyel kompromittálhat egy olyan szolgáltatást, amivel utána könnyebbé válik az ICS rendszer támadása is a Cyber Kill Chain 2. fázisa során).

Az L2-n működő rendszerek (jellemzően SCADA, DCS szerverek, egyes mérnöki munkaállomások, stb.) mentése szintén megoldható az előző bekezdésben írt, L3 szinten működő mentési megoldással és szintén az L2-re gondolnám elhelyezni azt a mentőszervert, amivel az L1-en működő mezőgépek (RTU-k, védelmek és egyéb PLC-k és hasonló berendezések) mentését lehet végezni.

(Itt most érdemes lehet röviden kitérni a mezőgépek konfigurációinak központi kezelésére is. Figyelembe véve, hogy ezek a berendezések mennyire fontosak a zavartalan folyamatirányítás szempontjából, én azt mondom, hogy ezeket a konfigurációkat nem csak érdemes, de gyakorlatilag kötelező lenne szigorú verziókontroll alatt, egy biztonsági szempontból kiemelten védett központi verziókezelő rendszerben tárolni és az így tárolt konfigurációkat menteni megfelelő gyakorisággal és megőrzési időkkel.)

Az IT üzemeltetésben jártas kollégák egy jelentős hányada szokta ezen a ponton ("Van mentésünk, mi baj lehet?") leporolni a kezeit és elégedetten kávézni vonulni, de válaszoljunk őszintén a kérdésre: ki nem látott még olyat, amikor beütött a krach és a komoly önbizalommal elővett mentésből nem sikerült visszaállítani a szervezet számára nélkülözhetetlen adatokat?

Szóval az elkészült mentéseket megfelelő gyakorisággal vissza is kéne tölteni (de hova?) és tesztelni is kellene, hogy amikor élesben szükség lesz rájuk (persze inkább ne legyen szükség rájuk, de ha mégis, akkor lehessünk biztosak abban, hogy bizony használhatóak is leszenek ezek a mentések), akkor egy sikeres rutintevékenység legyen a mentésből visszaállítás folyamata.

A problémás pont ebben az esetben az, hogy hol és hogyan történjen a visszaállítás és a tesztelés? A legtöbb ipari szervezetnek még a SCADA/DCS rendszereiből sincs olyan szintű tartaléka, amit egy ilyen adatvisszatöltésre (és utána tesztelésre) fel lehetne használni. Rendelkezésre állhat azonban 1-2 olyan szerver, amiket fel lehet használni különböző virtualizációs megoldások használatával egy mentés visszatöltésére és tesztelésére. Ez pedig már történhet egy olyan laborkörnyezetben, ahol nem kell attól tartani, hogy a visszatöltési és tesztelési tevékenységek zavart okoznának az éles folyamatvezérlési tevékenységben vagy (akár csak időszakosan) degradálná a tartalék rendszer rendelkezésre állási mutatóit. Végső esetben (ha még 1-2 ilyen szerver sem áll rendelkezére) pedig akár a SCADA/DCS tesztrendszer is felhasználható - hiszen végül is teszteket kell végezni...

Egy szinttel nagyobb problémát jelenthet a mezőgépekről készült mentések tesztelése, itt egy másik körülmény lehet a segítségünkre. A legtöbb ipari szervezet számára a mezőgépek olyannyira fontos berendezések, hogy nem megengedhető egy meghibásodás esetén napokra vagy hetekre kiesve hagyni a meghibásodott eszközt, így többnyire szokott lenni valamilyen, az üzembiztonságot biztosító tartalék. Az ilyen berendezésekből pedig (a megfelelő eljárási szabályok kidolgozása és szigorú betartása mellett) szerintem fel lehet egyet-egyet használni a visszatöltött konfigurációk laborban történő tesztelésére.

Annyi biztos, hogy a mentések és azok felhasználhatóságának biztosítása a folyamatvezérlő rendszerek esetében is kiemelt fontosságú tevékenység kell, hogy legyen. Bízzunk benne, hogy ezt a különböző kritikus infrastruktúrákat üzemeltető szakemberek is így gondolják és a mai poszt maximum unott hümmögést vált ki belőlük, mondván "Nem is értem, mi a pláne ebben a posztban, ezt pont így/ennél sokkal jobban csináljuk..."

Bejelentés dátuma: 2023.02.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Merten INSTABUS Tastermodul 1fach System M 625199 1.0 verziója;
- Merten INSTABUS Tastermodul 2fach System M 625299 1.0 verziója;
- Merten Tasterschnittstelle 4fach plus 670804 1.0 és 1.2-es verziói;
- Merten KNX ARGUS 180/2,20M UP SYSTEM 631725 1.0 verziója;
- Merten Jalousie-/Schaltaktor REG-K/8x/16x/10 m. HB 649908 1.0 verziója (a termék támogatása már megszűnt);
- Merten KNX Uni-Dimmaktor LL REG-K/2x230/300 W MEG6710-0002 1.0 és 1.1-es verziói (a termék támogatása már megszűnt);
- Merten KNX Schaltakt.2x6A UP m.2 Eing. MEG6003-0002 0.1-es verziója (a termék támogatása már megszűnt);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-25556)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.02.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- StruxureWare Data Center Expert V7.9.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Authorization (CVE-2023-25547)/súlyos;
- Incorrect Authorization (CVE-2023-25548)/súlyos;
- Missing Authorization (CVE-2023-25552)/súlyos;
- OS Command Injection (CVE-2023-25554)/súlyos;
- Code Injection (CVE-2023-25549)/súlyos;
- Code Injection (CVE-2023-25550)/súlyos;
- Cross-site Scripting (CVE-2023-25551)/közepes;
- Cross-site Scripting (CVE-2023-25553)/közepes;
- OS Command Injection (CVE-2023-25555)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.02.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure TM Geo SCADA Expert 2019 minden, 2022 októberinél korábbi verziója;
- EcoStruxure TM Geo SCADA Expert 2020 minden, 2022 októberinél korábbi verziója;
- EcoStruxure TM Geo SCADA Expert 2021 minden, 2022 októberinél korábbi verziója;
- ClearSCADA minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Output Neutralization for Logs (CVE-2023-0595)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.02.14.
Gyártó: Weintek
Érintett rendszer(ek):
- Weintek EasyBuilder Pro v6.07.01 és korábbi verziói;
- Weintek EasyBuilder Pro v6.07.02.479 és korábbi verziói;
- Weintek EasyBuilder Pro v6.08.01.349 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-0104)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-045-01

Bejelentés dátuma: 2023.02.16.
Gyártó: WAGO
Érintett rendszer(ek):
- 852-111/000-001-es, nem menedzselt WAGO switch-ek 01-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of configuration interface in unmanaged switches (CVE-2022-3843)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2022-055/

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7-et használó Mendix alkalmazások minden, V7.23.34-nél korábbi verziói;
- Mendix 8-et használó Mendix alkalmazások minden, V8.18.23-nál korábbi verziói;
- Mendix 9-et használó Mendix alkalmazások minden, V9.22.0-nál korábbi verziói;
- Mendix 9-et használó Mendix alkalmazások (V9.12) V9.12.10-nél korábbi verziói;
- Mendix 9-et használó Mendix alkalmazások (V9.18) V9.18.4-nél korábbi verziói;
- Mendix 9-et használó Mendix alkalmazások (V9.6) V9.6.15-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-23835)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-11

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- COMOS V10.2 minden verziója;
- COMOS V10.3.3.1 minden, V10.3.3.1.45-nél korábbi verziója;
- COMOS V10.3.3.2 minden, V10.3.3.2.33-nál korábbi verziója;
- COMOS V10.3.3.3 minden, V10.3.3.3.9-nél korábbi verziója;
- COMOS V10.3.3.4 minden, V10.3.3.4.6-nál korábbi verziója;
- COMOS V10.4.0.0 minden, V10.4.0.0.31-nél korábbi verziója;
- COMOS V10.4.1.0 minden, V10.4.1.0.32-nél korábbi verziója;
- COMOS V10.4.2.0 minden, V10.4.2.0.25-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-24482)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-10

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Field PG M5 minden verziója;
- SIMATIC Field PG M6 minden verziója;
- SIMATIC IPC BX-39A minden verziója;
- SIMATIC IPC427E minden verziója;
- SIMATIC IPC477E minden verziója;
- SIMATIC IPC477E Pro minden verziója;
- SIMATIC IPC627E minden verziója;
- SIMATIC IPC647E minden verziója;
- SIMATIC IPC677E minden verziója;
- SIMATIC IPC847E minden verziója;
- SIMATIC ITP1000 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- TOCTOU Race Condition (CVE-2022-21198)/súlyos;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-09

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 ADM (6GK6015-0AL20-0GL0) minden verziója;
- RUGGEDCOM APE1808 ADM CC (6GK6015-0AL20-0GL1) minden verziója;
- RUGGEDCOM APE1808 CKP (6GK6015-0AL20-0GK0) minden verziója;
- RUGGEDCOM APE1808 CKP CC (6GK6015-0AL20-0GK1) minden verziója;
- RUGGEDCOM APE1808 CLOUDCONNECT (6GK6015-0AL20-0GM0) minden verziója;
- RUGGEDCOM APE1808 CLOUDCONNECT CC (6GK6015-0AL20-0GM1) minden verziója;
- RUGGEDCOM APE1808 ELAN (6GK6015-0AL20-0GP0) minden verziója;
- RUGGEDCOM APE1808 ELAN CC (6GK6015-0AL20-0GP1) minden verziója;
- RUGGEDCOM APE1808 SAM-L (6GK6015-0AL20-0GN0) minden verziója;
- RUGGEDCOM APE1808 SAM-L CC (6GK6015-0AL20-0GN1) minden verziója;
- RUGGEDCOM APE1808CLA-P (6GK6015-0AL20-1AA0) minden verziója;
- RUGGEDCOM APE1808CLA-P CC (6GK6015-0AL20-1AA1) minden verziója;
- RUGGEDCOM APE1808CLA-S1 (6GK6015-0AL20-1AB0) minden verziója;
- RUGGEDCOM APE1808CLA-S1 CC (6GK6015-0AL20-1AB1) minden verziója;
- RUGGEDCOM APE1808CLA-S3 (6GK6015-0AL20-1AD0) minden verziója;
- RUGGEDCOM APE1808CLA-S3 CC (6GK6015-0AL20-1AD1) minden verziója;
- RUGGEDCOM APE1808CLA-S5 (6GK6015-0AL20-1AF0) minden verziója;
- RUGGEDCOM APE1808CLA-S5 CC (6GK6015-0AL20-1AF1) minden verziója;
- RUGGEDCOM APE1808LNX (6GK6015-0AL20-0GH0) minden verziója;
- RUGGEDCOM APE1808LNX CC (6GK6015-0AL20-0GH1) minden verziója;
- RUGGEDCOM APE1808W10 (6GK6015-0AL20-0GJ0) minden verziója;
- RUGGEDCOM APE1808W10 CC (6GK6015-0AL20-0GJ1) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- TOCTOU Race Condition (CVE-2022-30774)/közepes;
- TOCTOU Race Condition (CVE-2022-31243)/közepes;
- TOCTOU Race Condition (CVE-2022-33906)/közepes;
- TOCTOU Race Condition (CVE-2022-33907)/közepes;
- TOCTOU Race Condition (CVE-2022-33908)/súlyos;
- TOCTOU Race Condition (CVE-2022-33982)/közepes;
- TOCTOU Race Condition (CVE-2022-33984)/közepes;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-08

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- TIA Multiuser Server V14 minden verziója;
- TIA Multiuser Server V15 minden, V15.1 Update 8-nál korábbi verziója;
- TIA Project-Server V1.1-nél korábbi verziója;
- TIA Project-Server V16 minden verziója;
- TIA Project-Server V17: All versions
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Untrusted Search Path (CVE-2022-35868)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-07

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, V2023.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-39157)/súlyos;
- Out-of-bounds Write (CVE-2022-43397)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-06

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- SiPass integrated AC5100 (ACC) minden verziója;
- SiPass integrated AC5102 (ACC-G2) minden, V2.85.44-nél korábbi verziója;
- SiPass integrated AC5200 (ACC-Lite, ACC-4, ACC-8, ACC-16, ACC-32) minden verziója;
- SiPass integrated ACC-AP minden, V2.85.43-nál korábbi verziója;
- SiPass integrated Granta-MK3 (ACC-GRANTA) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-31808)/súlyos;
Javítás: Egyes érintett verziókhoz elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-05

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Brownfield Connectivity—Gateway minden, V1.10-nél korábbi verziója;
- Brownfield Connectivity—Gateway V1.10.1;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-41771)/súlyos;
- Improper Input Validation (CVE-2021-41772)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-44716)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-24921)/súlyos;
- Exposure of Resource to Wrong Sphere (CVE-2021-44717)/közepes;
- Allocation of Resources without Limits or Throttling (CVE-2022-24675)/súlyos;
- Improper Certificate Validation (CVE-2022-27536)/súlyos;
- Improper Input Validation (CVE-2022-28327)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-04

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Brownfield Connectivity Client minden, V2.15-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-1292)/kritikus;
- Improper Certificate Validation (CVE-2022-1343)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-1434)/közepes;
- Improper Resource Shutdown or Release (CVE-2022-1473)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-03

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE X200-4P IRT (6GK5200-4AH00-2BA3) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X201-3P IRT (6GK5201-3BH00-2BA3) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X201-3P IRT PRO (6GK5201-3JR00-2BA6) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X202-2IRT (6GK5202-2BB00-2BA3) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X202-2P IRT (6GK5202-2BH00-2BA3) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X202-2P IRT PRO (6GK5202-2JR00-2BA6) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X204IRT (6GK5204-0BA00-2BA3) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X204IRT PRO (6GK5204-0JA00-2BA6) minden, V5.5.0-nál korábbi verziója;
- SCALANCE XF201-3P IRT (6GK5201-3BH00-2BD2) minden, V5.5.0-nál korábbi verziója;
- SCALANCE XF202-2P IRT (6GK5202-2BH00-2BD2) minden, V5.5.0-nál korábbi verziója;
- SCALANCE XF204-2BA IRT (6GK5204-2AA00-2BD2) minden, V5.5.0-nál korábbi verziója;
- SCALANCE XF204IRT (6GK5204-0BA00-2BF2) minden, V5.5.0-nál korábbi verziója;
- SIPLUS NET SCALANCE X202-2P IRT (6AG1202-2BH00-2BA3) minden, V5.5.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2007-5846)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-02

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge SE2022 minden verziója;
- Solid Edge SE2022 minden, V2210 Update12-nél korábbi verziója;
- Solid Edge SE2023 minden, V2023 Update2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2021-32936)/súlyos;
- Out-of-bounds Read (CVE-2021-32938)/súlyos;
- Out-of-bounds Write (CVE-2021-32948)/súlyos;
- Out-of-bounds Write (CVE-2021-43336)/súlyos;
- Out-of-bounds Read (CVE-2021-43391)/súlyos;
- Out-of-bounds Write (CVE-2022-46345)/súlyos;
- Out-of-bounds Write (CVE-2022-46346)/súlyos;
- Out-of-bounds Write (CVE-2022-46347)/súlyos;
- Out-of-bounds Write (CVE-2022-46348)/súlyos;
- Out-of-bounds Read (CVE-2022-46349)/súlyos;
- Out-of-bounds Read (CVE-2023-22295)/alacsony;
- Out-of-bounds Read (CVE-2023-22321)/alacsony;
- Out-of-bounds Read (CVE-2023-22354)/alacsony;
- Heap-based Buffer Overflow (CVE-2023-22669)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-22670)/súlyos;
- Out-of-bounds Read (CVE-2023-22846)/alacsony;
- Out-of-bounds Write (CVE-2023-23579)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-24549)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-24550)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-24551)/súlyos;
- Out-of-bounds Read (CVE-2023-24552)/súlyos;
- Out-of-bounds Read (CVE-2023-24553)/súlyos;
- Out-of-bounds Read (CVE-2023-24554)/súlyos;
- Out-of-bounds Read (CVE-2023-24555)/súlyos;
- Out-of-bounds Read (CVE-2023-24556)/súlyos;
- Out-of-bounds Read (CVE-2023-24557)/súlyos;
- Out-of-bounds Read (CVE-2023-24558)/súlyos;
- Out-of-bounds Read (CVE-2023-24559)/súlyos;
- Out-of-bounds Read (CVE-2023-24560)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-24561)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-24562)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-24563)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-24564)/súlyos;
- Out-of-bounds Read (CVE-2023-24565)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-24566)/súlyos;
- Use After Free (CVE-2023-24581)/súlyos;
- Out-of-bounds Read (CVE-2023-25140)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-01

Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- JT Open minden, V11.2.3.0-nál korábbi verziója;
- JT Utilities minden, V13.2.3.0-nál korábbi verziója;
- Parasolid V34.0 minden, V34.0.252-nél korábbi verziója;
- Parasolid V34.0 minden, V34.0.254-nél korábbi verziója;
- Parasolid V34.1 minden, V34.1.242-nél korábbi verziója;
- Parasolid V35.0 minden, V35.0.170-nál korábbi verziója;
- Parasolid V35.1 minden, V35.1.150-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-47936)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-47977)/súlyos;
- Out-of-bounds Read (CVE-2023-25140)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-047-12

Bejelentés dátuma: 2023.02.21.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSOFT iQ AppPortal (SW1DND-IQAPL-M) v1.00A-tól 1.29F-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- HTTP Request Smuggling (CVE-2022-26377)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2022-31813)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-052-01

Bejelentés dátuma: 2023.02.16.
Gyártó: Becton, Dickinson and Company (BD)
Érintett rendszer(ek):
- Alaris Infusion Central 1.1-től 1.3.2-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Credentials Management Errors (CVE-2022-47376)/súlyos;
Javítás: Az érintett ügyfelekkel a gyártó fogja keresni a kapcsolatot.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-23-047-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A BitDefender blogján találkoztam a hírrel, ami szerint nemrég ransomware-támadás érte az amerikai élelmiszer ipar egyik meghatározó cégét, a Dole-t. Az incidens következtében a Dole üzemei leálltak és az áruk kiszállításában is fennakadások voltak. A cég kommunikációjából jelenleg még nem lehet tudni, melyik zsarolóvírus áldozatai lettek a rendszereik.

Az élelmiszer-ipari cégek nem most először kerülnek a támadók figyelmének középpontjába, a JBS elleni támadás már szűk két éve rámutatott, hogy nincs olyan iparág, amely ne lenne kitéve az ICS rendszerei elleni támadásoknak. Talán nem ártana végre a súlyuknak megfelelően kezelni a kiberbiztonsági kockázatokat - mindegyik iparágban.

A Pipedream néven emlegetett moduláris ICS malware-t a Dragos az orosz-ukrán háború első heteiben fedezte fel és 2022. áprilisban publikálták róla az első elemzéseiket. Tavaly októberben, az Atlantában megrendezett ICS Cyber Security Conference-en Mark Plemmons tartott egy előadást az április óta végzett elemzéseik során megismert további részletekről, amiről felvétel is készült, ez elérhető itt: https://www.youtube.com/watch?v=BkCsrLu3ipI&ab_channel=BehaviorLIVE

Bejelentés dátuma: 2023.01.30.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann HiSecOS EAGLE 03.4.00-tól 04.0.xx-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Privilege escalation (n/a)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://dam.belden.com/dmm3bwsv3/assetstream.aspx?assetid=15437&mediaformatid=50063&destinationid=10016

Bejelentés dátuma: 2023.02.07.
Gyártó: EnOcean Edge Inc
Érintett rendszer(ek):
- i.LON Vision v2.2 SR8/SP8 (4.12.006) verzióval használt EnOcean SmartServer v2.2 SR8/SP8 (4.12.006)
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-3089)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-037-01

Bejelentés dátuma: 2023.02.09.
Gyártó: Control By Web
Érintett rendszer(ek):
- X-400 webes I/O vezérlő minden, 2.8-nál korábbi firmware-verziója;
- X-600M webes I/O vezérlő minden, 1.16.00-nál korábbi firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Scripting (CVE-2023-23553)/közepes;
- Code Injection (CVE-2023-23551)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-040-01

Bejelentés dátuma: 2023.02.09.
Gyártó: LS ELECTRIC
Érintett rendszer(ek):
- XBC-DN32U típusú PLC teljesítmény modulok 01.80-as operációs rendszer verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-22803)/súlyos;
- Missing Authentication for Critical Function (CVE-2023-22804)/kritikus;
- Improper Access Control (CVE-2023-22805)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2023-22806)/súlyos;
- Improper Access Control (CVE-2023-22807)/kritikus;
- Missing Authentication for Critical Function (CVE-2023-0102)/kritikus;
- Access of Memory Location After End of Buffer (CVE-2023-0103)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hibák javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-040-02

Bejelentés dátuma: 2023.02.09.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- System Configuration Tool (SCT) 14-es verziójának 14.2.3-nál korábbi alverziói;
- System Configuration Tool (SCT) 15-ös verziójának 15.0.3-nál korábbi alverziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Sensitive Cookie Without ‘HttpOnly’ Flag (CVE-2022-21939)/súlyos;
- Sensitive Cookie in HTTPS Session Without 'Secure' Attribute (CVE-2022-21940)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-040-03

Bejelentés dátuma: 2023.02.09.
Gyártó: Horner Automation
Érintett rendszer(ek):
- Cscape Envision RV 4.60-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-0621)/súlyos;
- Out-of-bounds Write (CVE-2023-0623)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-040-04

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A NERC CIP-011 célja a nagyfeszültségű villamosenergia-rendszer informatikai rendszereivel kapcsolatos információk védelmi szabályainak meghatározása annak érdekében, hogy megelőzhetőek legyenek a villamosenergia-rendszer kompromittálásából fakadó üzemeltetési incidensek és instabilitási problémák.

A CIP-011 az alábbi követelményeket támasztja a villamosenergia-rendszer informatikai komponenseivel kapcsolatos információk védelme érdekében:

- Az információk azonosításának módozatai;
- Eljárások az információk védelmére és biztonságos kezelésére vonatkozóan, beleértve az információ tárolását, továbbítását és felhasználását is;
- A villamosenergia-rendszer informatikai komponenseivel kapcsolatos információkat tároló adathordozók ismételt felhasználása vagy selejtezése előtt szükséges intézkedések ismertetése, amelyekkel megelőzhető, hogy ezek az információk az adathordozók ismételt felhasználása során vagy selejtezése után illetéktelen kezekbe kerüljenek;

Fenti elvárásokat és a témával kapcsolatos további szabályokat a NERC CIP-011 jelenleg (2023.02.04-én) hatályos változata tartalmazza: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-011-2.pdf

Bejelentés dátuma: 2023.01.31.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DOPSoft (HMI szerkesztő szoftver) 4.00.16.22-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-0123)/súlyos;
- Out-of-bounds Write (CVE-2023-0124)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-031-01

Bejelentés dátuma: 2023.02.02.
Gyártó:
Érintett rendszer(ek):
Az alábbi Cisco IOS XE szoftvert futtató eszközök, ha engedélyezve van a Cisco IOx funkció:
- 800-as sorozatú ipari routerek;
- CGR1000 típusú eszközök;
- IC3000-es ipari átjárók 1.2.1-es és későbbi firmware-verziói;
- IR510 WPAN ipari routerek;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Remote Code Execution (CVE-2023-20076)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iox-8whGn5dL

Bejelentés dátuma: 2023.02.02.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DIAScreen 1.2.1.23-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-0250)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-0251)/súlyos;
- Out-of-bounds Write (CVE-2023-0249)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-033-01

Bejelentés dátuma: 2023.02.02.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GOT2000 sorozatú eszközök
- GT27 modell GOT Mobile 01.14.000–től 01.47.000-ig terjedő verziói;
- GT25 modell GOT Mobile 01.14.000–től 01.47.000-ig terjedő verziói;
- GT SoftGOT2000 1.265B–től 1.285X-ig terjedő szoftver verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Spoofing (CVE-2022-40269)/közepes;
- Improper Restriction of Rendered UI Layers or Frames/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-033-02

Bejelentés dátuma: 2023.02.02.
Gyártó: Baicells Technologies
Érintett rendszer(ek):
Az alábbi, RTS/RTD 3.6.6-os firmware-verziót futtató Nova LTE TDD eNodeB eszközök:
- Nova 227;
- Nova 233;
- Nova 243;
- Nova 246;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-24508)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-033-03

Bejelentés dátuma: 2023.02.02.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DVW-W02W2-E2 típusú ipari Ethernet router 2.42-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-42139)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-033-04

Bejelentés dátuma: 2023.02.02.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DX-2100-L1-CN típusú ipari Ethernet router 1.5.0.10-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-42140)/súlyos;
- Cross-site Scripting (CVE-2023-0432)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-033-05

Bejelentés dátuma: 2023.02.02.
Gyártó: Moxa
Érintett rendszer(ek):
- SDS-3008-as sorozatú eszközök 2.1-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-40693)/n/a;
- Insufficient Resource Pool (CVE-2022-40224)/n/a;
- Improper Neutralization of Input During Web Page Generation (CVE-2022-41311)/n/a;
- Improper Neutralization of Input During Web Page Generation (CVE-2022-41312)/n/a;
- Improper Neutralization of Input During Web Page Generation (CVE-2022-41313)/n/a;
- Information Exposure (CVE-2022-40691)/n/a;
Javítás: Elérhető a gyártó támogatási központján keresztül.
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/sds-3008-series-multiple-web-vulnerabilities

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.