Az ICS kiberbiztonság egyik sarokkövét jelentik a különböző gyártók passzív (vagyis az OT hálózati forgalom SPAN porton vagy hálózati TAP-en keresztül történő kicsatolt másolatán végzett) hálózati monitoring megoldásai. Az egyes gyártók rendszerei alapvetően ugyanazon az elven működnek (az ICS rendszerek működésében kritikus hálózati forgalom megzavarása nélkül teszik lehetővé a támadók tevékenységét jelző nyomok, anomáliák keresését), különbség inkább abban van, hogy milyen ipari protkollokat ismernek és tudnak feldolgozni, értelmezni. Sok éven át ez nem jelentett nehézséget, hiszen az ipari környezetekben általában, de a speciális ipari protkollok esetében végképp nem álltak/állnak rendelkezésre titkosított protokollok, ha pedig lenne is lehetőség használni őket (pl. SSH-t Telnet vagy SNMPv3-at az SNMP korábbi verziói helyett), jellemzően nem használják őket. Ez annál inkább igaz, minél alacsonyabb rétegekben működő rendszereket vizsgálunk a Purdue-modell szerint besorolást alapul véve.

Azonban a közelmúltban ez is elkezdett megváltozni, ipari rendszerekben és hálózatokban is elkezdtek megjelenni a titkosított protokollok - ráadásul nem is mindig a gyártók/integrátorok/üzemeltetők használják őket, hanem bizony időnként a támadók is...

A kérdés, hogy a titkosított ipari protokollok használata milyen hatással lesz passzív hálózati monitoring megoldások használatára és még érdekesebb kérdés lesz az OT rendszer és hálózatüzemeltetők számára, hogy milyen kockázatelemzést érdemes végezniük akkor, ha az ICS rendszerek hálózati forgalmának védelme bizalmassági és sértetlenségi szempontból indokolja a titkosított ipari protkollok használatát, de ez azzal jár, hogy közben elveszítik az egyik kulcsfontosságú ICS kiberbiztonsági eszközüket?

A témáról Joe Slowik tartott egy rövid (alig 30 perces), ám annál érdekesebb előadást a tavalyi S4X konferencián, amit itt lehet megnézni: https://www.youtube.com/watch?v=3zqPY8ftrq8

Bejelentés dátuma: 2023.01.26.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft minden, v1.01.34-nél korábbi verziója;
- Running ScreenEditor minden, 1.01.5-ös és korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-4634)/súlyos;
Javítás: A CNCSoft-hoz elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-026-01

Bejelentés dátuma: 2023.01.26.
Gyártó: Econolite
Érintett rendszer(ek):
- EOS (forgalomirányító rendszer) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-0451)/súlyos;
- Use of Weak Hash (CVE-2023-0452)/kritikus;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-026-02

Bejelentés dátuma: 2023.01.26.
Gyártó: Snap One
Érintett rendszer(ek):
- Wattbox WB-300-IP-3 WB10.9a17-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2023-24020)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-23582)/közepes;
- Plaintext Storage of a Password (CVE-2023-22389)/közepes;
- Insufficient Verification of Data Authenticity (CVE-2023-22315 )/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-026-03

Bejelentés dátuma: 2023.01.26.
Gyártó: Sierra Wireless
Érintett rendszer(ek):
- Airlink Router (ES450, GX450) ALEOS szoftverének 4.9.7-es és korábbi verziói;
- Airlink Router (MP70, RV50, RV50x, RV55, LX 40, LX60) ALEOS szoftverének 4.16.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Neutralization of Argument Delimiters in a Command (CVE-2022-46649)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-46650)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-026-04

Bejelentés dátuma: 2023.01.26.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELFA SD/SQ sorozatú robotvezérlők S7x és korábbi firmware-verziói;
- MELFA SD/SQ sorozatú robotvezérlők R7x és korábbi firmware-verziói;
- MELFA F-sorozatú robotvezérlők S7x és korábbi firmware-verziói;
- MELFA F-sorozatú robotvezérlők R7x és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Active Debug Code (CVE-2022-33323)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-026-05

Bejelentés dátuma: 2023.01.26.
Gyártó: Rockwell Automation
Érintett rendszer(ek): GoAhead webszervert használó termékek
- 1732E-8CFGM8R/A 1.012-es firmware-verziója;
- 1732E-IF4M12R/A (már nem forgalmazott): firmware version 1.012
- 1732E-IR4IM12R/A 1.012-es firmware-verziója;
- 1732E-IT4IM12R/A 1.012-es firmware-verziója;
- 1732E-OF4M12R/A 1.012-es firmware-verziója;
- 1732E-OB8M8SR/A 1.013-as firmware-verziója;
- 1732E-IB8M8SOER 1.012-es firmware-verziója;
- 1732E-8IOLM12R 2.011-es firmware-verziója;
- 1747-AENTR 2.002-es firmware-verziója;
- 1769-AENTR 1.001-es firmware-verziója;
- 5069-AEN2TR 3.011-es firmware-verziója;
- 1756-EN2TR/C 11.001-es és korábbi firmware-verziói;
- 1756-EN2T/D 11.001-es és korábbi firmware-verziói;
- 1756-EN2TSC/B (már nem forgalmazott) 10.01-es firmware-verziója;
- 1756-EN2TSC/B 10.01-es firmware-verziója;
- 1756-HIST1G/A (már nem forgalmazott) 3.054-es és korábbi firmware-verziói;
- 1756-HIST2G/A(már nem forgalmazott) 3.054-es és korábbi firmware-verziói;
- 1756-HIST2G/B 5.103-es és korábbi firmware-verziói;
- ControlLogix 5580 vezérlők V28-tól V32-ig terjedő firmware-verziói;
- GuardLogix 5580 vezérlők V31–től V32-ig terjedő firmware-verziói;
- CompactLogix 5380 vezérlők V28-tól V32-ig terjedő firmware-verziói;
- Compact GuardLogix 5380 vezérlők V31–től V32-ig terjedő firmware-verziói;
- CompactLogix 5480 vezérlők V32-es firmware-verziója;
- 1756- EN2T/D 11.001-es firmware-verziója;
- 1756-EN2TR/C 11.001-es firmware-verziója;
- 1765 – EN3TR/B 11.001-es firmware-verziója;
- 1756-EN2F/C 11.001-es firmware-verziója;
- 1756-EN2TP/A 11.001-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Infinite Loop (CVE-2019-5097)/súlyos;
- Use after Free (CVE-2019-5096)/kritikus;
Javítás: Elérhető
Link a publikácihoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-026-06

Bejelentés dátuma: 2023.01.26.
Gyártó: Landis+Gyr
Érintett rendszer(ek):
- E850 (ZMQ200) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Reliance on Cookies without Validation and Integrity (CVE-2022-3083)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-026-07

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Bejelentés dátuma: 2023.01.17.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC INS V1.0 SP2 Update 1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-2068)/kritikus;
- OS Command Injection (CVE-2022-32212)/súlyos;
- Inadequate Encryption Strength (CVE-2022-2097)/közepes;
- Out-of-bounds Write (CVE-2022-2274)/kritikus;
- HTTP Request Smuggling (CVE-2022-32213)/közepes;
- HTTP Request Smuggling (CVE-2022-32215)/közepes;
- Inadequate Encryption Strength (CVE-2022-32222)/közepes;
- Use of Insufficiently Random Values (CVE-2022-35255)/súlyos;
- Authentication Bypass by Spoofing (CVE-2022-35256)/kritikus;
- Path Traversal (CVE-2022-45092)/kritikus;
- Path Traversal (CVE-2022-45093)/súlyos;
- Command Injection (CVE-2022-45094)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-017-03

Bejelentés dátuma: 2023.01.17.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-F sorozatú eszközök 17X**** és későbbi sorozatszámú példányai:
- FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS 1.280-as és későbbi verziói;
- FX5UC-xMy/z x=32,64,96 y=T, z=D,DSS 1.280-as és későbbi verziói;
- MELSEC iQ-F sorozatú eszközök 179**** és későbbi sorozatszámú példányai:
- FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS 1.074-es és későbbi verziói;
- FX5UC-xMy/z x=32,64,96 y=T, z=D,DSS 1.074-es és későbbi verziói;
- MELSEC iQ-F Series FX5UC-32MT/DS-TS, FX5UC-32MT/DSS-TS, FX5UC-32MR/DS-TS 1.280-as és későbbi verziói;
- MELSEC iQ-R Series R00/01/02CPU minden verziója; 
- MELSEC iQ-R Series R04/08/16/32/120(EN)CPU minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Predictable Seed in Pseudo-Random Number Generator (CVE-2022-40267)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-017-02

Bejelentés dátuma: 2023.01.17.
Gyártó: GE Digital
Érintett rendszer(ek):
- Proficy Historian v7.0 és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass using an Alternate Path or Channel (CVE-2022-46732)/kritikus;
- Unrestricted Upload of File with Dangerous Type (CVE-2022-46660)/súlyos;
- Improper Access Control (CVE-2022-43494)/súlyos;
- Improper Access Control (CVE-2022-46331)/súlyos;
- Weak Encoding for Password (CVE-2022-38469)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-017-01

Bejelentés dátuma: 2023.01.19.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- PCU400 9.3.0 és újabb verziói (a 9.3.8-as verzió nem érintett);
- PCULogger tool 1.0.1-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Reliance on Uncontrolled Component (CVE-2022-3602)/súlyos;
- Reliance on Uncontrolled Component (CVE-2022-3786)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-019-01

Bejelentés dátuma: 2023.01.24.
Gyártó: XINJE
Érintett rendszer(ek):
- XINJE XD programozási környezet 3.5.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Relative Path Traversal (CVE-2021-34605)/súlyos;
- Uncontrolled Search Path Element (CVE-2021-34606)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-024-01

Bejelentés dátuma: 2023.01.24.
Gyártó: SOCOMEC
Érintett rendszer(ek):
- SOCOMEC MODULYS GP Netvision v7.20-as verziójú moduláris UPS;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Weak Encoding for Password (CVE-2023-0356)/közepes;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-024-02

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A tengerhajózás kiberbiztonsági kockázataival több posztban foglalkoztam már, a héten pedig olyan hír járta be a szaksajtót, ami már a szektor fenyegetettségével kapcsolatos elméleteket a gyakorlatban bizonyítja. A DNV nevű, tengerhajózási szektort szoftverekkel és kapcsolódó szolgáltatásokkal ellátó céget érte súlyos zsarolóvírus-támadás január 7-én, aminek következtében kb. 1000 hajót érintett a ShipManager rendszer leállítása a DNV által kiszolgált 300 tengerhajózási cég összesen több, mint 6000 hajójából.

Az incidenssel kapcsolatos további részleteket a DNV bejelentésében lehet elolvasni: https://www.dnv.com/news/cyber-attack-on-shipmanager-servers-update-237931

3 napja jelentek meg az első hírek (itt, itt és itt), amik szerint a Ghost Security Group (ismertebb nevükön GhostSec az Anonymous-szal időnként együttműködő csoport) saját állítása szerint képes volt egy ransomware-rel titkosítani egy RTU-t. Amióta a zsarolóvírus-támadások egyre jobban elharapóztak, voltunk néhányan, akik tartottunk egy ilyen fejleménytől. Bár egyelőre nincs megerősítés arról, hogy a GhostSec állítása (és ezáltal a fenyegetés az ICS rendszerekre) valós, az OT biztonsági közösség a hírre természetesen felbolydult (én Joe Slowik és Anton Schipulin posztjaival találkoztam a LinkedIn-en).

A GhostSec, saját állítása szerint ezeket az eszközöket és támadási technikákat orosz rendszerek ellen alkalmazza (az Anonymous OpRussia művelete keretében már eddig is számos orosz ICS rendszert támadtak), de felmerült olyan információ is, hogy szintén a GhostSec az iráni tüntetések leverése miatt az iráni ipari rendszerek elleni támadások során már hajthatott végre hasonló támadást a perzsa országban működő PLC-k ellen is - még 2022. októberében.

Bárhogy is legyen, ha valóban megszületett az első, RTU-kat célzó ransomware, akkor az ipari rendszerek és kritikus infrastruktúrák kiberbiztonsági helyzete megint nem jobb lett, hanem rosszabb. Mit tehetnek az ilyen rendszerek védelmével megbízott kollégák? Ismét csak (egyéb intézkedések megfontolása mellett) a már unalomig ismételt paneleket lehet sorolni:

- Ipari/bármilyen egyéb fizikai folyamatvezérlő rendszert vagy annak komponenseit ne csatlakoztassanak publikus hálózatokra!
- Alkalmazzanak mélységi védelmet (defense-in-depth) a folyamatirányító rendszerek védelmére;
- A folyamatirányító rendszerek távoli hozzáférését biztonságosrt módon kell kialakítani (VPN, két- vagy többfaktoros authentikáció, privilégizált felhasználómenedzsment megoldások használatával);
- A gyári felhasználók alapértelmezett jelszavait minden eszköz esetében meg kell változtatni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat.

Bejelentés dátuma: 2023.01.05.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- UNEM R16A;
- UNEM R15B;
- UNEM R15A;
- UNEM R14B;
- UNEM R14A;
- UNEM R11B;
- UNEM R11A;
- UNEM R10C;
- UNEM R9C;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2021-40341)/súlyos;
- Inadequate Encryption Strength (CVE-2021-40342)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2022-3927)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2022-3928)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2022-3929)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-005-01

Bejelentés dátuma: 2023.01.05.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- FOXMAN-UN R16A;
- FOXMAN-UN R15B;
- FOXMAN-UN R15A;
- FOXMAN-UN R14B;
- FOXMAN-UN R14A;
- FOXMAN-UN R11B;
- FOXMAN-UN R11A;
- FOXMAN-UN R10C;
- FOXMAN-UN R9C;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2021-40341)/súlyos;
- Use of Default Cryptographic Key (CVE-2021-40342)/súlyos;
- Use of Hard-coded Cryptographic Key; (CVE-2022-3927)/súlyos;
- Use of Hard-coded Cryptographic Key; (CVE-2022-3928)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2022-3929)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-005-02

Bejelentés dátuma: 2023.01.05.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Lumada APM (Asset Performance Management) 6.5.0.0 verziója;
- Lumada APM 6.1.0.0-tól 6.4.0.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Reliance on Uncontrolled Component (CVE-2022-3602)/súlyos;
- Reliance on Uncontrolled Component (CVE-2022-3786)/súlyos;
- Reliance on Uncontrolled Component (CVE-2022-37434)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-005-03

Bejelentés dátuma: 2023.01.10.
Gyártó: Black Box 
Érintett rendszer(ek):
- Black Box KVM ACR1000A-R-R2 v3.4.31307-es firmware-verziója;
- Black Box KVM ACR1000A-T-R2 v3.4.31307-es firmware-verziója;
- Black Box KVM ACR1002A-T v3.4.31307-es firmware-verziója;
- Black Box KVM ACR1002A-R v3.4.31307-es firmware-verziója;
- Black Box KVM ACR1020A-T v3.4.31307-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-4636)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-010-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A NERC CIP-010-3 szabvány célja a nagyfeszültségű villamosenergia-rendszer IT komponenseiben végrehajtott, nem engedélyezett változások megelőzése illetve észlelése a megfelelő változáskezelési és sérülékenység vizsgálati szabályok és eljárások kialakításával.

A CIP-010-3 fejezetei az alábbi előírásokat tartalmazzák:

Változáskezelés:
- A nagyfeszültségű villamosenergia-rendszer IT komponensei számára (operációs rendszerek, firmware-ek, kereskedelmi forgalomban megvásárolható vagy nyílt forráskódú alkalmazások, egyedi szoftverek, bármilyen logikai hálózati port és bármilyen telepített biztonsági javítás) alapkonfigurációs nyilvántartást kell készíteni;
- Minden, az alapkonfigurációtól eltérő módosítást engedélyezni és dokumentálni kell;
- A változásokat 30 naptári napon belül át kell vezetni az alapkonfigurációs nyilvántartásban;
- Az alapkonfigurációtól történő eltérést okozó változtatások engedélyezése előtt meg kell határozni, hogy a CIP-005-6 és a CIP-007-6 szabványokban leírt biztonsági kontrollokra milyen hatással lesz a tervezett változás;
- A rendszeren végrehajtott változás után ellenőrizni kell, hogy az nem hatott hátrányosan a biztonsági kontrollokra és dokumentálni kell a vizsgálat eredményeit;
- Ahol műszakilag lehetséges, az éles rendszeren végzett változtatás előtt teszt rendszeren is el kell végezni, ezzel minimalizálva a változtatás nem kívánt negatív hatásait és ezeket a teszteket dokumentálni kell, az éles és a teszt környezetek közötti eltérésekkel együtt.

Változáskövetés:
- 35 naptári naponként legalább egy alkalommal ellenőrizni kell az alapkonfiguráción végzett változtatásokat és dokumentálni kell illetve ki kell vizsgálni a nem engedélyezett változtatásokat;

Sérülékenység vizsgálat:
- 15 havonta legalább egy alkalommal minden érintett rendszer esetén papír-alapú vagy aktív műszaki eszközökkel támogatott sérülékenység vizsgálatot kell végezni;
- 36 havonta legalább egy alkalommal aktív műszaki eszközökkel támogatott sérülékenység vizsgálatot kell végezni a teszt rendszereken (ahol ez műszakilag lehetséges) vagy az éles rendszereken. Éles rendszer esetén minimálizálni kell a tesztből adódó nem várt, negatív hatásokat és dokumentálni kell a teszt és éles rendszerek közötti eltéréseket, amennyiben tesztrendszeren végezték a sérülékenység vizsgálatot;
- Az éles rendszerhez történő új IT komponens hozzáadása előtt sérülékenység vizsgálatot kell végezni (kivéve a CIP Exceptional Circumstances-ben leírt esetekben) és dokumentálni kell a teszt eredményeit.

A NERC CIP-010 jelenleg (2022.12.02-án) hatályos változata itt érhető el: https://www.nerc.com/pa/Stand/Prjct2014XXCrtclInfraPrtctnVr5Rvns/CIP-010-3_CLEAN.pdf

Bejelentés dátuma: 2022.12.22.
Gyártó: Omron
Érintett rendszer(ek):
- CX-Programmer 9.78-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-43509)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-356-04

Bejelentés dátuma: 2022.12.22.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-R sorozatú eszközök R00/01/02CPU 32-es és korábbi firmware-verziói;
- MELSEC iQ-R sorozatú eszközök R04/08/16/32/120(EN)CPU 65-ös és korábbi firmware-verziói;
- MELSEC iQ-R sorozatú eszközök R08/16/32/120SFCPU minden verziója;
- MELSEC iQ-R sorozatú eszközök R12CCPU-V minden verziója;
- MELSEC iQ-L sorozatú eszközök L04/08/16/32HCPU minden verziója;
- MELIPC Series MI5122-VW minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Resource Shutdown or Release (CVE-2022-33324)/súlyos;
Javítás: Egyes érintett termékekhez elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-356-03

Bejelentés dátuma: 2022.12.22.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Studio 5000 Logix Emulate v .20-tól .33-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-3156)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-356-02

Bejelentés dátuma: 2022.12.22.
Gyártó: Priva
Érintett rendszer(ek):
- Priva TopControl Suite Bacnet minden, 8.7.8.0-nál korábbi verziója;
- Priva TopControl Suite Blue ID minden, 8.7.8.0-nál korábbi verziója;
- Priva TopControl Suite Compass minden, 8.7.8.0-nál korábbi verziója;
- Priva TopControl Suite Connect minden, 8.7.8.0-nál korábbi verziója;
- Priva TopControl Suite TPC minden, 8.7.8.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Password Hash with Insufficient Computational Effort (CVE-2022-3010)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-356-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Október végén publikálták Alireza Dehlaghi Ghadim, Ali Balador, Hans Hanssona és Mauro Conti tanulmányát. A kutatók az okos gyárak és a 4. ipari forradalom jelentette gyorsuló digitalizáció (ipari felhő, ipari IoT, stb.) terjedése miatt növekvő kiberbiztonsági kockázatokra válaszul kezdtek dolgozni egy olyan keretrendszeren, aminek segítségével szimulált tesztkörnyezteket lehet felépíteni a különböző ipari folyamatvezérlő környezetek biztonsági tesztelésének megkönnyítésére.

A cél egy olyan, alacsony költségvetéssel is elérhető, könnyen alkalmazható és egyedi igényekre szabható tesztkörnyezet kialakítását lehetővé tevő keretrendszer megalkotása volt, ami minél pontosabban tudja szimulálni a tesztelni tervezett folyamatirányító rendszert.

A 36 oldalas tanulmány az arvix.org weboldalán olvasható.

Az USA Nemzeti Kiberbiztonsági Kiválósági Központja (National Cybersecurity Center of Excellence), a NIST-en belül működő szervezet egy projektjük keretében nemrég adott ki egy 21 oldalas dokumentumot, amiben a gyártásautomatizálási rendszereket alkalmazó szervezetek számára mutatnak be 6 kiberbiztonsági incidenskezelési és helyreállási forgatókönyvet, mindegyiknél egy vagy több, a valós életből vett incidens példáján bemutatva az egyes támadási módok sajátosságait. A hat forgatókönyv között az alábbiak találhatóak meg (mindegyiknél a MITRE ATT&CK for ICS keretrendszer hivatkozása is feltűntetésre került):

1. Illegális parancs üzenetek (MITRE ATT&CK for ICS T0855);
2. Folyamat- vagy vezérlő paraméter módosítása (MITRE ATT&CK for ICS T0836);
3. Human-Machine Interface vagy operátori konzol komprmittálása (MITRE ATT&CK for ICS T0813 és T0815);
4. Historikus adatbázis kompromittálása (MITRE ATT&CK for ICS S0604 és T0802);
5. Illegálisan üzembe helyezett/használt eszköz (MITRE ATT&CK for ICS T0860);
6. Illegális kapcsolat észlelése (MITRE ATT&CK for ICS T0848);

A publikáció a NIST weboldalán érhető el: https://www.nccoe.nist.gov/sites/default/files/2022-11/mfg-recovery-project-description-final.pdf