Még március 23-án jelent meg egy cikk a Heise.de oldalon, amiben arról írnak, hogy a német rendőrség tisztjei Németország-szerte személyesen értesítették érintett(nek gondolt) vállalatokat egy súlyos sérülékenységről, amik a Windchill és FlexPLM rendszereket érintett. Most hagyom, hogy kicsit végiggondolja mindenki. Az éjszaka közepén (pontosabban hajnali 03:30-kor) rendőrök keltettek fel különböző cégek különböző munkatársait azzal a kérdéssel, hogy tudnak-e erről a sérülékenységről!

Ennél már csak az szebb, hogy a felkeltett és kiértesített emberek között nem egy olyan is volt, akiknek a cége nem is használta a sérülékenység által érintett rendszereket...

Ezek után bennem felmerült a kérdés, hogy vajon a német Szövetségi Bűnüldözési Irodánál (Bundeskriminalamnt) hallottak-e már arról, hogy jobb helyeken léteznek úgynevezett ISAC-ek (Information Sharing and Analysis Center) és ezek egyik elsődleges feladata az ilyen információk gyűjtése, elemzése és az érintett szervezetek megfelelő értesítése. Ugyanígy, Németországban működik a BSI (Bundesamt für Sicherheit in der Informationstechnik) nevű szervezet, aminek pont az ilyen témák kezelése (lenne?) a feladata.

Sajnos nagyon úgy tűnik, hogy a különböző állami szervek működése kiberbiztonsági kérdésekben nem csak itthon, hanem általában is erős kihívásokkal küzd. Figyelembe véve, hogy egy egyre veszélyesebb világban élünk (elég csak az orosz-ukrán vagy az amerikai-izraeli-iráni háborúk nyomán tapasztalt, kritikus infrastruktúrákat is érintő kibertámadásokra gondolnunk), ezek a hiányosságok és hibák egyre súlyosabbnak tűnnek.

Bejelentés dátuma: 2026.04.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CN 4100 minden verziója;
- SIMATIC Field PG M5 minden verziója;
- SIMATIC Field PG M6 minden verziója;
- SIMATIC IPC BX-32A 29.01.09-nél korábbi verziói;
- SIMATIC IPC BX-39A 29.01.09-nél korábbi verziói;
- SIMATIC IPC BX-56A 32.01.09-nél korábbi verziói;
- SIMATIC IPC BX-59A 32.01.09-nél korábbi verziói;
- SIMATIC IPC MD-57A 30.01.10-nél korábbi verziói;
- SIMATIC IPC PX-32A 29.01.09-nél korábbi verziói;
- SIMATIC IPC PX-39A 29.01.09-nél korábbi verziói;
- SIMATIC IPC PX-39A PRO 29.01.09-nél korábbi verziói;
- SIMATIC IPC RW-528A 34.01.02-nél korábbi verziói;
- SIMATIC IPC RW-548A 34.01.02-nél korábbi verziói;
- SIMATIC IPC227E minden verziója;
- SIMATIC IPC277E minden verziója;
- SIMATIC IPC427E 21.01.20-nál korábbi verziói;
- SIMATIC IPC477E 21.01.20-nál korábbi verziói;
- SIMATIC IPC477E PRO 21.01.20-nál korábbi verziói;
- SIMATIC IPC627E minden verziója;
- SIMATIC IPC647E minden verziója;
- SIMATIC IPC677E minden verziója;
- SIMATIC IPC847E minden verziója;
- SIMATIC ITP1000 minden verziója;
- SIPLUS IPC427E 21.01.20-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2025-2884)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.04.14.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM CROSSBOW Secure Access Manager Primary (SAM-P) V5.8-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Privilege Assignment (CVE-2026-27668)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.04.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS V4.0 SP3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Verification of Cryptographic Signature (CVE-2026-24032)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.04.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Software Center 3.5.8.2-nél korábbi verziói;
- Simcenter 3D 2506.6000-nél korábbi verziói;
- Simcenter Femap 2506.0002-nél korábbi verziói;
- Simcenter STAR-CCM+ 2602-nél korábbi verziói;
- Solid Edge SE2025-nél korábbi verziói;
- Solid Edge SE2026-nál korábbi verziói;
- Tecnomatix Plant Simulation 2504.0008-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Certificate Validation (CVE-2025-40745)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.04.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W721-1 RJ45 (6GK5721-1FC00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W721-1 RJ45 (6GK5721-1FC00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AC0) 6.6.0-nál korábbi verziói;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AA6) 6.6.0-nál korábbi verziói;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W734-1 RJ45 (USA) (6GK5734-1FX00-0AB6) 6.6.0-nál korábbi verziói;
- SCALANCE W738-1 M12 (6GK5738-1GY00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W738-1 M12 (6GK5738-1GY00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W748-1 M12 (6GK5748-1GD00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W748-1 M12 (6GK5748-1GD00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W748-1 RJ45 (6GK5748-1FC00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W748-1 RJ45 (6GK5748-1FC00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W761-1 RJ45 (6GK5761-1FC00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W761-1 RJ45 (6GK5761-1FC00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W774-1 M12 EEC (6GK5774-1FY00-0TA0) 6.6.0-nál korábbi verziói;
- SCALANCE W774-1 M12 EEC (6GK5774-1FY00-0TB0) 6.6.0-nál korábbi verziói;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AA6) 6.6.0-nál korábbi verziói;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AC0) 6.6.0-nál korábbi verziói;
- SCALANCE W774-1 RJ45 (USA) (6GK5774-1FX00-0AB6) 6.6.0-nál korábbi verziói;
- SCALANCE W778-1 M12 (6GK5778-1GY00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W778-1 M12 (6GK5778-1GY00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W778-1 M12 EEC (6GK5778-1GY00-0TA0) 6.6.0-nál korábbi verziói;
- SCALANCE W778-1 M12 EEC (USA) (6GK5778-1GY00-0TB0) 6.6.0-nál korábbi verziói;
- SCALANCE W786-1 RJ45 (6GK5786-1FC00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W786-1 RJ45 (6GK5786-1FC00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AC0) 6.6.0-nál korábbi verziói;
- SCALANCE W786-2 SFP (6GK5786-2FE00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W786-2 SFP (6GK5786-2FE00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W786-2IA RJ45 (6GK5786-2HC00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W786-2IA RJ45 (6GK5786-2HC00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W788-1 M12 (6GK5788-1GD00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W788-1 M12 (6GK5788-1GD00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W788-1 RJ45 (6GK5788-1FC00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W788-1 RJ45 (6GK5788-1FC00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W788-2 M12 (6GK5788-2GD00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W788-2 M12 (6GK5788-2GD00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TA0) 6.6.0-nál korábbi verziói;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TB0) 6.6.0-nál korábbi verziói;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TC0) 6.6.0-nál korábbi verziói;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AA0) 6.6.0-nál korábbi verziói;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AB0) 6.6.0-nál korábbi verziói;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AC0) 6.6.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2020-24588)/alacsony;
- Improper Authentication (CVE-2020-26139)/közepes;
- Injection (CVE-2020-26140)/közepes;
- Improper Validation of Integrity Check Value (CVE-2020-26141)/közepes;
- Improper Input Validation (CVE-2020-26143)/közepes;
- Improper Input Validation (CVE-2020-26144)/közepes;
- Improper Input Validation (CVE-2020-26146)/közepes;
- Improper Input Validation (CVE-2020-26147)/közepes;
- Out-of-bounds Read (CVE-2021-3712)/súlyos;
- Infinite Loop (CVE-2022-0778)/súlyos;
- Missing Authorization (CVE-2022-31765)/súlyos;
- Injection (CVE-2022-36323)/kritikus;
- Allocation of Resources Without Limits or Throttling (CVE-2022-36324)/súlyos;
- Basic XSS (CVE-2022-36325)/közepes;
- Injection (CVE-2023-44373)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.04.14.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM CROSSBOW Station Access Controller (SAC) V5.8-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Numeric Truncation Error (CVE-2025-6965)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.04.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS V4.0 SP3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authorization Bypass Through User-Controlled Key (CVE-2026-25654)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.04.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Industrial Edge Management Pro V1 1.7.6-osnál újabb, de 1.15.17-es és korábbi verziói;
- Industrial Edge Management Pro V2 2.0.0-nál újabb, de 2.1.1-es és korábbi verziói;
- Industrial Edge Management Virtual 2.2.0-nál újabb, de 2.8.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass by Primary Weakness (CVE-2026-33892)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.04.16.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- Delta Electronics ASDA-Soft V7.2.2.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2026-5726)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-106-01

Bejelentés dátuma: 2026.04.16.
Gyártó: Horner Automation
Érintett rendszer(ek):
- Horner Automation Cscape v10.0 verziója;
- Horner Automation XL7 PLC v15.60-as verziója;
- Horner Automation XL4 PLC v16.32.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Password Requirements (CVE-2026-6284)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-106-02

Bejelentés dátuma: 2026.04.16.
Gyártó: Anviz
Érintett rendszer(ek):
- Anviz CX7 minden firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authorization (CVE-2026-33093)/közepes;
- Missing Authorization (CVE-2026-35061)/közepes;
- Missing Authorization (CVE-2026-32648)/közepes;
- Missing Authentication for Critical Function (CVE-2026-40461)/súlyos;
- Command Injection (CVE-2026-35682)/súlyos;
- Missing Authentication for Critical Function (CVE-2026-35546)/kritikus;
- Download of Code Without Integrity Check (CVE-2026-40066)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2026-32324)/súlyos;
- Relative Path Traversal (CVE-2026-31927)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2026-33569)/közepes;
- Improper Verification of Source of a Communication Channel (CVE-2026-40434)/súlyos;
- Algorithm Downgrade (CVE-2026-32650)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-106-03

Bejelentés dátuma: 2026.04.16.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA Pipeline Simulation 2025_SP1_build_7.1.9497.6351 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authorization (CVE-2026-5387)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-106-04

Bejelentés dátuma: 2026.04.21.
Gyártó: Hardy Barth
Érintett rendszer(ek):
- Hardy Barth Salia Board 2.3.81-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unrestricted Upload of File with Dangerous Type (CVE-2025-5873)/közepes;
- Unrestricted Upload of File with Dangerous Type (CVE-2025-10371)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-05

Bejelentés dátuma: 2026.04.21.
Gyártó: Zero Motorcycles
Érintett rendszer(ek):
- Zero Motorcycles 44-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Key Exchange without Entity Authentication (CVE-2026-1354)/közepes;
Javítás: A gyártó 2026 májusra ígéri a javítást.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-06

Bejelentés dátuma: 2026.04.21.
Gyártó: Silex Technology
Érintett rendszer(ek):
- SD-330AC 1.42-es és korábbi verziói;
- AMC Manager 5.0.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2026-32955)/súlyos;
- Heap-based Buffer Overflow (CVE-2026-32956)/kritikus;
- Missing Authentication for Critical Function (CVE-2026-32957)/közepes;
- Use of Hard-coded Cryptographic Key (CVE-2026-32958)/közepes;
- Dependency on Vulnerable Third-Party Component (CVE-2015-5621)/súlyos;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2026-32959)/közepes
- Sensitive Information in Resource Not Removed Before Reuse (CVE-2026-32960)/közepes;
- Heap-based Buffer Overflow (CVE-2026-32961)/közepes;
- Missing Authentication for Critical Function (CVE-2026-32962)/közepes;
- Incorrect Privilege Assignment (CVE-2024-24487)/közepes;
- Cross-site Scripting (CVE-2026-32963)/közepes;
- CRLF Injection') (CVE-2026-32964)/közepes;
- Initialization of a Resource with an Insecure Default (CVE-2026-32965)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-10

Bejelentés dátuma:
Gyártó: SenseLive
Érintett rendszer(ek):
- SenseLive X3050 V1.523-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2026-40630)/kritikus;
- Insufficient Session Expiration (CVE-2026-25720)/közepes;
- Use of Hard-coded Credentials (CVE-2026-35503)/kritikus;
- Insufficiently Protected Credentials (CVE-2026-39462)/súlyos;
- Missing Authentication for Critical Function (CVE-2026-27843)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2026-40431)/közepes;
- Missing Authorization (CVE-2026-40623)/súlyos;
- Cross-Site Request Forgery (CSRF) (CVE-2026-27841)/súlyos;
- Missing Authentication for Critical Function (CVE-20206-40620)/kritikus;
- Missing Authentication for Critical Function (CVE-2026-35064)/súlyos;
- Missing Authentication for Critical Function (CVE-2026-25775)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-12

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Közel egy éve, még 2025 június elején jelent meg az FBI figyelmeztetése, amiben a SuperBox nevű streaming eszközökből épülő BadBox 2.0 botnet veszélyeire hívták fel a figyelmet. Az FBI publikációjában szereplő információk már magukban is elég súlyosak voltak (biztonsági szempontból), de amit ehhez a múlt hét közepén megjelent Darknet Dairies epizód (a 172.) tett hozzá ehhez, kifejezetten ijesztővé tette ezt a történetet.

A történet új fejezete ott kezdődött, amikor egy D3ada55 nevű biztonsági kutató elkezdte vizsgálni az édesapja által vett SuperBox-ot és általános, IoT készülékekre jellemző biztonsági problémák (azonnali és rendszeres kommunikáció kínai - Tencent - szerverek felé, súlyosan elavult - 2021-es - verziójú Android operációs rendszer használata) mellett más aggasztó viselkedést is talált:

- A SuperBox agresszíven (gyakorlatilag ARP flood-olva) scannel-te a hálózatot, amire csatlakoztatták (ilyet egyébként én is láttam már, hálózatra csatlakoztatott Samsung okostévé is folyamatos port scan-ekkel vizsgálat a hálózatomat - amíg fel nem figyeltem rá, azóta ezt már nincs módja megtenni);
- Ipari protokollok ismert sérülékenységeit próbálta kihasználni! Nem csak felderítést és információgyűjtést végzett, hanem aktívan vadászott ipari rendszerekre!

Az esetnek további, veszélyes részleteiről is szó esett a fenti adásban.

Ezeket a SuperBox streaming eszközöket számos áruházban (Amazon, BestBuy, Walmart) meg lehet vásárolni jelenleg is (nyilván főleg az USA-ban, de pl. az Amazon miatt kb. bárhol a világon) és aktívan promótálják is őket, egyes influenszerek 50%-os jutalékért reklámozzák ezeket az eszközöket. Ráadásul voltak olyan esetek, amikor ipari kritikus infrastruktúráknál dolgozó emberek megrendelés nélkül kaptak csomagokat, amikben SuperBox eszközök voltak - tegyük a szívünkre a kezünket, vajon 10 emberből hányan kezdenének gyanakodni egy "potya" streaming eszköz esetén és hányan kezdenék megvizsgálni, pontosan mit is csinál egy ilyen "potya" eszköz működés közben?

Fel lehet tenni a kérdést, hogy mi köze lehet egy streaming eszköznek az ICS/OT rendszerek biztonságához? A válasz (szerintem) ijesztőbb, mint a legtöbben gondolnánk. Nagyon régóta és az ipari folyamatirányítási rendszereket használó szervezetek számára széleskörűen probléma, hogy a mérnöki notebook-ok biztonságát hogyan lehet biztosítani? A különböző automatizálási rendszerek alacsony szintű berendezéseinek (basic process controll eszközök, PLC-k, RTU-k, védelmek, szenzorok, stb.) konfigurálásához használt számítógépeket a mérnököknek (különösen az adott szervezetnek külsősként, gyártói/integrátori támogató mérnököknek) számos különböző hálózatba csatlakoztatniuk kell az eszközeiket, ügyeletesi, készenlétesi feladatok esetén nagyon gyakran az otthoni hálózataikba is. Ezután pedig már nem nehéz belátni, milyen félelmetesen nagy kockázatokat jelent, ha az otthoni hálózatban működik egy ipari rendszereket keresgélő (és sérülékenységeiket kihasználni próbáló) kompromittált eszköz. Arról már ne is beszéljünk, hogy az ilyen IoT megoldások egyre gyakrabban találnak utat a vállalati hálózatokba is, ez pedig, figyelembe véve, hogy még 2026-ban is milyen komoly hiányosságokkal küzd az ipari rendszerek hálózatszegmentálása, szintén elég jó megmutatja, milyen veszélyei lehetnek egy ilyen, kompromittált eszköznek.

Bejelentés dátuma: 2026.04.01.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- V-SFT 6.2.10.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based buffer overflow (CVE-2026-32925)/súlyos;
- Out-of-bounds read (CVE-2026-32926)/súlyos;
- Out-of-bounds read (CVE-2026-32927)/súlyos;
- Stack-based buffer overflow (CVE-2026-32928)/súlyos;
- Out-of-bounds read (CVE-2026-32929)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://jvn.jp/en/vu/JVNVU90448293/index.html

Bejelentés dátuma: 2026.04.07.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- Mitsubishi Electric GENESIS64 10.97.3-as és korábbi verziói;
- Mitsubishi Electric ICONICS Suite 10.97.3-as és korábbi verziói;
- Mitsubishi Electric MobileHMI 10.97.3-as és korábbi verziói;
- Mitsubishi Electric Hyper Historian 10.97.3-as és korábbi verziói;
- Mitsubishi Electric AnalytiX 10.97.3-as és korábbi verziói;
- Mitsubishi Electric MC Works 64 minden verziója;
- Mitsubishi Electric GENESIS 11.02-es és korábbi verziói;
- Mitsubishi Electric Iconics Digital Solutions GENESIS64 10.97.3-as és korábbi verziói;
- Mitsubishi Electric Iconics Digital Solutions ICONICS Suite 10.97.3-as és korábbi verziói;
- Mitsubishi Electric Iconics Digital Solutions MobileHMI 10.97.3-as és korábbi verziói;
- Mitsubishi Electric Iconics Digital Solutions Hyper Historian 10.97.3-as és korábbi verziói;
- Mitsubishi Electric Iconics Digital Solutions AnalytiX 10.97.3-as és korábbi verziói;
- Mitsubishi Electric Iconics Digital Solutions GENESIS 11.02-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2025-14815)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-097-01

Bejelentés dátuma: 2026.04.08.
Gyártó: Moxa
Érintett rendszer(ek):
- BXP-A100 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- BXP-A100 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- BXP-A101 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- BXP-A101 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- BXP-C100 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- BXP-C100 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- DA-680 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- DA-680 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- DA-681C sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- DA-681C sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- DA-682C sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- DA-682C sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- DA-720 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- DA-720 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- DA-820C sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- DA-820C sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- DA-820E sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- DA-820E sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- DRP-A100 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- DRP-A100 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- DRP-C100 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- DRP-C100 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- EXPC-F2120W sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- EXPC-F2120W sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- EXPC-F2150W sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- EXPC-F2150W sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- MC-1100 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- MC-1100 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- MC-1200 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- MC-1200 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- MC-3201 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- MC-3201 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- MC-7400 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- MC-7400 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- MPC-2070 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- MPC-2070 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- MPC-2101 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- MPC-2101 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- MPC-2120 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- MPC-2120 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- MPC-2121 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- MPC-2121 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- MPC-3070W sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- MPC-3070W sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- MPC-3100 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- MPC-3100 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- MPC-3120 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- MPC-3120 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- MPC-3120W sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- MPC-3120W sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- MPC-3150 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- MPC-3150 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- MPC-3150W sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- MPC-3150W sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- RKP-A110 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- RKP-A110 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- RKP-C110 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- RKP-C110 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- RKP-C220 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- RKP-C220 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- V2201 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- V2201 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- V2403C sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- V2403C sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- V2406C sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- V2406C sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- V3200 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- V3200 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
- V3400 sorozat Windows 10-re vagy Windows 11-re telepített, v1.5.0-nál korábbi verziói;
- V3400 sorozat Windows 7-re telepített, v1.4.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposed IOCTL with Insufficient Access Control (CVE-2026-4483)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2026.04.09.
Gyártó: Hydrosystem
Érintett rendszer(ek):
- Control System 9.8.5-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insertion of Sensitive Information into Log File (CVE-2026-4901)/közepes;
- Missing Authorization (CVE-2026-34184)/súlyos;
- SQL Injection (CVE-2026-34185)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert.pl/posts/2026/04/CVE-2026-4901/

Bejelentés dátuma: 2026.04.09.
Gyártó: Contemporary Controls
Érintett rendszer(ek):
- BASControl20 3.1-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Untrusted Inputs in a Security Decision (CVE-2025-13926)/kritikus;
Javítás: Nincs, a termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-099-01

Bejelentés dátuma: 2026.04.09.
Gyártó: GPL Odorizers
Érintett rendszer(ek):
- GPL Odorizers GPL750 (XL4) v1.0 és újabb, de v6.0-nál korábbi verziói;
- GPL Odorizers GPL750 (XL4 Prime) v4.0 és újabb, de v6.0-nál korábbi verziói;
- GPL Odorizers GPL750 (XL7) v13.0 és újabb, de v20.0-nál korábbi verziói;
- GPL Odorizers GPL750 (XL7 Prime) v18.4 és újabb, de v20.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-4436)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-099-02

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Néhány hónapja volt egy hosszabb interjú a HWSW heti adásában a csengeri, kvázi pilot-okosbörtönről, amiben Papp Ádám, a büntetés-végrehajtás (BV) számára egyes, börtönökben használt okoseszközök fejlesztést végző cég vezetője beszélt ezekről a megoldásokról.

Az adásban elhangzott, hogy a börtönök digitalizációja jelenleg (még) elég jellemzően alacsony szintű, volt egy egy egyszerű, nyomógombos személyi riasztó-megoldás és voltak voltak egyszerűbb adatmegjelenítő megoldások, amiket a BV-s alkalmazottak tudtak használni a fogvatartottak adatainak megjelenítésére. A csengeri börtönben megkezdődött a börtön rendszereinek integrációja, ezzel javítva a döntéshozatalt a BV-s őrök és parancsnokok szintjén, ebben olyan megoldásokat integráltak egyebek mellett, mint AI, arcfelismerés, biometria, egészségügyi monitorozás.

A beszélgetés során elhangzott több olyan állítás, ami ismerősen hangozhat olyan kollégák számára, akik foglalkoztak már kiber-fizikai rendszerek kezdeti fázisú biztonsági felmérésével, például:

- Élesben nem lehet tesztelni, azzal a verzióval működik a rendszer, amivel élesbe állt a börtön - a mondat első fele nem meglepő, a második fele viszont (nekem legalább is) nagyon azt mutatja, hogy ezen a téren a BV-s rendszerek üzemeltetői és fejlesztői még jócskán le vannak maradva más iparágak és szakterületek mögött gondolkodás és tudatosság terén;
- A börtön nincs hálózatra kötve... - ezt is gyakran halljuk olyan, funkcionális területeken dolgozó szakértőktől, mérnököktől (ebben az esetben BV-s munkatársaktól), akik ezt az állítást teljesen őszinté teszik, mert a) nem is tudják, hogy bizony van (lehet) hálózati kapcsolat a fizikailag izolált(nak gondolt) rendszer és más, publikus hálózatokkal kapcsolatban lévő belső rendszerekkel;
- Nem szeretik a frissítéseket, nincs szükségük új funkciókra - a klasszikus és jól ismert, "működik, ne piszkáld"-megközelítés. Érthető, de úgy vélem, a megfelelő (kiberbiztonsági szemléletű) tervezés nélkül túlságosan nagy kockázatokat hoz be a rendszerbe és ami még ennél is nagyobb baj, tartok tőle, hogy ezeket a kockázatokat soha, senki nem mérte fel, nem számszerűsítette és nem tette az adott BV-s parancsnokok asztalára, hogy a döntéshozók értsék, pontosan milyen kockázatokat is viselnek (hiszen attól, hogy nem tudják, nem értik és hivatalosan nem jegyezték ellen ezeknek a kockákzatoknak a felvállalását, még napi szinten viselik ezeket és a kockázatok lehetséges realizálódásából eredő potenciális - negatív - következményeket).
- "Ez így elkészült, az oda telepítésre került és amíg az a börtön áll, tehát az utolsó téglája áll, meg működnek a szerverek, addig azzal a verzióval fog nagyjából működni, ami ott van." - ezt egy nagyon erős mondatnak találtam, ezért szó szerint leírtam - mert ha egy-egy modernebb "oko"börtönt valóban így terveznek és helyeznek éles üzembe, akkor (ezen a szinten mért időtávokban gondolkodva) nagyon hamar el fog jönni a pillanat, amikor a börtön rendszereihez képest egy gyár vagy egy villamosenergia-alállomás nem is fog (annyira) legacy rendszernek számítani...
- Egy okosbörtön rendszere számos alrendszerből áll, emiatt is nehéz egyetlen komponenst frissíteni - alapvetően ez is egy érthető állítás, de figyelembe véve az börtönök rendszereinek életciklus-hosszát, nagyon fontos lenne, ha mást nem, egy fejlesztői tesztkörnyezetben képesnek lenni tesztelni és legalább nagyobb időközönként frissíteni.
- Az állítás az, hogy a börtön rendszereihez hozzáférni nagyon kontrollált, kívülről nem lehetséges - azért kíváncsi lennék, hogy a börtönök adminisztratív-ügyviteli rendszerei (BV levelezés, stb.) mennyire vannak fizikailag (kábelezés vagy WiFi-hálózat) szintjén elkülönítve a börtön fogvatartottakat monitorozó rendszereinek hálózatától?

Az interjúban fájó módon nem került szóba, hogy az okosbörtön rendszereinek fejlesztési életciklusába mennyire van beépítve (be van-e építve egyáltalán) a biztonság (a követelmény-meghatározástól az élesítésig, majd az élesítéstől a leszerelésig)?

Ez az egész téma szerintem nagyon érdekes, kíváncsi leszek, fogunk-e még hallani erről (és remélhetőleg nem úgy és azért, mert valamilyen incidens történik egy okosbörtönben)?

Bejelentés dátuma: 2026.03.30.
Gyártó: WAGO
Érintett rendszer(ek):
- Device Sphere 1.2.2-nél korábbi verziói;
- Solution Builder 2.4.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- HTTP Request/Response Smuggling (CVE-2025-55315)/kritikus;
- Improper Filtering of Special Elements (CVE-2026-2328)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2026-010/

Bejelentés dátuma: 2026.03.30.
Gyártó: WAGO
Érintett rendszer(ek):
- Visualization And Control Hub 5.0.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use After Free (CVE-2026-25983)/kritikus;
- Heap-based Buffer Overflow (CVE-2026-25897)/kritikus;
- Out-of-bounds Read (CVE-2026-25987)/kritikus;
- Out-of-bounds Read (CVE-2026-25898)/kritikus;
- Heap-based Buffer Overflow (CVE-2026-25794)/súlyos;
- Out-of-bounds Read (CVE-2026-28693)/súlyos;
- Improper Access Control (CVE-2026-25966)/súlyos;
- Stack-based Buffer Overflow (CVE-2026-30929)/súlyos;
- Unchecked Return Value (CVE-2026-28691)/súlyos;
- Infinite Loop (CVE-2026-26283)/súlyos;
- Uncontrolled Resource Consumption (CVE-2026-26066)/súlyos;
- Integer Overflow or Wraparound (CVE-2026-25989)/súlyos;
- Missing Release of Memory after Effective Lifetime (CVE-2026-25988)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2026-25985)/súlyos;
- Missing Release of Memory after Effective Lifetime (CVE-2026-25969)/súlyos;
- Stack-based Buffer Overflow (CVE-2026-25967)/súlyos;
- Path Traversal (CVE-2026-25965)/súlyos;
- Divide By Zero (CVE-2026-25799)/súlyos;
- NULL Pointer Dereference (CVE-2026-25798)/súlyos;
- Missing Release of Memory after Effective Lifetime (CVE-2026-25796)/súlyos;
- NULL Pointer Dereference (CVE-2026-25795)/súlyos;
- Uncontrolled Resource Consumption (CVE-2026-24485)/súlyos;
- Out-of-bounds Read (CVE-2026-24481)/súlyos;
- Stack-based Buffer Overflow (CVE-2026-28494)/súlyos;
- Heap-based Buffer Overflow (CVE-2026-30937)/közepes;
- Heap-based Buffer Overflow (CVE-2026-30931)/közepes;
- Heap-based Buffer Overflow (CVE-2026-28686)/közepes;
- Stack-based Buffer Overflow (CVE-2026-28690)/közepes;
- Integer Overflow or Wraparound (CVE-2026-28493)/közepes;
- Link Following (CVE-2026-28689)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2026-30883)/közepes;
- Heap-based Buffer Overflow (CVE-2026-31853)/közepes;
- Heap-based Buffer Overflow (CVE-2026-30936)/közepes;
- Use After Free (CVE-2026-28687)/közepes;
- Use After Free (CVE-2026-28688)/közepes;
- NULL Pointer Dereference (CVE-2026-26983)/közepes;
- Code Injection (CVE-2026-25797)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2026-25638)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2026-25637)/közepes;
- Uncontrolled Resource Consumption (CVE-2026-24484)/közepes;
- Heap-based Buffer Overflow (CVE-2026-25576)/közepes;
- Out-of-bounds Read (CVE-2026-28692)/közepes;
- Out-of-bounds Read (CVE-2026-30935)/közepes;
- Heap-based Buffer Overflow (CVE-2026-27799)/közepes;
- Out-of-bounds Read (CVE-2026-27798)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2026-021/

Bejelentés dátuma: 2026.03.31.
Gyártó: ABB
Érintett rendszer(ek):
- ABB 800xA History 7.0 és korábbi verziói;
- ABB Batch Management 6.2-es és korábbi verziói;
- ABB Production Response Batch History 6.2-es és korábbi verziói;
- ABB 800xA for Symphony Plus Harmony 6.2-es és korábbi verziói;
- ABB 800xA for AC 870P Melody 6.2-es és korábbi verziói;
- ABB Application Change Management 6.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Symbolic Link Handling (CVE-2025-55188)/alacsony;
- Null pointer dereference (CVE-2025-53817)/súlyos;
- Heap-based Buffer Overflow (CVE-2025-53816)/súlyos;
- Directory Traversal (CVE-2025-11002)/súlyos;
- Directory Traversal (CVE-2025-11001)/súlyos;
- Mark-of-the-Web Bypass (CVE-2025-0411)/súlyos;
- Infinite Loop (CVE-2024-11612)/közepes;
- Integer Underflow (CVE-2024-11477)/súlyos;
- Information Disclosure (CVE-2023-52169)/súlyos;
- Buffer Overflow (CVE-2023-52168)/súlyos;
- Out-Of-Bounds Write (CVE-2023-40481)/súlyos;
- Buffer Overflow (CVE-2023-31102)/súlyos;
- Not reported error (CVE-2022-47112)/alacsony;
- Not reported error (CVE-2022-47111)/alacsony;
- Heap-Based Buffer Overflow (CVE-2022-29072)/súlyos;
- Elevation of Privilege (CVE-2024-26203)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: ABB

Bejelentés dátuma: 2026.03.31.
Gyártó: Anritsu
Érintett rendszer(ek):
- Anritsu Remote Spectrum Monitor MS27100A minden verziója;
- Anritsu Remote Spectrum Monitor MS27101A minden verziója;
- Anritsu Remote Spectrum Monitor MS27102A minden verziója;
- Anritsu Remote Spectrum Monitor MS27103A minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-3356)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-090-01

Bejelentés dátuma: 2026.03.31.
Gyártó: PX4
Érintett rendszer(ek):
- PX4 Autopilot: v1.16.0_SITL_latest_stable verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-1579)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-090-02

Bejelentés dátuma: 2026.04.02.
Gyártó: Yokogawa
Érintett rendszer(ek):
- Yokogawa CENTUM VP R5.01.00 és újabb, de R5.04.20-nál korábbi verziói;
- Yokogawa CENTUM VP R6.01.00 és újabb, de R6.12.00-nál korábbi verziói;
- Yokogawa CENTUM VP vR7.01.00 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Password (CVE-2025-7741)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-092-02

Bejelentés dátuma: 2026.04.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Ellipse 9.0.50-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2025-10492)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-092-03

Bejelentés dátuma: 2026.04.02.
Gyártó: Belden
Érintett rendszer(ek):
- NetModule Router Software 5.0.0.101-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack buffer overflow (CVE-2025-15457)/súlyos;
- Out of bounds writ (CVE-2025-69419)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Belden

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az OWASP egy non-profit szervezet, aminek története 2001. szeptember 9-ére datálódik vissza, amikor Mark Curphey elindította az első projekttel. Közel 25 évvel később az OWASP-nak számos projektje van már, amik közül a legismertebb a névadó Open Web Application Security Project, a webalkalmazások legfontosabb 10 biztonsági problémáját ismerteti. Ezen túlmenően van számos egyéb projekt, a teljesség igénye nélkül pl. Application Security Verification Standard, GenAI Security Project, Mobile Application Security, Software Assurance Maturity Model, de minket ma egy viszonylag újabb projektjük, az OWASP OT Top10 érdekel. Én erről mostanáig nem is tudtam, hogy létezik, de egy volt kollégám (Hodány Ádám - ezúton is köszönet a tippért, Ádám!) felhívta a figyelmemet rá, hogy bizony már ilyen is létezik.

Az OWASP OT Top10 projekt fő célja a biztonságtudatosság fejlesztés azoknak a biztonsági kockázatoknak az ismertetésével, amiket a projekt tagjai a legnagyobbnak értékelnek az OT környezetek kapcsán.

A listán jelenleg (2026. január 15-én) az alábbi kockázatok szerepelnek:

1. Unknown Assets and Unmanaged External Access
2. Devices with known Vulnerabilities/Issues
3. Inadequate Supplier/Supply Chain Management
4. Loss of Availability
5. Insufficient Access Control
6. Missing Incident Detection/Reaction Capabilities
7. Broken Zones and Conduits Design
8. Missing Awareness
9. Components/Protocols with Insufficient Security Capabilities
10. Missing Hardening

Idő hiányában a mai posztban nem megyek bele mélyebben az egyes kockázatok ismertetésébe (főleg, mert lenne némelyik esetében véleményem is, hogy mennyire érzem helyesnek és/vagy jogosnak, amit a projekt tagjai az adott kockázatról írnak), de később talán még lesz időm (és kedvem) egy kicsit alaposabban körüljárni ezeket.

Az OT Top10 az OWASP projekt weboldalán érhető el: https://ot.owasp.org

Bejelentés dátuma: 2026.03.11.
Gyártó: ABB
Érintett rendszer(ek):
- AWIN GW100 rev.2 2.0-0 és 2.0-1 firmware-verziói;
- AWIN GW120 1.2-0 és 1.2-1 firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass due to Improper Session Validation (CVE-2025-13777)/súlyos;
- Device Reboot Control (CVE-2025-13778)/közepes;
- Configuration Data Spill (CVE-2025-13779)/súlyos;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2026.03.23.
Gyártó: WAGO
Érintett rendszer(ek):
- WAGO_Hardware_852-1812 V1.2.1.S0-nál korábbi WAGO firmware-verziói;
- WAGO_Hardware_852-1813 V1.2.1.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1813/000-001 V1.2.3.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1816 V1.2.1.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-303 V1.2.8.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1305 V1.2.0.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1305/000-001 V1.2.0.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1505/000-001 V1.2.0.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1505 V1.1.9.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-602 V1.0.6.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-603 V1.0.6.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1605 V1.2.5.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1812/010-000 V1.2.1.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1813/010-000 V1.2.1.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1816/010-000 V1.2.1.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-602 V1.0.6.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-603 V1.0.6.S0-nál korábbi WAGO firmware-verziói
- WAGO WAGO Firmware version V1.1.9.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1505 V1.2.0.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1305/000-001 V1.2.0.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1505/000-001 V1.2.0.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1812 V1.2.1.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1813 V1.2.1.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1816 V1.2.1.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1812/010-000 V1.2.1.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1813/010-000 V1.2.1.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1816/010-000 V1.2.1.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1813/000-001 V1.2.3.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1605 V1.2.5.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-303 V1.2.8.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1813/010-001 V1.2.1.S0-nál korábbi WAGO firmware-verziói
- WAGO_Hardware_852-1813/010-001 V1.2.1.S1-nál korábbi WAGO firmware-verziói
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Hidden Functionality (CVE-2026-3587)/kritikus;
Javítás: Elérhető
Link a publikációhoz: VDE CERT, ICS-CERT

Bejelentés dátuma: 2026.03.24.
Gyártó: Pharos Controls
Érintett rendszer(ek):
- Pharos Controls Mosaic Show Controller 2.15.3-as firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-2417)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-083-01

Bejelentés dátuma: 2026.03.24.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Foxboro DCS CS8.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2026-1286)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-083-02

Bejelentés dátuma: 2026.03.24.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric Plant iT/Brewmaxx 9.60 és újabb verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use After Free (CVE-2025-49844)/kritikus;
- Integer Overflow or Wraparound (CVE-2025-46817)/súlyos;
- Code Injection (CVE-2025-46818)/közepes;
- Integer Overflow or Wraparound (CVE-2025-46819)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-083-03

Bejelentés dátuma: 2026.03.25.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Hitachi Infrastructure Analytics Advisor Analytics probe minden verziója;
- Hitachi Ops Center Analyzer 10.0.0-00 és újabb, de 11.0.5-00-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2026-2072)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Hitachi Energy

Bejelentés dátuma: 2026.03.26.
Gyártó: OpenCode Systems
Érintett rendszer(ek):
- OpenCode Systems OC Messaging 6.32.2-es verziója;
- OpenCode Systems USSD Gateway 6.32.2-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Access Control (CVE-2025-70614)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-085-02

Bejelentés dátuma: 2026.03.26.
Gyártó: PTC
Érintett rendszer(ek):
- PTC Windchill PDMLink 11.0_M030 verziója;
- PTC Windchill PDMLink 11.1_M020 verziója;
- PTC Windchill PDMLink 11.2.1.0 verziója;
- PTC Windchill PDMLink 12.0.2.0 verziója;
- PTC Windchill PDMLink 12.1.2.0 verziója;
- PTC Windchill PDMLink 13.0.2.0 verziója;
- PTC Windchill PDMLink 13.1.0.0 verziója;
- PTC Windchill PDMLink 13.1.1.0 verziója;
- PTC Windchill PDMLink 13.1.2.0 verziója;
- PTC Windchill PDMLink 13.1.3.0 verziója;
- PTC FlexPLM 11.0_M030 verziója;
- PTC FlexPLM 11.1_M020 verziója;
- PTC FlexPLM 11.2.1.0 verziója;
- PTC FlexPLM 12.0.0.0 verziója;
- PTC FlexPLM 12.0.2.0 verziója;
- PTC FlexPLM 12.0.3.0 verziója;
- PTC FlexPLM 12.1.2.0 verziója;
- PTC FlexPLM 12.1.3.0 verziója;
- PTC FlexPLM 13.0.2.0 verziója;
- PTC FlexPLM 13.0.3.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Code Injection (CVE-2026-4681)/kritikus;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-085-03

Bejelentés dátuma: 2026.03.26.
Gyártó: Siemens
Érintett rendszer(ek):
- CPCI85 Central Processing/Communication minden, V26.10-nél korábbi verziója;
- RTUM85 RTU Base minden, V26.10-nél korábbi verziója;
- SICORE Base system minden, V26.10-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2026-27663)/közepes;
- Out-of-bounds Write (CVE-2026-27664)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2026.03.27.
Gyártó: ABB
Érintett rendszer(ek):
- ABB Ability Camera Connect 2.0.0.42-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Numeric Truncation Error (CVE-2025-6965)/súlyos;
- Heap-based Buffer Overflow (CVE-2025-3277)/közepes;
- Heap-based Buffer Overflow (CVE-2023-7104)/közepes;
- Improper Validation of Array Index (CVE-2022-35737)/súlyos;
- Out-of-bounds Write (CVE-2020-15358)/közepes;
- NULL Pointer Dereference (CVE-2020-13632)/közepes;
- SQLite vulnerability (CVE-2020-13631)/közepes;
- Use After Free (CVE-2020-13630)/súlyos;
- NULL Pointer Dereference (CVE-2020-13435)/közepes;
- NULL Pointer Dereference (CVE-2020-13434)/közepes;
- Use After Free (CVE-2020-11656)/kritikus;
- Improper Initialization (CVE-2020-11655)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2019-19646)/kritikus;
- Uncontrolled Recursion (CVE-2019-19645)/közepes;
- Integer Overflow or Wraparound (CVE-2018-20506)/súlyos;
- SQL Injection (CVE-2018-20505)/súlyos;
- Integer Overflow or Wraparound (CVE-2018-20346)/súlyos;
- NULL Pointer Dereference (CVE-2018-8740)/súlyos;
- Out-of-bounds Read (CVE-2017-10989)/kritikus;
- Improper Input Validation (CVE-2016-6153)/közepes;
- Permissions, Privileges, and Access Controls (CVE-2015-6607)/n/a;
- SQLite vulnerability (CVE-2015-5895)/n/a;
- Classic Buffer Overflow (CVE-2015-3717)/n/a;
- Integer Overflow or Wraparound (CVE-2015-3416)/n/a;
- Improper Resource Shutdown or Release (CVE-2015-3415)/n/a;
Javítás: Nincs információ.
Link a publikációhoz: ABB

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Lesley Carhart a Dragos egyik legrégebbi Dragos incidens-menedzsment szakértője Számos komoly ipari létesítményt érintő kiberbiztonsági incidens elhárításában vett részt, az övé az egyik kedvenc történetem arról, néha mennyire szokatlan módon kellhet gondolkodni egy ilyen tevékenység során - amellett persze, hogy az ipari rendszerekkel történő munkavégzésnek mindig szigorú és nagyon gyakran elég kötött szabályai vannak.

A mai podcast-epizódban Lesley-vel beszélgetnek, aki mesél a szakmai élete különböző fázisairól és az ipari rendszerekben végzett munkájáról: https://kbi.media/podcast/episode-15-lesley-carhart/

Bejelentés dátuma: 2026.03.17.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- SCADAPack™ 57x minden verziója;
- RemoteConnect R3.4.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2026-0667)/kritikus;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-076-02

Bejelentés dátuma: 2026.03.17.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure IT Data Center Expert (korábbi nevén StruxureWare Data Center Expert) v9.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2025-13957)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-076-03

Bejelentés dátuma: 2026.03.17.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M241 5.4.13.12 Modicon_Controller_M241-nél korábbi verziói;
- Modicon M251 5.4.13.12 Modicon_Controller_M251-nél korábbi verziói;
- Modicon M262 5.4.10.12 Modicon_Controller_M2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Resource Shutdown or Release (CVE-2025-13901)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-01

Bejelentés dátuma: 2026.03.17.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M241 5.4.13.12 Modicon_Controller_M241-nél korábbi verziói;
- Modicon M251 5.4.13.12 Modicon_Controller_M251-nél korábbi verziói;
- Modicon Controllers M258 minden, Modicon_Controllers_M258 firmware-verziója;
- Modicon Controllers LMC058 minden, Modicon_Controllers_LMC058 firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2025-13902)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-02

Bejelentés dátuma: 2026.03.17.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Automation Expert v25.0.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Code Injection (CVE-2026-2273)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-03

Bejelentés dátuma: 2026.03.17.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Power Monitoring Expert (PME) Version 2022 és korábbi verziói;
- EcoStruxure Power Monitoring Expert (PME) Version 2023-as verziója;;
- EcoStruxure Power Monitoring Expert (PME) Version 2023 R2-es verziója;;
- EcoStruxure Power Monitoring Expert (PME) Version 2024-es verziója;;
- EcoStruxure Power Monitoring Expert (PME) Version 2024 R2-es verziója;;
- EcoStruxure Power Operation (EPO) 2022 Advanced Reporting and Dashboards Module 2022-es és korábbi verziói;
- EcoStruxure Power Operation (EPO) 2024 with Advanced Reporting and Dashboards Module 2024-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2025-11739)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-04

Bejelentés dátuma: 2026.03.19.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- Mitsubishi Electric M800VW (BND-2051W000) BB és korábbi verziói;
- Mitsubishi Electric M800VS (BND-2052W000) BB és korábbi verziói;
- Mitsubishi Electric M80V (BND-2053W000) BB és korábbi verziói;
- Mitsubishi Electric M80VW (BND-2054W000) BB és korábbi verziói;
- Mitsubishi Electric M800W (BND-2005W000) FM és korábbi verziói;
- Mitsubishi Electric M800S (BND-2006W000) FM és korábbi verziói;
- Mitsubishi Electric M80 (BND-2007W000) FM és korábbi verziói;
- Mitsubishi Electric M80W (BND-2008W000) FM és korábbi verziói;
- Mitsubishi Electric E80 (BND-2009W000) FM és korábbi verziói;
- Mitsubishi Electric C80 (BND-2036W000) minden verziója;
- Mitsubishi Electric M750VW (BND-1015W002) minden verziója;
- Mitsubishi Electric M730VW (BND-1015W000) minden verziója;
- Mitsubishi Electric M720VW (BND-1015W000) minden verziója;
- Mitsubishi Electric M750VS (BND-1012W002) minden verziója;
- Mitsubishi Electric M730VS (BND-1012W000) minden verziója;
- Mitsubishi Electric M720VS (BND-1012W000) minden verziója;
- Mitsubishi Electric M70V (BND-1018W000) minden verziója;
- Mitsubishi Electric E70 (BND-1022W000) minden verziója;
- Mitsubishi Electric NC Trainer2 (BND-1802W000) minden verziója;
- Mitsubishi Electric NC Trainer2 plus (BND-1803W000) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Specified Index, Position, or Offset in Input
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-05

Bejelentés dátuma: 2026.03.19.
Gyártó: CTEK
Érintett rendszer(ek):
- Chargeportal minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-25192)/kritikus;
Javítás: Nincs, a gyártó 2026 áprilisban megszűnteti a termék támogatását.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-06

Bejelentés dátuma: 2026.03.19.
Gyártó: IGL-Technologies
Érintett rendszer(ek):
- eParking.fi minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-29796)/kritikus;
- Improper Restriction of Excessive Authentication Attempts (CVE-2026-31903)/súlyos;
- Insufficient Session Expiration (CVE-2026-32663)/súlyos;
- Insufficiently Protected Credentials (CVE-2026-31926)/közepes;
Javítás: A gyártó frissítette az érintett szervereket.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-07

Bejelentés dátuma: 2026.03.19.
Gyártó: Automated Logic
Érintett rendszer(ek):
- Automated Logic WebCTRL Premium Server v8.5-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Multiple Binds to the Same Port (CVE-2026-25086)/súlyos;
- Authentication Bypass by Spoofing (CVE-2026-32666)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2026-24060)/kritikus;
Javítás: Nincs, a termék támogatás 2023-ban megszűnt.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-08

Bejelentés dátuma: 2026.03.17.
Gyártó: FESTO, CODESYS
Érintett rendszer(ek):
- FESTO, CODESYS FESTO Software Festo Automation Suite 2.8.0.138-nál korábbi, CODESYS Development System (3.0)-val telepített változatainak minden verziója;
- FESTO, CODESYS FESTO Software Festo Automation Suite 2.8.0.138-nál korábbi, CODESYS Development System (3.5.16.10)-zel telepített változatainak minden verziója;
- FESTO, CODESYS FESTO Software Festo Automation Suite 2.8.0.137-nél korábbi, CODESYS Development System (3.0)-val telepített változatainak minden verziója;
- FESTO, CODESYS FESTO Software Festo Automation Suite 2.8.0.137-nél korábbi, CODESYS Development System (3.5.16.10)-zel telepített változatainak minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Forced Browsing (CVE-2025-2595)/közepes;
- Untrusted Search Path (CVE-2010-5250)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2017-3735)/közepes
- Uncontrolled Recursion (CVE-2018-0739)/közepes;
- Improper Access Control (CVE-2018-10612)/kritikus;
- Use of Insufficiently Random Values (CVE-2018-20025)/súlyos;
- Improper Restriction of Communication Channel to Intended Endpoints (CVE-2018-20026)/súlyos;
- Path Traversal (CVE-2019-13532)/súlyos;
- Cross-site Scripting (CVE-2019-13538)/súlyos;
- NULL Pointer Dereference (CVE-2019-13542)/közepén;
- Stack-based Buffer Overflow (CVE-2019-13548)/kritikus;
- Classic Buffer Overflow (CVE-2019-18858)/kritikus;
- NULL Pointer Dereference (CVE-2019-19789)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2019-5105)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2019-9008)/súlyos;
- Improper Handling of Exceptional Conditions (CVE-2019-9009)/súlyos;
- Improper Access Control (CVE-2019-9010)/kritikus;
- Exposure of Resource to Wrong Sphere (CVE-2019-9011)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2019-9012)/súlyos;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2019-9013)/súlyos;
- Out-of-bounds Write (CVE-2020-10245)/kritikus;
- Weak Password Recovery Mechanism for Forgotten Password (CVE-2020-12067)/súlyos;
- Improper Privilege Management (CVE-2020-12068)/közepes;
- Use of Password Hash With Insufficient Computational Effort (CVE-2020-12069)/súlyos;
- Buffer Access with Incorrect Length Value (CVE-2020-14509)/kritikus;
- Improper Input Validation (CVE-2020-14513)/súlyos;
- Improper Verification of Cryptographic Signature (CVE-2020-14515)/súlyos;
- Inadequate Encryption Strength (CVE-2020-14517)/kritikus;
- Origin Validation Error (CVE-2020-14519)/súlyos;
- Missing Release of Memory after Effective Lifetime (CVE-2020-15806)/súlyos;
- Improper Resource Shutdown or Release (CVE-2020-16233)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2020-7052)/közepes;
- Deserialization of Untrusted Data (CVE-2021-21863)/súlyos;
- Path Equivalence: '//multiple/leading/slash' (CVE-2021-21864)/súlyos;
- Deserialization of Untrusted Data (CVE-2021-21865)/súlyos;
- Deserialization of Untrusted Data (CVE-2021-21866)/súlyos;
- Path Equivalence: '//multiple/leading/slash' (CVE-2021-21867)/súlyos;
- Path Equivalence: '//multiple/leading/slash' (CVE-2021-21868)/súlyos;
- Deserialization of Untrusted Data (CVE-2021-21869)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2021-29239)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2021-29240)/súlyos;
- NULL Pointer Dereference (CVE-2021-29241)/súlyos;
- Improper Input Validation (CVE-2021-29242)/súlyos;
- Out-of-bounds Write (CVE-2021-30186)/súlyos;
- OS Command Injection (CVE-2021-30187)/közepes;
- Out-of-bounds Write (CVE-2021-30188)/kritikus;
- Missing Authentication for Critical Function (CVE-2021-30190)/kritikus;
- Out-of-bounds Read (CVE-2021-30195)/súlyos;
- Out-of-bounds Write (CVE-2021-33485)/kritikus;
- Improper Handling of Exceptional Conditions (CVE-2021-33486)/súlyos;
- Failure to Sanitize Special Elements into a Different Plane (Special Element Injection) (CVE-2021-34593)/súlyos;
- Use of Out-of-range Pointer Offset (CVE-2021-34595)/súlyos;
- Improper Neutralization of Script in Attributes of IMG Tags in a Web Page (CVE-2021-34596)/közepes;
- Files or Directories Accessible to External Parties (CVE-2021-36763)/súlyos;
- NULL Pointer Dereference (CVE-2021-36764)/súlyos;
- NULL Pointer Dereference (CVE-2021-36765)/súlyos;
- Improper Handling of Exceptional Conditions (CVE-2022-1965)/súlyos;
- Improper Input Validation (CVE-2022-1989)/közepes;
- Improper Input Validation (CVE-2022-22508)/közepes;
- NULL Pointer Dereference (CVE-2022-22513)/közepes;
- Untrusted Pointer Dereference (CVE-2022-22514)/súlyos;
- Exposure of Resource to Wrong Sphere (CVE-2022-22515)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2022-22516)/súlyos;
- Path Traversal: '....' (Multiple Dot) (CVE-2022-22517)/súlyos;
- ASP.NET Misconfiguration: Missing Custom Error Page (CVE-2022-22519)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-30791)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-30792)/súlyos;
- Unprotected Transport of Credentials (CVE-2022-31805)/súlyos;
- Initialization of a Resource with an Insecure Default (CVE-2022-31806)/kritikus;
- Improper Neutralization of Script in Attributes of IMG Tags in a Web Page (CVE-2022-32136)/közepes;
- Heap-based Buffer Overflow (CVE-2022-32137)/súlyos;
- Unexpected Sign Extension (CVE-2022-32138)/súlyos;
- Out-of-bounds Read (CVE-2022-32139)/közepes;
- Classic Buffer Overflow (CVE-2022-32140)/közepes;
- Buffer Over-read (CVE-2022-32141)/közepes;
- Use of Out-of-range Pointer Offset (CVE-2022-32142)/súlyos;
- Files or Directories Accessible to External Parties (CVE-2022-32143)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-4046)/súlyos;
- Inadequate Encryption Strength (CVE-2022-4048)/súlyos;
- Initialization of a Resource with an Insecure Default (CVE-2022-4224)/súlyos;
- Improper Input Validation (CVE-2022-47378)/közepes;
- Out-of-bounds Write (CVE-2022-47379)/súlyos;
- Out-of-bounds Write (CVE-2022-47380)/súlyos;
- OS Command Injection (CVE-2022-47381)/súlyos;
- OS Command Injection (CVE-2022-47383)/súlyos;
- OS Command Injection (CVE-2022-47384)/súlyos;
- Out-of-bounds Write (CVE-2022-47385)/súlyos;
- Out-of-bounds Write (CVE-2022-47386)/súlyos;
- OS Command Injection (CVE-2022-47387)/súlyos;
- Out-of-bounds Write (CVE-2022-47388)/súlyos;
- Out-of-bounds Write (CVE-2022-47389)/súlyos;
- Out-of-bounds Write (CVE-2022-47390)/súlyos;
- Improper Input Validation (CVE-2022-47391)/súlyos;
- Improper Input Validation (CVE-2022-47392)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-47393)/közepes;
- Uncontrolled Search Path Element (CVE-2023-3662)/súlyos;
- Improper Verification of Source of a Communication Channel (CVE-2023-3663)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2023-3669)/alacsony;
- Exposure of Resource to Wrong Sphere (CVE-2023-3670)/súlyos;
- Improper Input Validation (CVE-2023-37545)/közepes;
- Improper Input Validation (CVE-2023-37546)/közepes;
- Improper Input Validation (CVE-2023-37547)/közepes;
- Improper Input Validation (CVE-2023-37548)/közepes;
- Improper Input Validation (CVE-2023-37549)/közepes;
- Improper Input Validation (CVE-2023-37550)/közepes;
- Files or Directories Accessible to External Parties (CVE-2023-37551)/közepes;
- Improper Input Validation (CVE-2023-37552)/közepes;
- Improper Input Validation (CVE-2023-37553)/közepes;
- Improper Input Validation (CVE-2023-37554)/közepes;
- Improper Input Validation (CVE-2023-37555)/közepes;
- Improper Input Validation (CVE-2023-37556)/közepes;
- Out-of-bounds Write (CVE-2023-37557)/közepes;
- Improper Input Validation (CVE-2023-37558)/közepes;
- Improper Input Validation (CVE-2023-37559)/közepes;
- Out-of-bounds Write (CVE-2023-3935)/kritikus;
- Out-of-bounds Write (CVE-2023-49675)/súlyos;
- Use After Free (CVE-2023-49676)/közepes;
- OS Command Injection (CVE-2023-6357)/súlyos;
- ASP.NET Misconfiguration: Password in Configuration File (CVE-2024-5000)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2024-8175)/súlyos;
- Path Traversal (CVE-2025-0694)/közepes;
- Observable Discrepancy (CVE-2025-1468)/súlyos;
- Incorrect Default Permissions (CVE-2025-41658)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2025-41659)/súlyos;
- Cross-site Scripting (CVE-2020-11023)/közepes;
- Out-of-bounds Write (CVE-2022-47382)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-076-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.