Bejelentés dátuma: 2022.08.30.
Gyártó: Omron
Érintett rendszer(ek):
- Omron CX-Programmer minden, v9.78-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free (CVE-2022-2979)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-09
Bejelentés dátuma: 2022.08.30.
Gyártó: Honeywell
Érintett rendszer(ek):
- Inter-Controller (IC) protokollt használó IQ sorozatú vezérlők minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-30312)/súlyos;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-08
Bejelentés dátuma: 2022.08.30.
Gyártó: Honeywell
Érintett rendszer(ek):
- Experion LX minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-30317)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-07
Bejelentés dátuma: 2022.08.30.
Gyártó: Honeywell
Érintett rendszer(ek):
- ControlEdge minden, 151.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of hard-coded credentials (CVE-2022-30318)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-06
Bejelentés dátuma: 2022.08.30.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- D300win 3.7.1.17-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-1738)/súlyos;
- Write-what-where Condition (CVE-2022-1523)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-05
Bejelentés dátuma: 2022.08.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú eszközök 12.0.* CMU Firmware verziói;
- RTU500 sorozatú eszközök 12.2.* CMU Firmware verziói;
- RTU500 sorozatú eszközök 12.4.* CMU Firmware verziói;
- RTU500 sorozatú eszközök 12.6.* CMU Firmware verziói;
- RTU500 sorozatú eszközök 12.7.* CMU Firmware verziói;
- RTU500 sorozatú eszközök 13.2.* CMU Firmware verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-28613)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-04
Bejelentés dátuma: 2022.08.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MSM 2.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Reliance on Uncontrolled Components:
- CVE-2015-6584/n/a;
- CVE-2016-7103/közepes;
- CVE-2011-4273/n/a;
- CVE-2018-16842/kritikus;
- CVE-2016-9586/súlyos;
- CVE-2016-8617/súlyos;
- CVE-2016-8618/kritikus;
- CVE-2016-8619/kritikus;
- CVE-2016-8621/súlyos;
- CVE-2016-7167/kritikus;
- CVE-2014-3707/n/a;
- CVE-2013-2174/n/a;
- CVE-2014-0138/n/a;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-03
Bejelentés dátuma: 2022.08.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- GWS 2.0.0.0 és korábbi verziói;
- GWS 2.1.0.0 verziója;
- GWS 2.2.0.0 verziója;
- GWS 2.3.0.0 verziója;
- GWS 2.4.0.0 verziója;
- GWS 3.0.0.0 verziója;
- GWS 3.1.0.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- CVE-2020-1968/alacsony;
- CVE-2020-8174/súlyos;
- CVE-2020-8201/súlyos;
- CVE-2020-8252/súlyos;
- CVE-2020-8265/súlyos;
- CVE-2020-8287/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-02
Bejelentés dátuma: 2022.08.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- FACTS Control Platform 1.1.0 - 1.3.0-ig terjedő verziói;
- FACTS Control Platform 2.1.0 - 2.3.0-ig terjedő verziói;
- FACTS Control Platform 3.0.0 - 3.12.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Reliance on Uncontrolled Components:
- CVE-2020-1968/alacsony;
- CVE-2020-8172/súlyos;
- CVE-2020-8174/súlyos;
- CVE-2020-8201/súlyos;
- CVE-2020-8252/súlyos;
- CVE-2020-8265/súlyos;
- CVE-2020-8287/közepes;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-01
Bejelentés dátuma: 2022.09.01.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DOPSoft minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-2966)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-244-01
Bejelentés dátuma: 2022.09.01.
Gyártó: Contec Health
Érintett rendszer(ek):
- Contec Health CMS8000 CONTEC ICU CCU Vital Signs Patient Monitor
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-36385)/közepes;
- Uncontrolled Resource Consumption (CVE-2022-38100)/súlyos;
- Use of Hard-Coded Credentials (CVE-2022-38069)/alacsony;
- Active Debug Code (CVE-2022-38453)/alacsony;
- Improper Access Control (CVE-2022-3027)/közepes;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-244-01
Bejelentés dátuma: 2022.09.06.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- TXpert Hub CoreTec 4 2.0.0 és 2.0.1 verziói;
- TXpert Hub CoreTec 4 2.1.0, 2.1.1, 2.1.2 és 2.1.3 verziói;
- TXpert Hub CoreTec 4 2.2.0 és 2.2.1 verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2021-35530)/közepes;
- Improper Input Validation (CVE-2021-35531)/közepes;
- Download of Code Without Integrity Check (CVE-2021-35532)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-249-04
Bejelentés dátuma: 2022.09.06.
Gyártó: Cognex
Érintett rendszer(ek):
- Cognex 3D-A1000 Dimensioning System 1.0.3 (3354) és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-1368)/kritikus;
- Improper Output Neutralization for Logs (CVE-2022-1522)/közepes;
- Client-side Enforcement of Server-side Security (CVE-2022-1525)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-249-03
Bejelentés dátuma: 2022.09.06.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA Edge 2020 R2 SP1 és minden korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient UI Warning of Dangerous Operations (CVE-2022-36970)/súlyos;
- Uncontrolled Search Path Element (CVE-2022-28686)/súlyos;
- Uncontrolled Search Path Element (CVE-2022-28687)/súlyos;
- Uncontrolled Search Path Element (CVE-2022-28688)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-28685)/súlyos;
- Improper Restriction of XML External Entity Reference (CVE-2022-36969)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-249-02
Bejelentés dátuma: 2022.09.06.
Gyártó: Triangle Microworks
Érintett rendszer(ek):
- TMW Library: IEC 61850-es protokollt használó változatának
- minden kliens és szerver komponenese, ami 11.2.0 és korábbi C programozási nyelvű programkönyvtárat használ;
- minden kliens és szerver komponenese, ami 5.0.1-es vagy korábbi C++, C# vagy Java programozási nyelvű programkönyvtárakat használ;
- TMW Library: IEC 60870-6 (ICCP/Tase.2) protokollt használó változatának
- minden kliens és szerver komponense, ami 4.4.3-as vagy korábbi C++ programozási nyelvű programkönyvtárat használ;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Access of Uninitialized Pointer (CVE-2022-38138)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-249-01
Bejelentés dátuma: 2022.09.08.
Gyártó: MZ Automation GmbH
Érintett rendszer(ek):
- libIEC61850 IEC 61850 implementációs szoftver 1.4-es és korábbi verziói;
- libIEC61850 IEC 61850 implementációs szoftver 1.5-ös verziójának a3b04b7bc4872a5a39e5de3fdc5fbde52c09e10e-nél korábbi commitjai;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-2970)/kritikus;
- Stack-based Buffer Overflow (CVE-2022-2972)/kritikus;
- Access of Resource Using Incompatible Type (CVE-2022-2971)/súlyos;
- NULL Pointer Dereference (CVE-2022-2973)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-251-01
Bejelentés dátuma: 2022.09.08.
Gyártó: Baxter
Érintett rendszer(ek):
- Sigma Spectrum v6.x 35700BAX modellje;
- Sigma Spectrum v8.x 35700BAX2 modellje;
- Baxter Spectrum IQ (v9.x) 35700BAX3 modellje
- Sigma Spectrum LVP v6.x Wireless Battery Modulok v16, v16D38, v17, v17D19-es, v20D29-től v20D32-ig terjedő és v22D24-től v22D28-ig terjedő verziói;
- Sigma Spectrum LVP v8.x Wireless Battery Modulok v17, v17D19-es, v20D29-től v20D32-ig terjedő és v22D24-től v22D28-ig terjedő verziói;
- Baxter Spectrum IQ LVP (v9.x) Wireless Battery Modulok v22D19-től v22D28-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Encryption of Sensitive Data (CVE-2022-26390)/közepes;
- Use of Externally Controlled Format String (CVE-2022-26392)/alacsony;
- Use of Externally Controlled Format String (CVE-2022-26393)/közepes;
- Missing Authentication for Critical Function (CVE-2022-26394)/közepes;
Javítás: Részben már elérhető, részben a gyártó jelenleg is dolgozik a javításon.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-251-01
Bejelentés dátuma: 2022.09.08.
Gyártó: PTC
Érintett rendszer(ek):
Az alábbi PTC termékeket érinti a Kepware KEPServerEX platform sérülékenysége:
- Kepware KEPServerEX 6.12-es és korábbi verziói;
- ThingWorkx Kepware Server 6.12-es és korábbi verziói;
- ThingWorkx Industrial Connectivity minden verziója;
- OPC-Aggregator 6.12-es és korábbi verziói;
- ThingWorkx Kepware Edge 1.4-es és korábbi verziói;
Az alábbi termékek szintén érintettek:
- Rockwell Automation KEPServer Enterprise v6.12-esnél korábbi verziói;
- GE Digital Industrial Gateway Server v7.612-esnél korábbi verziói;
- Software Toolbox TOP Server v6.12-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2022-2848)/kritikus;
- Stack-based Buffer Overflow (CVE-2022-2825)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-10
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.