Az APT csoportot, aminek később a Kostovite nevet adták, a Dragos kutatói 2021. márciusában fedezték fel, amikor egy megújuló erőműveket üzemeltető globális vállalat rendszereit vizsgálták. A vizsgálat alapján a Kostovite a Pulse Secure (újabban már Ivanti Connect Secure néven) ismert VPN-megoldás illetve QNAP hálózati storage eszközök 0-day sérülékenységeit kihasználva szerezte az első hozzáféréseket a célba vett rendszerekben. A Kostovite tagjai magas szintű műveleti fegyelemről tettek tanúbizonyságot (a korábbi tapasztalatok, pl. Duqu 2.0 alapján ez katonai vagy titkosszolgálati hátterű csapatra utalhat - ez már az én véleményem, nem a Dragos-é, persze bizonyítékom erre vonatkozóan nincs, inkább csak egy megérzés).

A Kostovite célpontonként egyedi támadói infrastruktúrát szokott használni (így nehezebb egyes, az infrastruktúrára jellemző IoC-k alapján felismerni egy új célpont esetén, hogy már célba vették vagy éppen kompromittálták is az áldozatot). ICS biztonsági szempontból a Kostovite bizonyított (ICS Cyber Kill Chain szerinti) 2. szintű képességekkel rendelkezik és be tudnak hatolni OT hálózatokban és eszközökbe is.

A Kostovite APT-csoportról további részleteket a Dragos weboldalán lehet olvasni: https://www.dragos.com/threat/kostovite/

Bejelentés dátuma: 2022.09.20.
Gyártó: Medtronic
Érintett rendszer(ek):
- MiniMed 620G MMT-1710
- MiniMed 630G MMT-1715, MMT-1754, MMT-1755 modellek
- MiniMed 640G MMT-1711, MMT-1712, MMT-1751, MMT-1752 modellek
- MiniMed 670G MMT-1740, MMT-1741, MMT-1742, MMT-1760, MMT-1762, MMT-1762, MMT-1780, MMT-1781, MMT-1782 modellek
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Protection Mechanism Failure
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-263-01

Bejelentés dátuma: 2022.09.20.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Hitachi Energy PROMOD IV 11.2-es, 11.3-as és 11.4-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2010-3591)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-263-01

Bejelentés dátuma: 2022.09.20.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Hitachi Energy AFF660 FW 03.0.02-es és korábbi verziói;
- Hitachi Energy AFF665 FW 03.0.02-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2020-6994)/kritikus;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-263-02

Bejelentés dátuma: 2022.09.20.
Gyártó: Dataprobe
Érintett rendszer(ek):
- Dataprobe iBoot-PDU FW minden, 1.42.06162022-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-3183)/kritikus;
- Path Traversal (CVE-2022-3184)/kritikus;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-3185)/közepes;
- Improper Access Control (CVE-2022-3186)/súlyos;
- Improper Authorization (CVE-2022-3187)/közepes;
- Incorrect Authorization (CVE-2022-3188)/közepes;
- Server-Side Request Forgery (SSRF) (CVE-2022-3189)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-263-03

Bejelentés dátuma: 2022.09.20.
Gyártó: Host Engineering
Érintett rendszer(ek):
- H0-ECOM100 Communications Module v5.0.155-ös és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-3228)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-263-04

Bejelentés dátuma: 2022.09.22.
Gyártó: Measuresoft
Érintett rendszer(ek):
- ScadaPro Server 6.7-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-3263)/súlyos;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-265-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A NERC CIP-007-6 célja azoknak a műszaki, üzemeltetési és eljárása követelményeknek az összegyűjtése, amik segítenek megvédeni a nagyfeszültségű villamosenergia-rendszer elemeit a kompromittálás következtében bekövetkező instabilitástól.

A NERC CIP-007-6 alapján az alábbi, logikai biztonsági területeken kell kontrollokat létesíteni:

- Portok és szolgáltatások: Ha technikailag lehetséges, akkor csak a szükséges portokat és szolgáltatásokat szabad elérhetővé tenni.
- Patch menedzsment: Patch menedzsment eljárást kell kidolgozni az nagyfeszültségű villamosenergia-rendszerben használt IT rendszerek komponenseivel kapcsolatos hibajavítások nyomon követésére, kiértékelésére és telepítésére.
- Kártékony kódok elleni védelem: Intézkedéseket kell életbe léptetni, amik lehetővé teszik a kártékony kódok jelentette problémák megelőzését, észlelését és elhárítását.
- Biztonsági naplóelemzés és eseménykezelés: Központi naplógyűjtő és elemző megoldást kell használni, legalább az alábbi biztonsági események figyelése céljából:
- Sikeres bejelentkezési kísérletek
- Sikertelen bejelentkezési kísérletek
- Észlelt kártékony kódok
- Hozzáférés-vezérlés: Az interaktív felhasználói bejelentkezéseket authentikációhoz kell kötni, valamint nyilvántartást kell vezetni az alapértelmezett gyári és egyéb, nem nevesített felhasználói fiókokról. Ezen túlmenően az ilyen felhasználói fiókokhoz hozzáféréssel rendelkező munkatársakról sintén nyilvántartást kell vezetni és az ismert gyári jelszavakat meg kell változtatni. Ezeken túl ez a fejezet még számos előírást tartalmaz a különböző authentikációs folyamatokhoz.

A NERC CIP-007-6 jelenleg (2022.08.28-án) hatályos verziója (CIP-007-6) itt érhető el: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-007-6.pdf

Bejelentés dátuma: 2022.09.13.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- TXpert Hub CoreTec 4 2.0.0 és 2.0.1-es verziói;
- TXpert Hub CoreTec 4 2.1.0, 2.1.1, 2.1.2 és 2.1.3-as verziói;
- TXpert Hub CoreTec 4 2.2.0 és 2.2.1-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Off-by-one Error (CVE-2021-3156)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-256-01

Bejelentés dátuma: 2022.09.13.
Gyártó: Honeywell
Érintett rendszer(ek):
- SoftMaster 4.51;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2022-2333)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2022-2332)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-256-02

Bejelentés dátuma: 2022.09.13.
Gyártó: Kingspan
Érintett rendszer(ek):
- Kingspan TMS300 CS minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2022-2757)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-256-04

Bejelentés dátuma: 2022.09.13.
Gyártó: Delta Industrial Automation
Érintett rendszer(ek):
- DIAEnergie 1.8.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-3214)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-256-03

Bejelentés dátuma: 2022.09.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SINEC INS V1.0 SP2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2020-7793)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-12762)/súlyos;
- Server-Side Request Forgery (CVE-2020-28168)/közepes;
- Improper Input Validation (CVE-2020-28500)/közepes;
- Uncontrolled Resource Consumption (CVE-2021-3749)/súlyos;
- Improper Input Validation (CVE-2021-4160)/közepes;
- Command Injection (CVE-2021-23337)/súlyos;
- Inadequate Encryption Strength (CVE-2021-23839)/alacsony;
- Missing Encryption of Sensitive Data (CVE-2021-23841)/közepes;
- Improper Input Validation (CVE-2021-25220)/súlyos;
- Improper Restriction of Operations Within the Bounds of a Memory Buffer (CVE-2021-25217)/közepes;
- Exposure of Private Personal Information to an Unauthorized Actor (CVE-2022-0155)/közepes;
- Open Redirect (CVE-2022-0235)/közepes;
- Improper Resource Shutdown or Release (CVE-2022-0396)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.09.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7 kompatibilies Mendix SAML Modulok minden, V1.17.0-nál korábbi verziója;
- Mendix 8 kompatibilies Mendix SAML Modulok minden, V2.3.0-nál korábbi verziója;
- Mendix 9 kompatibilies Mendix SAML Modulok minden, V3.3.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Capture-replay (CVE-2022-37011)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.09.13.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROS RMC8388 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS416Pv2 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS416v2 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900 (32M) minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900G (32M) minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG907R minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG908C minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG909R minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG910C minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG920P minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100 (32M) minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2288 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2300 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2300P minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2488 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSL910 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST916C minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST916P minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST2228 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST2228P minden, V5.6.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-39158)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.09.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid, a 3D geometric modeling tool All versions prior V35.0.164
- Simcenter Femap, a modeling and simulation software V2022.1 All versions prior to V2022.1.3
- Simcenter Femap, a modeling and simulation software V2022.2 All versions prior to V2022.2.2
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-Bounds Read (CVE-2022-39137)/alacsony;
- Out-of-Bounds Write (CVE-2022-39138)/súlyos;
- Out-of-Bounds Write (CVE-2022-39139)/súlyos;
- Out-of-Bounds Write (CVE-2022-39140)/súlyos;
- Out-of-Bounds Read (CVE-2022-39141)/alacsony;
- Out-of-Bounds Write (CVE-2022-39142)/súlyos;
- Out-of-Bounds Write (CVE-2022-39143)súlyos;
- Out-of-Bounds Write (CVE-2022-39144)/súlyos;
- Out-of-Bounds Read (CVE-2022-39145)/súlyos;
- Access of Uninitialized Pointer (CVE-2022-39146)/súlyos;
- Access of Uninitialized Pointer (CVE-2022-39147)/súlyos;
- Out-of-Bounds Write (CVE-2022-39148)/súlyos;
- Out-of-Bounds Write (CVE-2022-39149)/súlyos;
- Out-of-Bounds Write (CVE-2022-39150)/súlyos;
- Out-of-Bounds Write (CVE-2022-39151)/súlyos;
- Out-of-Bounds Write (CVE-2022-39152)/súlyos;
- Out-of-Bounds Read (CVE-2022-39153)/súlyos;
- Out-of-Bounds Write (CVE-2022-39154)/súlyos;
- Out-of-Bounds Write (CVE-2022-39155)/súlyos;
- Out-of-Bounds Read (CVE-2022-39156 )/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.09.13.
Gyártó: Siemens Mobility
Érintett rendszer(ek):
- CoreShield OWG Software minden, 2.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-38466)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.09.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Machine SCADA Expert 2020 Service Pack 2 V20.0.2-es és korábbi verziói;
- BLUE Open Studio 2020 Service Pack 2 V20.0.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Nemzetközi Automatizálási Közösség (International Society of Automation, ISA) fogja vezetni azt a munkacsoportot, ami az ISA/IEC 62443-as szabványcsaládja alapján fogja kidolgozni a villamosenergia-szektornak szánt OT kiberbiztonsági profilt. A munkacsoportban az ISA szakemberei mellett a DoE (Department of Energy, az USA Energiaügyi Minisztériuma), a legnagyobb OT gyártók munkatársai és más szervezetek (pl. IEEE, CIGRE, IEC) is részt fognak venni.

A projekt indulásáról szóló ISA sajtóanyagot itt, a témával foglalkozó 1 órás webinart pedig itt lehet megtalálni.

Bejelentés dátuma: 2022.08.30.
Gyártó: Omron
Érintett rendszer(ek):
- Omron CX-Programmer minden, v9.78-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free (CVE-2022-2979)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-09

Bejelentés dátuma: 2022.08.30.
Gyártó: Honeywell
Érintett rendszer(ek):
- Inter-Controller (IC) protokollt használó IQ sorozatú vezérlők minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-30312)/súlyos;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-08

Bejelentés dátuma: 2022.08.30.
Gyártó: Honeywell
Érintett rendszer(ek):
- Experion LX minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-30317)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-07

Bejelentés dátuma: 2022.08.30.
Gyártó: Honeywell
Érintett rendszer(ek):
- ControlEdge minden, 151.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of hard-coded credentials (CVE-2022-30318)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-06

Bejelentés dátuma: 2022.08.30.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- D300win 3.7.1.17-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-1738)/súlyos;
- Write-what-where Condition (CVE-2022-1523)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-05

Bejelentés dátuma: 2022.08.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú eszközök 12.0.* CMU Firmware verziói;
- RTU500 sorozatú eszközök 12.2.* CMU Firmware verziói;
- RTU500 sorozatú eszközök 12.4.* CMU Firmware verziói;
- RTU500 sorozatú eszközök 12.6.* CMU Firmware verziói;
- RTU500 sorozatú eszközök 12.7.* CMU Firmware verziói;
- RTU500 sorozatú eszközök 13.2.* CMU Firmware verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-28613)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-04

Bejelentés dátuma: 2022.08.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MSM 2.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Reliance on Uncontrolled Components:
- CVE-2015-6584/n/a;
- CVE-2016-7103/közepes;
- CVE-2011-4273/n/a;
- CVE-2018-16842/kritikus;
- CVE-2016-9586/súlyos;
- CVE-2016-8617/súlyos;
- CVE-2016-8618/kritikus;
- CVE-2016-8619/kritikus;
- CVE-2016-8621/súlyos;
- CVE-2016-7167/kritikus;
- CVE-2014-3707/n/a;
- CVE-2013-2174/n/a;
- CVE-2014-0138/n/a;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-03

Bejelentés dátuma: 2022.08.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- GWS 2.0.0.0 és korábbi verziói;
- GWS 2.1.0.0 verziója;
- GWS 2.2.0.0 verziója;
- GWS 2.3.0.0 verziója;
- GWS 2.4.0.0 verziója;
- GWS 3.0.0.0 verziója;
- GWS 3.1.0.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- CVE-2020-1968/alacsony;
- CVE-2020-8174/súlyos;
- CVE-2020-8201/súlyos;
- CVE-2020-8252/súlyos;
- CVE-2020-8265/súlyos;
- CVE-2020-8287/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-02

Bejelentés dátuma: 2022.08.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- FACTS Control Platform 1.1.0 - 1.3.0-ig terjedő verziói;
- FACTS Control Platform 2.1.0 - 2.3.0-ig terjedő verziói;
- FACTS Control Platform 3.0.0 - 3.12.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Reliance on Uncontrolled Components:
- CVE-2020-1968/alacsony;
- CVE-2020-8172/súlyos;
- CVE-2020-8174/súlyos;
- CVE-2020-8201/súlyos;
- CVE-2020-8252/súlyos;
- CVE-2020-8265/súlyos;
- CVE-2020-8287/közepes;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-01

Bejelentés dátuma: 2022.09.01.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DOPSoft minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-2966)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-244-01

Bejelentés dátuma: 2022.09.01.
Gyártó: Contec Health
Érintett rendszer(ek):
- Contec Health CMS8000 CONTEC ICU CCU Vital Signs Patient Monitor
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-36385)/közepes;
- Uncontrolled Resource Consumption (CVE-2022-38100)/súlyos;
- Use of Hard-Coded Credentials (CVE-2022-38069)/alacsony;
- Active Debug Code (CVE-2022-38453)/alacsony;
- Improper Access Control (CVE-2022-3027)/közepes;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-244-01

Bejelentés dátuma: 2022.09.06.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- TXpert Hub CoreTec 4 2.0.0 és 2.0.1 verziói;
- TXpert Hub CoreTec 4 2.1.0, 2.1.1, 2.1.2 és 2.1.3 verziói;
- TXpert Hub CoreTec 4 2.2.0 és 2.2.1 verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2021-35530)/közepes;
- Improper Input Validation (CVE-2021-35531)/közepes;
- Download of Code Without Integrity Check (CVE-2021-35532)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-249-04

Bejelentés dátuma: 2022.09.06.
Gyártó: Cognex
Érintett rendszer(ek):
- Cognex 3D-A1000 Dimensioning System 1.0.3 (3354) és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-1368)/kritikus;
- Improper Output Neutralization for Logs (CVE-2022-1522)/közepes;
- Client-side Enforcement of Server-side Security (CVE-2022-1525)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-249-03

Bejelentés dátuma: 2022.09.06.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA Edge 2020 R2 SP1 és minden korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient UI Warning of Dangerous Operations (CVE-2022-36970)/súlyos;
- Uncontrolled Search Path Element (CVE-2022-28686)/súlyos;
- Uncontrolled Search Path Element (CVE-2022-28687)/súlyos;
- Uncontrolled Search Path Element (CVE-2022-28688)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-28685)/súlyos;
- Improper Restriction of XML External Entity Reference (CVE-2022-36969)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-249-02

Bejelentés dátuma: 2022.09.06.
Gyártó: Triangle Microworks
Érintett rendszer(ek):
- TMW Library: IEC 61850-es protokollt használó változatának
- minden kliens és szerver komponenese, ami 11.2.0 és korábbi C programozási nyelvű programkönyvtárat használ;
- minden kliens és szerver komponenese, ami 5.0.1-es vagy korábbi C++, C# vagy Java programozási nyelvű programkönyvtárakat használ;
- TMW Library: IEC 60870-6 (ICCP/Tase.2) protokollt használó változatának
- minden kliens és szerver komponense, ami 4.4.3-as vagy korábbi C++ programozási nyelvű programkönyvtárat használ;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Access of Uninitialized Pointer (CVE-2022-38138)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-249-01

Bejelentés dátuma: 2022.09.08.
Gyártó: MZ Automation GmbH
Érintett rendszer(ek):
- libIEC61850 IEC 61850 implementációs szoftver 1.4-es és korábbi verziói;
- libIEC61850 IEC 61850 implementációs szoftver 1.5-ös verziójának a3b04b7bc4872a5a39e5de3fdc5fbde52c09e10e-nél korábbi commitjai;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-2970)/kritikus;
- Stack-based Buffer Overflow (CVE-2022-2972)/kritikus;
- Access of Resource Using Incompatible Type (CVE-2022-2971)/súlyos;
- NULL Pointer Dereference (CVE-2022-2973)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-251-01

Bejelentés dátuma: 2022.09.08.
Gyártó: Baxter
Érintett rendszer(ek):
- Sigma Spectrum v6.x 35700BAX modellje;
- Sigma Spectrum v8.x 35700BAX2 modellje;
- Baxter Spectrum IQ (v9.x) 35700BAX3 modellje
- Sigma Spectrum LVP v6.x Wireless Battery Modulok v16, v16D38, v17, v17D19-es, v20D29-től v20D32-ig terjedő és v22D24-től v22D28-ig terjedő verziói;
- Sigma Spectrum LVP v8.x Wireless Battery Modulok v17, v17D19-es, v20D29-től v20D32-ig terjedő és v22D24-től v22D28-ig terjedő verziói;
- Baxter Spectrum IQ LVP (v9.x) Wireless Battery Modulok v22D19-től v22D28-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Encryption of Sensitive Data (CVE-2022-26390)/közepes;
- Use of Externally Controlled Format String (CVE-2022-26392)/alacsony;
- Use of Externally Controlled Format String (CVE-2022-26393)/közepes;
- Missing Authentication for Critical Function (CVE-2022-26394)/közepes;
Javítás: Részben már elérhető, részben a gyártó jelenleg is dolgozik a javításon.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-251-01

Bejelentés dátuma: 2022.09.08.
Gyártó: PTC
Érintett rendszer(ek):
Az alábbi PTC termékeket érinti a Kepware KEPServerEX platform sérülékenysége:
- Kepware KEPServerEX 6.12-es és korábbi verziói;
- ThingWorkx Kepware Server 6.12-es és korábbi verziói;
- ThingWorkx Industrial Connectivity minden verziója;
- OPC-Aggregator 6.12-es és korábbi verziói;
- ThingWorkx Kepware Edge 1.4-es és korábbi verziói;
Az alábbi termékek szintén érintettek:
- Rockwell Automation KEPServer Enterprise v6.12-esnél korábbi verziói;
- GE Digital Industrial Gateway Server v7.612-esnél korábbi verziói;
- Software Toolbox TOP Server v6.12-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2022-2848)/kritikus;
- Stack-based Buffer Overflow (CVE-2022-2825)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-10

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A célzott adathalász-támadások az egyik legelterjedtebb (és célzottsága miatt az egyik legnehezebben kivédhető) támadási forma, amivel az Interneten keresztül a támadók célba vehetnek embereket és szervezeteket (ezért is érdemes minimalizálni a személyünkről publikusan elérhető privát és szakmai információkat, csökkentve a célzott adathalász-támadásoknál használható támadási felületeket).

A Dragos augusztus közepén publikált blogposztjában arról ír, hogy újabban egyes, OT rendszereket (is) támadó APT csoportok rászoktak arra, hogy az OT rendszerek üzemeltetéséért/használatáért felelős mérnökök ellen indítsanak célzott adathalász-támadásokat. Ennek a támadói módszernek megvan az az előnye, hogy nem kell a kezdeti kompromittált számítógépekről az IT hálózatokon keresztül átverekedni magukat az OT hálózatokban elhelyezett folyamatirányító rendszerekig (feltéve persze, hogy az adott szervezet elmulasztotta az egyik legalapvetőbb hálózatszegmentálási feladatát elvégezni és a mérnök számítógépéről egyszerre tud levelezni és hozzáférni a folyamatirányító rendszerhez).

A Dragos kutatói az általuk Talonite, Allanite és Stibnite neveken ismert csoportok esetén figyelték meg (eddig) ezt a támadási formát és a hivatkozott blogposztban részletesebben is beszámolnak.

A célzott adathalászat mellett az APT támadók más, hasonló technikákat is alkalmaznak, például watering hole-támadást (amikor a támadók egy legitim weboldal kódjába vagy a legitim weboldal szerverén elhelyezett hamis aloldalra rejtik el azt a scriptet, amivel felhasználói adatokat vagy az áldozat számítógépét kompromittálják), például a Dymalloy csoport ilyen módon intézett támadásokat 2020-ban ukrán célpontok ellen.

A blogposzt végén néhány gyakorlati tanácsot is adnak a mérnökök elleni célzott adathalász támadások elhárításához:

- Célszerű külön a folyamatirányítási mérnökökre szabott e-mail-biztonsági teszteket és biztonságtudatossági képzéseket szervezni (az én véleményem egyébként az, hogy az általános, mindenki számára kötelező biztonságtudatossági képzések mellett egyes, nagyobb kockázatú felhasználói csoportoknak - pl. folyamatirányítással és az azokat kiszolgáló rendszerekkel foglalkozó mérnökök, IT/OT üzemeltetők, vezetők, stb. - is célszerű lehet egy kicsit specifikusabb bizotnságtudatossági képzést szervezni és tartani);
- Érdemes listát készíteni azokról a mérnöki és szabályozó/hatósági szervezetekről és az ezektől érkező levelek metaadatait célszerű átvizsgálni, anomáliákat keresve;
- Talán a leginkább hatásos intézkedés az Internet-eléréssel (bármilyen Internet-eléréssel!) rendelkező számítógépek szigorú leválasztása az ipari rendszerektől;
- Limitáljuk a kimenő hálózati forgalom esetén a leggyakoribb, adatlopáshoz (pl. felhasználói adatok ellopásához) használt portokat (pl. 445/tcp, 139/tcp).

A 30. DEFCON konferencián, amit augusztus elején tartottak Las Vegasban, Sharon Brizinov, a Claroty ICS biztonsági szakértője és a cég Team82 nevű csapata egy, a PLC-kkel kapcsolatos biztonsági kutatásról tartottak előadást. A kutatás célja az volt, hogy felmérjék, lehet-e egy kompromittált PLC-ről sikeres támadást indítani a mérnöki munkaállomások ellen. A támadási módnak és az előadásnak az Evil PLC nevet adták.

A kutatás során 7, világszerte ismert és használt gyártó PLC-hez sikerült működő proof-of-concept exploit-ot készíteniük, az alábbi gyártók eszközei érintettek:

- Rockwell Automation;
- Schneider Electric;
- GE;
- B&R;
- XINJE;
- OVARRO;
- Emerson;

A dokumentum első fejezete egy egészen jó, alapszintű áttekintést ad a PLC-k hardveres és szoftveres felépítéséről, valamint a PLC programozás alapjairól.

A kutatás alaptézise gyakorlatilag megfordítja a szokásos támadási formákat és ahelyett, hogy az ipari szervezet vállalati IT-ján és az OT hálózaton keresztül, a mérnöki/operátori munkaállomás kompromittálása után biztosít hozzáférést a PLC-hez, az Internetre csatlakoztatott PLC-ket kezdték keresni a Censys segítségével. Ez viszont azt is jelenti, hogy ha egy szervezet betartja az ICS kiberbiztonság egyik legfontosabb alapszabályát ("Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell."), rögtön jelentősen lehet csökkenteni egy ilyen támadás bekövetkezésének az esélyeit. Sajnos én is tisztában vagyok azzal, hogy ez mennyire nem működik úgy, ahogyan kéne (különösen, ha figyelembe vesszük az IIoT és ipari felhős alkalmazások terjedését, amik mind-mind megkövetelik akár még a PLC-k számára is a publikus hálózati kapcsolatot), azonban ezekben az esetekben is lehetne és kellene törekedni a minimálisan szükséges Internet-irányú kitettség megtartására (fehérlistázott elérhető Internetes erőforrásokra minimalizálni az ICS rendszerek/eszközök hozzáféréseit).

Az Evil PLC kutatással kapcsolatos további részletei a Claroty oldalán ingyenesen elérhető (60 oldalas) dokumentumban találhatóak.

Szerk: A YouTube-on elérhető a teljes előadás felvétele: https://www.youtube.com/watch?v=pNNOUiR8EQo

Bejelentés dátuma: 2022.08.23.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- Delta Industrial Automation DIALink 1.4.0.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Cryptographic Key (CVE-2022-2660)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-235-02

Bejelentés dátuma: 2022.08.23.
Gyártó: ARC Informatique
Érintett rendszer(ek):
- PcVue 12-es verzió OAuth web service konfiguráció;
- PcVue 15-ös verzió OAuth web service konfiguráció;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2022-2569)/közepes;
Javítás: Részben már elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-235-01-0

Bejelentés dátuma: 2022.08.23.
Gyártó: mySCADA Technologies
Érintett rendszer(ek):
- myPRO 8.26.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-2234)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-235-03

Bejelentés dátuma: 2022.08.23.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozat 12.0.1–12.0.13-as CMU firmware verziói;
- RTU500 sorozat 12.2.1–12.2.11-es CMU firmware verziói;
- RTU500 sorozat 12.4.1–12.4.11-es CMU firmware verziói;
- RTU500 sorozat 12.6.1–12.6.7-es CMU firmware verziói;
- RTU500 sorozat 12.7.1–12.7.3-as CMU firmware verziói;
- RTU500 sorozat 13.2.1–13.2.4-es CMU firmware verziói;
- RTU500 sorozat 13.3.1-es CMU firmware verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-2081)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-235-07

Bejelentés dátuma: 2022.08.23.
Gyártó: Measuresoft
Érintett rendszer(ek):
- ScadaPro Server 6.8.0.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-2892)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-235-05

Bejelentés dátuma: 2022.08.23.
Gyártó: Measuresoft
Érintett rendszer(ek):
- ScadaPro Server and Client minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Untrusted Pointer Dereference (CVE-2022-2894)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-2895)/súlyos;
- Use After Free (CVE-2022-2896)/súlyos;
- Link Following (CVE-2022-2897)/súlyos;
- Link Following (CVE-2022-2898)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hibák javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-235-06

Bejelentés dátuma: 2022.08.25.
Gyártó: FATEK Automation
Érintett rendszer(ek):
- FvDesigner 1.5.103-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-2866)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-237-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Technion, az Izraeli Műszaki Intézet kutatói, Prof. Eli Biham és Dr. Sara Bitan, hallgatóikkal, Maxim Barsky-val, Alon Dankner-rel és Idan Raz-zal hosszű évek (egészen pontosan 2017) óta vizsgálják a Siemens S7-1500-as típusú PLC-k biztonságát és az idei Black Hat konferencián tartott előadásuk alapján ismét komoly eredményekről tudtak beszámolni.

A Black Hat Cyber-Physical Systems szekciójának évek óta Marina Krotofil a vezetője, a kutatással kapcsolatosan ő készített egy riportot Eli Biham-mal és Sara Bitan-nal, amiben a kutatás eredményei közül több részletről is szó esik:

- A fizikai és szoftveres S7 PLC-k, amik ugyanazt a firmware-verziót használják, azok ugyanazt a privát kulcsot (és ebből következően ugyanazt a publikus kulcsot) használják titkosításhoz. Ilyen módon viszont egy támadó jóval könnyebben férhet hozzá az S7 PLC-k firmware-jéhez (amit a Siemens teljes mértékben zártan, a saját intellektuális tulajdonaként kezel);
- Ha a támadó hozzáférést szerzett a firmware-hez, már tudnak sérülékenységeket keresni. A kutatók megállapították (és elmondásuk szerint a Siemens megerősítette nekik), hogy a szoftveres és hardveres S7 PLC-k firmware-jének kódbázisa 99%-ban megegyezik. Így viszont egy támadó a saját laborjában gyakorlatilag bármilyen sérülékenységet mindenfajta kockázat nélkül vizsgálhat és tesztelheti azok exploitálási lehetőségeit anélkül, hogy tartania kéne bármlyen - számára veszélyes - safety incidenstől vagy a lebukástól.
- Az S7 PLC-k nem használnak secure boot-ot, ami egy támadónak ideális lehetőségeket biztosít az illegális hozzáférésének fenntartására.

A Marina által készített ripotot a medium.com-on, a Black Hat előadás slide-jai pedig itt érhetőek el.