Bejelentés dátuma: 2022.08.16.
Gyártó: Yokogawa
Érintett rendszer(ek):
- CENTUM VP/CS 3000 controller FCS:
- CP31, CP33, CP345 változatai;
- CP401, CP451 változatai;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial of Service (CVE-2022-33939)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-01

Bejelentés dátuma: 2022.08.16.
Gyártó: LS Electric
Érintett rendszer(ek):
- LS Electric PLC minden verziója;
- XG5000 PLC fejlesztő szoftver minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-2758)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-02

Bejelentés dátuma: 2022.08.16.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DRAS minden, 1.13.20-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-2759)/közepes;
Javítás: Elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-03

Bejelentés dátuma: 2022.08.16.
Gyártó: Softing
Érintett rendszer(ek):
- Secure Integration Server 1.22-es verziója;
- edgeConnector 3.1-es verziója;
- edgeAggregator 3.1-es verziója;
- OPC UA C++ Server SDK 6-os verziója;
- OPC Suite 5.2-es verziója;
- uaGate 1.74-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-1069)/súlyos;
- Uncontrolled Search Path Element (CVE-2022-2334)/súlyos;
- Improper Authentication (CVE-2022-2336)/kritikus;
- Relative Path Traversal (CVE-2022-1373)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2022-2338)/közepes;
- NULL Pointer Dereference (CVE-2022-1748)/súlyos;
- NULL Pointer Dereference (CVE-2022-2337)/súlyos;
- NULL Pointer Dereference (CVE-2022-2547)/súlyos;
- Integer Underflow (CVE-2022-2335 )/súlyos;
Javítás: Egyes érintett verziókhoz elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-04

Bejelentés dátuma: 2022.08.16.
Gyártó: B&R Industrial Automation
Érintett rendszer(ek):
- Automation Studio 4 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-22289)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-05

Bejelentés dátuma: 2022.08.16.
Gyártó: Emerson
Érintett rendszer(ek):
- Proficy Machine Edition 9.80-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Support for Integrity Check (CVE-2022-2793)/közepes;
- Improper Access Control (CVE-2022-2792)/közepes;
- Unrestricted Upload of File with Dangerous Type (CVE-2022-2791)/közepes;
- Improper Verification of Cryptographic Signature (CVE-2022-2790)/közepes;
- Insufficient Verification of Data Authenticity (CVE-2022-2789)/közepes;
- Path Traversal (CVE-2022-2788)/alacsony;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-06

Bejelentés dátuma: 2022.08.16.
Gyártó: Sequi
Érintett rendszer(ek):
- Sequi PortBloque S minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2022-2662)/kritikus;
- Improper Authorization (CVE-2022-2661)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-07

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A CIP-006 célja, hogy iránymutatást adjon a nagyfeszültségű villamosenergia-rendszer elemeihez történő fizikai hozzáférés szabályait illetően. Fizikai biztonsági eljárási és üzemeltetési kontrollokat kell alkalmazni az alábbi kategóriákba sorolt rendszerek esetén:

- magas és közepes szintre besorolt rendszerelemekhez kapcsolódó fizikai biztonsági rendszerek (Physical Access Control Systems - PACS) a közepes szinthez tartozó nagyfeszültségű villamosenergia-rendszerek route-olható külső kapcsolatokkal rendelkező elemei;
- a közepes szintre besorolt rendszerelemekhez kapcsolódó fizikai biztonsági rendszerek (PACS) és elektronikus hozzáféréseket kontrolláló rendszerek (EACMS) esetén legalább egy fizikai biztonsági kontrollt kell alkalmazni a felügyelet nélküli fizikai belépési engedéllyel rendelkező személyek esetén;

A CIP-006 számos előírást tartalmaz a fenti kategóriákba sorolt rendszerek esetén, a teljesség igénye nélkül néhny ilyen követelmény:

- két vagy több különböző fizikai biztonsági kontrollt kell alkalmazni a felügyelet nélküli fizikai belépési engedéllyel rendelkező személyek esetén;
- felügyeleti megoldást kell alkalmazni a fizikai hozzáférési pontokon;
- a fizikai biztonsági rendszereknek képesnek kell lenniük riasztásokat generálni, amennyiben jogosulatlan hozzáférést észlelnek, az észlelés után 15 percen belül;

- a magas szintre besorolt rendszerelemekhez kapcsolódó fizikai biztonsági rendszerek (PACS) és elektronikus hozzáféréseket kontrolláló rendszerek (EACMS) esetén, amikor műszakilag megvalósítható, két vagy több különböző fizikai biztonsági kontrollt kell alkalmazni a felügyelet nélküli fizikai belépési engedéllyel rendelkező személyek esetén;
- a magas szintre besorolt rendszerelemekhez kapcsolódó fizikai biztonsági rendszerek (PACS) és elektronikus hozzáféréseket kontrolláló rendszerek (EACMS) esetén, valamint a közepes szintre besorolt rendszerelemekhez kapcsolódó fizikai biztonsági rendszerek (Physical Access Control Systems - PACS) a közepes szinthez tartozó nagyfeszültségű villamosenergia-rendszerek route-olható külső kapcsolatokkal rendelkező elemeinél felügyeleti megoldást kell alkalmazni a fizikai hozzáférési pontokon;
- a magas szintre besorolt rendszerelemekhez kapcsolódó fizikai biztonsági rendszerek (PACS) és elektronikus hozzáféréseket kontrolláló rendszerek (EACMS) esetén, valamint a közepes szintre besorolt rendszerelemekhez kapcsolódó fizikai biztonsági rendszerek (Physical Access Control Systems - PACS) a közepes szinthez tartozó nagyfeszültségű villamosenergia-rendszerek route-olható külső kapcsolatokkal rendelkező elemeinél képesnek kell riasztásokat generálni, amennyiben jogosulatlan hozzáférést észlelnek, az észlelés után 15 percen belül;
- legalább 90 napig meg kell őrizni a fizikai biztonsági rendszerekhez (PACS) logjait a kíséret nélküli hozzáférési joggal rendelkező személyek belépéseiről.

A NERC CIP-006 jelenleg hatályos verziója (a CIP-006-6) itt érhető el: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-006-6.pdf

Bejelentés dátuma: 2022.08.01.
Gyártó: Belden-Hirschmann
Érintett rendszer(ek):
- Eagle EagleSDV 05.4.01-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial of Service (n/a)/n/a;
Javítás: Elérhető;
Link a publikációhoz: Belden-Hirschmann

Bejelentés dátuma: 2022.08.01.
Gyártó: Belden-Hirschmann
Érintett rendszer(ek):
- HiLCOS OpenBAT, WLC, BAT450 minden, 9.1x és korábbi verziója, valamint a 10.12-REL, 10.12-RU1, 10.12-RU2, 10.12-RU3, 10.12-RU4 és 10.12-RU5 verziói;
- BAT-C2 08.08.01.00R08 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- CVE-2020-24586/alacsony;
- CVE-2020-24587/alacsony;
- CVE-2020-24588/alacsony;
- CVE-2020-26142/közepes;
- CVE-2020-26144/közepes;
- CVE-2020-26145/közepes;
- CVE-2020-26146/közepes;
- CVE-2020-26147/közepes;
Javítás: Elérhető;
Link a publikációhoz: Belden-Hirschmann

Bejelentés dátuma: 2022.08.04.
Gyártó: Digi International
Érintett rendszer(ek):
- Digi ConnectPort X2D Gateway minden, 2020. január előtt készült firmware-verziókkal működő példányai;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Execution with Unnecessary Privileges (CVE-2022-2634)/kritikus;
Javítás: Részletes információkért a gyártót kell megkeresni.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-216-01

Bejelentés dátuma: 2022.08.09.
Gyártó: Emerson
Érintett rendszer(ek):
- ControlWave programozható vezérlők minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-30262)/kritikus;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-221-02

Bejelentés dátuma: 2022.08.09.
Gyártó: Emerson
Érintett rendszer(ek):
- OpenBSI 5.9 SP3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Broken or Risky Cryptographic Algorithm (CVE-2022-29959)/kritikus;
- Use of Hard-coded Cryptographic Key (CVE-2022-29960)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-221-03

Bejelentés dátuma: 2022.08.09.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GT SoftGOT2000 1.275M verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Infinite Loop (CVE-2022-0778)/súlyos;
- OS Command Injection (CVE-2022-1292)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-221-01

Bejelentés dátuma: 2022.08.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Control Expert (beleértve az összes, Unity Pro - korábbi nevén EcoStruxure™ Control Expert - verziót is) V15.0 SP1 és korábbi verziói;
- EcoStruxure™ Process Expert (beleértve az összes, EcoStruxure™ Hybrid DCS - korábbi nevén EcoStruxure™ Process Expert - verziót is) V2021-es és korábbi verziói;
- Modicon M340 CPU V3.40-es és korábbi verziói;
- Modicon M580 CPU V3.22-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Weak Password Recovery Mechanism for Forgotten Password (CVE-2022-37300)/kritikus;
Javítás: Elérthető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.08.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 CPU V3.40 és korábbi verziói;
- Modicon M580 CPU V3.22 és korábbi verziói;
- Legacy Modicon Quantum/Premium minden verziója;
- Modicon Momentum MDI (171CBU*) minden verziója;
- Modicon MC80 (BMKC80) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Integer Underflow (Wrap or Wraparound) (CVE-2022-37301)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.08.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Control Expert V15.1 HF001 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-37302)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.08.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 CPU V3.30 és korábbi verziói;
- Modicon M580 CPU V3.22 és korábbi verziói;
- Modicon MC80 (BMKC80) V1.6 és korábbi verziói;
- Modicon Momentum MDI (171CBU*) V2.3 és korábbi verziói;
- Legacy Modicon Quantum minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Information Exposure (CVE-2021-22786)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.08.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM TOOLBOX II minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2021-45106)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.08.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE M-800 / S615 minden verziója;
- SCALANCE SC-600 termékcsalád minden verziója; prior to V2.3.1
- SCALANCE W-700 IEEE 802.11ax termékcsalád minden verziója;
- SCALANCE W-700 IEEE 802.11n termékcsalád minden verziója;
- SCALANCE W-1700 IEEE 802.11ac termékcsalád minden verziója;
- SCALANCE XB-200 Switch termékcsalád minden verziója;
- SCALANCE XC-200 Switch termékcsalád minden verziója;
- SCALANCE XF-200BA Switch termékcsalád minden verziója;
- SCALANCE XM-400 termékcsalád minden verziója;
- SCALANCE XP-200 Switch termékcsalád minden verziója;
- SCALANCE XR-300WG Switch termékcsalád minden verziója;
- SCALANCE XR-500 termékcsalád minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Injection (CVE-2022-36323)/kritikus;
- Allocation of Resources Without Limits or Throttling (CVE-2022-36324)/súlyos;
- Basic Cross Site Scripting (CVE-2022-36325)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.08.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM A8000 Web Server Module CP-8000 MASTER MODULE WITH I/O -25/+70°C (6MF2101-0AB10-0AA0) minden verziója;
- SICAM A8000 Web Server Module CP-8000 MASTER MODULE WITH I/O -40/+70°C (6MF2101-1AB10-0AA0) minden verziója;
- SICAM A8000 Web Server Module CP-8021 MASTER MODULE (6MF2802-1AA00) minden verziója;
- SICAM A8000 Web Server Module CP-8022 MASTER MODULE WITH GPRS (6MF2802-2AA00) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2021-46304)/közepes;
Javítás: Jelenleg nem elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.08.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Teamcenter v12.4 minden, v12.4.0.15-nél korábbi verziója;
- Teamcenter v13.0 minden, v13.0.0.10-nél korábbi verziója;
- Teamcenter v13.1 minden, v13.1.0.10-nél korábbi verziója;
- Teamcenter v13.2 minden, v13.2.0.9-nél korábbi verziója;
- Teamcenter v13.3 minden, v13.3.0.5-nél korábbi verziója;
- Teamcenter v14.0 minden, v14.0.0.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-34660)/súlyos;
- Infinite Loop (CVE-2022-34661)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.08.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter STAR-CCM+ minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-34659)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.08.11.
Gyártó: Emerson
Érintett rendszer(ek):
- ROC800 minden verziója;
- ROC800L minden verziója;
- DL8000 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-30264)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-223-04

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Lassan már úgy tűnhet, hogy a Dragos az ICS kiberbiztonság minden szegletével foglalkozik. Egyelőre nem látszik, hogy ez a minőség rovására menne, szóval nekem ezzel jelenleg nincs problémám, szóval lássuk, mibe ártották magukat ezúttal. A Control Loop ICS kbierbiztonsági podcast-csatornát a Dragos támogatásával június elején indították útjára és a tervek szerint kéthetente fognak új tartalommal jelentkezni. 10 héttel a csatorna indulása után ez jelenleg 5 adást jelent, többek között az alábbi témákban:

1. rész (2022.06.01):
- Oroszország hibrid háborúja Ukrajna ellen;
- Orosz támadói csoportok célozzák az (amerikai) kritikus infrastruktúrákat;
- Hacktivisták saját állításuk szerint hozzáférést szereztek orosz megfigyelőrendszerekhez;
- A Turla néven ismert támadói csoport osztrák és észt hálózatok felderítésével foglalkozik;

2. rész (2022.06.15):
- A brit főügyész álláspontja a támadók elleni hackertámadásokról, mint a kritikus infrastruktúrák védelmi megoldásáról;
- Ethiópiában kibertámadásokat hiúsítottak meg a nílusi gát rendszerei ellen;
- Kiberbiztonsági fejlesztések az USA délnyugati részén működő gátrendszerek esetén;
- Viziközmű rendszerek kiberbiztonsága;
- A MITRE beszállítói lánc biztonságával kapcsolatos biztonsági keretrendszert publikált;
- A CISA 5G hálózatok telepítésével kapcsolatos útmutatót adott ki;

3. rész (2022.06.29):
- OT eszközöket és rendszereket érintenek az ICEFALL sérülékenységek;
- A Sandworm támadói csoport kritikus infrastruktúrák után kémkedik;
- Ransomware-támadás ért egy autóalkatrész-gyártó vállalatot;
- Kiberbiztonsági gyakorlatok egy nukleáris létesítményben;
- A Connecticut-i Nemzeti Gárda közművek védelmét gyakorolta;

Az USA képviselőháza még júniusban elfogadott egy törvényjavaslatot, aminek célja, hogy ingyenes kiberbiztonsági képzést teremtsen meg az ICS rendszerekkel foglalkozó szakértők számára (ahhoz, hogy ebből törvény legyen, még a szenátusnak is el kell fogadni - ezután az elnöki aláírás, ismerve a Biden-adminisztráció hozzáállását a kritikus infrastruktúrák kiberbiztonságának kérdéséhez, nem igazán hiszem, hogy problémás lenne).

A képzések egyaránt elérhetőek lesznek virtuális és tantermi formában, több tudásszinten, ezzel is segítve a résztvevők képességeinek és tudásának fejlesztését. A tervezet szerint a képzés eredményeiről évente kell majd beszámolni a kongresszusnak és ennek a jelentésnek tartalmaznia kell majd a képzések folyamatos bővítésének és fejlesztésének terveit is.

Nagyon kíváncsi leszek, Magyarországon lesz-e valaha is akár csak egy célzottan ipari szereplőknek szánt, ICS biztonság-specifikus konferencia és hasonló, ipari folyamatirányító rendszereket üzemeltető cégeknek és munkatársaiknak szervezett és tartott képzés?

Bejelentés dátuma: 2022.07.26.
Gyártó: Inductive Automation
Érintett rendszer(ek):
- Inductive Automation Ignition minden, 8.1.9-nél korábbi verziója;
- Inductive Automation Ignition v7.9.21-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-1704)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-207-01

Bejelentés dátuma: 2022.07.26.
Gyártó: Honeywell
Érintett rendszer(ek):
- Safety Manager minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-30315)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-30313)/súlyos;
- Use of Hard-Coded Credentials (CVE-2022-30314)/közepes;
- Insufficient Verification of Data Authenticity (CVE-2022-30316)/közepes;
Javítás: Részben elérhető;
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-207-02

Bejelentés dátuma: 2022.07.26.
Gyártó: Honeywell
Érintett rendszer(ek):
- Saia Burgess PG5 PCD típusú PLC-k minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass (CVE-2022-30319)/súlyos;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-30320)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-207-03

Bejelentés dátuma: 2022.07.26.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort 5110 2.10-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-2044)/súlyos;
- Out-of-bounds Write (CVE-2022-2043)/súlyos;
Javítás: Elérhető a Moxa Technical Support-nál;
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-207-04

Bejelentés dátuma: 2022.07.28.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Linx Enterprise software 6.20-as, 6.21-es és 6.30-as verziói;
- Enhanced HIM (eHIM) for PowerFlex 6000T 1.001-es verziója;
- Connected Components Workbench software 11-es, 12-es, 13-as és 20-as verziói;
- FactoryTalk View Site Edition 13-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion (CVE-2022-1096)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-209-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az Erythrite nevű csoport tevékenységének kezdetét a Dragos elemzői 2020-ra teszik. Célpontjaik közé főként az USA-ban és Kanadában működő, Fortune 500-as listán szereplő cégek (IT szolgáltatók, villamosenergia-cégek, élelmiszer- és autógyártó vállalatok, olaj- és gázcégek) találhatóak.

A csoport eszközei közül kiemelkedik a keresőmotorok találatainak módosítása (Search Engine Optimization poisoning) és a kártékony keresési találatokon keresztül authentikációs adatokat lopó malware-ek telepítése. Ezeket a malware-eket igen gyors fejlesztési ciklusokkal készítik, ezzel is nehezítve, hogy a végpontvédelmi és hálózatbiztonsági megoldások (melyek nagy része mintaillesztéssel működik) hatékony védelmet biztosítsanak ellenük.

A csoporttal kapcsolatos további részleteket a Dragos weboldalán lehet megtalálni: https://www.dragos.com/threat/erythrite/

Bejelentés dátuma: 2022.07.19.
Gyártó: MiCODUS
Érintett rendszer(ek):
- MV720 GPS tracker;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-2107)/kritikus;
- Improper Authentication (CVE-2022-2141)/kritikus;
- Cross-site Scripting (CVE-2022-2199)/súlyos;
- Authorization Bypass Through User-controlled Key (CVE-2022-34150)/súlyos;
- Authorization Bypass Through User-controlled Key (CVE-2022-33944)/közepes;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-200-01

Bejelentés dátuma: 2022.07.21.
Gyártó: ABB
Érintett rendszer(ek):
- ABB Drive Composer Entry 2.0-tól 2.7-ig terjedő verziói;
- ABB Drive Composer Pro 2.0-tól 2.7-ig terjedő verziói;
- ABB Automation Builder 1.1.0-tól 2.5.0-ig terjedő verziói;
- Mint Workbench 5866-os és korábbi build-jei;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2022-31216)/súlyos;
- Improper Privilege Management (CVE-2022-31217)/súlyos;
- Improper Privilege Management (CVE-2022-31218)/súlyos;
- Improper Privilege Management (CVE-2022-31219)/súlyos;
- Improper Privilege Management (CVE-2022-26057)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-202-01

Bejelentés dátuma: 2022.07.21.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Johnson Controls Metasys ADS, ADX, OAS MUI-val 10-es verziója;
- Johnson Controls Metasys ADS, ADX, OAS MUI-val 11-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2021-36200)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-202-02

Bejelentés dátuma: 2022.07.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ISaGRAF Workbench 6.0-tól 6.6.9-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-2463)/közepes;
- Path Traversal (CVE-2022-2464)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-2465)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-202-03

Bejelentés dátuma: 2022.07.21.
Gyártó: ICONICS, Mitsubishi Electric
Érintett rendszer(ek):
- ICONICS GENESIS64 10.97.1-es és korábbi verziói;
- ICONICS Hyper Historian 10.97.1-es és korábbi verziói;
- ICONICS AnalytiX 10.97.1-es és korábbi verziói;
- ICONICS IoTWorX 10.97-es és10.97.1-es verziói;
- ICONICS MobileHMI 10.97-es és10.97.1-es verziói;
- ICONICS GraphWorX64 10.97.1-es és korábbi verziói;
- ICONICS GenBrokerX64 10.97.1-es és korábbi verziói;
- Mitsubishi Electric MC Works644.04E és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-29834)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-33315 és CVE-2022-33316)/súlyos;
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2022-33317)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-33318)/kritikus;
- Out-of-Bounds Read (CVE-2022-33319)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-33320)/súlyos;
Javítás: Elérhető (bejelentkezés után)
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-202-04

Bejelentés dátuma: 2022.07.21.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- SIO-MB04RTDS v8.3.4.0-nál korábbi firmware-veziói;
- SIO- MB04ADS v8.4.3.0-nál korábbi firmware-veziói;
- SIO-MB04THMS v8.5.4.0-nál korábbi firmware-veziói;
- SIO-MB08ADS-1 v8.6.3.0-nál korábbi firmware-veziói;
- SIO-MB08ADS-2 v8.7.3.0-nál korábbi firmware-veziói;
- SIO-MB08THMS v8.8.4.0-nál korábbi firmware-veziói;
- SIO-MB04DAS v8.11.3.0-nál korábbi firmware-veziói;
- SIO-MB12CDR v8.0.4.0-nál korábbi firmware-veziói;
- SIO-MB16CDD2 v8.1.4.0-nál korábbi firmware-veziói;
- SIO-MB16ND3 v8.2.4.00-nál korábbi firmware-veziói;
- SIO-MB12CDR batch number (B/N) 5714442222;
- SIO-MB04ADS, B/N 5714442222;
- SIO-MB04THMS, B/N 57141862221;
- SIO-MB04DAS, B/N 4714432222;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-2485)/kritikus;
Javítás: Elérhető (korlátozásokkal)
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-202-05

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Úgy látszik, ez most egy ilyen hónap, már a harmadik heti poszt szól valamiről, ami 2017-ben történt és még 5 évvel később is jelentős hatása van az ICS kiberbiztonság világára (az első ilyen poszt ugye július 9-én Mike Assante halálának évfordulója kapcsán született, a másik pedig múlt héten szombaton az Industroyer/CrashOverride ICS malware 2017 eleji publikálását idézte fel), most pedig 2017 két, ICS rendszereket is súlyosan érintő malware-támadásra is lehetőséget adó sérülékenység 5 évvel későbbi fejleményeiről lesz szó. Ez a sérülékenység pedig az EternalBlue, amiről 2017-ben én is több alkalommal írtam.

5 évvel később (egészen pontosan július 5-én, Mike Assante halálának évfordulóján) Jan Kopriva írt egy rövid blogbejegyzést a SANS oldalán, amiben az ipari környezetekben még 2022 nyarán is megtalálható EternalBlue sérülékenységgel kapcsolatos kutatási eredményeit foglalta össze. Jan vizsgálatai alapján még ma is több ezer, EternalBlue sérülékenységben érintett ipari folyamatirányító rendszert lehet pl. Shodan-nal megtalálni az Interneten, ami döbbenetesen magas szám, még akkor is, ha az így felfedezett, sérülékeny rendszerek valamekkora része majdnem biztosan honeypot. Az érintett rendszerek több, mint a fele Oroszországban (742), Tajvanon (735), az USA-ban (475), Japánban (391) és Indiában (327) található. Tartok tőle, hogy az, amit a TSMC gyárleállások kapcsán írtam az okokról szinte napra pontosan négy éve, még ma is igaz...

Bejelentés dátuma: 2022.07.07.
Gyártó: Bently Nevada
Érintett rendszer(ek):
- Bently Nevada 3701/40 minden, 4.1-nél korábbi verziója;
- Bently Nevada 3701/44 minden, 4.1-nél korábbi verziója;
- Bently Nevada 3701/46 minden, 4.1-nél korábbi verziója;
- Bently Nevada 60M100 (3701/60) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-29953)/kritikus;
- Missing Authentication for Critical Function (CVE-2022-29952)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-188-02

Bejelentés dátuma: 2022.07.07.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- MicroLogix 1400 21.007-es és korábbi verziói;
- MicroLogix 1100 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Rendered UI Layers or Frames (CVE-2022-2179)/közepes;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-188-01

Bejelentés dátuma: 2022.07.12.
Gyártó: Dahua
Érintett rendszer(ek):
- Dahua ASI7213X-T1 v1.000.10Be006.0.R.201213-as firmware-verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-2335)/közepes;
- Unrestricted Upload of File with Dangerous Type (CVE-2022-2337)/súlyos;
- Authentication Bypass by Capture-replay (CVE-2022-2334)/súlyos;
- Generation of Error Message Containing Sensitive Information (CVE-2022-2338)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-2336)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-193-01

Bejelentés dátuma: 2022.07.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy P5 V01.401.102-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Copy without Checking Size of Input (CVE-2022-34756)/súlyos;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-34757)/közepes;
- Improper Input Validation (CVE-2022-34758)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.07.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Acti9 PowerTag Link C (A9XELC10-A) V1.7.5 és korábbi verziói;
- Acti9 PowerTag Link C (A9XELC10-B) V2.12.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2022-34754)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.07.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- SpaceLogic C-Bus Home Controller (5200WHC2, korábbi nevén C-Bus Wiser Homer Controller MK2) V1.31.460-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-34753)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.07.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- OPC UA Modicon Communication Module (BMENUA0100) V1.10-es és korábbi verziói;
- X80 advanced RTU Communication Module (BMENOR2200H) V1.0 verziója;
- X80 advanced RTU Communication Module (BMENOR2200H) V2.01-es és későbbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-34759)/súlyos;
- Infinite Loop (CVE-2022-34760)/súlyos;
- NULL Pointer Dereference (CVE-2022-34761)/súlyos;
- Path Traversal (CVE-2022-34762)/közepes;
- Insufficient Verification of Data Authenticity (CVE-2022-34763)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-34764)/közepes;
- External Control of File Name or Path (CVE-2022-34765)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid v33.1 minden verziója;
- Parasolid v34.0 minden, v34.0.250-nél korábbi verziója;
- Parasolid v34.1 minden, v34.1.233-nál korábbi verziója;
- Simcenter Femap minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-34465)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM GridEdge Essential ARM (6MD7881-2AA30) minden verziója;
- SICAM GridEdge Essential Intel (6MD7881-2AA40) minden, v2.7.3-nál korábbi verziója;
- SICAM GridEdge Essential with GDS ARM (6MD7881-2AA10) minden verziója;
- SICAM GridEdge Essential with GDS Intel(6MD7881-2AA20) minden, v2.7.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2022-34464)/közepes;
Javítás: Egyes érintett verziókhoz elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE X200-4P IRT (6GK5200-4AH00-2BA3) minden verziója;
- SCALANCE X200-4P IRT (6GK5200-4AH10-2BA3) minden verziója;
- SCALANCE X201-3P IRT (6GK5201-3BH00-2BA3) minden verziója;
- SCALANCE X201-3P IRT (6GK5201-3BH10-2BA3) minden verziója;
- SCALANCE X201-3P IRT PRO (6GK5201-3BH00-2BD2) minden verziója;
- SCALANCE X201-3P IRT PRO (6GK5201-3JR10-2BA6) minden verziója;
- SCALANCE X202-2IRT (6GK5202-2BB00-2BA3) minden verziója;
- SCALANCE X202-2IRT (6GK5202-2BB10-2BA3) minden verziója;
- SCALANCE X202-2P IRT (6GK5202-2BH00-2BA3) minden verziója;
- SCALANCE X202-2P IRT (6GK5202-2BH10-2BA3) minden verziója;
- SCALANCE X202-2P IRT PRO (6GK5202-2JR00-2BA6) minden verziója;
- SCALANCE X202-2P IRT PRO (6GK5202-2JR10-2BA6) minden verziója;
- SCALANCE X204-2 (6GK5204-2BB10-2AA3)minden, v5.2.6-nál korábbi verziója;
- SCALANCE X204-2FM (6GK5204-2BB11-2AA3)minden, v5.2.6-nál korábbi verziója;
- SCALANCE X204-2LD (6GK5204-2BC10-2AA3)minden, v5.2.6-nál korábbi verziója;
- SCALANCE X204-2LD TS (6GK5204-2BC10-2CA2) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X204-2TS (6GK5204-2BB10-2CA2) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X204IRT (6GK5204-0BA00-2BA3) minden verziója;
- SCALANCE X204IRT (6GK5204-0BA10-2BA3) minden verziója;
- SCALANCE X204IRT PRO (6GK5204-0JA00-2BA6) minden verziója;
- SCALANCE X204IRT PRO (6GK5204-0JA10-2BA6) minden verziója;
- SCALANCE X206-1 (6GK5206-1BB10-2AA3) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X206-1LD (6GK5206-1BC10-2AA3) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X208 (6GK5208-0BA10-2AA3) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X208PRO (6GK5208-0HA10-2AA6) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X212-2 (6GK5212-2BB00-2AA3) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X212-2LD (6GK5212-2BC00-2AA3) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X216 (6GK5216-0BA00-2AA3) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X224 (6GK5224-0BA00-2AA3) minden, v5.2.6-nál korábbi verziója;
- SCALANCE XF201-3P IRT (6GK5201-3JR00-2BA6) minden verziója;
- SCALANCE XF202-2P IRT (6GK5202-2BH00-2BD2) minden verziója;
- SCALANCE XF204 (6GK5204-0BA00-2AF2) minden, v5.2.6-nál korábbi verziója;
- SCALANCE XF204-2 (6GK5204-2BC00-2AF2) minden, v5.2.6-nál korábbi verziója;
- SCALANCE XF204-2BA IRT (6GK5204-2AA00-2BD2) minden verziója;
- SCALANCE XF204IRT (6GK5204-0BA00-2BF2) minden verziója;
- SCALANCE XF204IRT (6GK5204-0BA10-2BF2) minden verziója;
- SCALANCE XF206-1 (6GK5206-1BC00-2AF2) minden, v5.2.6-nál korábbi verziója;
- SCALANCE XF208 (6GK5208-0BA00-2AF2) minden, v5.2.6-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Insufficiently Random Values (CVE-2022-26647)/súlyos;
- Classic Buffer Overflow (CVE-2022-26648)/súlyos;
- Classic Buffer Overflow (CVE-2022-26649)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- PADS Standard/Plus Viewer minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-34272)/súlyos;
- Out-of-bounds Write (CVE-2022-34273)/súlyos;
- Out-of-bounds Write (CVE-2022-34274)/súlyos;
- Out-of-bounds Write (CVE-2022-34275)/súlyos;
- Out-of-bounds Write (CVE-2022-34276)/súlyos;
- Out-of-bounds Read (CVE-2022-34277)/súlyos;
- Out-of-bounds Read (CVE-2022-34278)/súlyos;
- Out-of-bounds Read (CVE-2022-34279)/súlyos;
- Out-of-bounds Read (CVE-2022-34280)/súlyos;
- Out-of-bounds Read (CVE-2022-34281)/súlyos;
- Out-of-bounds Read (CVE-2022-34282)/súlyos;
- Out-of-bounds Read (CVE-2022-34283)/súlyos;
- Out-of-bounds Write (CVE-2022-34284)/súlyos;
- Out-of-bounds Read (CVE-2022-34285)/alacsony;
- Out-of-bounds Write (CVE-2022-34286)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-34287)/alacsony;
- Out-of-bounds Read (CVE-2022-34288)/alacsony;
- Out-of-bounds Write (CVE-2022-34289)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-34290)/alacsony;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-34291)/alacsony;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT 

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Teamcenter Visualization V13.3 minden, 13.3.0.5-nél korábbi verziója;
- Teamcenter Visualization V14.0 minden verziója;
- JT2go minden, 13.3.0.5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based buffer Overflow (CVE-2022-2069)/súlyos;
Javítás: Egyes érintett termékekhez elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 8 kompatibilis Mendix Excel Importer Module minden, v9.2.2-nél korábbi verziója;
- Mendix 9 kompatibilis Mendix Excel Importer Module minden, v10.1.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- XML Entity Expansion (CVE-2022-34467)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROX MX5000 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROXMX5000RE minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1400 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1500 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1501 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1510 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1511 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1512 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1524 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1536 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX5000 minden, 2.15.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-29560)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, v2022.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-34748)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC MV540 H (6GF3540-0GE10) minden, v3.3-nál korábbi verziója;
- SIMATIC MV540 S (6GF3540-0CD10) minden, v3.3-nál korábbi verziója;
- SIMATIC MV550 H (6GF3550-0GE10) minden, v3.3-nál korábbi verziója;
- SIMATIC MV550 S (6GF3550-0CD10) minden, v3.3-nál korábbi verziója;
- SIMATIC MV560 U (6GF3560-0LE10) minden, v3.3-nál korábbi verziója;
- SIMATIC MV560 X (6GF3560-0HE10) minden, v3.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Session Expiration (CVE-2022-33137)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-33138)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 9-et használó Mendix alkalmazások minden, v9.11 és v9.15 közötti verziója;
- Mendix 9-et (v9.12-t) használó Mendix alkalmazások minden, v9.12.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Injection (CVE-2022-34466)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.