Az Industroyer (ezt a nevet az ESET adta a malware-nek, a félig utánuk, félig velük versenyezve készült Dragos elemzés a CrashOverride néven emlegette ugyanazt a malware-t) az ICS kiberbiztonság egyik mérföldkövének számít. A 2016. december 17-én bevetett (és konszenzus alapján nagyjából egyértelműen orosz hátterűnek gondolt) malware az ukrán villamosenergia-rendszerirányító Kijev melleti, 330 kV-os alállomásán okozott jelentős üzemzavart - erről több részletben itt a blogon is szó volt.

Az évforduló kapcsán André Lameiras írt egy összefoglalót az Industroyer felfedezéséről, amit már csak azért is érdemes lehet feleleveníteni, hiszen az orosz-ukrán háború kapcsán márciusban ennek a malware-nek a második verziója is bevetésre került. Az összefoglaló itt érhető el: https://www.welivesecurity.com/2022/06/13/industroyer-cyber-weapon-brought-down-power-grid/

Július 5-én volt 5 éve, hogy az amerikai (de bátran mondhatjuk, hogy a globális - mindjárt meg is látjuk, miért) ICS biztonsági közösség elvesztette egyik legmeghatározóbb tagját - Mike Assante elvesztette utolsó csatáját a leukémiával... Halálának 5. évfordulójára Mike Smith egy meglehetősen hosszú és tartalmas összefoglalót készített arról, hogy Mike-nak milyen komoly szerepe volt a 2015. decemberi, ukrán DSO-k elleni orosz kibertámadások kivizsgálásában. A 2016 elején történtek, különösen most, az orosz-ukrán háború 5. hónapjának közepén ismét érdekesek lehetnek azok számára, akik ezzel a témával foglalkoznak - akár hivatásszerűen, akár hobbi-szinten.

Mike Smith írása itt érhető el (regisztráció után).

Bejelentés dátuma: 2022.06.28.
Gyártó: Motorola Solutions
Érintett rendszer(ek):
- Motorola Solutions ACE1000 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Cryptographic Key (CVE-2022-30271)/kritikus;
- Use of Hard-coded Credentials (CVE-2022-30270)/kritikus;
- Use of Hard-coded Cryptographic Key (CVE-2022-30274)/
- Insufficient Verification of Data Authenticity (CVE-2022-30269)/közepes;
- Insufficient Verification of Data Authenticity (CVE-2022-30272)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-179-06

Bejelentés dátuma: 2022.06.28.
Gyártó: Motorola Solutions
Érintett rendszer(ek):
- MDLC 4.80.0024-es, 4.82.004-es és 4.83.001-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-30273)/közepes;
- Plaintext Storage of a Password (CVE-2022-30275)/súlyos;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-179-05

Bejelentés dátuma: 2022.06.28.
Gyártó: Motorola Solutions
Érintett rendszer(ek):
- MOSCAD IP gateway (IPGW) minden verziója;
- ACE IP gateway (CPU 4600) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-30276)/súlyos;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-179-04

Bejelentés dátuma: 2022.06.28.
Gyártó: Advantech
Érintett rendszer(ek):
- Advantech iView minden, 5_7_04_6469-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2022-2135)/súlyos;
- SQL Injection (CVE-2022-2136)/súlyos;
- SQL Injection (CVE-2022-2137)/közepes;
- SQL Injection (CVE-2022-2142)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-2138)/súlyos;
- Relative Path Traversal (CVE-2022-2139)/közepes;
- Command Injection (CVE-2022-2143)/kritikus
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-179-03

Bejelentés dátuma: 2022.06.28.
Gyártó: Omron
Érintett rendszer(ek):
- SYSMAC CS1 minden, 4.1-nél korábbi verziója;
- SYSMAC CJ2M minden, 2.1-nél korábbi verziója;
- SYSMAC CJ2H minden, 1.5-nél korábbi verziója;
- SYSMAC CP1E/CP1H minden, 1.30-nál korábbi verziója;
- SYSMAC CP1L minden, 1.10-nél korábbi verziója;
- CP1W-CIF41 minden verziója;
- SYSMAC CX-Programmer minden, 9.6-nál korábbi verziója;
- SYSMAC NJ/NX Series minden, 1.49-nél (1.29 for NX7) korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-31204)/közepes;
- Plaintext Storage of a Password (CVE-2022-31205)/közepes;
- Insufficient Verification of Data Authenticity (CVE-2022-31207)/közepes;
- Insufficient Verification of Data Authenticity (CVE-2022-31206)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-179-02

Bejelentés dátuma: 2022.06.28.
Gyártó: ABB
Érintett rendszer(ek):
- e-Design minden, 1.12.2.0006-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Default Permissions (CVE-2022-28702)/közepes;
- Incorrect Default Permissions (CVE-2022-29483)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-179-01

Bejelentés dátuma: 2022.06.30.
Gyártó: Distributed Data Systems
Érintett rendszer(ek):
- WebHMI 4.1.1.7662-es és (feltételezhetően) korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-2254)/közepes;
- OS Command Injection (CVE-2022-2253)/kritikus;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-181-04

Bejelentés dátuma: 2022.06.30.
Gyártó: Emerson
Érintett rendszer(ek):
- DeltaV M-sorozat minden verziója;
- DeltaV S-sorozat minden verziója;
- DeltaV P-sorozat minden verziója;
- DeltaV SIS minden verziója;
- DeltaV CIOC/EIOC/WIOC IO kártyák minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-29957)/közepes;
- Use of Hard-coded Credentials (CVE-2022-29962)/közepes;
- Use of Hard-coded Credentials (CVE-2022-29963)/alacsony;
- Use of Hard-coded Credentials (CVE-2022-29964)/közepes;
- Insufficient Verification of Data Authenticity (CVE-2022-30260)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-29965)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-181-03

Bejelentés dátuma: 2022.06.30.
Gyártó: Yokogawa
Érintett rendszer(ek):
- Wide Area Communication Router (AW810D típusú eszközökhöz) VI461: Vnet/IP firmware (F) R12 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Insufficiently Random Values (CVE-2022-32284)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-181-02

Bejelentés dátuma: 2022.06.30.
Gyártó: Exemys
Érintett rendszer(ek):
- Exemys RME1-AI minden, 2.1.6-nál korábbi firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2022-2197)/kritikus;
Javítás: Nem elérhető, a termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-181-01

Bejelentés dátuma: 2022.07.01.
Gyártó: Belden
Érintett rendszer(ek):
- ProSoft RadioLinx RLX2-IHNF-sorozatú termékek v0038C és korábbi verziói;
- ProSoft RadioLinx RLX2-IHNF-W-sorozatú termékek v0038C és korábbi verziói;
- ProSoft RadioLinx RLX2-IHNF-WC-sorozatú termékek v0038C és korábbi verziói;
- ProSoft RadioLinx RLX2-IHG-sorozatú termékek v0038C és korábbi verziói;
- ProSoft RadioLinx RLX2-IHA-sorozatú termékek v0038C és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- CVE-2020-26139/közepes;
- CVE-2020-26146/közepes;
- CVE-2020-26147/közepes;
- CVE-2020-26142/közepes;
Javítás: Elérhető
Link a publikációhoz: https://dam.belden.com

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A szomszédban háború van (persze mint ma már bármi mást is, ezt is sokan vitatják és én valószínűleg csak azért nem fogok hideget-meleget kapni bizonyos emberektől, mert ez egy meglehetősen marginális érdeklődésre számot tartó szakmai blog) és szinte naponta láthatunk felvételeket modern elektronikával telezsúfolt fegyverrendszerekről. Ugyanígy a Magyar Honvédség is egyre több modern, komoly szoftverkódokra épülő eszközöket (elég csak kettőt megemlíteni, a már több, mint 15 éve hadrendbe állított JAS-39 Gripenekre és a beszerzés alatt álló Panzerhaubitze 2000 önjáró tarackokra gondolni), ezért is érdekes az a cikk, amit a Wired.com-on találtam és a különböző fegyverrendszerek kiberbiztonságát boncolgatja.

Persze az ember azt gondolhatná, hogy a Gripen számítógépeinél nem lehet kérdés, hogy nem csatlakoztatják Internetre vagy más, kockázatos hálózatokra, ráadásul a Gripeneket üzemeltető műszaki katonák biztosan fegyelmezettebbek, mint az átlagos vállalati felhasználó (nevezzük csak Dave-nek), de, bár a fegyelmezettséget nem tisztem vitatni, a biztonságtudatosság terén már élhetek a gyanúval, hogy sajnos nem feltétlenül jobb a helyzet, mint egy átlagos vállalat átlagos felhasználói esetén. Így aztán pedig esély mutatkozik arra is, hogy pl. a karbantartáshoz használt számítógépeken keresztül akár véletlenül, akár szándékosan (ugye emlékszünk még a Stuxnet esetén használt támadási vektorokra?) kártékony kód keveredjen egy fegyverrendszert vezérlő számítógépre.

Mivel a modern fegyvereknek egyre inkább elválaszthatatlan részét képezik a számítógépek és azok szoftverei, a jelenleg zajló háború pedig már most láthatóan az elmúlt 75 év egyik, ha nem a legkomolyabb fegyverkezését indítja el Európában, talán nem ártana ezeknek a beszerzésre kerülő és már hadrendbe állított fegyverrendszerek kiberbiztonságával is megfelelő szinten foglalkozni.

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS Data Server 15.0.0.22139-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Copy without Checking Size of Input (CVE-2022-32522)/kritikus;
- Buffer Copy without Checking Size of Input (CVE-2022-32523)/kritikus;
- Buffer Copy without Checking Size of Input (CVE-2022-32524)/kritikus;
- Buffer Copy without Checking Size of Input (CVE-2022-32525)/kritikus;
- Buffer Copy without Checking Size of Input (CVE-2022-32526)/kritikus;
- Buffer Copy without Checking Size of Input (CVE-2022-32527)/kritikus;
- Missing Authentication for Critical Function (CVE-2022-32528)/súlyos;
- Buffer Copy without Checking Size of Input (CVE-2022-32529)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Geo SCADA Mobile 222-es és korábbi build-jei;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2022-32530)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Conext™ ComBox minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-32515)/súlyos;
- Cross-Site Request Forgery (CVE-2022-32516)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2022-32517)/közepes;
Javítás: Nincs
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Power Commission V2.22-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-0223)/közepes;
- Path Traversal (CVE-2022-22731)/közepes;
- Exposure of Resource to Wrong Sphere (CVE-2022-22732)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric C-Bus Network Automation Controller, LSS5500NAC V1.10.0 és korábbi verziói;
- Schneider Electric Wiser for C-Bus Automation Controller, LSS5500SHAC V1.10.0 és korábbi verziói;
- Clipsal C-Bus Network Automation Controller, 5500NAC V1.10.0 és korábbi verziói;
- Clipsal Wiser for C-Bus Automation Controller, 5500SHAC V1.10.0 és korábbi verziói;
- SpaceLogic C-Bus Network Automation Controller, 5500NAC2 V1.10.0 és korábbi verziói;
- SpaceLogic C-Bus Application Controller, 5500AC2 V1.10.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Weak Password Requirements (CVE-2022-32513)/kritikus;
- Improper Authentication (CVE-2022-32514)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- CanBRASS V7.5.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-32512)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Cybersecurity Admin Expert (CAE) 2.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Spoofing (CVE-2022-32747)/súlyos;
- Improper Certificate Validation (CVE-2022-32748)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.06.21.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek): MELSEC Q és L-sorozatú készülékek alábbi CPU-sorozatokkal szerelt példányai:
- Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU minden verziója;
- Q03/04/06/13/26UDVCPU 24051 és korábbi sorozatszámú verziók;
- Q04/06/13/26UDPVCPU 24051 és korábbi sorozatszámú verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Resource Locking (CVE-2022-24946)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-172-01

Bejelentés dátuma: 2022.06.21.
Gyártó: Phoenix Contact
Érintett rendszer(ek):
- ILC 1x0 minden változata;
- ILC 1x1 minden változata;
- ILC 3xx minden változata;
- AXC 1050 2700988-as cikkszámú változata;
- AXC 1050XC 2701295-ös cikkszámú változata;
- AXC 3050 2700989-es cikkszámú változata;
- RFC 480S 2404577-es cikkszámú változata;
- RFC 470S 2916794-es cikkszámú változata;
- RFC 460R 2700784-es cikkszámú változata;
- RFC 430 ETH 2730190-es cikkszámú változata;
- RFC 450 ETH 2730200-as cikkszámú változata;
- PC WORX SRT 2701680-as cikkszámú változata;
- PC WORX RT BASIC 2700291-es cikkszámú változata;
- FC 350 PCI ETH 2730844-es cikkszámú változata;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2019-9201)/kritikus;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-172-05

Bejelentés dátuma: 2022.06.23.
Gyártó: Elcomplus
Érintett rendszer(ek):
- SmartICS webes HMI v2.3.4.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-2140)/súlyos;
- Relative Path Traversal (CVE-2022-2106)/alacsony;
- Cross-site Scripting (CVE-2022-2088)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-05

Bejelentés dátuma: 2022.06.23.
Gyártó: Pyramid Solutions
Érintett rendszer(ek):
- EtherNet/IP Adapter Development Kit (EADK) 4.4.0-es és korábbi verziói;
- EtherNet/IP Adapter DLL Kit (EIPA) 4.4.0-es és korábbi verziói;
- EtherNet/IP Scanner Development Kit (EDKS) 4.4.0-es és korábbi verziói;
- EtherNet/IP Scanner DLL Kit (EIPS) 4.4.0-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-1737)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-04

Bejelentés dátuma: 2022.06.23.
Gyártó: Secheron
Érintett rendszer(ek):
- SEPCOS Single Package firmware (1.23.xx funkció szint) minden, 1.23.21-nél korábbi verziója;
- SEPCOS Single Package firmware (1.24.xx funkció szint) minden, 1.24.8-nál korábbi verziója;
- SEPCOS Single Package firmware (1.25.xx funkció szint) minden, 1.25.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Enforcement of Behavioral Workflow (CVE-2022-2105)/kritikus;
- Improper Enforcement of Behavioral Workflow (CVE-2022-1667)/súlyos;
- Improper Enforcement of Behavioral Workflow (CVE-2022-2102)/kritikus;
- Weak Password Requirements (CVE-2022-1668)/kritikus;
- Improper Access Control (CVE-2022-2103)/kritikus;
- Improper Privilege Management (CVE-2022-2104)/kritikus;
- Insufficiently Protected Credentials (CVE-2022-1666)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-03

Bejelentés dátuma: 2022.06.23.
Gyártó: Yokogawa
Érintett rendszer(ek):
- CENTUM CS 3000 (beleértve a CENTUM CS 3000 belépő szintű eszközöket is) R3.08.10-től R3.09.00-ig terjedő verziói, ha az LHS4800 (CAMS for HIS) telepítve van;
- CENTUM VP (beleértve a CENTUM VP belépő szintű eszközöket is) Versions R4.01.00-tól R4.03.00-ig terjedő verziói (ha a CAMS funkció használatban van) és az R5.01.00-tól R5.04.20-ig, valamint az R6.01.00-tól R6.09.00-ig terjedő verziói;
- Exaopc R3.72.00-tól R3.80.00-ig terjedő verziói (ha az NTPF100-S6 "For CENTUM VP Support CAMS for HIS" telepítve van);
- B/M9000CS R5.04.01-től R5.05.01-ig terjedő verziói;
- B/M9000 VP R6.01.01-től R8.03.01-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Violation of Secure Design Principles (CVE-2022-30707)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-02

Bejelentés dátuma: 2022.06.23.
Gyártó: OFFIS
Érintett rendszer(ek):
- DCMTK minden, 3.6.7-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-2119)/súlyos;
- Relative Path Traversal (CVE-2022-2120)/súlyos;
- NULL Pointer Dereference (CVE-2022-2121)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-174-01

OT:ICEFALL sérülékenységek
A Forescout kutatói több sérülékenységet azonosítottak az alábbi gyártók megjelölt termékeiben:

Bejelentés dátuma: 2022.06.21.
Gyártó: Phoenix Contact
Érintett rendszer(ek):
- ProConOS minden verziója;
- ProConOS eCLR minden verziója;
- MULTIPROG minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-31801)/kritikus;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-172-04

Bejelentés dátuma: 2022.06.21.
Gyártó: Phoenix Contact
Érintett rendszer(ek):
- ILC 1x0 minden változata;
- ILC 1x1 minden változata;
- ILC 1x1 GSM/GPRS 2700977-es változata;
- ILC 3xx minden változata;
- AXC 1050 2700988-as változata;
- AXC 1050 XC 2701295-ös változata;
- AXC 3050 2700989-es változata;
- RFC 480S PN 4TX 2404577-es változata;
- RFC 470 PN 3TX 2916600-as változata;
- RFC 470S PN 3TX 2916794-es változata;
- RFC 460R PN 3TX 2700784-es változata;
- RFC 460R PN 3TX-S 1096407-es változata;
- RFC 430 ETH-IB 2730190-es változata;
- RFC 450 ETH-IB 2730200-as változata;
- PC WORX SRT 2701680-as változata;
- PC WORX RT BASIC 2700291-es változata;
- FC 350 PCI ETH 2730844-es változata;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-31801)/kritikus;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-172-03

Bejelentés dátuma: 2022.06.21.
Gyártó: JTEKT
Érintett rendszer(ek):
- PC10G-CPU Type=TCC-6353 minden verziója;
- PC10GE Type=TCC-6464 minden verziója;
- PC10P Type=TCC-6372 minden verziója;
- PC10P-DP Type=TCC-6726 minden verziója;
- PC10P-DP-IO Type=TCC-6752 minden verziója;
- PC10B-P Type=TCC-6373 minden verziója;
- PC10B Type=TCC-1021 minden verziója;
- PC10E Type=TCC-4737 minden verziója;
- PC10EL Type=TCC-4747 minden verziója;
- Plus CPU Type=TCC-6740 minden verziója;
- PC3JX Type=TCC-6901 minden verziója;
- PC3JX-D Type=TCC-6902 minden verziója;
- PC10PE Type=TCC-1101 minden verziója;
- PC10PE-1616P Type=TCC-1102 minden verziója;
- PCDL Type=TKC-6688 minden verziója;
- Nano 10GX Type=TUC-1157 minden verziója;
- Nano CPU Type=TUC-6941 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-29951)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2022-29958)/súlyos;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-172-02

Bejelentés dátuma: 2022.06.23.
Gyártó: Yokogawa
Érintett rendszer(ek):
- STARDOM FCN/FCJ R1.01-től R4.31-ig terjedő verziói;
- STARDOM FCN/FCJ dual CPU moduljainak R4.10-től R4.31-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-29519)/közepes;
- Use of Hard-coded Credentials (CVE-2022-30997)/közepes;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-01

Bejelentés dátuma: 2022.06.21.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC WinCC OA v3.16 minden verziója;
- SIMATIC WinCC OA v3.17 minden verziója;
- SIMATIC WinCC OA v3.18 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Client-side Authentication (CVE-2022-33139)/kritikus;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Sokan és sokszor írtak már (néha én is) az OT kiberbiztonsági területhez szükséges szerteágazó tudásról és tapasztalatokról és az is viszonylag gyakran szóba kerül, milyen komoly hiány mutatkozik az ilyen téren képzett szakemberekből. A mai podcast-ben Tom VanNorman beszél a témával kapcsolatos tapasztalatairól, többek között arról, hogy bár az OT biztonsági képzések jók, de a gyakorlati tapasztalatot semmi sem pótolhatja. A podcast-et itt lehet meghallgatni: https://claroty.com/2022/01/13/blog-research-aperture-podcast-tom-vannorman-on-the-ot-cybersecurity-skills-gap/

Bejelentés dátuma: 2022.06.14.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC-Q sorozatú eszközök QJ71E71-100 24061-es és megelőző verziói;
- MELSEC-L sorozatú eszközök LJ71E71-100 24061-es és megelőző verziói;
- MELSEC iQ-R sorozatú eszközök RD81MES96N 08-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-25163)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-165-03

Bejelentés dátuma: 2022.06.16.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- Az alábbi sorozatú CPU-kkal szerelt, soros kommunikációt használó DirectLOGIC programozható vezérlők:
- D0-06DD1 v2.72-nél korábbi verziói;
- D0-06DD2 v2.72-nél korábbi verziói;
- D0-06DR v2.72-nél korábbi verziói;
- D0-06DA v2.72-nél korábbi verziói;
- D0-06AR v2.72-nél korábbi verziói;
- D0-06AA v2.72-nél korábbi verziói;
- D0-06DD1-D v2.72-nél korábbi verziói;
- D0-06DD2-D v2.72-nél korábbi verziói;
- D0-06DR-D v2.72-nél korábbi verziói;
- D0-06DD2-D v2.72-nél korábbi verziói;
- D0-06DR-D v2.72-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-2003)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-167-02

Bejelentés dátuma: 2022.06.16.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- A C-more EA9 típusú ipari érintőkijelzős HMI-ok alábbi cikkszámú és verziójú példányai:
- EA9-T6CL 6.73-as és korábbi verziói;
- EA9-T6CL-R 6.73-as és korábbi verziói;
- EA9-T7CL 6.73-as és korábbi verziói;
- EA9-T7CL-R 6.73-as és korábbi verziói;
- EA9-T8CL 6.73-as és korábbi verziói;
- EA9-T10CL 6.73-as és korábbi verziói;
- EA9-T10WCL 6.73-as és korábbi verziói;
- EA9-T12CL 6.73-as és korábbi verziói;
- EA9-T15CL 6.73-as és korábbi verziói;
- EA9-T15CL-R 6.73-as és korábbi verziói;
- EA9-RHMI 6.73-as és korábbi verziói;
- EA9-PGMSW 6.73-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2022-2006)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2022-2005)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-167-01

Bejelentés dátuma: 2022.06.16.
Gyártó: Hillrom Medical
Érintett rendszer(ek):
- Welch Allyn ELI 380 Resting Electrocardiograph 2.6.0 és korábbi verziói;
- Welch Allyn ELI 280/BUR280/MLBUR 280 Resting Electrocardiograph 2.3.1 és korábbi verziói;
- Welch Allyn ELI 250c/BUR 250c Resting Electrocardiograph 2.1.2 és korábbi verziói;
- Welch Allyn ELI 150c/BUR 150c/MLBUR 150c Resting Electrocardiograph 2.2.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Password (CVE-2022-26388)/közepes;
- Improper Access Control (CVE-2022-26389)/súlyos;
Javítás: Várhatóan 2023 utolsó negyedévében fog érkezni.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-167-01

Bejelentés dátuma: 2022.06.16.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- H0-ECOM és H0-ECOM100 minden, D0-06 sorozatú CPU-i:
- D0-06DD1 v2.72 és korábbi verziói;
- D0-06DD2 v2.72 és korábbi verziói;
- D0-06DR v2.72 és korábbi verziói;
- D0-06DA v2.72 és korábbi verziói;
- D0-06AR v2.72 és korábbi verziói;
- D0-06AA v2.72 és korábbi verziói;
- D0-06DD1-D v2.72 és korábbi verziói;
- D0-06DD2-D v2.72 és korábbi verziói;
- D0-06DR-D v2.72 és korábbi verziói;

Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-2004)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2022-2003)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-167-03

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7 kompatibilis Mendix SAML Modulok minden, v1.16.6-nál korábbi verziója;
- Mendix 8 kompatibilis Mendix SAML Modulok minden, v2.2.2-nél korábbi verziója;
- Mendix 9 kompatibilis Mendix SAML Modulok minden, v3.2.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-32285)/súlyos;
- Cross-site Scripting (CVE-2022-32286)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM NMS minden olyan verziója, ami használja a tűzfal-frissítés funkciót;
- SINEC NMS minden verziója;
- SINEMA Remote Connect Server minden, v3.1-nél korábbi verziója;
- SINEMA Server v14 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2021-34798)/súlyos;
- Out-of-bounds Write (CVE-2021-39275)/kritikus;
- Server-side Request Forgery (CVE-2021-40438)/kritikus;
Javítás: A SINEMA Remote Connect Server-hez elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- EN100 Ethernet modul DNP3 IP változatának minden verziója;
- EN100 Ethernet modul IEC 104 változatának minden verziója;
- EN100 Ethernet modul IEC 61850 változatának minden, v4.37-nél korábbi verziója;
- EN100 Ethernet modul Modbus TCP változatának minden verziója;
- EN100 Ethernet modul PROFINET IO változatának minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-30937)/súlyos;
Javítás: Az IEC 61850 változathoz elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEMA Remote Connect Server minden, v3.0 SP2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improperly Implemented Security Check for Standard (CVE-2022-27219)/közepes;
- Improperly Implemented Security Check for Standard (CVE-2022-27220)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM GridEdge Essential ARM minden, v2.6.6-nál korábbi verziója;
- SICAM GridEdge Essential Intel minden, v2.6.6-nál korábbi verziója;
- GDS ARM-mel szerelt SICAM GridEdge Essential minden, v2.6.6-nál korábbi verziója;
- GDS Intel-szerelt SICAM GridEdge Essential minden, v2.6.6-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-30229)/kritikus;
- Missing Authentication for Critical Function (CVE-2022-30230)/kritikus;
- Resource Leak (CVE-2022-30231)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE LPE9403 (Local Processing Engine) minden, v2.0-nál korábbi verziója;
- A SCALANCE LPE9403 részét képező alábbi, harmadik féltől származó komponensek:
- CivetWeb;
- Docker;
- Linux kernel és rendszer;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2020-27304)/kritikus;
- Improper Initialization (CVE-2021-20317)/közepes;
- Allocation of resources without limits or throttling (CVE-2021-33910)/közepes;
- Race condition (CVE-2021-36221)/közepes;
- Allocation of resources without limits or throttling (CVE-2021-39293)/súlyos;
- Improper Preservation of Permissions (CVE-2021-41089)/alacsony;
- Incorrect Permission Assignment for Critical Resources (CVE-2021-41091)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-41092)/közepes;
- Path Traversal (CVE-2021-41103)/közepes;
- Improper Preservation of Permissions (CVE-2022-0847)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Xpedition Designer minden, vX.2.11-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2022-31465)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek) az alábbi SCALANCE X ipari switch-ek:
- XM408-4C minden, v6.5-nél korábbi verziója;
- XM408-4C (L3 int.) minden, v6.5-nél korábbi verziója;
- XM408-8C minden, v6.5-nél korábbi verziója;
- XM408-8C (L3 int.) minden, v6.5-nél korábbi verziója;
- XM416-4C minden, v6.5-nél korábbi verziója;
- XM416-4C (L3 int.) minden, v6.5-nél korábbi verziója;
- XR524-8C 1 db 230V-os csatlakozóval szerelt változatának minden, v6.5-nél korábbi verziója;
- XR524-8C 1 db 230V-os csatlakozóval szerelt változatának (L3 int.) minden, v6.5-nél korábbi verziója;
- XR524-8C 2 db 230V-os csatlakozóval szerelt változatának minden, v6.5-nél korábbi verziója;
- XR524-8C 2 db 230V-os csatlakozóval szerelt változatának (L3 int.) minden, v6.5-nél korábbi verziója;
- XR524-8C 24V-os csatlakozóval szerelt változatának minden, v6.5-nél korábbi verziója;
- XR524-8C 24V-os csatlakozóval szerelt változatának minden, v6.5-nél korábbi verziója;
- XR526-8C 1 db 230V-os csatlakozóval szerelt változatának minden, v6.5-nél korábbi verziója;
- XR526-8C 1 db 230V-os csatlakozóval szerelt változatának minden, v6.5-nél korábbi verziója;
- XR526-8C 2 db 230V-os csatlakozóval szerelt változatának (L3 int.) minden, v6.5-nél korábbi verziója;
- XR526-8C 2 db 230V-os csatlakozóval szerelt változatának (L3 int.) minden, v6.5-nél korábbi verziója;
- XR526-8C 24V-os csatlakozóval szerelt változatának minden, v6.5-nél korábbi verziója;
- XR526-8C 24V-os csatlakozóval szerelt változatának minden, v6.5-nél korábbi verziója;
- XR528-6M minden, v6.5-nél korábbi verziója;
- XR528-6M (2HR2) minden, v6.5-nél korábbi verziója;
- XR528-6M (2HR2, L3 int.) minden, v6.5-nél korábbi verziója;
- XR528-6M (L3 int.) minden, v6.5-nél korábbi verziója;
- XR552-12M minden, v6.5-nél korábbi verziója;
- XR552-12M (2HR2) minden, v6.5-nél korábbi verziója;
- XR552-12M (2HR2) minden, v6.5-nél korábbi verziója;
- XR552-12M (2HR2, L3 int.) minden, v6.5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Validation of Integrity Check Value (CVE-2021-37182)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Spectrum Power 4 minden, shared HIS-t használó verziója;
- Spectrum Power 7 minden, shared HIS-t használó verziója;
- Spectrum Power MGMS minden, shared HIS-t használó verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-26476)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Teamcenter v12.4 minden, v12.4.0.13-nál korábbi verziója;
- Teamcenter v13.0 minden, v13.0.0.9-nél korábbi verziója;
- Teamcenter v13.1 minden, v13.1.0.9-nél korábbi verziója;
- Teamcenter v13.2 minden verziója;
- Teamcenter v13.3 minden, v13.3.0.3-nál korábbi verziója;
- Teamcenter v14.0 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-31619)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE LPE9403 (6GK5998-3GS00-2AC2) minden, V2.0-nál korábbi verziója;
- SINUMERIK Edge minden, V3.3.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2021-4034)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-330556.pdf

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Teamcenter Active Workspace V5.2 minden, V5.2.9-nél korábbi verziója;
- Teamcenter Active Workspace V6.0 minden, V6.0.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-32145)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-401167.pdf

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEMA Remote Connect Server minden, V3.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Incorrectly-Resolved Name or Reference (CVE-2021-22925)/közepes;
- Uncontrolled Resource Consumption (CVE-2021-45960)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-46143)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-22822)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22823)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22824)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22825)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-22826)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-22827)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-23852)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-23990)/kritikus;
- Improper Encoding or Escaping of Output (CVE-2022-25235)/kritikus;
- Exposure of Resource to Wrong Sphere (CVE-2022-25236)/kritikus;
- Uncontrolled Resource Consumption (CVE-2022-25313)/közepes;
- Integer Overflow or Wraparound (CVE-2022-25314)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-25315)/kritikus;
- Cryptographic Issues (CVE-2022-27221)/közepes;
- Cross-site Scripting (CVE-2022-29034)/közepes;
- Missing Authentication for Critical Function (CVE-2022-32251)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2022-32252)/közepes;
- Improper Input Validation (CVE-2022-32253)/közepes;
- Insertion of Sensitive Information into Log File (CVE-2022-32254)/közepes;
- Improper Access Control (CVE-2022-32255)/közepes;
- Improper Access Control (CVE-2022-32256)/közepes;
- Obsolete Feature in UI (CVE-2022-32258)/közepes;
- Improper Access to Sensitive Information Using Debug and Test Interfaces (CVE-2022-32259)/közepes;
- Incorrect User Management (CVE-2022-32260)/közepes;
- Improper Handling of Parameters (CVE-2022-32261)/közepes;
- Command Injection (CVE-2022-32262)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-484086.pdf

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Industrial Edge - OPC UA Connector minden verziója;
- Industrial Edge - PROFINET IO Connector minden verziója;
- Industrial Edge - SIMATIC S7 Connector App minden, V1.7.0-nál korábbi verziója;
- RUGGEDCOM CROSSBOW Station Access Controller minden, ROX-on futó verziója;
- RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) minden verziója;
- RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) minden verziója;
- RUGGEDCOM ROX MX5000 minden verziója;
- RUGGEDCOM ROX MX5000RE minden verziója;
- RUGGEDCOM ROX RX1400 minden verziója;
- RUGGEDCOM ROX RX1500 minden verziója;
- RUGGEDCOM ROX RX1501 minden verziója;
- RUGGEDCOM ROX RX1510 minden verziója;
- RUGGEDCOM ROX RX1511 minden verziója;
- RUGGEDCOM ROX RX1512 minden verziója;
- RUGGEDCOM ROX RX1524 minden verziója;
- RUGGEDCOM ROX RX1536 minden verziója;
- RUGGEDCOM ROX RX5000 minden verziója;
- SCALANCE LPE9403 (6GK5998-3GS00-2AC2) minden, V2.0-nál korábbi verzió;
- SCALANCE M804PB (6GK5804-0AP00-2AA2) minden verziója;
- SCALANCE M812-1 ADSL-Router (Annex A) (6GK5812-1AA00-2AA2) minden verziója;
- SCALANCE M812-1 ADSL-Router (Annex B) (6GK5812-1BA00-2AA2) minden verziója;
- SCALANCE M816-1 ADSL-Router (Annex A) (6GK5816-1AA00-2AA2) minden verziója;
- SCALANCE M816-1 ADSL-Router (Annex B) (6GK5816-1BA00-2AA2) minden verziója;
- SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) minden verziója;
- SCALANCE M874-2 (6GK5874-2AA00-2AA2) minden verziója;
- SCALANCE M874-3 (6GK5874-3AA00-2AA2) minden verziója;
- SCALANCE M876-3 (EVDO) (6GK5876-3AA02-2BA2) minden verziója;
- SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) minden verziója;
- SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) minden verziója;
- SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) minden verziója;
- SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) minden verziója;
- SCALANCE MUM853-1 (RoW) (6GK5853-2EA00-2AA1) minden verziója;
- SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) minden verziója;
- SCALANCE MUM856-1 (NAM) (6GK5856-2EA00-3BA1) minden verziója;
- SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) minden verziója;
- SCALANCE S615 (6GK5615-0AA00-2AA2) minden verziója;
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) minden, V2.3.1-nél korábbi verziója;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) minden, V2.3.1-nél korábbi verziója;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) minden, V2.3.1-nél korábbi verziója;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) minden, V2.3.1-nél korábbi verziója;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) minden, V2.3.1-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC712 (6GK1411-1AC00) minden verziója;
- SIMATIC Cloud Connect 7 CC716 (6GK1411-5AC00) minden verziója;
- SIMATIC CP 343-1 Advanced (6GK7343-1GX31-0XE0) minden verziója;
- SIMATIC CP 443-1 Advanced (6GK7443-1GX30-0XE0) minden verziója;
- SIMATIC CP 443-1 OPC UA (6GK7443-1UX00-0XE0) minden verziója;
- SIMATIC CP 1242-7 V2 (6GK7242-7KX31-0XE0) minden verziója;
- SIMATIC CP 1243-1 (6GK7243-1BX30-0XE0) minden verziója;
- SIMATIC CP 1243-7 LTE EU (6GK7243-7KX30-0XE0) minden verziója;
- SIMATIC CP 1243-7 LTE US (6GK7243-7SX30-0XE0) minden verziója;
- SIMATIC CP 1243-8 IRC (6GK7243-8RX30-0XE0) minden verziója;
- SIMATIC CP 1542SP-1 (6GK7542-6UX00-0XE0) minden verziója;
- SIMATIC CP 1543-1 (6GK7543-1AX00-0XE0) minden verziója;
- SIMATIC CP 1543SP-1 (6GK7543-6WX00-0XE0) minden verziója;
- SIMATIC CP 1545-1 (6GK7545-1GX00-0XE0) minden verziója;
- SIMATIC CP 1626 (6GK1162-6AA01) minden verziója;
- SIMATIC CP 1628 (6GK1162-8AA00) minden verziója;
- SIMATIC ET 200SP Open Controller (a SIPLUS változatok is) minden verziója;
- SIMATIC Logon minden verziója;
- SIMATIC MV540 H (6GF3540-0GE10) minden verziója;
- SIMATIC MV540 S (6GF3540-0CD10) minden verziója;
- SIMATIC MV550 H (6GF3550-0GE10) minden verziója;
- SIMATIC MV550 S (6GF3550-0CD10) minden verziója;
- SIMATIC MV560 U (6GF3560-0LE10) minden verziója;
- SIMATIC MV560 X (6GF3560-0HE10) minden verziója;
- SIMATIC NET PC Software V14 minden verziója;
- SIMATIC NET PC Software V15 minden verziója;
- SIMATIC NET PC Software V16 minden verziója;
- SIMATIC NET PC Software V17 minden verziója;
- SIMATIC PCS 7 TeleControl minden verziója;
- SIMATIC PCS neo minden verziója;
- SIMATIC PDM minden verziója;
- SIMATIC RF166C (6GT2002-0EE20) minden V2.0.1-nél korábbi verziója;
- SIMATIC RF185C (6GT2002-0JE10) minden V2.0.1-nél korábbi verziója;
- SIMATIC RF186C (6GT2002-0JE20) minden V2.0.1-nél korábbi verziója;
- SIMATIC RF186CI (6GT2002-0JE50) minden V2.0.1-nél korábbi verziója;
- SIMATIC RF188C (6GT2002-0JE40) minden V2.0.1-nél korábbi verziója;
- SIMATIC RF188CI (6GT2002-0JE60) minden V2.0.1-nél korábbi verziója;
- SIMATIC RF360R (6GT2801-5BA30): All versions < V2.0.1
- SIMATIC RF610R (6GT2811-6BC10) minden V4.0.1-nél korábbi verziója;
- SIMATIC RF615R (6GT2811-6CC10) minden V4.0.1-nél korábbi verziója;
- SIMATIC RF650R (6GT2811-6AB20) minden V4.0.1-nél korábbi verziója;
- SIMATIC RF680R (6GT2811-6AA10) minden V4.0.1-nél korábbi verziója;
- SIMATIC RF685R (6GT2811-6CA10) minden V4.0.1-nél korábbi verziója;
- SIMATIC S7-1200 CPU family (a SIPLUS változatok is) minden verziója;
- SIMATIC S7-1500 CPU family (az ET200 CPU-val szerelt és a SIPLUS változatok is) minden verziója;
- SIMATIC S7-1500 Software Controller (beleértve az F változatot is) minden verziója;
- SIMATIC S7-PLCSIM Advanced minden verziója;
- SIMATIC STEP 7 (TIA Portal) minden verziója;
- SIMATIC STEP 7 V5.X minden verziója;
- SIMATIC WinCC (TIA Portal) minden verziója;
- SINAUT Software ST7sc minden verziója;
- SINAUT ST7CC minden verziója;
- SINEC INS minden verziója;
- SINEC NMS minden verziója;
- SINEMA Remote Connect Server minden, V3.1-nél korábbi verziója;
- SIPLUS ET 200SP CP 1543SP-1 ISEC (6AG1543-6WX00-7XE0) minden verziója;
- SIPLUS ET 200SP CP 1543SP-1 ISEC TX RAIL (6AG2543-6WX00-4XE0) minden verziója;
- SIPLUS NET CP 343-1 Advanced (6AG1343-1GX31-4XE0) minden verziója;
- SIPLUS NET CP 443-1 Advanced (6AG1443-1GX30-4XE0) minden verziója;
- SIPLUS NET CP 1242-7 V2 (6AG1242-7KX31-7XE0) minden verziója;
- SIPLUS NET CP 1543-1 (6AG1543-1AX00-2XE0) minden verziója;
- SIPLUS S7-1200 CP 1243-1 (6AG1243-1BX30-2AX0) minden verziója;
- SIPLUS S7-1200 CP 1243-1 RAIL (6AG2243-1BX30-1XE0) minden verziója;
- SIPLUS TIM 1531 IRC (6AG1543-1MX00-7XE0) minden verziója;
- TeleControl Server Basic V3 minden verziója;
- TIA Administrator minden verziója;
- TIA Portal Cloud minden verziója;
- TIA Portal V15 minden verziója;
- TIA Portal V16 minden verziója;
- TIA Portal V17 minden verziója;
- TIM 1531 IRC (6GK7543-1MX00-0XE0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Infinite Loop (CVE-2022-0778)/súlyos;
Javítás: Egyes érintett rendszerekhez elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-712929.pdf

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A kockázatkezelés minden fajta információ- és IT biztonsági tevékenység egyik alapvető pillére, így az ipari/folyamatirányítási IT (vagy másik nevén OT) biztonsági folyamatokban sem lehet figyelmen kívül hagyni. Sőt, lévén a különböző fizikai folyamatok vezérléséért felelős rendszerek esetén nem csak a Bizalmasság/Sértetlenség/Rendelkezésre állás szempontjainak kell érvényesülni, hanem a még ezeknél is fontosabb safety-nek (emberélet és emberek testi épségének védelme), a kockázatok minél alaposabb felmérése, elemzése és még elfogadható szintre csökkentése fontosabb is, mint a "csak" adatokkal dolgozó IT rendszerek esetén.

Nemrég egy ebben a témában született útmutatóval találkoztam, amit Jason D. Christopher, a Dragos egyik vezető kiberbiztonsági kockázatkezelési tanácsadója írt. Az útmutatóban egyebek mellett az alábbi témaköröket érinti a szerző:

- Hogyan építsünk (vagy alakítsunk át egy létező) kockázatkezelési folyamatot úgy, hogy az ICS rendszerek kockázatait is megfelelően figyelembe vegyük;
- Mi a legjobb módja az OT biztonsági kockázatok felsővezetők felé történő kommunikálásának?

A teljes útmutató a Dragos weboldaláról tölthető le (regisztráció után): https://www.dragos.com/resource/industrial-cyber-risk-management/

Bejelentés dátuma: 2022.06.09.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- G-150AD 3.21-es és korábbi verziói;
- AG-150A-A 3.21-es és korábbi verziói;
- AG-150A-J 3.21-es és korábbi verziói;
- GB-50AD 3.21-es és korábbi verziói;
- GB-50ADA-A 3.21-es és korábbi verziói;
- GB-50ADA-J 3.21-es és korábbi verziói;
- EB-50GU-A 7.10-es és korábbi verziói;
- EB-50GU-J 7.10-es és korábbi verziói;
- AE-200J 7.97-es és korábbi verziói;
- AE-200A 7.97-es és korábbi verziói;
- AE-200E 7.97-es és korábbi verziói;
- AE-50J 7.97-es és korábbi verziói;
- AE-50A 7.97-es és korábbi verziói;
- AE-50E 7.97-es és korábbi verziói;
- EW-50J 7.97-es és korábbi verziói;
- EW-50A 7.97-es és korábbi verziói;
- EW-50E 7.97-es és korábbi verziói;
- TE-200A 7.97-es és korábbi verziói;
- TE-50A 7.97-es és korábbi verziói;
- TW-50A 7.97-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-24296)/alacsony;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2016-2183)/magas;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2013-2566)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2015-2808)/közepes;
- Channel Accessible by Non-Endpoint (CVE-2009-3555)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-160-01

Bejelentés dátuma: 2022.06.10.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort 5110 sorozatú eszközök 2.10-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (n/a)/n/a;
- Out-of-bounds Write (n/a)/n/a;
Javítás: Javasolt felkeresni a gyártó támogatóközpontját.
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/nport5110-series-vulnerabilities

Bejelentés dátuma: 2022.06.14.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Minden, Metasys ADS/ADX/OAS 10-es és 11-es verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Unverified Password Change (CVE-2022-21935)/súlyos;
- Cross-site Scripting (CVE-2022-21937)/súlyos;
- Cross-site Scripting (CVE-2022-21938)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-165-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A világ (és az IT-OT-kiberbiztonsági szakma) egy jelentős része még mindig az Ipar 4.0 megemésztésével és az így megjelenő kockázatok létezésének elfogadásával illetve kezelésével küzd, közben pedig már megjelent az Ipar 5.0 fogalma is - legalább is a Claroty blogján publikált cikk alapján.

Miért is beszélhetnek a cikkben az 5. ipari forradalomról? Az első ipari forradalom ugye a termelés manufaktúrákból gépesített gyárakba történő váltásáról szólt, a második pedig a 19. század végén, 20. század elején a tömegtermelés bevezetésével (ugye mindenki emlékszik Henry Ford-ra és a T-modellre, mint az ikonikus példáira a tömegtermelésnek?). Bár akkor még nem volt divat így nevezni, de az Ipar 3.0 a PLC-k használatára épülő automatizálással érkezett meg az ipar világába, majd néhány éve egyre többen és egyre gyakrabban kezdtek a negyedik ipari forradalomról, Ipar 4.0-ról vagy ipari dolgok Internetéről (Industrial Internet of Things, IIoT) beszélni.

A Claroty cikkének érdekessége nem csak az, hogy egyszerre beszél az IIoT eszközök és a (gyakran legacy) OT eszközök együttes használatából eredő kockázatokról, hanem rögtön ezután az orvostechnikai rendszerek biztonsági kockázatait is behozza a képbe, ami még mindig egy méltatlanul elhanyagolt téma (főleg Magyarországon).