Bejelentés dátuma: 2022.05.31.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Alpha7 PC Loader minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-1888)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-151-01

Bejelentés dátuma: 2022.05.31.
Gyártó: Becton, Dickinson and Company (BD)
Érintett rendszer(ek):
- BD Pyxis ES Anesthesia Station;
- BD Pyxis CIISafe;
- BD Pyxis Logistics;
- BD Pyxis MedBank;
- BD Pyxis MedStation 4000;
- BD Pyxis MedStation ES;
- BD Pyxis MedStation ES Server;
- BD Pyxis ParAssist;
- BD Pyxis Rapid Rx;
- BD Pyxis StockStation;
- BD Pyxis SupplyCenter;
- BD Pyxis SupplyRoller;
- BD Pyxis SupplyStation;
- BD Pyxis SupplyStation EC;
- BD Pyxis SupplyStation RF auxiliary;
- BD Rowa Pouch Packaging Systems;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Not Using Password Aging (CVE-2022-22767)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-151-01

Bejelentés dátuma: 2022.05.31.
Gyártó: Becton, Dickinson and Company (BD)
Érintett rendszer(ek):
- BD Synapsys 4.20-as, 4.20 SR1 és 4.30-as verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Session Expiration (CVE-2022-30277)/közepes;
Javítás: Egyes érintett verziókhoz 2022. júniusban, a v4.30-hoz augusztusban lesz elérhető a javítás.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-151-02

Bejelentés dátuma: 2022.06.02.
Gyártó: Carrier LenelS2
Érintett rendszer(ek):
HID Mercure panel LNL-X2210;
HID Mercure panel LNL-X2220;
HID Mercure panel LNL-X3300;
HID Mercure panel LNL-X4420;
HID Mercure panel LNL-4420;
HID Mercure panel S2-LP-1501;
HID Mercure panel S2-LP-4502;
HID Mercure panel S2-LP-2500;
HID Mercure panel S2-LP-1502;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Protection Mechanism Failure (CVE-2022-31479)/kritikus;
- Forced Browsing (CVE-2022-31480)/súlyos;
- Classic Buffer Overflow (CVE-2022-31481)/kritikus;
- Classic Buffer Overflow (CVE-2022-31482)/súlyos;
- Path Traversal (CVE-2022-31483)/kritikus;
- Forced Browsing (CVE-2022-31484)/súlyos;
- Forced Browsing (CVE-2022-31485)/közepes;
- OS Command Injection (CVE-2022-31486)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-153-01

Bejelentés dátuma: 2022.06.02.
Gyártó: Illumina
Érintett rendszer(ek):
Az alábbi Illumina In Vitro Diagnostic (IVD) eszközök:
- NextSeq 550Dx LRM 1.3-tól 3.1-ig terjedő verziói;
- MiSeq Dx LRM 1.3-tól 3.1-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Execution with Unnecessary Privileges (CVE-2022-1517)/kritikus;
- Path Traversal (CVE-2022-1518)/kritikus;
- Unrestricted Upload of File with Dangerous Type (CVE-2022-1519)/kritikus;
- Improper Access Control (CVE-2022-1521)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2022-1524)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-153-02

Bejelentés dátuma: 2022.06.03.
Gyártó: Dominion Voting Systems
Érintett rendszer(ek):
- Az Android 5.1 alapú ImageCast X, amit a Dominion Democracy Suite Voting System 5.5-A verzióban használnak;
- ImageCast X 5.5.10.30-as és 5.5.10.32-es verziói, amiket a Dominion Democracy Suite Voting System 5.5-A verzióban használnak;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Verification of Cryptographic Signature (CVE-2022-1739)/nem ismert;
- Mutable Attestation or Measurement Reporting Data (CVE-2022-1740)/nem ismert;
- Hidden Functionality (CVE-2022-1741)/nem ismert;
- Improper Protection of Alternate Path (CVE-2022-1742)/nem ismert;
- Path Traversal (CVE-2022-1743)/nem ismert;
- Execution with Unnecessary Privileges (CVE-2022-1744)/nem ismert;
- Authentication Bypass by Spoofing (CVE-2022-1745)/nem ismert;
- Incorrect Privilege Assignment (CVE-2022-1746)/nem ismert;
- Origin Validation Error (CVE-2022-1747)/nem ismert;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-154-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A CIP-005-ben a nagyfeszültségű villamosenergia-rendszerben használt IT rendszerek határvédelmi követelményeit találjuk. A klasszikus hálózati határvédelmi megoldásokon túl a CIP-005 kitér olyan témákra is, mint az elektronikus hozzáférési pontok védelme, a betárcsázós kapcsolatokon beérkező vagy kimenő kapcsolatok fölötti kontroll megvalósítása vagy a távoli hozzáférések kezelése.

Számomra kicsit meglepő módon a CIP-005 nem egy túl hosszú fejezete a CIP-sorozatnak, bár ahogy ezeket a sorokat írom, ha általános elvárásokat kell felvázolni a témában (pláne ICS környezetekben, ahol tudjuk, hogy gyakran évtizedes technológiákat is újként helyeznek üzembe akár még ma is), akkor már annyira nem is váratlan, hogy viszonylag rövid a CIP-005.

A poszt publikálásakor a NERC-CIP-005-6 van hatályban, ez itt érhető el: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-005-6.pdf

Bejelentés dátuma: 2022.05.19.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-F FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS minden, 1.270-nél korábbi verziója;
- MELSEC iQ-F FX5UC-xMy/z x=32,64,96, y=T,R, z=D,DSS minden, 1.270-nél korábbi verziója;
- MELSEC iQ-F FX5UC-32MT/DS-TS, FX5UC-32MT/DSS-TS, FX5UC-32MR/DS-TS minden, 1.270-nél korábbi verziója;
- MELSEC iQ-F FX5UJ-xMy/z x=24,40,60, y=T,R, z=ES,ESS minden, 1.270-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-25161)/súlyos;
- Improper Input Validation (CVE-2022-25162)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-139-01

Bejelentés dátuma: 2022.05.24
Gyártó: Matrikon (Honeywell leányvállalat)
Érintett rendszer(ek):
- Matrikon OPC Server minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-1261)/közepes;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-144-02

Bejelentés dátuma: 2022.05.24
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- CompactLogix 5380-as vezérlők 32.013-as és korábbi verziói;
- Compact GuardLogix 5380-as vezérlők 32.013-as és korábbi verziói;
- CompactLogix 5480-as vezérlők 32.013-as és korábbi verziói;
- ControlLogix 5580-as vezérlők 32.013-as és korábbi verziói;
- GuardLogix 5580-as vezérlők 32.013-as és korábbi verziói;
- CompactLogix 5370-es vezérlők 33.013-as és korábbi verziói;
- Compact GuardLogix 5370-es vezérlők 33.013-as és korábbi verziói;
- ControlLogix 5570-es vezérlők 33.013-as és korábbi verziói;
- GuardLogix 5570-es vezérlők 33.013-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-1797)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-144-01

Bejelentés dátuma: 2022.05.26.
Gyártó: Horner Automation
Érintett rendszer(ek):
- Cscape Csfont 9.90 SP5 (v9.90.196) és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-27184)/súlyos;
- Out-of-bounds Write (CVE-2022-28690)/súlyos;
- Out-of-bounds Read (CVE-2022-29488)/súlyos;
- Heap-based Buffer Overflow (CVE-2022-30540)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-146-02

Bejelentés dátuma: 2022.05.26.
Gyártó: Keysight Technologies
Érintett rendszer(ek):
- Keysight N6854A és N6841A RF 2.3.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Relative Path Traversal (CVE-2022-1661)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-1660)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-146-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Chernovite névre keresztelt APT csoportot a Dragos kutatói 2022 márciusban fedezték fel, amikor az orosz-ukrán háború során ukrán kritikus infrastruktúra cégek elleni támadások nyomait vizsgálták és áprilisban publikáltak róla először információkat.

A Dragos elemzése szerint a Chernovite elsődleges specialitása egyedi, a célba vett szervezetekre szabott támadói eszközök fejlesztése, amelyekkel az ICS Kill Chain 2. szintjére sorolt támadói lépések némelyikét (kártékony kódok telepítés, legitim kódok módosítása, támadás ICS komponensek/rendszerek ellen) lehet végrehajtani.

A Chernovite elsődleges célpontjai az eddigi elemzések szerint a villamosenergia-szektorban illetve az olaj és gázszektorban tevékenykedő szervezetek, de a Dragos munkatársai kiemelték, hogy a Pipedream moduláris felépítése miatt a támadók könnyedén képesek lehetnek más iparágakban működő cégekre szabni az eddig ismert eszközeiket.

A Pipedream ICS malware-ről (én az Industroyer2-vel együtt ebben a posztban írtam róla) kiadott Dragos elemzés itt érhető el, a Chernovite-ról pedig itt lehet olvasni.

A modern villamosenergia-rendszereket üzemeltető szervezetek (átviteli és elosztóhálózati rendszerirányítók, TSO-k és DSO-k) egyre nagyobb mértékben építenek a különböző kommunikációs infrastruktúrákra és megoldásokra a villamosenergia-hálózatokkal kapcsolatos feladataik ellátása során. Különösen igaz ez azóta, hogy az egyes alállomások üzemeltetésében egyre nagyobb (napjainkban gyakran már 100%-os) súlyt kapnak a távkezelt, személyzet nélküli alállomások. Ennek egyik nem kívánt eredménye az egyre nagyobb kiberbiztonsági kitettség és fenyegetettségi szint. Ahogy az elmúlt 6-7 évben számos alkalommal láttuk, ahol a lehetőség adott egy komoly fizikai hatásokkal járó kibertámadásra, előbb-utóbb a támadók is megjelennek (elég csak a 2015-ös és 2016-os ukrán villamosenergia-rendszer elleni támadásokra gondolni, hogy ne is menjünk messze a most tárgyalt iparágtól).

Egy most talált tanulmányban a szerzők ezt a témát járják körül. A 19 oldalas tanulmány az arxiv.org oldalán érhető el.

Bejelentés dátuma: 2022.05.10.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSOFT GT OPC UA kliens 1.00A-tól 1.02C-ig terjedő verziói;
- GT SoftGOT2000 1.215Z-től 1.270G-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2021-3712)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-23840)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-06

Bejelentés dátuma: 2022.05.10.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA InTouch Access Anywhere minden verziója;
- AVEVA Plant SCADA Access Anywhere (korábbi nevén AVEVA Citect Anywhere és Schneider Electric Citect Anywhere) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2022-1467)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-05

Bejelentés dátuma: 2022.05.10.
Gyártó: Eaton
Érintett rendszer(ek):
- Eaton Intelligent Power Manager (IPM) v1 minden, v1.70-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-23282)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-04

Bejelentés dátuma: 2022.05.10.
Gyártó: Eaton
Érintett rendszer(ek):
- Eaton Intelligent Power Manager Infrastructure (IPM Infrastructure) minden verziója, beleértve a v1.5.0 plus205-öt is;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-23284)/közepes;
- Reflected Cross-site Scripting (CVE-2021-23285)/alacsony;
- Improper Neutralization of Formula in a CSV File (CVE-2021-23286)/közepes;
Javítás: Nem elérhető (a termék elérte életciklusa végét)
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-03

Bejelentés dátuma: 2022.05.10.
Gyártó: Eaton
Érintett rendszer(ek):
- Eaton Intelligent Power Protector (IPP) minden, v1.69 release 166-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-23283)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-02

Bejelentés dátuma: 2022.05.10.
Gyártó: Adminer
Érintett rendszer(ek):
- Adminer 1.112.0-tól 4.6.2-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Files or Directories Accessible to External Parties (CVE-2021-43008)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-01

Bejelentés dátuma: 2022.05.12.
Gyártó: Cambium Networks
Érintett rendszer(ek):
- cnMaestro On-Premises minden, 3.0.3-r32-nél korábbi verziója;
- cnMaestro On-Premises minden, 2.4.2-r29-nél korábbi verziója;
- cnMaestro On-Premises minden, 3.0.0-r34-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-1357)/kritikus;
- SQL Injection (CVE-2022-1358)/közepes;
- SQL Injection (CVE-2022-1361)/súlyos;
- OS Command Injection (CVE-2022-1360)/súlyos;
- OS Command Injection (CVE-2022-1362)/közepes;
- Path Traversal (CVE-2022-1359)/közepes;
- Use of Potentially Dangerous Function (CVE-2022-1356)/súlyos;
Javítás: Elérhető;
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-132-04

Bejelentés dátuma: 2022.05.12.
Gyártó: Inkscape
Érintett rendszer(ek):
- Inkscape (nyílt forráskódú grafikai szerkesztő rendszer) 0.91-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2021-42700)/alacsony;
- Access of Uninitialized Pointer (CVE-2021-42702)/alacsony;
- Out-of-bounds Write (CVE-2021-42704)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-132-03

Bejelentés dátuma: 2022.05.12.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSOFT iQ AppPortal (SW1DND-IQAPL-M) 1.00A-tól 1.26C-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authorization (CVE-2020-13938)/közepes;
- Out-of-bounds Write (CVE-2021-26691)/kritikus;
- NULL Pointer Dereference (CVE-2021-34798)/súlyos;
- Classic Buffer Overflow (CVE-2021-3711)/kritikus;
- Out-of-bounds Write (CVE-2021-44790)/kritikus;
- HTTP Request Smuggling (CVE-2022-22720)/kritikus;
- Out-of-bounds Write (CVE-2022-23943)/kritikus;
- Infinite Loop (CVE-2022-0778)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-132-02

Bejelentés dátuma: 2022.05.12.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft minden, 1.01.32-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-1405)/súlyos;
- Out-of-bounds Read (CVE-2022-1404)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-132-01

Bejelentés dátuma: 2022.05.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PowerLogic ION Setup 3.2.22096.01-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-30232)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.05.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Wiser Smart, EER21000 V4.5 és korábbi verziói;
- Wiser Smart, EER21001 V4.5 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-30234)/kritikus;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-30235)/súlyos;
- Improper Authentication (CVE-2022-30238)/súlyos;
- Incorrect Resource Transfer Between Spheres (CVE-2022-30236)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-30237)/súlyos;
- Improper Input Validation (CVE-2022-30233)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.05.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Saitel DP RTU Baseline_09.00.00-tól Baseline_11.06.23-ig terjedő firmware-verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial-of-Service (CVE-2022-6996)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.05.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Desigo DXR2 minden, V01.21.142.5-22-nél korábbi verziója;
- Desigo PXC3 minden, V01.21.142.4-18-nál korábbi verziója;
- Desigo PXC4 minden, V02.20.142.10-10884-nél korábbi verziója;
- Desigo PXC5 minden, V02.20.142.10-10884-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Special Element Injection (CVE-2022-24039)/kritikus;
- Uncontrolled Resource Consumption (CVE-2022-24040)/közepes;
- Use of Password Hash With Insufficient Computational Effort (CVE-2022-24041)/közepes;
- Insufficient Session Expiration (CVE-2022-24042)/közepes;
- Observable Discrepancy (CVE-2022-24043)/közepes;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-24044)/súlyos;
- Sensitive Cookie in HTTPS Session Without ‘Secure’ Attribute (CVE-2022-24045)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2022.05.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC NET PC Software V14 minden, V14 SP1 Update 14-nél korábbi verziója;
- SIMATIC NET PC Software V15 minden verziója;
- SIMATIC NET PC Software V16 minden verziója;
- SIMATIC NET PC Software V17 minden, V17 SP1-nél korábbi verziója;
- SIMATIC Process Historian OPC UA Server minden, 2020 SP1-nél korábbi verziója;
- SIMATIC WinCC minden verziója;
- SIMATIC WinCC Runtime Professional minden verziója;
- SIMATIC WinCC Unified Scada Runtime minden verziója;
- TeleControl Server Basic V3 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-40142)/súlyos;
Javítás: Egyes érintett verziókhoz elérhető.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Teamcenter v12.4 minden, v12.4.0.13-nál korábbi verziója;
- Teamcenter v13.0 minden, v13.0.0.9-nél korábbi verziója;
- Teamcenter v13.1 minden verziója;
- Teamcenter v13.2 minden v13.2.0.8-nál korábbi verziója;
- Teamcenter v13.3 minden v13.3.0.3-nál korábbi verziója;
- Teamcenter v14.0 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-24290)/súlyos;
- Improper Restriction of XML External Entity Reference (CVE-2022-29801)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- OpenV2G v0.9.4;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2022-27242)/közepes
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, v2020.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-27653)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC NET PC Software v14 minden, v14 SP1 Update 14-nél korábbi verziója;
- SIMATIC NET PC Software v15 minden verziója;
- SIMATIC NET PC Software v16 minden verziója;
- SIMATIC NET PC Software v17 minden, v17 SP1-nél korábbi verziója;
- SIMATIC Process Historian OPC UA Server minden, 2020 SP1-nél korábbi verziója;
- SIMATIC WinCC minden verziója;
- SIMATIC WinCC Runtime Professional minden verziója;
- SIMATIC WinCC Unified Scada Runtime minden verziója;
- TeleControl Server Basic v3 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-40142)/súlyos;
Javítás: Egyes érintett termékekhez elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Desigo DXR2 vezérlők minden, v01.21.142.5-22-nél korábbi verziója;
- Desigo PXC3 vezérlők minden, v01.21.142.4-18-nál korábbi verziója;
- Desigo PXC4 vezérlők minden, v02.20.142.10-10884-nél korábbi verziója;
- Desigo PXC5 vezérlők minden, v02.20.142.10-10884-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Special Element Injection (CVE-2022-24039)/kritikus;
- Uncontrolled Resource Consumption (CVE-2022-24040)/közepes;
- Use of Password Hash with Insufficient Computational Effort (CVE-2022-24041)/közepes;
- Insufficient Session Expiration (CVE-2022-24042)/közepes;
- Observable Discrepancy (CVE-2022-24043)/közepes;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-24044)/súlyos;
- Sensitive Cookie in HTTPS Session Without ‘Secure’ Attribute (CVE-2022-24045)/közepes;
- Uncaught Exception (CVE-2021-41545)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CP 442-1 RNA minden, v1.5.18-nál korábbi verziója;
- SIMATIC CP 443-1 RNA minden, v1.5.18-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-27640)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2GO minden, v13.3.0.3-nál korábbi verziója;
- Teamcenter Visualization v13.3 minden, v13.3.0.3-nál korábbi verziója;
- Teamcenter Visualization v14.0 minden, v14.0.0.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Infinite Loop (CVE-2022-29028)/alacsony;
- Null Pointer Dereference (CVE-2022-29029)/alacsony;
- Integer Overflow to Buffer Overflow (CVE-2022-29030)/alacsony;
- Null Pointer Dereference (CVE-2022-29031)/alacsony;
- Double Free (CVE-2022-29032)/súlyos;
- Access of Uninitialized Pointer (CVE-2022-29033)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC NET PC Software v14 minden, 14 SP1 Update 14-nél korábbi verziója;
- SIMATIC NET PC Software v15 minden verziója;
- SIMATIC NET PC Software v16 minden verziója;
- SIMATIC NET PC Software v17 minden, 17 SP1-nél korábbi verziója;
- SITOP Manager minden verziója;
- TeleControl Server Basic v3 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Null Pointer Dereference (CVE-2021-45117)/közepes;
Javítás: Egyes érintett termékekhez elérhetőek
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM P850 7KG8500-0AA00-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8500-0AA00-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8500-0AA10-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8500-0AA10-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8500-0AA30-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8500-0AA30-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA01-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA01-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA02-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA02-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA11-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA11-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA12-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA12-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA31-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA31-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA32-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA32-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA00-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA00-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA10-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA10-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA30-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA30-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA01-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA01-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA02-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA02-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA11-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA11-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA12-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA12-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA31-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA31-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA32-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA32-2AA0 minden, v3.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Neutralization of Parameter/Argument Delimiters (CVE-2022-29872)/súlyos;
- Improper Neutralization of Parameter/Argument Delimiters (CVE-2022-29873)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2022-29874)/súlyos;
- Cross-site Scripting (CVE-2022-29876)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-29877)/közepes;
- Authentication Bypass by Capture-replay (CVE-2022-29878)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-29879)/közepes;
- Cross-site Scripting (CVE-2022-29880)/közepes;
- Missing Authentication for Critical Function (CVE-2022-29881)/közepes;
- Cross-site Scripting (CVE-2022-29882)/súlyos;
- Improper Authentication (CVE-2022-29883)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS 7 v9.0 minden verziója;
- SIMATIC PCS 7 v9.1 minden verziója;
- SIMATIC WinCC Runtime Professional v16 minden verziója;
- SIMATIC WinCC Runtime Professional v17 minden verziója;
- SIMATIC WinCC v7.4 minden verziója;
- SIMATIC WinCC v7.5 minden, 7.5 SP2 Update 8-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insecure Default Initialization of Resource (CVE-2022-24287)/súlyos;
Javítás: A WinCC v7.5-ös verzióhoz elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.17.
Gyártó: Circutor
Érintett rendszer(ek):
- Circutor COMPACT DC-S BASIC CIR_CDC_v1.2.17-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-1669)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-137-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Jen Easterly a DHS CISA igazgatója és (bár az elődei munkáját nem követtem közelről, de) nekem úgy tűnik, hogy a vezetésével egy elég új megközelítésre váltottak, egyrészt a nagyobb nyilvánosság elé hozták a kritikus infrastruktúrák kiberbiztonságának kérdését, másrészt az amerikai kritikus infrastruktúrák kiberbiztonságával foglalkozó közösséggel is minden korábbinál szorosabb együttműködést próbálnak kialakítani.

Ennek egy kiváló példája lehet az idén (a COViD-19 miatt) januárról áprilisra halasztott S4x22 konferencián tartott beszélgetés is, ahol Easterly igazgató a konferenciát szervező Dale Petersonnal beszélgetett. A kb. 30 perces felvétel elérhető a YouTube-on.

Bejelentés dátuma: 2022.05.03.
Gyártó: Yokogawa
Érintett rendszer(ek):
- CENTUM VP sorozat (beleértve a CENTUM VP Entry Class rendszereket is) R4.01.00-tól R4.03.00-ig terjedő verziói (ha a VP6E5150 telepítve van);
- B/M9000 VP R6.01.01-től R6.03.02-ig terjedő verziói;
- CENTUM VP (beleértve a CENTUM VP Entry Class rendszereket is) R6.01.10-től R6.09.00-ig terjedő verziói (ha a VP6E5000 telepítve van);
- B/M9000 VP R8.01.01-től R8.03.01-ig terjedő verziói;
- Prosafe-RS R4.01.00-tól R4.07.00-ig terjedő verziói, ha az RS4E5000 telepítve van;
- CENTUM VP (beleértve a CENTUM VP Entry Class rendszereket is) R6.01.10-től R6.07.10-ig terjedő verziói (ha a VP6E5000 vagy a VP6E5100 telepítve van);
- B/M9000 VP R8.01.01-től R8.03.01-ig terjedő verziói;
- Prosafe-RS R4.01.00-tól R4.05.00-ig terjedő verziói, (ha a VP6E5000 vagy a VP6E5100 telepítve van).
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-27188)/közepes;
- Improper Authentication (CVE-2022-26034)/közepes;
- NULL Pointer Dereference (CVE-2019-0203)/súlyos;
- Improper Input Validation (CVE-2018-11782)/közepes;
- Resource Management Errors (CVE-2015-0248)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-123-01

Bejelentés dátuma: 2022.05.03.
Gyártó: Moxa
Érintett rendszer(ek):
- MXview sorozat v3.0-nál újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Control of Generation of Code (nem elérhető)/nem ismert;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/mxview-privilege-escalation-vulnerability

Bejelentés dátuma:2022.05.03.
Gyártó: Belden
Érintett rendszer(ek):
- Provize Basic 01.1.01;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial-of-Service (CVE-2021-3749)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://dam.belden.com/dmm3bwsv3/assetstream.aspx?assetid=14297&mediaformatid=50063&destinationid=10016

Bejelentés dátuma:2022.05.03.
Gyártó: Belden
Érintett rendszer(ek):
- Provize Basic 01.1.01;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Man-in-the-Middle (CVE-2021-23214)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://dam.belden.com/dmm3bwsv3/assetstream.aspx?assetid=14298&mediaformatid=50063&destinationid=10016

Bejelentés dátuma:2022.05.03.
Gyártó: Belden
Érintett rendszer(ek):
- Provize Basic 01.1.01;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Unsafe PAC file handling (CVE-2021-23406)/kritikus;
- Arbitrary code execution (CVE-2021-37712)/súlyos;
- Arbitrary code execution (CVE-2021-37701)/súlyos;
- Arbitrary code execution (CVE-2021-37713)/súlyos;
- Arbitrary File Creation/Overwrite (CVE-2021-32803)/súlyos;
- Arbitrary File Creation/Overwrite (CVE-2021-32804)/súlyos;
- Regular expression process error (CVE-2020-28469)/súlyos;
- Denial-of-Service (CVE-2021-33623)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://dam.belden.com/dmm3bwsv3/assetstream.aspx?assetid=14299&mediaformatid=50063&destinationid=10016

Bejelentés dátuma: 2022.05.05.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Metasys ADS/ADX/OAS Servers 10-es és 11-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Unverified Password Change (CVE-2022-21934)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-125-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Olaf Schwarz egy nagyon komoly tapasztalatokkal rendelkező forensics szakértő, aki jelenleg a belga Nviso nevű cégnél dolgozik, korábban pedig az osztrák Energy ISAC munkatársa volt. 2017-ben, a SANS ICS 515 tanfolyamán személyesen is találkoztunk (egész pontosan Olaf egy hétig mellettem ült az előadóteremben) és már akkor látszott, hogy mennyire jól eligazodik az ICS rendszereken végzett forensics vizsgálatok területén.

Nemrég egy 3 részes sorozatra bukkantam az Nviso blogján, Olaf tollából, amiben a Siemens TIA Portal nevű megoldásának Windows 10 operációs rendszerre telepített változatának részletekbe menő vizsgálatát mutatja be.

A sorozat részei az alábbi linkeken érhetőek el:

Investigating an engineering workstation – Part 1

Investigating an engineering workstation – Part 2

Investigating an engineering workstation – Part 3

Bejelentés dátuma: 2022.04.19.
Gyártó: Siemens
Érintett rendszer(ek):
- Operation Scheduler minden, 2.0.4-nél korábbi verziója;
- SiPass integrated V2.80 minden verziója;
- SiPass integrated V2.85 minden verziója;
- Siveillance Identity V1.5 minden verziója;
- Siveillance Identity V1.6 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-22965)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-254054.pdf

Bejelentés dátuma: 2022.04.21.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- ASDA-Soft 5.4.1.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-1402)/súlyos;
- Out-of-bounds Read (CVE-2022-1403)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-111-01

Bejelentés dátuma: 2022.04.21.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Metasys System Configuration Tool (SCT) minden, 14.2.2-nél korábbi verziója;
- Metasys System Configuration Tool Pro (SCT Pro) minden, 14.2.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Server-side Request Forgery (CVE-2021-36203)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-111-02

Bejelentés dátuma: 2022.04.21.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MicroSCADA Pro/X SYS600 10.1.1 és korábbi verziói (OpenSSL sérülékenység);
- MicroSCADA Pro/X SYS600 9.4 FP1-től 10.2.1-ig terjedő verziói (Node.js sérülékenységek);
- MicroSCADA Pro/X SYS600 10.0.0-tól 10.2.1-ig terjedő verziói (PostgreSQL sérülékenységek);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Discrepancy (CVE-2020-1968)/alacsony;
- HTTP Request Smuggling (CVE-2020-8265)/súlyos;
- HTTP Request Smuggling (CVE-2020-8287)/közepes;
- HTTP Request Smuggling (CVE-2020-8201)/súlyos;
- Classic Buffer Overflow (CVE-2020-8252)/súlyos;
- Improper Certificate Validation (CVE-2020-8172)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2020-8174)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-32027 )/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-32028)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-111-03

Bejelentés dátuma: 2022.04.26.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- All System Data Manager – SDM600 verziói az 1.2 FP2 HF10 (Build Nr. 1.2.14002.506)-nál korábbi verziók esetén;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Discrepancy (CVE-2020-1968)/alacsony;
- Uncontrolled Recursion (CVE-2020-12243)/súlyos;
- Reachable Assertion (CVE-2020-25709)/súlyos;
- Reachable Assertion (CVE-2020-25710)/súlyos;
- Type Confusion (CVE-2020-36229)/súlyos;
- Reachable Assertion (CVE-2020-36230)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-23840)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-116-01

Bejelentés dátuma: 2022.04.28.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Metasys ADS/ADX/OAS Servers 10-es és 11-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2021-36207)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-118-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.