Bejelentés dátuma: 2022.06.14.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC-Q sorozatú eszközök QJ71E71-100 24061-es és megelőző verziói;
- MELSEC-L sorozatú eszközök LJ71E71-100 24061-es és megelőző verziói;
- MELSEC iQ-R sorozatú eszközök RD81MES96N 08-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-25163)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-165-03

Bejelentés dátuma: 2022.06.16.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- Az alábbi sorozatú CPU-kkal szerelt, soros kommunikációt használó DirectLOGIC programozható vezérlők:
- D0-06DD1 v2.72-nél korábbi verziói;
- D0-06DD2 v2.72-nél korábbi verziói;
- D0-06DR v2.72-nél korábbi verziói;
- D0-06DA v2.72-nél korábbi verziói;
- D0-06AR v2.72-nél korábbi verziói;
- D0-06AA v2.72-nél korábbi verziói;
- D0-06DD1-D v2.72-nél korábbi verziói;
- D0-06DD2-D v2.72-nél korábbi verziói;
- D0-06DR-D v2.72-nél korábbi verziói;
- D0-06DD2-D v2.72-nél korábbi verziói;
- D0-06DR-D v2.72-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-2003)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-167-02

Bejelentés dátuma: 2022.06.16.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- A C-more EA9 típusú ipari érintőkijelzős HMI-ok alábbi cikkszámú és verziójú példányai:
- EA9-T6CL 6.73-as és korábbi verziói;
- EA9-T6CL-R 6.73-as és korábbi verziói;
- EA9-T7CL 6.73-as és korábbi verziói;
- EA9-T7CL-R 6.73-as és korábbi verziói;
- EA9-T8CL 6.73-as és korábbi verziói;
- EA9-T10CL 6.73-as és korábbi verziói;
- EA9-T10WCL 6.73-as és korábbi verziói;
- EA9-T12CL 6.73-as és korábbi verziói;
- EA9-T15CL 6.73-as és korábbi verziói;
- EA9-T15CL-R 6.73-as és korábbi verziói;
- EA9-RHMI 6.73-as és korábbi verziói;
- EA9-PGMSW 6.73-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2022-2006)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2022-2005)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-167-01

Bejelentés dátuma: 2022.06.16.
Gyártó: Hillrom Medical
Érintett rendszer(ek):
- Welch Allyn ELI 380 Resting Electrocardiograph 2.6.0 és korábbi verziói;
- Welch Allyn ELI 280/BUR280/MLBUR 280 Resting Electrocardiograph 2.3.1 és korábbi verziói;
- Welch Allyn ELI 250c/BUR 250c Resting Electrocardiograph 2.1.2 és korábbi verziói;
- Welch Allyn ELI 150c/BUR 150c/MLBUR 150c Resting Electrocardiograph 2.2.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Password (CVE-2022-26388)/közepes;
- Improper Access Control (CVE-2022-26389)/súlyos;
Javítás: Várhatóan 2023 utolsó negyedévében fog érkezni.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-167-01

Bejelentés dátuma: 2022.06.16.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- H0-ECOM és H0-ECOM100 minden, D0-06 sorozatú CPU-i:
- D0-06DD1 v2.72 és korábbi verziói;
- D0-06DD2 v2.72 és korábbi verziói;
- D0-06DR v2.72 és korábbi verziói;
- D0-06DA v2.72 és korábbi verziói;
- D0-06AR v2.72 és korábbi verziói;
- D0-06AA v2.72 és korábbi verziói;
- D0-06DD1-D v2.72 és korábbi verziói;
- D0-06DD2-D v2.72 és korábbi verziói;
- D0-06DR-D v2.72 és korábbi verziói;

Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-2004)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2022-2003)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-167-03

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7 kompatibilis Mendix SAML Modulok minden, v1.16.6-nál korábbi verziója;
- Mendix 8 kompatibilis Mendix SAML Modulok minden, v2.2.2-nél korábbi verziója;
- Mendix 9 kompatibilis Mendix SAML Modulok minden, v3.2.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-32285)/súlyos;
- Cross-site Scripting (CVE-2022-32286)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM NMS minden olyan verziója, ami használja a tűzfal-frissítés funkciót;
- SINEC NMS minden verziója;
- SINEMA Remote Connect Server minden, v3.1-nél korábbi verziója;
- SINEMA Server v14 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2021-34798)/súlyos;
- Out-of-bounds Write (CVE-2021-39275)/kritikus;
- Server-side Request Forgery (CVE-2021-40438)/kritikus;
Javítás: A SINEMA Remote Connect Server-hez elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- EN100 Ethernet modul DNP3 IP változatának minden verziója;
- EN100 Ethernet modul IEC 104 változatának minden verziója;
- EN100 Ethernet modul IEC 61850 változatának minden, v4.37-nél korábbi verziója;
- EN100 Ethernet modul Modbus TCP változatának minden verziója;
- EN100 Ethernet modul PROFINET IO változatának minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-30937)/súlyos;
Javítás: Az IEC 61850 változathoz elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEMA Remote Connect Server minden, v3.0 SP2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improperly Implemented Security Check for Standard (CVE-2022-27219)/közepes;
- Improperly Implemented Security Check for Standard (CVE-2022-27220)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM GridEdge Essential ARM minden, v2.6.6-nál korábbi verziója;
- SICAM GridEdge Essential Intel minden, v2.6.6-nál korábbi verziója;
- GDS ARM-mel szerelt SICAM GridEdge Essential minden, v2.6.6-nál korábbi verziója;
- GDS Intel-szerelt SICAM GridEdge Essential minden, v2.6.6-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-30229)/kritikus;
- Missing Authentication for Critical Function (CVE-2022-30230)/kritikus;
- Resource Leak (CVE-2022-30231)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE LPE9403 (Local Processing Engine) minden, v2.0-nál korábbi verziója;
- A SCALANCE LPE9403 részét képező alábbi, harmadik féltől származó komponensek:
- CivetWeb;
- Docker;
- Linux kernel és rendszer;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2020-27304)/kritikus;
- Improper Initialization (CVE-2021-20317)/közepes;
- Allocation of resources without limits or throttling (CVE-2021-33910)/közepes;
- Race condition (CVE-2021-36221)/közepes;
- Allocation of resources without limits or throttling (CVE-2021-39293)/súlyos;
- Improper Preservation of Permissions (CVE-2021-41089)/alacsony;
- Incorrect Permission Assignment for Critical Resources (CVE-2021-41091)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-41092)/közepes;
- Path Traversal (CVE-2021-41103)/közepes;
- Improper Preservation of Permissions (CVE-2022-0847)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Xpedition Designer minden, vX.2.11-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2022-31465)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek) az alábbi SCALANCE X ipari switch-ek:
- XM408-4C minden, v6.5-nél korábbi verziója;
- XM408-4C (L3 int.) minden, v6.5-nél korábbi verziója;
- XM408-8C minden, v6.5-nél korábbi verziója;
- XM408-8C (L3 int.) minden, v6.5-nél korábbi verziója;
- XM416-4C minden, v6.5-nél korábbi verziója;
- XM416-4C (L3 int.) minden, v6.5-nél korábbi verziója;
- XR524-8C 1 db 230V-os csatlakozóval szerelt változatának minden, v6.5-nél korábbi verziója;
- XR524-8C 1 db 230V-os csatlakozóval szerelt változatának (L3 int.) minden, v6.5-nél korábbi verziója;
- XR524-8C 2 db 230V-os csatlakozóval szerelt változatának minden, v6.5-nél korábbi verziója;
- XR524-8C 2 db 230V-os csatlakozóval szerelt változatának (L3 int.) minden, v6.5-nél korábbi verziója;
- XR524-8C 24V-os csatlakozóval szerelt változatának minden, v6.5-nél korábbi verziója;
- XR524-8C 24V-os csatlakozóval szerelt változatának minden, v6.5-nél korábbi verziója;
- XR526-8C 1 db 230V-os csatlakozóval szerelt változatának minden, v6.5-nél korábbi verziója;
- XR526-8C 1 db 230V-os csatlakozóval szerelt változatának minden, v6.5-nél korábbi verziója;
- XR526-8C 2 db 230V-os csatlakozóval szerelt változatának (L3 int.) minden, v6.5-nél korábbi verziója;
- XR526-8C 2 db 230V-os csatlakozóval szerelt változatának (L3 int.) minden, v6.5-nél korábbi verziója;
- XR526-8C 24V-os csatlakozóval szerelt változatának minden, v6.5-nél korábbi verziója;
- XR526-8C 24V-os csatlakozóval szerelt változatának minden, v6.5-nél korábbi verziója;
- XR528-6M minden, v6.5-nél korábbi verziója;
- XR528-6M (2HR2) minden, v6.5-nél korábbi verziója;
- XR528-6M (2HR2, L3 int.) minden, v6.5-nél korábbi verziója;
- XR528-6M (L3 int.) minden, v6.5-nél korábbi verziója;
- XR552-12M minden, v6.5-nél korábbi verziója;
- XR552-12M (2HR2) minden, v6.5-nél korábbi verziója;
- XR552-12M (2HR2) minden, v6.5-nél korábbi verziója;
- XR552-12M (2HR2, L3 int.) minden, v6.5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Validation of Integrity Check Value (CVE-2021-37182)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Spectrum Power 4 minden, shared HIS-t használó verziója;
- Spectrum Power 7 minden, shared HIS-t használó verziója;
- Spectrum Power MGMS minden, shared HIS-t használó verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-26476)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Teamcenter v12.4 minden, v12.4.0.13-nál korábbi verziója;
- Teamcenter v13.0 minden, v13.0.0.9-nél korábbi verziója;
- Teamcenter v13.1 minden, v13.1.0.9-nél korábbi verziója;
- Teamcenter v13.2 minden verziója;
- Teamcenter v13.3 minden, v13.3.0.3-nál korábbi verziója;
- Teamcenter v14.0 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-31619)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE LPE9403 (6GK5998-3GS00-2AC2) minden, V2.0-nál korábbi verziója;
- SINUMERIK Edge minden, V3.3.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2021-4034)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-330556.pdf

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Teamcenter Active Workspace V5.2 minden, V5.2.9-nél korábbi verziója;
- Teamcenter Active Workspace V6.0 minden, V6.0.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-32145)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-401167.pdf

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEMA Remote Connect Server minden, V3.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Incorrectly-Resolved Name or Reference (CVE-2021-22925)/közepes;
- Uncontrolled Resource Consumption (CVE-2021-45960)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-46143)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-22822)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22823)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22824)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22825)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-22826)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-22827)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-23852)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-23990)/kritikus;
- Improper Encoding or Escaping of Output (CVE-2022-25235)/kritikus;
- Exposure of Resource to Wrong Sphere (CVE-2022-25236)/kritikus;
- Uncontrolled Resource Consumption (CVE-2022-25313)/közepes;
- Integer Overflow or Wraparound (CVE-2022-25314)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-25315)/kritikus;
- Cryptographic Issues (CVE-2022-27221)/közepes;
- Cross-site Scripting (CVE-2022-29034)/közepes;
- Missing Authentication for Critical Function (CVE-2022-32251)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2022-32252)/közepes;
- Improper Input Validation (CVE-2022-32253)/közepes;
- Insertion of Sensitive Information into Log File (CVE-2022-32254)/közepes;
- Improper Access Control (CVE-2022-32255)/közepes;
- Improper Access Control (CVE-2022-32256)/közepes;
- Obsolete Feature in UI (CVE-2022-32258)/közepes;
- Improper Access to Sensitive Information Using Debug and Test Interfaces (CVE-2022-32259)/közepes;
- Incorrect User Management (CVE-2022-32260)/közepes;
- Improper Handling of Parameters (CVE-2022-32261)/közepes;
- Command Injection (CVE-2022-32262)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-484086.pdf

Bejelentés dátuma: 2022.06.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Industrial Edge - OPC UA Connector minden verziója;
- Industrial Edge - PROFINET IO Connector minden verziója;
- Industrial Edge - SIMATIC S7 Connector App minden, V1.7.0-nál korábbi verziója;
- RUGGEDCOM CROSSBOW Station Access Controller minden, ROX-on futó verziója;
- RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) minden verziója;
- RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) minden verziója;
- RUGGEDCOM ROX MX5000 minden verziója;
- RUGGEDCOM ROX MX5000RE minden verziója;
- RUGGEDCOM ROX RX1400 minden verziója;
- RUGGEDCOM ROX RX1500 minden verziója;
- RUGGEDCOM ROX RX1501 minden verziója;
- RUGGEDCOM ROX RX1510 minden verziója;
- RUGGEDCOM ROX RX1511 minden verziója;
- RUGGEDCOM ROX RX1512 minden verziója;
- RUGGEDCOM ROX RX1524 minden verziója;
- RUGGEDCOM ROX RX1536 minden verziója;
- RUGGEDCOM ROX RX5000 minden verziója;
- SCALANCE LPE9403 (6GK5998-3GS00-2AC2) minden, V2.0-nál korábbi verzió;
- SCALANCE M804PB (6GK5804-0AP00-2AA2) minden verziója;
- SCALANCE M812-1 ADSL-Router (Annex A) (6GK5812-1AA00-2AA2) minden verziója;
- SCALANCE M812-1 ADSL-Router (Annex B) (6GK5812-1BA00-2AA2) minden verziója;
- SCALANCE M816-1 ADSL-Router (Annex A) (6GK5816-1AA00-2AA2) minden verziója;
- SCALANCE M816-1 ADSL-Router (Annex B) (6GK5816-1BA00-2AA2) minden verziója;
- SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) minden verziója;
- SCALANCE M874-2 (6GK5874-2AA00-2AA2) minden verziója;
- SCALANCE M874-3 (6GK5874-3AA00-2AA2) minden verziója;
- SCALANCE M876-3 (EVDO) (6GK5876-3AA02-2BA2) minden verziója;
- SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) minden verziója;
- SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) minden verziója;
- SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) minden verziója;
- SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) minden verziója;
- SCALANCE MUM853-1 (RoW) (6GK5853-2EA00-2AA1) minden verziója;
- SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) minden verziója;
- SCALANCE MUM856-1 (NAM) (6GK5856-2EA00-3BA1) minden verziója;
- SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) minden verziója;
- SCALANCE S615 (6GK5615-0AA00-2AA2) minden verziója;
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) minden, V2.3.1-nél korábbi verziója;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) minden, V2.3.1-nél korábbi verziója;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) minden, V2.3.1-nél korábbi verziója;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) minden, V2.3.1-nél korábbi verziója;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) minden, V2.3.1-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC712 (6GK1411-1AC00) minden verziója;
- SIMATIC Cloud Connect 7 CC716 (6GK1411-5AC00) minden verziója;
- SIMATIC CP 343-1 Advanced (6GK7343-1GX31-0XE0) minden verziója;
- SIMATIC CP 443-1 Advanced (6GK7443-1GX30-0XE0) minden verziója;
- SIMATIC CP 443-1 OPC UA (6GK7443-1UX00-0XE0) minden verziója;
- SIMATIC CP 1242-7 V2 (6GK7242-7KX31-0XE0) minden verziója;
- SIMATIC CP 1243-1 (6GK7243-1BX30-0XE0) minden verziója;
- SIMATIC CP 1243-7 LTE EU (6GK7243-7KX30-0XE0) minden verziója;
- SIMATIC CP 1243-7 LTE US (6GK7243-7SX30-0XE0) minden verziója;
- SIMATIC CP 1243-8 IRC (6GK7243-8RX30-0XE0) minden verziója;
- SIMATIC CP 1542SP-1 (6GK7542-6UX00-0XE0) minden verziója;
- SIMATIC CP 1543-1 (6GK7543-1AX00-0XE0) minden verziója;
- SIMATIC CP 1543SP-1 (6GK7543-6WX00-0XE0) minden verziója;
- SIMATIC CP 1545-1 (6GK7545-1GX00-0XE0) minden verziója;
- SIMATIC CP 1626 (6GK1162-6AA01) minden verziója;
- SIMATIC CP 1628 (6GK1162-8AA00) minden verziója;
- SIMATIC ET 200SP Open Controller (a SIPLUS változatok is) minden verziója;
- SIMATIC Logon minden verziója;
- SIMATIC MV540 H (6GF3540-0GE10) minden verziója;
- SIMATIC MV540 S (6GF3540-0CD10) minden verziója;
- SIMATIC MV550 H (6GF3550-0GE10) minden verziója;
- SIMATIC MV550 S (6GF3550-0CD10) minden verziója;
- SIMATIC MV560 U (6GF3560-0LE10) minden verziója;
- SIMATIC MV560 X (6GF3560-0HE10) minden verziója;
- SIMATIC NET PC Software V14 minden verziója;
- SIMATIC NET PC Software V15 minden verziója;
- SIMATIC NET PC Software V16 minden verziója;
- SIMATIC NET PC Software V17 minden verziója;
- SIMATIC PCS 7 TeleControl minden verziója;
- SIMATIC PCS neo minden verziója;
- SIMATIC PDM minden verziója;
- SIMATIC RF166C (6GT2002-0EE20) minden V2.0.1-nél korábbi verziója;
- SIMATIC RF185C (6GT2002-0JE10) minden V2.0.1-nél korábbi verziója;
- SIMATIC RF186C (6GT2002-0JE20) minden V2.0.1-nél korábbi verziója;
- SIMATIC RF186CI (6GT2002-0JE50) minden V2.0.1-nél korábbi verziója;
- SIMATIC RF188C (6GT2002-0JE40) minden V2.0.1-nél korábbi verziója;
- SIMATIC RF188CI (6GT2002-0JE60) minden V2.0.1-nél korábbi verziója;
- SIMATIC RF360R (6GT2801-5BA30): All versions < V2.0.1
- SIMATIC RF610R (6GT2811-6BC10) minden V4.0.1-nél korábbi verziója;
- SIMATIC RF615R (6GT2811-6CC10) minden V4.0.1-nél korábbi verziója;
- SIMATIC RF650R (6GT2811-6AB20) minden V4.0.1-nél korábbi verziója;
- SIMATIC RF680R (6GT2811-6AA10) minden V4.0.1-nél korábbi verziója;
- SIMATIC RF685R (6GT2811-6CA10) minden V4.0.1-nél korábbi verziója;
- SIMATIC S7-1200 CPU family (a SIPLUS változatok is) minden verziója;
- SIMATIC S7-1500 CPU family (az ET200 CPU-val szerelt és a SIPLUS változatok is) minden verziója;
- SIMATIC S7-1500 Software Controller (beleértve az F változatot is) minden verziója;
- SIMATIC S7-PLCSIM Advanced minden verziója;
- SIMATIC STEP 7 (TIA Portal) minden verziója;
- SIMATIC STEP 7 V5.X minden verziója;
- SIMATIC WinCC (TIA Portal) minden verziója;
- SINAUT Software ST7sc minden verziója;
- SINAUT ST7CC minden verziója;
- SINEC INS minden verziója;
- SINEC NMS minden verziója;
- SINEMA Remote Connect Server minden, V3.1-nél korábbi verziója;
- SIPLUS ET 200SP CP 1543SP-1 ISEC (6AG1543-6WX00-7XE0) minden verziója;
- SIPLUS ET 200SP CP 1543SP-1 ISEC TX RAIL (6AG2543-6WX00-4XE0) minden verziója;
- SIPLUS NET CP 343-1 Advanced (6AG1343-1GX31-4XE0) minden verziója;
- SIPLUS NET CP 443-1 Advanced (6AG1443-1GX30-4XE0) minden verziója;
- SIPLUS NET CP 1242-7 V2 (6AG1242-7KX31-7XE0) minden verziója;
- SIPLUS NET CP 1543-1 (6AG1543-1AX00-2XE0) minden verziója;
- SIPLUS S7-1200 CP 1243-1 (6AG1243-1BX30-2AX0) minden verziója;
- SIPLUS S7-1200 CP 1243-1 RAIL (6AG2243-1BX30-1XE0) minden verziója;
- SIPLUS TIM 1531 IRC (6AG1543-1MX00-7XE0) minden verziója;
- TeleControl Server Basic V3 minden verziója;
- TIA Administrator minden verziója;
- TIA Portal Cloud minden verziója;
- TIA Portal V15 minden verziója;
- TIA Portal V16 minden verziója;
- TIA Portal V17 minden verziója;
- TIM 1531 IRC (6GK7543-1MX00-0XE0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Infinite Loop (CVE-2022-0778)/súlyos;
Javítás: Egyes érintett rendszerekhez elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-712929.pdf

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A kockázatkezelés minden fajta információ- és IT biztonsági tevékenység egyik alapvető pillére, így az ipari/folyamatirányítási IT (vagy másik nevén OT) biztonsági folyamatokban sem lehet figyelmen kívül hagyni. Sőt, lévén a különböző fizikai folyamatok vezérléséért felelős rendszerek esetén nem csak a Bizalmasság/Sértetlenség/Rendelkezésre állás szempontjainak kell érvényesülni, hanem a még ezeknél is fontosabb safety-nek (emberélet és emberek testi épségének védelme), a kockázatok minél alaposabb felmérése, elemzése és még elfogadható szintre csökkentése fontosabb is, mint a "csak" adatokkal dolgozó IT rendszerek esetén.

Nemrég egy ebben a témában született útmutatóval találkoztam, amit Jason D. Christopher, a Dragos egyik vezető kiberbiztonsági kockázatkezelési tanácsadója írt. Az útmutatóban egyebek mellett az alábbi témaköröket érinti a szerző:

- Hogyan építsünk (vagy alakítsunk át egy létező) kockázatkezelési folyamatot úgy, hogy az ICS rendszerek kockázatait is megfelelően figyelembe vegyük;
- Mi a legjobb módja az OT biztonsági kockázatok felsővezetők felé történő kommunikálásának?

A teljes útmutató a Dragos weboldaláról tölthető le (regisztráció után): https://www.dragos.com/resource/industrial-cyber-risk-management/

Bejelentés dátuma: 2022.06.09.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- G-150AD 3.21-es és korábbi verziói;
- AG-150A-A 3.21-es és korábbi verziói;
- AG-150A-J 3.21-es és korábbi verziói;
- GB-50AD 3.21-es és korábbi verziói;
- GB-50ADA-A 3.21-es és korábbi verziói;
- GB-50ADA-J 3.21-es és korábbi verziói;
- EB-50GU-A 7.10-es és korábbi verziói;
- EB-50GU-J 7.10-es és korábbi verziói;
- AE-200J 7.97-es és korábbi verziói;
- AE-200A 7.97-es és korábbi verziói;
- AE-200E 7.97-es és korábbi verziói;
- AE-50J 7.97-es és korábbi verziói;
- AE-50A 7.97-es és korábbi verziói;
- AE-50E 7.97-es és korábbi verziói;
- EW-50J 7.97-es és korábbi verziói;
- EW-50A 7.97-es és korábbi verziói;
- EW-50E 7.97-es és korábbi verziói;
- TE-200A 7.97-es és korábbi verziói;
- TE-50A 7.97-es és korábbi verziói;
- TW-50A 7.97-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-24296)/alacsony;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2016-2183)/magas;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2013-2566)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2015-2808)/közepes;
- Channel Accessible by Non-Endpoint (CVE-2009-3555)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-160-01

Bejelentés dátuma: 2022.06.10.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort 5110 sorozatú eszközök 2.10-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (n/a)/n/a;
- Out-of-bounds Write (n/a)/n/a;
Javítás: Javasolt felkeresni a gyártó támogatóközpontját.
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/nport5110-series-vulnerabilities

Bejelentés dátuma: 2022.06.14.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Minden, Metasys ADS/ADX/OAS 10-es és 11-es verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Unverified Password Change (CVE-2022-21935)/súlyos;
- Cross-site Scripting (CVE-2022-21937)/súlyos;
- Cross-site Scripting (CVE-2022-21938)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-165-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A világ (és az IT-OT-kiberbiztonsági szakma) egy jelentős része még mindig az Ipar 4.0 megemésztésével és az így megjelenő kockázatok létezésének elfogadásával illetve kezelésével küzd, közben pedig már megjelent az Ipar 5.0 fogalma is - legalább is a Claroty blogján publikált cikk alapján.

Miért is beszélhetnek a cikkben az 5. ipari forradalomról? Az első ipari forradalom ugye a termelés manufaktúrákból gépesített gyárakba történő váltásáról szólt, a második pedig a 19. század végén, 20. század elején a tömegtermelés bevezetésével (ugye mindenki emlékszik Henry Ford-ra és a T-modellre, mint az ikonikus példáira a tömegtermelésnek?). Bár akkor még nem volt divat így nevezni, de az Ipar 3.0 a PLC-k használatára épülő automatizálással érkezett meg az ipar világába, majd néhány éve egyre többen és egyre gyakrabban kezdtek a negyedik ipari forradalomról, Ipar 4.0-ról vagy ipari dolgok Internetéről (Industrial Internet of Things, IIoT) beszélni.

A Claroty cikkének érdekessége nem csak az, hogy egyszerre beszél az IIoT eszközök és a (gyakran legacy) OT eszközök együttes használatából eredő kockázatokról, hanem rögtön ezután az orvostechnikai rendszerek biztonsági kockázatait is behozza a képbe, ami még mindig egy méltatlanul elhanyagolt téma (főleg Magyarországon).

Bejelentés dátuma: 2022.05.31.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Alpha7 PC Loader minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-1888)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-151-01

Bejelentés dátuma: 2022.05.31.
Gyártó: Becton, Dickinson and Company (BD)
Érintett rendszer(ek):
- BD Pyxis ES Anesthesia Station;
- BD Pyxis CIISafe;
- BD Pyxis Logistics;
- BD Pyxis MedBank;
- BD Pyxis MedStation 4000;
- BD Pyxis MedStation ES;
- BD Pyxis MedStation ES Server;
- BD Pyxis ParAssist;
- BD Pyxis Rapid Rx;
- BD Pyxis StockStation;
- BD Pyxis SupplyCenter;
- BD Pyxis SupplyRoller;
- BD Pyxis SupplyStation;
- BD Pyxis SupplyStation EC;
- BD Pyxis SupplyStation RF auxiliary;
- BD Rowa Pouch Packaging Systems;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Not Using Password Aging (CVE-2022-22767)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-151-01

Bejelentés dátuma: 2022.05.31.
Gyártó: Becton, Dickinson and Company (BD)
Érintett rendszer(ek):
- BD Synapsys 4.20-as, 4.20 SR1 és 4.30-as verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Session Expiration (CVE-2022-30277)/közepes;
Javítás: Egyes érintett verziókhoz 2022. júniusban, a v4.30-hoz augusztusban lesz elérhető a javítás.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-151-02

Bejelentés dátuma: 2022.06.02.
Gyártó: Carrier LenelS2
Érintett rendszer(ek):
HID Mercure panel LNL-X2210;
HID Mercure panel LNL-X2220;
HID Mercure panel LNL-X3300;
HID Mercure panel LNL-X4420;
HID Mercure panel LNL-4420;
HID Mercure panel S2-LP-1501;
HID Mercure panel S2-LP-4502;
HID Mercure panel S2-LP-2500;
HID Mercure panel S2-LP-1502;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Protection Mechanism Failure (CVE-2022-31479)/kritikus;
- Forced Browsing (CVE-2022-31480)/súlyos;
- Classic Buffer Overflow (CVE-2022-31481)/kritikus;
- Classic Buffer Overflow (CVE-2022-31482)/súlyos;
- Path Traversal (CVE-2022-31483)/kritikus;
- Forced Browsing (CVE-2022-31484)/súlyos;
- Forced Browsing (CVE-2022-31485)/közepes;
- OS Command Injection (CVE-2022-31486)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-153-01

Bejelentés dátuma: 2022.06.02.
Gyártó: Illumina
Érintett rendszer(ek):
Az alábbi Illumina In Vitro Diagnostic (IVD) eszközök:
- NextSeq 550Dx LRM 1.3-tól 3.1-ig terjedő verziói;
- MiSeq Dx LRM 1.3-tól 3.1-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Execution with Unnecessary Privileges (CVE-2022-1517)/kritikus;
- Path Traversal (CVE-2022-1518)/kritikus;
- Unrestricted Upload of File with Dangerous Type (CVE-2022-1519)/kritikus;
- Improper Access Control (CVE-2022-1521)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2022-1524)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-153-02

Bejelentés dátuma: 2022.06.03.
Gyártó: Dominion Voting Systems
Érintett rendszer(ek):
- Az Android 5.1 alapú ImageCast X, amit a Dominion Democracy Suite Voting System 5.5-A verzióban használnak;
- ImageCast X 5.5.10.30-as és 5.5.10.32-es verziói, amiket a Dominion Democracy Suite Voting System 5.5-A verzióban használnak;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Verification of Cryptographic Signature (CVE-2022-1739)/nem ismert;
- Mutable Attestation or Measurement Reporting Data (CVE-2022-1740)/nem ismert;
- Hidden Functionality (CVE-2022-1741)/nem ismert;
- Improper Protection of Alternate Path (CVE-2022-1742)/nem ismert;
- Path Traversal (CVE-2022-1743)/nem ismert;
- Execution with Unnecessary Privileges (CVE-2022-1744)/nem ismert;
- Authentication Bypass by Spoofing (CVE-2022-1745)/nem ismert;
- Incorrect Privilege Assignment (CVE-2022-1746)/nem ismert;
- Origin Validation Error (CVE-2022-1747)/nem ismert;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-154-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A CIP-005-ben a nagyfeszültségű villamosenergia-rendszerben használt IT rendszerek határvédelmi követelményeit találjuk. A klasszikus hálózati határvédelmi megoldásokon túl a CIP-005 kitér olyan témákra is, mint az elektronikus hozzáférési pontok védelme, a betárcsázós kapcsolatokon beérkező vagy kimenő kapcsolatok fölötti kontroll megvalósítása vagy a távoli hozzáférések kezelése.

Számomra kicsit meglepő módon a CIP-005 nem egy túl hosszú fejezete a CIP-sorozatnak, bár ahogy ezeket a sorokat írom, ha általános elvárásokat kell felvázolni a témában (pláne ICS környezetekben, ahol tudjuk, hogy gyakran évtizedes technológiákat is újként helyeznek üzembe akár még ma is), akkor már annyira nem is váratlan, hogy viszonylag rövid a CIP-005.

A poszt publikálásakor a NERC-CIP-005-6 van hatályban, ez itt érhető el: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-005-6.pdf

Bejelentés dátuma: 2022.05.19.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-F FX5U-xMy/z x=32,64,80, y=T,R, z=ES,DS,ESS,DSS minden, 1.270-nél korábbi verziója;
- MELSEC iQ-F FX5UC-xMy/z x=32,64,96, y=T,R, z=D,DSS minden, 1.270-nél korábbi verziója;
- MELSEC iQ-F FX5UC-32MT/DS-TS, FX5UC-32MT/DSS-TS, FX5UC-32MR/DS-TS minden, 1.270-nél korábbi verziója;
- MELSEC iQ-F FX5UJ-xMy/z x=24,40,60, y=T,R, z=ES,ESS minden, 1.270-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-25161)/súlyos;
- Improper Input Validation (CVE-2022-25162)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-139-01

Bejelentés dátuma: 2022.05.24
Gyártó: Matrikon (Honeywell leányvállalat)
Érintett rendszer(ek):
- Matrikon OPC Server minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-1261)/közepes;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-144-02

Bejelentés dátuma: 2022.05.24
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- CompactLogix 5380-as vezérlők 32.013-as és korábbi verziói;
- Compact GuardLogix 5380-as vezérlők 32.013-as és korábbi verziói;
- CompactLogix 5480-as vezérlők 32.013-as és korábbi verziói;
- ControlLogix 5580-as vezérlők 32.013-as és korábbi verziói;
- GuardLogix 5580-as vezérlők 32.013-as és korábbi verziói;
- CompactLogix 5370-es vezérlők 33.013-as és korábbi verziói;
- Compact GuardLogix 5370-es vezérlők 33.013-as és korábbi verziói;
- ControlLogix 5570-es vezérlők 33.013-as és korábbi verziói;
- GuardLogix 5570-es vezérlők 33.013-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-1797)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-144-01

Bejelentés dátuma: 2022.05.26.
Gyártó: Horner Automation
Érintett rendszer(ek):
- Cscape Csfont 9.90 SP5 (v9.90.196) és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-27184)/súlyos;
- Out-of-bounds Write (CVE-2022-28690)/súlyos;
- Out-of-bounds Read (CVE-2022-29488)/súlyos;
- Heap-based Buffer Overflow (CVE-2022-30540)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-146-02

Bejelentés dátuma: 2022.05.26.
Gyártó: Keysight Technologies
Érintett rendszer(ek):
- Keysight N6854A és N6841A RF 2.3.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Relative Path Traversal (CVE-2022-1661)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-1660)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-146-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Chernovite névre keresztelt APT csoportot a Dragos kutatói 2022 márciusban fedezték fel, amikor az orosz-ukrán háború során ukrán kritikus infrastruktúra cégek elleni támadások nyomait vizsgálták és áprilisban publikáltak róla először információkat.

A Dragos elemzése szerint a Chernovite elsődleges specialitása egyedi, a célba vett szervezetekre szabott támadói eszközök fejlesztése, amelyekkel az ICS Kill Chain 2. szintjére sorolt támadói lépések némelyikét (kártékony kódok telepítés, legitim kódok módosítása, támadás ICS komponensek/rendszerek ellen) lehet végrehajtani.

A Chernovite elsődleges célpontjai az eddigi elemzések szerint a villamosenergia-szektorban illetve az olaj és gázszektorban tevékenykedő szervezetek, de a Dragos munkatársai kiemelték, hogy a Pipedream moduláris felépítése miatt a támadók könnyedén képesek lehetnek más iparágakban működő cégekre szabni az eddig ismert eszközeiket.

A Pipedream ICS malware-ről (én az Industroyer2-vel együtt ebben a posztban írtam róla) kiadott Dragos elemzés itt érhető el, a Chernovite-ról pedig itt lehet olvasni.

A modern villamosenergia-rendszereket üzemeltető szervezetek (átviteli és elosztóhálózati rendszerirányítók, TSO-k és DSO-k) egyre nagyobb mértékben építenek a különböző kommunikációs infrastruktúrákra és megoldásokra a villamosenergia-hálózatokkal kapcsolatos feladataik ellátása során. Különösen igaz ez azóta, hogy az egyes alállomások üzemeltetésében egyre nagyobb (napjainkban gyakran már 100%-os) súlyt kapnak a távkezelt, személyzet nélküli alállomások. Ennek egyik nem kívánt eredménye az egyre nagyobb kiberbiztonsági kitettség és fenyegetettségi szint. Ahogy az elmúlt 6-7 évben számos alkalommal láttuk, ahol a lehetőség adott egy komoly fizikai hatásokkal járó kibertámadásra, előbb-utóbb a támadók is megjelennek (elég csak a 2015-ös és 2016-os ukrán villamosenergia-rendszer elleni támadásokra gondolni, hogy ne is menjünk messze a most tárgyalt iparágtól).

Egy most talált tanulmányban a szerzők ezt a témát járják körül. A 19 oldalas tanulmány az arxiv.org oldalán érhető el.

Bejelentés dátuma: 2022.05.10.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSOFT GT OPC UA kliens 1.00A-tól 1.02C-ig terjedő verziói;
- GT SoftGOT2000 1.215Z-től 1.270G-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2021-3712)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-23840)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-06

Bejelentés dátuma: 2022.05.10.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA InTouch Access Anywhere minden verziója;
- AVEVA Plant SCADA Access Anywhere (korábbi nevén AVEVA Citect Anywhere és Schneider Electric Citect Anywhere) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2022-1467)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-05

Bejelentés dátuma: 2022.05.10.
Gyártó: Eaton
Érintett rendszer(ek):
- Eaton Intelligent Power Manager (IPM) v1 minden, v1.70-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-23282)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-04

Bejelentés dátuma: 2022.05.10.
Gyártó: Eaton
Érintett rendszer(ek):
- Eaton Intelligent Power Manager Infrastructure (IPM Infrastructure) minden verziója, beleértve a v1.5.0 plus205-öt is;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-23284)/közepes;
- Reflected Cross-site Scripting (CVE-2021-23285)/alacsony;
- Improper Neutralization of Formula in a CSV File (CVE-2021-23286)/közepes;
Javítás: Nem elérhető (a termék elérte életciklusa végét)
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-03

Bejelentés dátuma: 2022.05.10.
Gyártó: Eaton
Érintett rendszer(ek):
- Eaton Intelligent Power Protector (IPP) minden, v1.69 release 166-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-23283)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-02

Bejelentés dátuma: 2022.05.10.
Gyártó: Adminer
Érintett rendszer(ek):
- Adminer 1.112.0-tól 4.6.2-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Files or Directories Accessible to External Parties (CVE-2021-43008)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-01

Bejelentés dátuma: 2022.05.12.
Gyártó: Cambium Networks
Érintett rendszer(ek):
- cnMaestro On-Premises minden, 3.0.3-r32-nél korábbi verziója;
- cnMaestro On-Premises minden, 2.4.2-r29-nél korábbi verziója;
- cnMaestro On-Premises minden, 3.0.0-r34-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-1357)/kritikus;
- SQL Injection (CVE-2022-1358)/közepes;
- SQL Injection (CVE-2022-1361)/súlyos;
- OS Command Injection (CVE-2022-1360)/súlyos;
- OS Command Injection (CVE-2022-1362)/közepes;
- Path Traversal (CVE-2022-1359)/közepes;
- Use of Potentially Dangerous Function (CVE-2022-1356)/súlyos;
Javítás: Elérhető;
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-132-04

Bejelentés dátuma: 2022.05.12.
Gyártó: Inkscape
Érintett rendszer(ek):
- Inkscape (nyílt forráskódú grafikai szerkesztő rendszer) 0.91-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2021-42700)/alacsony;
- Access of Uninitialized Pointer (CVE-2021-42702)/alacsony;
- Out-of-bounds Write (CVE-2021-42704)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-132-03

Bejelentés dátuma: 2022.05.12.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSOFT iQ AppPortal (SW1DND-IQAPL-M) 1.00A-tól 1.26C-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authorization (CVE-2020-13938)/közepes;
- Out-of-bounds Write (CVE-2021-26691)/kritikus;
- NULL Pointer Dereference (CVE-2021-34798)/súlyos;
- Classic Buffer Overflow (CVE-2021-3711)/kritikus;
- Out-of-bounds Write (CVE-2021-44790)/kritikus;
- HTTP Request Smuggling (CVE-2022-22720)/kritikus;
- Out-of-bounds Write (CVE-2022-23943)/kritikus;
- Infinite Loop (CVE-2022-0778)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-132-02

Bejelentés dátuma: 2022.05.12.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft minden, 1.01.32-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-1405)/súlyos;
- Out-of-bounds Read (CVE-2022-1404)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-132-01

Bejelentés dátuma: 2022.05.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PowerLogic ION Setup 3.2.22096.01-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-30232)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.05.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Wiser Smart, EER21000 V4.5 és korábbi verziói;
- Wiser Smart, EER21001 V4.5 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-30234)/kritikus;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-30235)/súlyos;
- Improper Authentication (CVE-2022-30238)/súlyos;
- Incorrect Resource Transfer Between Spheres (CVE-2022-30236)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-30237)/súlyos;
- Improper Input Validation (CVE-2022-30233)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.05.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Saitel DP RTU Baseline_09.00.00-tól Baseline_11.06.23-ig terjedő firmware-verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial-of-Service (CVE-2022-6996)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.05.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Desigo DXR2 minden, V01.21.142.5-22-nél korábbi verziója;
- Desigo PXC3 minden, V01.21.142.4-18-nál korábbi verziója;
- Desigo PXC4 minden, V02.20.142.10-10884-nél korábbi verziója;
- Desigo PXC5 minden, V02.20.142.10-10884-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Special Element Injection (CVE-2022-24039)/kritikus;
- Uncontrolled Resource Consumption (CVE-2022-24040)/közepes;
- Use of Password Hash With Insufficient Computational Effort (CVE-2022-24041)/közepes;
- Insufficient Session Expiration (CVE-2022-24042)/közepes;
- Observable Discrepancy (CVE-2022-24043)/közepes;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-24044)/súlyos;
- Sensitive Cookie in HTTPS Session Without ‘Secure’ Attribute (CVE-2022-24045)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2022.05.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC NET PC Software V14 minden, V14 SP1 Update 14-nél korábbi verziója;
- SIMATIC NET PC Software V15 minden verziója;
- SIMATIC NET PC Software V16 minden verziója;
- SIMATIC NET PC Software V17 minden, V17 SP1-nél korábbi verziója;
- SIMATIC Process Historian OPC UA Server minden, 2020 SP1-nél korábbi verziója;
- SIMATIC WinCC minden verziója;
- SIMATIC WinCC Runtime Professional minden verziója;
- SIMATIC WinCC Unified Scada Runtime minden verziója;
- TeleControl Server Basic V3 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-40142)/súlyos;
Javítás: Egyes érintett verziókhoz elérhető.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Teamcenter v12.4 minden, v12.4.0.13-nál korábbi verziója;
- Teamcenter v13.0 minden, v13.0.0.9-nél korábbi verziója;
- Teamcenter v13.1 minden verziója;
- Teamcenter v13.2 minden v13.2.0.8-nál korábbi verziója;
- Teamcenter v13.3 minden v13.3.0.3-nál korábbi verziója;
- Teamcenter v14.0 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-24290)/súlyos;
- Improper Restriction of XML External Entity Reference (CVE-2022-29801)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- OpenV2G v0.9.4;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2022-27242)/közepes
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, v2020.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-27653)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC NET PC Software v14 minden, v14 SP1 Update 14-nél korábbi verziója;
- SIMATIC NET PC Software v15 minden verziója;
- SIMATIC NET PC Software v16 minden verziója;
- SIMATIC NET PC Software v17 minden, v17 SP1-nél korábbi verziója;
- SIMATIC Process Historian OPC UA Server minden, 2020 SP1-nél korábbi verziója;
- SIMATIC WinCC minden verziója;
- SIMATIC WinCC Runtime Professional minden verziója;
- SIMATIC WinCC Unified Scada Runtime minden verziója;
- TeleControl Server Basic v3 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-40142)/súlyos;
Javítás: Egyes érintett termékekhez elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Desigo DXR2 vezérlők minden, v01.21.142.5-22-nél korábbi verziója;
- Desigo PXC3 vezérlők minden, v01.21.142.4-18-nál korábbi verziója;
- Desigo PXC4 vezérlők minden, v02.20.142.10-10884-nél korábbi verziója;
- Desigo PXC5 vezérlők minden, v02.20.142.10-10884-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Special Element Injection (CVE-2022-24039)/kritikus;
- Uncontrolled Resource Consumption (CVE-2022-24040)/közepes;
- Use of Password Hash with Insufficient Computational Effort (CVE-2022-24041)/közepes;
- Insufficient Session Expiration (CVE-2022-24042)/közepes;
- Observable Discrepancy (CVE-2022-24043)/közepes;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-24044)/súlyos;
- Sensitive Cookie in HTTPS Session Without ‘Secure’ Attribute (CVE-2022-24045)/közepes;
- Uncaught Exception (CVE-2021-41545)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CP 442-1 RNA minden, v1.5.18-nál korábbi verziója;
- SIMATIC CP 443-1 RNA minden, v1.5.18-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-27640)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2GO minden, v13.3.0.3-nál korábbi verziója;
- Teamcenter Visualization v13.3 minden, v13.3.0.3-nál korábbi verziója;
- Teamcenter Visualization v14.0 minden, v14.0.0.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Infinite Loop (CVE-2022-29028)/alacsony;
- Null Pointer Dereference (CVE-2022-29029)/alacsony;
- Integer Overflow to Buffer Overflow (CVE-2022-29030)/alacsony;
- Null Pointer Dereference (CVE-2022-29031)/alacsony;
- Double Free (CVE-2022-29032)/súlyos;
- Access of Uninitialized Pointer (CVE-2022-29033)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC NET PC Software v14 minden, 14 SP1 Update 14-nél korábbi verziója;
- SIMATIC NET PC Software v15 minden verziója;
- SIMATIC NET PC Software v16 minden verziója;
- SIMATIC NET PC Software v17 minden, 17 SP1-nél korábbi verziója;
- SITOP Manager minden verziója;
- TeleControl Server Basic v3 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Null Pointer Dereference (CVE-2021-45117)/közepes;
Javítás: Egyes érintett termékekhez elérhetőek
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM P850 7KG8500-0AA00-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8500-0AA00-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8500-0AA10-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8500-0AA10-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8500-0AA30-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8500-0AA30-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA01-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA01-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA02-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA02-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA11-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA11-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA12-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA12-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA31-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA31-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA32-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA32-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA00-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA00-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA10-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA10-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA30-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA30-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA01-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA01-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA02-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA02-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA11-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA11-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA12-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA12-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA31-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA31-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA32-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA32-2AA0 minden, v3.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Neutralization of Parameter/Argument Delimiters (CVE-2022-29872)/súlyos;
- Improper Neutralization of Parameter/Argument Delimiters (CVE-2022-29873)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2022-29874)/súlyos;
- Cross-site Scripting (CVE-2022-29876)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-29877)/közepes;
- Authentication Bypass by Capture-replay (CVE-2022-29878)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-29879)/közepes;
- Cross-site Scripting (CVE-2022-29880)/közepes;
- Missing Authentication for Critical Function (CVE-2022-29881)/közepes;
- Cross-site Scripting (CVE-2022-29882)/súlyos;
- Improper Authentication (CVE-2022-29883)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS 7 v9.0 minden verziója;
- SIMATIC PCS 7 v9.1 minden verziója;
- SIMATIC WinCC Runtime Professional v16 minden verziója;
- SIMATIC WinCC Runtime Professional v17 minden verziója;
- SIMATIC WinCC v7.4 minden verziója;
- SIMATIC WinCC v7.5 minden, 7.5 SP2 Update 8-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insecure Default Initialization of Resource (CVE-2022-24287)/súlyos;
Javítás: A WinCC v7.5-ös verzióhoz elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.17.
Gyártó: Circutor
Érintett rendszer(ek):
- Circutor COMPACT DC-S BASIC CIR_CDC_v1.2.17-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-1669)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-137-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.