Bejelentés dátuma: 2022.05.10.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSOFT GT OPC UA kliens 1.00A-tól 1.02C-ig terjedő verziói;
- GT SoftGOT2000 1.215Z-től 1.270G-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2021-3712)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-23840)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-06

Bejelentés dátuma: 2022.05.10.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA InTouch Access Anywhere minden verziója;
- AVEVA Plant SCADA Access Anywhere (korábbi nevén AVEVA Citect Anywhere és Schneider Electric Citect Anywhere) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2022-1467)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-05

Bejelentés dátuma: 2022.05.10.
Gyártó: Eaton
Érintett rendszer(ek):
- Eaton Intelligent Power Manager (IPM) v1 minden, v1.70-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-23282)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-04

Bejelentés dátuma: 2022.05.10.
Gyártó: Eaton
Érintett rendszer(ek):
- Eaton Intelligent Power Manager Infrastructure (IPM Infrastructure) minden verziója, beleértve a v1.5.0 plus205-öt is;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-23284)/közepes;
- Reflected Cross-site Scripting (CVE-2021-23285)/alacsony;
- Improper Neutralization of Formula in a CSV File (CVE-2021-23286)/közepes;
Javítás: Nem elérhető (a termék elérte életciklusa végét)
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-03

Bejelentés dátuma: 2022.05.10.
Gyártó: Eaton
Érintett rendszer(ek):
- Eaton Intelligent Power Protector (IPP) minden, v1.69 release 166-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-23283)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-02

Bejelentés dátuma: 2022.05.10.
Gyártó: Adminer
Érintett rendszer(ek):
- Adminer 1.112.0-tól 4.6.2-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Files or Directories Accessible to External Parties (CVE-2021-43008)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-130-01

Bejelentés dátuma: 2022.05.12.
Gyártó: Cambium Networks
Érintett rendszer(ek):
- cnMaestro On-Premises minden, 3.0.3-r32-nél korábbi verziója;
- cnMaestro On-Premises minden, 2.4.2-r29-nél korábbi verziója;
- cnMaestro On-Premises minden, 3.0.0-r34-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-1357)/kritikus;
- SQL Injection (CVE-2022-1358)/közepes;
- SQL Injection (CVE-2022-1361)/súlyos;
- OS Command Injection (CVE-2022-1360)/súlyos;
- OS Command Injection (CVE-2022-1362)/közepes;
- Path Traversal (CVE-2022-1359)/közepes;
- Use of Potentially Dangerous Function (CVE-2022-1356)/súlyos;
Javítás: Elérhető;
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-132-04

Bejelentés dátuma: 2022.05.12.
Gyártó: Inkscape
Érintett rendszer(ek):
- Inkscape (nyílt forráskódú grafikai szerkesztő rendszer) 0.91-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2021-42700)/alacsony;
- Access of Uninitialized Pointer (CVE-2021-42702)/alacsony;
- Out-of-bounds Write (CVE-2021-42704)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-132-03

Bejelentés dátuma: 2022.05.12.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSOFT iQ AppPortal (SW1DND-IQAPL-M) 1.00A-tól 1.26C-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authorization (CVE-2020-13938)/közepes;
- Out-of-bounds Write (CVE-2021-26691)/kritikus;
- NULL Pointer Dereference (CVE-2021-34798)/súlyos;
- Classic Buffer Overflow (CVE-2021-3711)/kritikus;
- Out-of-bounds Write (CVE-2021-44790)/kritikus;
- HTTP Request Smuggling (CVE-2022-22720)/kritikus;
- Out-of-bounds Write (CVE-2022-23943)/kritikus;
- Infinite Loop (CVE-2022-0778)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-132-02

Bejelentés dátuma: 2022.05.12.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft minden, 1.01.32-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-1405)/súlyos;
- Out-of-bounds Read (CVE-2022-1404)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-132-01

Bejelentés dátuma: 2022.05.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PowerLogic ION Setup 3.2.22096.01-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-30232)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.05.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Wiser Smart, EER21000 V4.5 és korábbi verziói;
- Wiser Smart, EER21001 V4.5 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-30234)/kritikus;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-30235)/súlyos;
- Improper Authentication (CVE-2022-30238)/súlyos;
- Incorrect Resource Transfer Between Spheres (CVE-2022-30236)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-30237)/súlyos;
- Improper Input Validation (CVE-2022-30233)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.05.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Saitel DP RTU Baseline_09.00.00-tól Baseline_11.06.23-ig terjedő firmware-verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial-of-Service (CVE-2022-6996)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.05.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Desigo DXR2 minden, V01.21.142.5-22-nél korábbi verziója;
- Desigo PXC3 minden, V01.21.142.4-18-nál korábbi verziója;
- Desigo PXC4 minden, V02.20.142.10-10884-nél korábbi verziója;
- Desigo PXC5 minden, V02.20.142.10-10884-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Special Element Injection (CVE-2022-24039)/kritikus;
- Uncontrolled Resource Consumption (CVE-2022-24040)/közepes;
- Use of Password Hash With Insufficient Computational Effort (CVE-2022-24041)/közepes;
- Insufficient Session Expiration (CVE-2022-24042)/közepes;
- Observable Discrepancy (CVE-2022-24043)/közepes;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-24044)/súlyos;
- Sensitive Cookie in HTTPS Session Without ‘Secure’ Attribute (CVE-2022-24045)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2022.05.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC NET PC Software V14 minden, V14 SP1 Update 14-nél korábbi verziója;
- SIMATIC NET PC Software V15 minden verziója;
- SIMATIC NET PC Software V16 minden verziója;
- SIMATIC NET PC Software V17 minden, V17 SP1-nél korábbi verziója;
- SIMATIC Process Historian OPC UA Server minden, 2020 SP1-nél korábbi verziója;
- SIMATIC WinCC minden verziója;
- SIMATIC WinCC Runtime Professional minden verziója;
- SIMATIC WinCC Unified Scada Runtime minden verziója;
- TeleControl Server Basic V3 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-40142)/súlyos;
Javítás: Egyes érintett verziókhoz elérhető.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Teamcenter v12.4 minden, v12.4.0.13-nál korábbi verziója;
- Teamcenter v13.0 minden, v13.0.0.9-nél korábbi verziója;
- Teamcenter v13.1 minden verziója;
- Teamcenter v13.2 minden v13.2.0.8-nál korábbi verziója;
- Teamcenter v13.3 minden v13.3.0.3-nál korábbi verziója;
- Teamcenter v14.0 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-24290)/súlyos;
- Improper Restriction of XML External Entity Reference (CVE-2022-29801)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- OpenV2G v0.9.4;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2022-27242)/közepes
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, v2020.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-27653)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC NET PC Software v14 minden, v14 SP1 Update 14-nél korábbi verziója;
- SIMATIC NET PC Software v15 minden verziója;
- SIMATIC NET PC Software v16 minden verziója;
- SIMATIC NET PC Software v17 minden, v17 SP1-nél korábbi verziója;
- SIMATIC Process Historian OPC UA Server minden, 2020 SP1-nél korábbi verziója;
- SIMATIC WinCC minden verziója;
- SIMATIC WinCC Runtime Professional minden verziója;
- SIMATIC WinCC Unified Scada Runtime minden verziója;
- TeleControl Server Basic v3 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-40142)/súlyos;
Javítás: Egyes érintett termékekhez elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Desigo DXR2 vezérlők minden, v01.21.142.5-22-nél korábbi verziója;
- Desigo PXC3 vezérlők minden, v01.21.142.4-18-nál korábbi verziója;
- Desigo PXC4 vezérlők minden, v02.20.142.10-10884-nél korábbi verziója;
- Desigo PXC5 vezérlők minden, v02.20.142.10-10884-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Special Element Injection (CVE-2022-24039)/kritikus;
- Uncontrolled Resource Consumption (CVE-2022-24040)/közepes;
- Use of Password Hash with Insufficient Computational Effort (CVE-2022-24041)/közepes;
- Insufficient Session Expiration (CVE-2022-24042)/közepes;
- Observable Discrepancy (CVE-2022-24043)/közepes;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-24044)/súlyos;
- Sensitive Cookie in HTTPS Session Without ‘Secure’ Attribute (CVE-2022-24045)/közepes;
- Uncaught Exception (CVE-2021-41545)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CP 442-1 RNA minden, v1.5.18-nál korábbi verziója;
- SIMATIC CP 443-1 RNA minden, v1.5.18-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-27640)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2GO minden, v13.3.0.3-nál korábbi verziója;
- Teamcenter Visualization v13.3 minden, v13.3.0.3-nál korábbi verziója;
- Teamcenter Visualization v14.0 minden, v14.0.0.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Infinite Loop (CVE-2022-29028)/alacsony;
- Null Pointer Dereference (CVE-2022-29029)/alacsony;
- Integer Overflow to Buffer Overflow (CVE-2022-29030)/alacsony;
- Null Pointer Dereference (CVE-2022-29031)/alacsony;
- Double Free (CVE-2022-29032)/súlyos;
- Access of Uninitialized Pointer (CVE-2022-29033)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC NET PC Software v14 minden, 14 SP1 Update 14-nél korábbi verziója;
- SIMATIC NET PC Software v15 minden verziója;
- SIMATIC NET PC Software v16 minden verziója;
- SIMATIC NET PC Software v17 minden, 17 SP1-nél korábbi verziója;
- SITOP Manager minden verziója;
- TeleControl Server Basic v3 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Null Pointer Dereference (CVE-2021-45117)/közepes;
Javítás: Egyes érintett termékekhez elérhetőek
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM P850 7KG8500-0AA00-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8500-0AA00-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8500-0AA10-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8500-0AA10-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8500-0AA30-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8500-0AA30-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA01-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA01-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA02-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA02-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA11-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA11-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA12-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA12-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA31-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA31-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA32-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P850 7KG8501-0AA32-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA00-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA00-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA10-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA10-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA30-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8550-0AA30-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA01-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA01-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA02-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA02-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA11-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA11-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA12-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA12-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA31-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA31-2AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA32-0AA0 minden, v3.0-nál korábbi verziója;
- SICAM P855 7KG8551-0AA32-2AA0 minden, v3.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Neutralization of Parameter/Argument Delimiters (CVE-2022-29872)/súlyos;
- Improper Neutralization of Parameter/Argument Delimiters (CVE-2022-29873)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2022-29874)/súlyos;
- Cross-site Scripting (CVE-2022-29876)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-29877)/közepes;
- Authentication Bypass by Capture-replay (CVE-2022-29878)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-29879)/közepes;
- Cross-site Scripting (CVE-2022-29880)/közepes;
- Missing Authentication for Critical Function (CVE-2022-29881)/közepes;
- Cross-site Scripting (CVE-2022-29882)/súlyos;
- Improper Authentication (CVE-2022-29883)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS 7 v9.0 minden verziója;
- SIMATIC PCS 7 v9.1 minden verziója;
- SIMATIC WinCC Runtime Professional v16 minden verziója;
- SIMATIC WinCC Runtime Professional v17 minden verziója;
- SIMATIC WinCC v7.4 minden verziója;
- SIMATIC WinCC v7.5 minden, 7.5 SP2 Update 8-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insecure Default Initialization of Resource (CVE-2022-24287)/súlyos;
Javítás: A WinCC v7.5-ös verzióhoz elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.05.17.
Gyártó: Circutor
Érintett rendszer(ek):
- Circutor COMPACT DC-S BASIC CIR_CDC_v1.2.17-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-1669)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-137-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Jen Easterly a DHS CISA igazgatója és (bár az elődei munkáját nem követtem közelről, de) nekem úgy tűnik, hogy a vezetésével egy elég új megközelítésre váltottak, egyrészt a nagyobb nyilvánosság elé hozták a kritikus infrastruktúrák kiberbiztonságának kérdését, másrészt az amerikai kritikus infrastruktúrák kiberbiztonságával foglalkozó közösséggel is minden korábbinál szorosabb együttműködést próbálnak kialakítani.

Ennek egy kiváló példája lehet az idén (a COViD-19 miatt) januárról áprilisra halasztott S4x22 konferencián tartott beszélgetés is, ahol Easterly igazgató a konferenciát szervező Dale Petersonnal beszélgetett. A kb. 30 perces felvétel elérhető a YouTube-on.

Bejelentés dátuma: 2022.05.03.
Gyártó: Yokogawa
Érintett rendszer(ek):
- CENTUM VP sorozat (beleértve a CENTUM VP Entry Class rendszereket is) R4.01.00-tól R4.03.00-ig terjedő verziói (ha a VP6E5150 telepítve van);
- B/M9000 VP R6.01.01-től R6.03.02-ig terjedő verziói;
- CENTUM VP (beleértve a CENTUM VP Entry Class rendszereket is) R6.01.10-től R6.09.00-ig terjedő verziói (ha a VP6E5000 telepítve van);
- B/M9000 VP R8.01.01-től R8.03.01-ig terjedő verziói;
- Prosafe-RS R4.01.00-tól R4.07.00-ig terjedő verziói, ha az RS4E5000 telepítve van;
- CENTUM VP (beleértve a CENTUM VP Entry Class rendszereket is) R6.01.10-től R6.07.10-ig terjedő verziói (ha a VP6E5000 vagy a VP6E5100 telepítve van);
- B/M9000 VP R8.01.01-től R8.03.01-ig terjedő verziói;
- Prosafe-RS R4.01.00-tól R4.05.00-ig terjedő verziói, (ha a VP6E5000 vagy a VP6E5100 telepítve van).
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-27188)/közepes;
- Improper Authentication (CVE-2022-26034)/közepes;
- NULL Pointer Dereference (CVE-2019-0203)/súlyos;
- Improper Input Validation (CVE-2018-11782)/közepes;
- Resource Management Errors (CVE-2015-0248)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-123-01

Bejelentés dátuma: 2022.05.03.
Gyártó: Moxa
Érintett rendszer(ek):
- MXview sorozat v3.0-nál újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Control of Generation of Code (nem elérhető)/nem ismert;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/mxview-privilege-escalation-vulnerability

Bejelentés dátuma:2022.05.03.
Gyártó: Belden
Érintett rendszer(ek):
- Provize Basic 01.1.01;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial-of-Service (CVE-2021-3749)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://dam.belden.com/dmm3bwsv3/assetstream.aspx?assetid=14297&mediaformatid=50063&destinationid=10016

Bejelentés dátuma:2022.05.03.
Gyártó: Belden
Érintett rendszer(ek):
- Provize Basic 01.1.01;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Man-in-the-Middle (CVE-2021-23214)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://dam.belden.com/dmm3bwsv3/assetstream.aspx?assetid=14298&mediaformatid=50063&destinationid=10016

Bejelentés dátuma:2022.05.03.
Gyártó: Belden
Érintett rendszer(ek):
- Provize Basic 01.1.01;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Unsafe PAC file handling (CVE-2021-23406)/kritikus;
- Arbitrary code execution (CVE-2021-37712)/súlyos;
- Arbitrary code execution (CVE-2021-37701)/súlyos;
- Arbitrary code execution (CVE-2021-37713)/súlyos;
- Arbitrary File Creation/Overwrite (CVE-2021-32803)/súlyos;
- Arbitrary File Creation/Overwrite (CVE-2021-32804)/súlyos;
- Regular expression process error (CVE-2020-28469)/súlyos;
- Denial-of-Service (CVE-2021-33623)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://dam.belden.com/dmm3bwsv3/assetstream.aspx?assetid=14299&mediaformatid=50063&destinationid=10016

Bejelentés dátuma: 2022.05.05.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Metasys ADS/ADX/OAS Servers 10-es és 11-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Unverified Password Change (CVE-2022-21934)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-125-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Olaf Schwarz egy nagyon komoly tapasztalatokkal rendelkező forensics szakértő, aki jelenleg a belga Nviso nevű cégnél dolgozik, korábban pedig az osztrák Energy ISAC munkatársa volt. 2017-ben, a SANS ICS 515 tanfolyamán személyesen is találkoztunk (egész pontosan Olaf egy hétig mellettem ült az előadóteremben) és már akkor látszott, hogy mennyire jól eligazodik az ICS rendszereken végzett forensics vizsgálatok területén.

Nemrég egy 3 részes sorozatra bukkantam az Nviso blogján, Olaf tollából, amiben a Siemens TIA Portal nevű megoldásának Windows 10 operációs rendszerre telepített változatának részletekbe menő vizsgálatát mutatja be.

A sorozat részei az alábbi linkeken érhetőek el:

Investigating an engineering workstation – Part 1

Investigating an engineering workstation – Part 2

Investigating an engineering workstation – Part 3

Bejelentés dátuma: 2022.04.19.
Gyártó: Siemens
Érintett rendszer(ek):
- Operation Scheduler minden, 2.0.4-nél korábbi verziója;
- SiPass integrated V2.80 minden verziója;
- SiPass integrated V2.85 minden verziója;
- Siveillance Identity V1.5 minden verziója;
- Siveillance Identity V1.6 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-22965)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-254054.pdf

Bejelentés dátuma: 2022.04.21.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- ASDA-Soft 5.4.1.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-1402)/súlyos;
- Out-of-bounds Read (CVE-2022-1403)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-111-01

Bejelentés dátuma: 2022.04.21.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Metasys System Configuration Tool (SCT) minden, 14.2.2-nél korábbi verziója;
- Metasys System Configuration Tool Pro (SCT Pro) minden, 14.2.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Server-side Request Forgery (CVE-2021-36203)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-111-02

Bejelentés dátuma: 2022.04.21.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MicroSCADA Pro/X SYS600 10.1.1 és korábbi verziói (OpenSSL sérülékenység);
- MicroSCADA Pro/X SYS600 9.4 FP1-től 10.2.1-ig terjedő verziói (Node.js sérülékenységek);
- MicroSCADA Pro/X SYS600 10.0.0-tól 10.2.1-ig terjedő verziói (PostgreSQL sérülékenységek);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Discrepancy (CVE-2020-1968)/alacsony;
- HTTP Request Smuggling (CVE-2020-8265)/súlyos;
- HTTP Request Smuggling (CVE-2020-8287)/közepes;
- HTTP Request Smuggling (CVE-2020-8201)/súlyos;
- Classic Buffer Overflow (CVE-2020-8252)/súlyos;
- Improper Certificate Validation (CVE-2020-8172)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2020-8174)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-32027 )/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-32028)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-111-03

Bejelentés dátuma: 2022.04.26.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- All System Data Manager – SDM600 verziói az 1.2 FP2 HF10 (Build Nr. 1.2.14002.506)-nál korábbi verziók esetén;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Discrepancy (CVE-2020-1968)/alacsony;
- Uncontrolled Recursion (CVE-2020-12243)/súlyos;
- Reachable Assertion (CVE-2020-25709)/súlyos;
- Reachable Assertion (CVE-2020-25710)/súlyos;
- Type Confusion (CVE-2020-36229)/súlyos;
- Reachable Assertion (CVE-2020-36230)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-23840)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-116-01

Bejelentés dátuma: 2022.04.28.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Metasys ADS/ADX/OAS Servers 10-es és 11-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2021-36207)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-118-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A NERC CIP-004 az a tagja a CIP sorozatnak, ami az oly gyakran emlegetett, IT (és OT) biztonság egyik legnagyobb biztonsági problémájával, az emberek jelentette kockázatok csökkentési módjaival foglalkozik. A CIP-004-6 megfogalmazása szerint a célja a nagyfeszültségű villamosenergia-rendszerrel kapcsolatos olyan kockázatok csökkentése, amik az érintett rendszer működtetésében érintett személyzet képzésével és biztonság-tudatosságával kapcsolatosak, valamint általában véve a humán kockázatok értékelésével is foglalkozik.

A NERC CIP-004-et a sorozat korábbi részeiben már említett, a villamosenergia-rendszerre magas és közepes hatást gyakorló IT rendszerek kategóriáin kívül három további rendszer-csoportra is alkalmazható illetve alkalmazni kell, ezek a következők:

- Külső, route-olható hálózati kapcsolattal rendelkező közepes hatással bíró IT rendszerek;
- Elektronikus hozzáférés és monitoring funkciókat biztosító rendszerek (Electronic Access Control or Monitoring Systems - EACMS);
- Fizikai hozzáférés-vezérlést biztosító rendszerek (Physical Access Control Systems - PACS).

A fenti rendszerekkel kapcsolatba kerülő (fizikai vagy logikai hozzáféréssel rendelkező) személyzetre vonatkozó követelmények első része a biztonság-tudatossági programokra vonatkozik. Eszerint legalább minden naptári negyedévben egyszer(!) kell biztonság-tudatossági képzéssel erősíteni a kiberbiztonsági eljárások hatékonyságát. Ez már önmagában is egy, az általam magyar szervezetéknél bő másfél évtized alatt látott gyakorlatnál sokkal szigorúbb elvárás és itt még nincs is vége...

A követelmények második fejezete szerint minden olyan IT rendszerhez (és a kapcsolódó EACMS és/vagy PACS rendszerekhez) történő hozzáférés előtt az érintett felhasználóknak minimálisan az alábbi témakörökben kell képzést kapniuk:

- Kiberbiztonsági szabályzatok;
- Fizikai hozzáférési szabályok;
- Logikai hozzáférési szabályok;
- Látogatók felügyeletére vonatkozó szabályok;
- A nagyfeszültségű villamosenergia-rendszerrel kapcsolatos információk kezelési és tárolási szabályai;
- Kiberbiztonsági incidensek azonosítási és jelentési szabályai;
- Helyreállítási (DRP) tervek a nagyfeszültségű villamosenergia-rendszer IT rendszereire vonatkozóan;
- Kiberbiztonsági incidenskezelési szabályok;
- A nagyfeszültségű villamosenergia-rendszerrel kapcsolatosan ideiglenesen használt informatikai eszközök és adathordozók kockázatai;

A harmadik fejezet a személyzetre vonatkozó kockázatértékelésről szól. Vizsgálni kell az adott munkatárs személyazonosságát és 7 évre visszamenőleg a büntetett előéletét (gyakorlatilag egyfajta hatósági erkölcsi bizonyítvánnyal egyenértékű ellenőrzés lehet), valamint a jelenlegi és az elmúlt 7 év állandó és ideiglenes lakóhelyeit. Ezeket az ellenőrzéseket nem csak az állományba vett munkatársak esetén, hanem a szerződéses alvállalkozók és egyéb szolgáltatók munkatársaival kapcsolatban is el kell végezni.

A negyedik fejezet a hozzáférések kezelésével kapcsolatos szabályokat foglalja össze, beleértve az elektronikus hozzáféréseket, a felügyelet nélküli fizikai hozzáféréseket a védett területeken található eszközökhöz és rendszerekhez, valamint a nagyfeszültségű villamosenergia-rendszerben használt adatok fizikai és logikai adattárolóihoz történő hozzáférések szabályait.

Az ötödik fejezet pedig a hozzáférési jogosultságok visszavonási szabályait tartalmazza.

A CIP-004 jelenleg (2022.04.15-én) hatályos változata itt érhető el: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-004-6.pdf

Az orosz-ukrán háború kitörése után a DHS CISA Shields up-néven publikálta az amerikai szervezetek számára készített, kiberbiztonság fokozására vonatkozó ajánlásait. Ezek jelentős része nem különbözik az évek során külön-külön már kiadott javaslatoktól (multi-faktor authentikáció alkalmazása, hibajavítások rendszeres telepítése, nem használt portok zárása, stb.). Az ICS rendszereket üzemeltető szervezetek számára egyetlen, szintén már ismert intézkedést tartalmaz a publikáció, ez pedig a kritikus funkciókhoz használt OT rendszerek manuális vezérléssel történő kiváltásának tesztelésére vonatkozik.

Dale Peterson (az S4X ICS biztonsági konferencia szervezője) blogbejegyzésében összegyűjtötte, milyen intézkedéseket tartalmazhatna egy ICS-fókuszú Shields up!-lista:

- Kritikus (ICS/OT) rendszerek izolációja, különböző szintű hálózati kapcsolatok megszüntetésével;
- PLC-k és egyéb vezérlők Run-módba kapcsolása (Run módban a PLC-k kódját és konfigurációját nem lehet módosítani);
- Az automatizálás kikapcsolása (manuális vezérlésre történő átállás);
- A legfrissebb mentések ICS/OT rendszereken kívül (offline) történő tárolása (ez bármilyen jellegű incidens esetén nagyon hasznos lehet, de egy súlyosabb ransomware-támadás esetén kb. az egyetlen esély lehet arra, hogy a váltságdíj kifizetése nélkül legyen lehetőségünk helyreállítani a rendszereinket és adatainkat);
- Készletek felhalmozása incidens esetére, hogy a kritikus üzleti folyamatok az ICS/OT rendszerek kiesése esetén is működhessenek a helyreállítás ideje alatt.

A DHS CISA Shields up! fontosságát jól mutatja a múlt vasárnap, a CBS-en leadott 60 minutes (Bill Whitaker műsora) egy kb. 13,5 perces blokkja, ahol Jen Easterly, a DHS CISA igazgatója (az amerikai hadsereg West Point-on végzett nyugalmazott alezredese), Robert M. Lee (az amerikai légierő nyugalmazott katonája, volt NSA elemző, a Dragos alapító-vezérigazgatója) és a Julian Gutmanis, (a Triton/TriSIS nevű, Saudi Aramco safety rendszereit célzó malware egyik felfedezője, jelenleg a Dragos munkatársa) beszélnek azokról az incidensekről, amik a Shields up programhoz vezettek. Maga a felvétel nem tartalmaz sok új információt (bár vannak benne érdekes jelenetek bizonyos alállomási helyszínekről), azonban mégis nagyon fontosnak tartom, mert az, hogy az USA-ban egy országos TV-csatornán főműsoridőben (vasárnap este) beszélnek a kritikus infrastruktúrák kiberbiztonsági kockázatairól, jól mutatja, hogyan kap egyre nagyobb figyelmet az a téma, amiről szakemberek egy elhivatott (néha már-már a fanatizmus határait is súroló) kis csoportja lassan bő másfél évtizede beszél. A kérdés csak az: vajon a cégek és felelős vezetők (állami és vállalati szinten egyaránt) mikor hallják meg a figyelmeztetéseket és kezdik végre alkalmazni a régóta rendelkezésre álló intézkedéseket, hogy biztonságosabbá tegyék a civilizációnk alapjait adó kritikus infrastruktúrákat?

Bejelentés dátuma: 2022.04.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 CPUs BMXP34* V3.40-nél korábbi verziói;
- Modicon M340 X80 Ethernet kommunikációs modulok:
- BMXNOE0100 (H) minden verziója;
- BMXNOE0110 (H) minden verziója;
- BMXNOR0200H RTU minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2022-0222)/súlyos;
Javítás: Modicon M340-es berendezésekhez elérhető.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.04.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS Data Server (IGSSdataServer.exe) V15.0.0.22073 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Copy without Checking Size of Input (CVE-2022-24324)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.04.12.
Gyártó: Aethon (az ST Engineering leányvállalata)
Érintett rendszer(ek):
- TUG Home Base Server minden, 24-es korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authorization (CVE-2022-1066)/súlyos;
- Missing Authorization (CVE-2022-26423)/súlyos;
- Channel Accessible by Non-endpoint (CVE-2022-1070)/kritikus;
- Cross-site Scripting (CVE-2022-27494)/súlyos;
- Cross-site Scripting (CVE-2022-1059)/súlyos;
Javítás: A gyártó felkeresése javasolt.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-102-05

Bejelentés dátuma: 2022.04.12.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- A GOT2000 sorozatú GT25-ös és GT27-es eszközökbe épített GT25-WLAN kommunikációs eszközök minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Removal of Sensitive Information Before Storage or Transfer (CVE-2020-24586)/alacsony;
- Inadequate Encryption Strength (CVE-2020-24587)/alacsony;
- Missing Authentication for Critical Function (CVE-2020-24588)/alancsony;
- Injection (CVE-2020-26140)/közepes;
- Improper Input Validation (CVE-2020-26143)/közepes;
- Improper Input Validation (CVE-2020-26144)/közepes;
- Improper Input Validation (CVE-2020-26146)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedéseket javasol.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-102-04

Bejelentés dátuma: 2022.04.12.
Gyártó: Inductive Automation
Érintett rendszer(ek):
- Inductive Automation Ignition minden, 8.0.4-nél későbbi verzió a 8.0 főverzióból;
- Inductive Automation Ignition minden, 8.1.10-nél korábbi verzió a 8.1-es főverzióból;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-1264)/közepes;
Javítás: A 8.1-es főverzióhoz elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-102-03

Bejelentés dátuma: 2022.04.12.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- Wind River VxWorks 6.4-es verziót használó MELSEC-Q C sorozatú vezérlő modulok Q12DCCPU-V 24031-es és korábbi sorozatszámú verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2021-29998)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-102-02

Bejelentés dátuma: 2022.04.12.
Gyártó: Valmet
Érintett rendszer(ek):
- Valmet DNA DCS Collection 2012-től Collection 2021-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2021-26726)/súlyos;
Javítás: Elérhető a gyártónál.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-102-01

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC STEP 7 (TIA Portal) v15 minden verziója;
- SIMATIC STEP 7 (TIA Portal) v16 minden, v16 Update 5-nél korábbi verziója;
- SIMATIC STEP 7 (TIA Portal) v17 minden, v17 Update 2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2021-42029)/közepes;
Javítás: v16 és v17 főverziókhoz elérhetőek.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, v2022.1.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-28661)/súlyos;
- Out-of-bounds Write (CVE-2022-28662)/alacsony;
- Out-of-bounds Write (CVE-2022-28663)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7-et használó Mendix alkalmazások minden, V7.23.27-nél korábbi verziója;
- Mendix 8-at használó Mendix alkalmazások minden, V8.18.14-nél korábbi verziója;
- Mendix 9-et használó Mendix alkalmazások minden, V9.12.0-nál korábbi verziója;
- Mendix 9-et (V9.6)használó Mendix alkalmazások minden, V9.6.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-25650)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-870917.pdf

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7-et használó Mendix alkalmazások minden verziója;
- Mendix 8-at használó Mendix alkalmazások minden verziója;
- Mendix 9-et használó Mendix alkalmazások minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-27241)/közepes;
Javítás: Mendix 9-hez elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE X302-7 EEC minden, v4.1.4-nél korábbi verziója;
- SCALANCE X304-2FE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X306-1LD FE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X307-2 EEC minden, v4.1.4-nél korábbi verziója;
- SCALANCE X307-3 minden, v4.1.4-nél korábbi verziója;
- SCALANCE X307-3LD minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2 minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2LD minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2LH minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2LH+ minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2M minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2M POE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X308-2M TS minden, v4.1.4-nél korábbi verziója;
- SCALANCE X310 minden, v4.1.4-nél korábbi verziója;
- SCALANCE X310FE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X320-1 FE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X320-1-2LD FE minden, v4.1.4-nél korábbi verziója;
- SCALANCE X408-2 minden, v4.1.4-nél korábbi verziója;
- SCALANCE XR324-4M EEC minden, v4.1.4-nél korábbi verziója;
- SCALANCE XR324-4M PoE minden, v4.1.4-nél korábbi verziója;
- SCALANCE XR324-4M PoE TS minden, v4.1.4-nél korábbi verziója;
- SCALANCE XR324-12M minden, v4.1.4-nél korábbi verziója;
- SCALANCE XR324-12M TS minden, v4.1.4-nél korábbi verziója;
- SIPLUS NET SCALANCE X308-2 minden, v4.1.4-nél korábbi verziója;
- Smart Security Manager 1.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-25751 )/súlyos;
- Use of Insufficiently Random Values (CVE-2022-25752)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-25753)/súlyos;
- Cross-site Request Forgery (CVE-2022-25754)/súlyos;
- Improper Access Control (CVE-2022-25755)/alacsony;
- Basic XSS (CVE-2022-25756)/súlyos;
- Classic Buffer Overflow (CVE-2022-26334)/súlyos;
- Classic Buffer Overflow (CVE-2022-26335)/kritikus;
- Out-of-bounds Read (CVE-2022-26380)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-400 HV6 CPU család (beleértve a SIPLUS változatokat is) minden, v6.0.10-nél korábbi verziója;
- SIMATIC S7-400 PN/DP V7 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-410 V8 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-410 V10 CPU család (beleértve a SIPLUS változatokat is) minden, v10.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-40368)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM A8000 CP-8031 minden, v4.80-nál korábbi verziója;
- SICAM A8000 CP-8050 minden, v4.80-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-27480)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Energy Manager Basic minden, v7.3 Update 1-nél korábbi verziója;
- SIMATIC Energy Manager PRO minden, v7.3 Update 1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2022-23448)/súlyos;
- Uncontrolled Search Path Element (CVE-2022-23449)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-23450)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CFU DIQ (6ES7655-5PX31-1XX0) minden verziója;
- SIMATIC CFU PA (6ES7655-5PX11-0XX0) minden verziója;
- SIMATIC S7-300 CPU család (beleértve az ET200 CPU-kat és a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-400 H V6 CPU család (beleértve a SIPLUS változatokat is) minden, v6.0.10-nél korábbi verziója;
- SIMATIC S7-400 PN/DP V7 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-410 V8 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-410 V10 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1500 CPU család (beleértve az ET200 CPU-kat és a SIPLUS változatokat is) minden, v2.0.0-nál korábbi verziója;
- SIMATIC TDC CP51M1 minden verziója;
- SIMATIC TDC CPU555 minden verziója;
- SIMATIC WinAC RTX minden verziója;
- SIMIT Simulation Platform minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-25622)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SCLANCE W1788-1 M12 minden, 3.0.0-nál korábbi verziója;
- SCALANCE W1788-2 ECC M12 minden, 3.0.0-nál korábbi verziója;
- SCALANCE W1788-2 M12 minden, 3.0.0-nál korábbi verziója;
- SCALANCE W1788-2IA M12 minden, 3.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Race Condition (CVE-2022-27481)/súlyos;
- Improper Input Validation (CVE-2022-28328)/súlyos;
- Improper Input Validation (CVE-2022-28329)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.04.12
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS neo (Administration Console) minden, V3.1 SP1-nél korábbi verziója;
- SINETPLAN minden verziója;
- TIA Portal V15, V15.1, V16 és V17-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-27194)/súlyos;
Javítás: A SIMATIC PCS neo (Administration Console) esetén elérhető.
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-711829.pdf

Bejelentés dátuma: 2022.04.14.
Gyártó: Red Lion
Érintett rendszer(ek):
- DA50N hálózati átjárók minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Verification of Data Authenticity (CVE-2022-26516)/súlyos;
- Weak Password Requirements (CVE-2022-1039)/kritikus;
- Use of Unmaintained Third-Party Components (nem ismert)/nem ismert;
- Insufficiently Protected Credentials (CVE-2022-27179)/közepes;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-104-03

Bejelentés dátuma: 2022.04.14.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Metasys ADS/ADX/OAS szerverek 10-es és 11-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incomplete Cleanup (CVE-2021-36205)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-104-02

Bejelentés dátuma: 2022.04.14.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DMARS minden, v2.1.10.24-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-1331)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-104-01

Bejelentés dátuma: 2022.04.19.
Gyártó: Elcomplus
Érintett rendszer(ek):
- SmartPPT SCADA Server v1.4;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-43932)/kritikus;
- Unauthorized Exposure to Sensitive Information (CVE-2021-43938)/súlyos;
- Unrestricted Upload of File with Dangerous Type (CVE-2021-43934)/kritikus;
- Path Traversal (CVE-2021-43930)/kritikus;
- Cross-site Request Forgery (CVE-2021-43937)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-109-05

Bejelentés dátuma: 2022.04.19.
Gyártó: Elcomplus
Érintett rendszer(ek):
- SmartPPT SCADA Server v1.1;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2021-43932)/kritikus;
- Unrestricted Upload of File with Dangerous Type (CVE-2021-43939)/súlyos;
- Improper Authorization (CVE-2021-43934)/kritikus;
- Cross-site Scripting (CVE-2021-43930)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-109-04

Bejelentés dátuma: 2022.04.19.
Gyártó: FANUC Corporation
Érintett rendszer(ek):
- ROBOGUIDE v9.40083.00.05 (Rev T) és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2021-38483)/közepes;
- Improper Access Control (CVE-2021-43986)/közepes;
- Path Traversal (CVE-2021-43988)/közepes;
- Improper Restriction of XML External Entity Reference (CVE-2021-43990)/közepes;
- Uncontrolled Resource Consumption (CVE-2021-43933)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-109-03

Bejelentés dátuma: 2022.04.19.
Gyártó: Automated Logic (a Carrier Global Corporation leányvállalata)
Érintett rendszer(ek):
- WebCtrl Server minden, 7.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Open Redirect (CVE-2022-1019)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-109-02

Bejelentés dátuma: 2022.04.19.
Gyártó: Interlogix (a Carrier Global Corporation leányvállalata)
Érintett rendszer(ek):
- Hills ComNav 3002-19-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-26519)/közepes;
- Inadequate Encryption Strength (CVE-2022-1318)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-109-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az elmúlt hét kifejezetten mozgalmas volt az ICS/OT kiberbiztonság világában, hiszen egyetlen hét alatt két, kifejezetten ICS/OT rendszereket célzó malware-ről érkeztek hírek.

Az elsőről a 2016-os, Ukrenergo (az ukrán villamosenergia-rendszerirányító) elleni kibertámadásról részletes elemzést készítő ESET adta ki és több ok miatt is a 2016-os támadáshoz használt malware neve (Industroyer) után Industroyer2-nek nevezték az új kártevőt. Az ESET-et ebben az esetben az ukrán állami kiberbiztonsági központ (a CERT-UA) vonta be az általuk talált malware elemzésébe és a szlovákiai központú cég munkatársai meg is tudták erősíteni az ukrán szakemberek gyanúját, hogy a most talált malware kapcsolatba hozható a 2016-os incidensben használt malware-rel. Emiatt erősen megalapozottnak látszik a feltételezés, hogy a támadás mögött ebben az esetben is a Sandworm néven elhíresült, a feltételezések szerint az orosz katonai titkosszolgálat, a GU (korábbi nevén GRU) támogatását élvező APT-csoport állhat. A CERT-UA bejelentése szerint az Industroyer2-t még az aktiválása (és így az ukrán villamosenergia-rendszerben előidézett üzemzavar előidézése) előtt sikerült felfedezni, így pedig a támadás fizikai világra gyakorolt hatásait megelőzni. Az ESET műszaki elemzését itt lehet elérni: https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/

Időközben pedig a CADO Security nevű cég már az Industroyer2 kereséséhez használható Yara szabályokat is elérhetővé tette a GitHub-on.

Mindössze egyetlen nappal az Industroyer2 publikálása után a DHS CISA és a Dragos részletes információkat hoztak nyilvánosságra egy másik, szintén ICS/OT rendszereket célzó, moduláris malware-ről, amit a Dragos Pipedream névre keresztelt (jó IT/OT biztonsági elemzőcéges szokás szerint a Mandiant is kiadott egy elemzést, ők ugyanennek a malware-nek az Incontroller nevet adták). A Dragos elemzése (röviden itt érhető el, regisztráció után a teljes verzió is letölthető PDF-formátumban) szerint a Pipedream egy olyan, nagyon alaposan tervezett és felépített malware, ami a MITRE ATT&CK for ICS támadási TTP-gyűjtemény támadási technikáinak 38%-át, a támadói taktikák 83%-át képes alkalmazni, ráadásul számos ICS gyártó (Schneider Electric, Omron, stb.) és ICS-specifikus technológiák, protokollok (CODESYS, Modbus, OPC UA, stb.). A Dragos elemzése külön kiemeli, hogy a most felfedezett és elemzés alá volt malware Schneider Electric és Omron termékekre volt felkészítve, de a modularitásából adódik a jogos feltételezés, hogy más modulokkal felvértezve más gyártók más termékeit is hatékonyan lehetnek képesek támadni a Pipedream megalkotói, akiket a Dragos elemzői Chernovite néven említenek (később majd róluk is lesz szó az ICS támadói csoportok sorozatban). A Pipedream/Incontroller malware-ről készült Mandiant elemzés itt található: https://www.mandiant.com/resources/incontroller-state-sponsored-ics-tool, a DHS CISA bejelentése pedig itt érhető el.

Szerk: Robert M. Lee (a Dragos alapító-vezérigazgatója) Twitter-posztjában külön hangsúlyozta annak a ténynek a jelentőségét, hogy a PipeDream/Incontroller malware mindezidáig nem okozott üzemzavart a működésével. Ez nem jelenti azt, hogy ne egy (vagy több?) ipari szervezet hálózatában találták volna az első példányt, azonban további részleteket ezzel kapcsolatban nem árult el.

Bejelentés dátuma: 2022.03.08.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Applications using Mendix 7 minden, V7.23.29-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-26317)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-415938.pdf

Bejelentés dátuma: 2022.03.08.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROX MX5000: minden, V2.3.0-nál újabb és V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX1400: minden, V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX1500: minden, V2.3.0-nál újabb és V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX1501: minden, V2.3.0-nál újabb és V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX1510: minden, V2.3.0-nál újabb és V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX1511: minden, V2.3.0-nál újabb és V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX1512: minden, V2.3.0-nál újabb és V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX1524: minden, V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX1536: minden, V2.15.0-nál korábbi verzió;
- RUGGEDCOM ROX RX5000: minden, V2.3.0-nál újabb és V2.15.0-nál korábbi verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-25217)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-406691.pdf

Bejelentés dátuma: 2022.03.08.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROS i800 minden verziója;
- RUGGEDCOM ROS i801 minden verziója;
- RUGGEDCOM ROS i802 minden verziója;
- RUGGEDCOM ROS i803 minden verziója;
- RUGGEDCOM ROS M969 minden verziója;
- RUGGEDCOM ROS M2100 minden verziója;
- RUGGEDCOM ROS M2200 minden verziója;
- RUGGEDCOM ROS RMC minden verziója;
- RUGGEDCOM ROS RMC20 minden verziója;
- RUGGEDCOM ROS RMC30 minden verziója;
- RUGGEDCOM ROS RMC40 minden verziója;
- RUGGEDCOM ROS RMC41 minden verziója;
- RUGGEDCOM ROS RMC8388 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RP110 minden verziója;
- RUGGEDCOM ROS RS400 minden verziója;
- RUGGEDCOM ROS RS401 minden verziója;
- RUGGEDCOM ROS RS416 minden verziója;
- RUGGEDCOM ROS RS416v2 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900 (32M) minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900G minden verziója;
- RUGGEDCOM ROS RS900G (32M) minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900GP minden verziója;
- RUGGEDCOM ROS RS900L minden verziója;
- RUGGEDCOM ROS RS900W minden verziója;
- RUGGEDCOM ROS RS910 minden verziója;
- RUGGEDCOM ROS RS910L minden verziója;
- RUGGEDCOM ROS RS910W minden verziója;
- RUGGEDCOM ROS RS920L minden verziója;
- RUGGEDCOM ROS RS920W minden verziója;
- RUGGEDCOM ROS RS930L minden verziója;
- RUGGEDCOM ROS RS930W minden verziója;
- RUGGEDCOM ROS RS940G minden verziója;
- RUGGEDCOM ROS RS969 minden verziója;
- RUGGEDCOM ROS RS8000 minden verziója;
- RUGGEDCOM ROS RS8000A minden verziója;
- RUGGEDCOM ROS RS8000H minden verziója;
- RUGGEDCOM ROS RS8000T minden verziója;
- RUGGEDCOM ROS RSG907R minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG908C minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG909R minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG910C minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG920P minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100 minden verziója;
- RUGGEDCOM ROS RSG2100 (32M) minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100P minden verziója;
- RUGGEDCOM ROS RSG2200 minden verziója;
- RUGGEDCOM ROS RSG2288 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2300 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2300P minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2488 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSL910 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST916C minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST916P minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST2228 minden, V5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST2228P minden, V5.6.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-37208)/közepes;
- Observable Timing Discrepancy (CVE-2021-42016)/súlyos;
- Improperly Implemented Security Check for Standard (CVE-2021-42017)/közepes;
- Heap-based Buffer Overflow (CVE-2021-42018)/közepes;
- Integer Overflow or Wraparound (CVE-2021-42019)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2021-42020)/súlyos;
Javítás: Egyes felsorolt RUGGEDCOM termékek esetén elérhető.
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-256353.pdf

Bejelentés dátuma: 2022.03.08.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Applications using Mendix 7 minden, V7.23.29-nél korábbi verziója;
- Mendix Applications using Mendix 8 minden, V8.18.16-nál korábbi verziója;
- Mendix Applications using Mendix 9 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control
Javítás: Mendix 7 és 8 verziókhoz elérhető.
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-148641.pdf

Bejelentés dátuma: 2022.04.05.
Gyártó: LifePoint Informatics
Érintett rendszer(ek):
- Patient Portal LPI 3.5.12.P30;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass Using Alternate Path or Channel (CVE-2022-1067)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-095-01

Bejelentés dátuma: 2022.04.05.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Connected Component Workbench v13.00.00 és korábbi verziói;
- ISaGRAF Workbench v6.0-tól v6.6.9-ig terjedő verziói;
- Safety Instrumented Systems Workstation v1.2-es és korábbi verziói (Trusted Controller-ekhez);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2022-1118)/súlyos;
Javítás: Elérhető;
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-095-01

Bejelentés dátuma: 2022.04.05.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Metasys ADS/ADX/OAS 10-es és 11-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Server-side Request Forgery (CVE-2021-36202)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-095-02

Bejelentés dátuma: 2022.04.07.
Gyártó: ABB
Érintett rendszer(ek):
- Symphony Plus SPIET800 A_B és korábbi firmware-verziói;
- Symphony Plus PNI800 A_B és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incomplete Internal State Distinction (CVE-2021-22285)/súlyos;
- Improper Handling of Unexpected Data Type (CVE-2021-22286)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-22288)/súlyos;
Javítás: 2022. második negyedévben várható.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-097-02

Bejelentés dátuma: 2022.04.07.
Gyártó: Pepperl+Fuchs
Érintett rendszer(ek):
- WHA-GW-F2D2-0-AS- Z2-ETH 3.0.7-es, 3.0.8-as, 3.0.9-es verziói;
- WHA-GW-F2D2-0-AS- Z2-ETH.EIP 3.0.7-es, 3.0.8-as, 3.0.9-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2021-34565)/kritikus;
- Uncontrolled Resource Consumption (CVE-2016-10707)/súlyos;
- Reliance on Reverse DNS Resolution for a Security-critical Action (CVE-2021-34561)/súlyos;
- Path Traversal (CVE-2021-33555)/súlyos;
- Cross-site Scripting (CVE-2014-6071)/közepes;
- Cross-site Scripting (CVE-2012-6708)/közepes;
- Cross-site Scripting (CVE-2015-9251)/közepes;
- Cross-site Scripting (CVE-2020-11023)/közepes;
- Cross-site Scripting (CVE-2020-11022)/közepes;
- Cross-site Scripting (CVE-2019-11358)/közepes;
- Cross-site Scripting (CVE-2020-7656)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-34560)/közepes;
- Cleartext Storage of Sensitive Information in a Cookie (CVE-2021-34564)/közepes;
- HTTP Request Smuggling (CVE-2021-34559)/közepes;
- Cross-site Scripting (CVE-2021-34562)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2007-2379)/közepes;
- Cross-site Scripting (CVE-2011-4969)/közepes;
- Sensitive Cookie Without 'HttpOnly' Flag (CVE-2021-34563)/alacsony;
- Cryptographic Issues (CVE-2013-0169)/alacsony;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-097-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.