A Petrovite névre keresztelt APT csoportot a Dragos 2019 óta követi figyelemmel. A megfigyelés során gyűjtött információk alapján a csoport tevékenysége átfedéseket mutat a Kamacite illeve Fancy Bear néven ismert csoportokkal és elsősorban Kazah és más Közép-ázsiai országok bányászati és energia-szektor beli szervezetek ellen intéznek támadásokat. Műveleteik elsősorban az ICS Cyber Kill Chain első szintjére koncentrálnak, vagyis a célba vett szervezet rendszereibe történő behatolás és a kompromittált rendszerhez történő tartós hozzáférésük biztosítása a specialitásuk. Támadásaik során előszeretettel használják harmadik felek kompromittált rendszereit, gyakran Wordpress szervereket (amikből könnyen lehet nem patch-elt, ismert sérülékenységekkel rendelkező példányokat találni az Interneten).

A Petrovite csoporttal kapcsolatos további információkat a Dragos weboldalán lehet megtalálni: https://www.dragos.com/threat/petrovite/

Bejelentés dátuma: 2022.03.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Ritto Wiser Door minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Information Exposure (CVE-2021-22783)/súlyos;
Javítás: Nem elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-03

Bejelentés dátuma: 2022.03.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Smart-UPS termékcsalád alábbi tagjai:
- SMT sorozatú eszközök, ID=18: UPS 09.8 és korábbi verziói;
- SMT sorozatú eszközök, ID=1040: UPS 01.2 és korábbi verziói;
- SMT sorozatú eszközök, ID=1031: UPS 03.1 és korábbi verziói;
- SMC sorozatú eszközök, ID=1005: UPS 14.1 és korábbi verziói;
- SMC sorozatú eszközök, ID=1007: UPS 11.0 és korábbi verziói;
- SMC sorozatú eszközök, ID=1041: UPS 01.1 és korábbi verziói;
- SCL sorozatú eszközök, ID=1030: UPS 02.5 és korábbi verziói;
- SCL sorozatú eszközök, ID=1036: UPS 02.5 és korábbi verziói;
- SMX sorozatú eszközök, ID=20: UPS 10.2 és korábbi verziói;
- SMX sorozatú eszközök, ID=23: UPS 07.0 és korábbi verziói;
- SRT sorozatú eszközök, ID=1010/1019/1025: UPS 08.3 és korábbi verziói;
- SRT sorozatú eszközök, ID=1020: UPS 10.4 és korábbi verziói;
- SRT sorozatú eszközök, ID=1021: UPS 12.2 és korábbi verziói;
- SRT sorozatú eszközök, ID=1001/1013: UPS 05.1 és korábbi verziói;
- SRT sorozatú eszközök, ID=1002/1014: UPSa05.2 és korábbi verziói;
- SRTL1000RMXLI, SRTL1000RMXLI-NC, SRTL1500RMXLI, SRTL1500RMXLI-NC, SRTL2200RMXLI, SRTL2200RMXLI-NC, SRTL3000RMXLI, SRTL3000RMXLI-NC típusú, SRT sorozatú eszközök ID=1024: UPS 01.0 és korábbi verziói;
- SmartConnect termékcsalád alábbi tagjai:
- SMT sorozatú eszközök, ID=1015: UPS 04.5 és korábbi verziói;
- SMC sorozatú eszközök, ID=1018: UPS 04.2 és korábbi verziói;
- SMTL sorozatú eszközök, ID=1026: UPS 02.9 és korábbi verziói;
- SCL sorozatú eszközök, ID=1029: UPS 02.5 és korábbi verziói;
- SCL sorozatú eszközök, ID=1030: UPS 02.5 és korábbi verziói;
- SCL sorozatú eszközök, ID=1036: UPS 02.5 és korábbi verziói;
- SCL sorozatú eszközök, ID=1037: UPS 03.1 és korábbi verziói;
- SMX sorozatú eszközök, ID=1031: UPS 03.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2022-22805)/kritikus;
- Authentication Bypass by Capture-replay (CVE-2022-22806)/kritikus;
- Improper Authentication (CVE-2022-0715)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-02

Bejelentés dátuma: 2022.03.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Control Expert V15.0 SP1 és korábbi verziói;
- EcoStruxure™ Process Expert V2021 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-24322)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2022-24323)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-01

Bejelentés dátuma: 2022.03.09.
Gyártó: Moxa
Érintett rendszer(ek):
- UC-2100 sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- UC-2100-W sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- UC-3100 sorozatú berendezések 1.1-es és korábbi firmware-verziói;
- UC-5100 sorozatú berendezések 1.3-as és korábbi firmware-verziói;
- UC-8100A-ME-T sorozatú berendezések 1.5-ös és korábbi firmware-verziói;
- V2406C sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- V2403C sorozatú berendezések 1.0 és korábbi firmware-verziói;
- MC-1220 sorozatú berendezések 1.4-es és korábbi firmware-verziói;
- DA-681C sorozatú berendezések 1.1-es és korábbi firmware-verziói;
- DA-682C sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- DA-820C sorozatú berendezések 1.2-es és korábbi firmware-verziói;
- AIG-501 sorozatú berendezések 1.1-es és korábbi firmware-verziói;
- MPC-2070 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2101 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2120 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2121 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2190 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- MPC-2240 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
- EXPC-1519 sorozatú berendezések 1.0-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Local Privilege Escalation (CVE-2021-4034)/súlyos;
Javítás: Nincs, kockázatcsökkentő intézkedések érhetőek el
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/moxas-response-regarding-the-pwnkit-vulnerability

Bejelentés dátuma: 2022.03.14.
Gyártó: Belden
Érintett rendszer(ek):
- HiLCOS OpenBAT, WLC, BAT450 minden, 9.1x-nél korábbi verziója, valamint a 10.12-REL, 10.12-RU1, 10.12-RU2, 10.12-RU3, 10.12-RU4, 10.12-RU5 verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- CVE-2020-24588/alacsony;
- CVE-2020-26144/közepes;
- CVE-2020-26146/közepes;
- CVE-2020-26147/közepes;
Javítás: Elérhető
Link a publikációhoz: https://dam.belden.com/dmm3bwsv3/assetstream.aspx?assetid=14146&mediaformatid=50063&destinationid=10016

Bejelentés dátuma: 2022.03.24.
Gyártó: mySCADA
Érintett rendszer(ek):
- myPRO Versions 8.25.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-0999)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-083-02

Bejelentés dátuma: 2022.03.24.
Gyártó: Yokogawa
Érintett rendszer(ek):
- CENTUM CS 3000 (beleértve a CENTUM CS 3000 Entry Class berendezéseket is) R3.08.10-től R3.09.00-ig terjedő verziói;
- CENTUM VP (beleértve a CENTUM VP Entry Class berendezéseket is) R4.01.00-től R4.03.00-ig, R5.01.00-tól R5.04.20-ig, valamint R6.01.00-től R6.08.00-ig terjedő verziói;
- Exaopc R3.72.00-tól R3.79.00-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-21194)/súlyos;
- Use of Hard-coded Credentials (CVE-2022-23402)/súlyos;
- Relative Path Traversal (CVE-2022-21808)/súlyos;
- Relative Path Traversal (CVE-2022-22729)/súlyos;
- Improper Output Neutralization for Logs (CVE-2022-22151)/közepes;
- Improper Output Neutralization for Logs (CVE-2022-21177)/közepes;
- Improper Output Neutralization for Logs (CVE-2022-22145)/közepes;
- OS Command Injection (CVE-2022-22148)/súlyos;
- Permissions, Privileges, and Access Controls (CVE-2022-22141)/közepes;
- Uncontrolled Search Path Element (CVE-2022-23401)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-083-01

Bejelentés dátuma: 2022.03.29.
Gyártó: Modbus Tools
Érintett rendszer(ek):
- Modbus Slave 7.4.2 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-1068)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-04

Bejelentés dátuma: 2022.03.29.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- LinkOne WebView v3.20
- LinkOne WebView v3.22
- LinkOne WebView v3.23
- LinkOne WebView v3.24
- LinkOne WebView v3.25
- LinkOne WebView v3.26
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-40337)/közepes;
- Generation of Error Message Containing Sensitive Information (CVE-2021-40338)/alacsony;
- Configuration (CVE-2021-40339)/alacsony;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-40340)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-03

Bejelentés dátuma: 2022.03.29.
Gyártó: Omron
Érintett rendszer(ek):
- CX-Position 2.5.3 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-26419)/súlyos;
- Improper Restriction of Operations Within the Bounds of a Memory Buffer (CVE-2022-25959)/súlyos;
- Use After Free (CVE-2022-26417)/súlyos;
- Out-of-bounds Write (CVE-2022-26022)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-02

Bejelentés dátuma: 2022.03.29.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Connected Component Workbench v12.00 és korábbi verziói;
- ISaGRAF Workbench v6.6.9 és korábbi verziói;
- Safety Instrumented Systems Workstation v1.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-1018)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-01

Bejelentés dátuma: 2022.03.29.
Gyártó: Philips
Érintett rendszer(ek):
- e-Alert Version 2.7 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-0922)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-088-01

Bejelentés dátuma: 2022.03.31.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Studio 5000 Logix Designer ControlLogix 5580 vezérlők;
- Studio 5000 Logix Designer GuardLogix 5580 vezérlők;
- Studio 5000 Logix Designer CompactLogix 5380 vezérlők;
- Studio 5000 Logix Designer CompactLogix 5480 vezérlők;
- Studio 5000 Logix Designer Compact GuardLogix 5380 vezérlők;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2022-1159)/súlyos;
Javítás: Nem elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-07

Bejelentés dátuma: 2022.03.31.
Gyártó: General Electric Renewable Energy
Érintett rendszer(ek):
- iNET/iNET II sorozatú rádiók 8.3.0-nál korábbi firmware-verziói;
- SD sorozatú rádiók 6.4.7-nél korábbi firmware-verziói;
- TD220X sorozatú rádiók 2.0.16-nál korábbi firmware-verziói;
- TD220MAX sorozatú rádiók 1.2.6-nál korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2017-17562)/kritikus;
- Hidden Functionality (CVE-2022-24119)/kritikus;
- Inadequate Encryption Strength (CVE-2022-24116)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-24118)/közepes;
- Plaintext Storage of a Password (CVE-2022-24120)/közepes;
- Download of Code Without Integrity Check (CVE-2022-24117)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-06

Bejelentés dátuma: 2022.03.31.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1768 CompactLogix vezérlők;
- 1769 CompactLogix vezérlők;
- CompactLogix 5370 vezérlők;
- CompactLogix 5380 vezérlők;
- CompactLogix 5480 vezérlők;
- Compact GuardLogix 5370 vezérlők;
- Compact GuardLogix 5380 vezérlők;
- ControlLogix 5550 vezérlők;
- ControlLogix 5560 vezérlők;
- ControlLogix 5570 vezérlők;
- ControlLogix 5580 vezérlők;
- GuardLogix 5560 vezérlők;
- GuardLogix 5570 vezérlők;
- GuardLogix 5580 vezérlők;
- FlexLogix 1794-L34 vezérlők;
- DriveLogix 5730 vezérlők;
- SoftLogix 5800 vezérlők;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2022-1161)/kritikus;
Javítás: Nem elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-05

Bejelentés dátuma: 2022.03.31.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-F sorozatok FX5U(C) CPU modul minden modelljének összes verziója;
- MELSEC iQ-F sorozatok FX5UJ CPU modul minden modelljének összes verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Password Hash Instead of Password for Authentication (CVE-2022-25155)/közepes;
- Use of Weak Hash (CVE-2022-25156)/közepes;
- Use of Password Hash Instead of Password for Authentication (CVE-2022-25157)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2022-25158)/súlyos;
- Authentication Bypass by Capture-replay (CVE-2022-25159)/közepes;
- Cleartext Storage of Sensitive Information (CVE-2022-25160)/közepes;
Javítás: Nem elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-04

Bejelentés dátuma: 2022.03.31.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Alpha5 szervo drive rendszer 4.3-asnál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Access of Uninitialized Pointer (CVE-2022-21168)/alacsony;
- Out-of-bound Read (CVE-2022-21202)/alacsony;
- Out-of-bound Read (CVE-2022-24383)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-21228)/súlyos;
- Heap-based Buffer Overflow (CVE-2022-21214)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-03

Bejelentés dátuma: 2022.03.31.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- e-mesh EMS 1.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations Within the Bounds of a Memory Buffer (CVE-2020-8174)/közepes;
- Use After Free (CVE-2020-8265)/közepes;
- Uncontrolled Resource Consumption (CVE-2020-11080)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-22883)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-02

Bejelentés dátuma: 2022.03.31.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- SCADAPack Workbench 6.6.8a és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2022-0221)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nemrég a Dragos egy tanulmányt jelentetett meg, amiben Jacob Baines, a Dragos threat intelligence csapatának sérülékenység-elemző munkatársa foglalja össze az általuk követett, több, mint 3000, ICS-specifikus sérülékenység vizsgálatából levont következtetéseket.

A tanulmány érdekesebb megállapításai:

- Az egyes ICS sérülékenységekhez átlagosan 30 nappal a publikálás után már publikusan elérhető a hibát kihasználó expoit;
- Az összes publikált ICS-specifikus sérülékenység 25%-át néhány jól ismert szervezet publikálja;
- 2020-ban csökkent a publikált ICS/OT-specifikus sérülékenységek száma;
- Melyik publikusan elérhető exploitok használhatatlanok ICS/OT környezetekben?

A tanulmány (regisztáció után) a Dragos weboldalán érhető el: https://www.dragos.com/resource/findings-from-examining-public-ics-ot-exploits/

Bejelentés dátuma: 2022.03.08.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA System Platform 2020 R2 P01;
- AVEVA System Platform 2020 R2S;
- AVEVA System Platform 2020;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information in Memory (CVE-2022-0835)/súlyos;
Javítás: Elér
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-067-02

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7-et használó Mendix alkalmazások minden, v7.23.29-nél korábbi verziója;
- Mendix 8-at használó Mendix alkalmazások minden, v8.18.16-nál korábbi verziója;
- Mendix 9-et használó Mendix alkalmazások minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-24309)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROS M2100 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RMC8388-as eszközök minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS416v2 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900G minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900G (32M) minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG900 v5.X minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG920P v5.X minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100 (32M) v5.X minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100P minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100P (32M) v5.X minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2288 v5.X minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2300 v5.X minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2300P v5.X minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2488 v5.X minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSL910 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST916C minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST916P minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST2228 minden, v5.6.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Using Components with Known Vulnerabilities
- CVE-2021-37208/közepes;
- CVE-2021-42016/súlyos;
- CVE-2021-42017/közepes;
- CVE-2021-42018/kritikus;
- CVE-2021-42019/kritikus;
- CVE-2021-42020/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- SINUMERIK MC minden, v1.15 SP1-nél korábbi verziója;
- SINUMERIK ONE minden, v6.15 SP1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2022-24408)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Forgot Password Appstore modul minden, v.3.3.0-tól v3.5.1-ig terjedő verziója;
- Mendix Forgot Password Appstore modul (Mendix 7 kompatibilis) minden, v3.2.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-26313)/kritikus;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-26314)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter STAR-CCM+ Viewer minden, 2022.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-24661)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens COMOS minden, v10.4.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Memory Allocation with Excessive Size Value (CVE-2021-25173)/súlyos;
- Memory Allocation with Excessive Size Value (CVE-2021-25174)/súlyos;
- Untrusted Pointer Dereference (CVE-2021-25175)/súlyos;
- Untrusted Pointer Dereference (CVE-2021-25176)/súlyos;
- Type Confusion (CVE-2021-25177)/súlyos;
- Stack-based Buffer Overflow (CVE-2021-25178)/súlyos;
- Out-of-bounds Write (CVE-2021-31784)/súlyos;
- Out-of-bounds Write (CVE-2021-32936)/súlyos;
- Out-of-bounds Read (CVE-2021-32938)/súlyos;
- Out-of-bounds Read (CVE-2021-32940)/súlyos;
- Use After Free (CVE-2021-32944)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2021-32946)/súlyos;
- Out-of-bounds Write (CVE-2021-32948)/súlyos;
- Out-of-bounds Read (CVE-2021-32950)/súlyos;
- Out-of-bounds Write (CVE-2021-32952)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- Climatix POL909 (AWM modul) minden, v11.34-nél korábbi verziója;
- Climatix POL909 (AWB modul) minden, v11.34-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-41541)/közepes;
- Cross-site Scripting (CVE-2021-41542)/közepes;
- Improper Access Control (CVE-2021-41543)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2022-24281)/súlyos;
- Deserialization of Untrusted Data (CVE-2022-24282)/súlyos;
- Improper Privilege Management (CVE-2022-25311)/súlyos;
Javítás: Nem elérhető, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- Polarion Subversion Webclient v21 R1-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2021-44478)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens:
Érintett rendszer(ek):
- SINEC INS minden, v1.0.1.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Using Components with Known Vulnerabilities
- (CVE-2019-19242)/közepes;
- (CVE-2019-19244)/súlyos;
- (CVE-2019-19317)/kritikus;
- (CVE-2019-19603)/súlyos;
- (CVE-2019-19645)/közepes;
- (CVE-2019-19646)/kritikus;
- (CVE-2019-19880)/súlyos;
- (CVE-2019-19923)/súlyos;
- (CVE-2019-19924)/közepes;
- (CVE-2019-19925)/súlyos;
- (CVE-2019-19926)/súlyos;
- (CVE-2020-1971)/közepes;
- (CVE-2020-7774)/súlyos;
- (CVE-2020-8169)/súlyos;
- (CVE-2020-8177)/súlyos;
- (CVE-2020-8231)/súlyos;
- (CVE-2020-8265)/súlyos;
- (CVE-2020-8284)/alacsony;
- (CVE-2020-8285)/súlyos;
- (CVE-2020-8286)/súlyos;
- (CVE-2020-8287)/közepes;
- (CVE-2020-8625)/súlyos;
- (CVE-2020-9327)/súlyos;
- (CVE-2020-11655)/súlyos;
- (CVE-2020-11656)/kritikus;
- (CVE-2020-13630)/súlyos;
- (CVE-2020-13631)/közepes;
- (CVE-2020-13632)/közepes;
- (CVE-2020-13871)/súlyos;
- (CVE-2020-15358)/közepes;
- (CVE-2020-27304)/kritikus;
- (CVE-2021-3449)/közepes;
- (CVE-2021-3450)/súlyos;
- (CVE-2021-3672)/közepes;
- (CVE-2021-3711)/kritikus;
- (CVE-2021-3712)/súlyos;
- (CVE-2021-22876)/közepes;
- (CVE-2021-22883)/súlyos;
- (CVE-2021-22884)/súlyos;
- (CVE-2021-22890)/alacsony;
- (CVE-2021-22897)/közepes;
- (CVE-2021-22898)/alacsony;
- (CVE-2021-22901)/súlyos;
- (CVE-2021-22918)/közepes;
- (CVE-2021-22921)/súlyos;
- (CVE-2021-22922)/közepes;
- (CVE-2021-22923)/közepes;
- (CVE-2021-22924)/alacsony;
- (CVE-2021-22925)/közepes;
- (CVE-2021-22926)/súlyos;
- (CVE-2021-22930)/kritikus;
- (CVE-2021-22931)/kritikus;
- (CVE-2021-22939)/közepes;
- (CVE-2021-22940)/súlyos;
- (CVE-2021-22945)/kritikus;
- (CVE-2021-22946)/súlyos;
- (CVE-2021-22947)/közepes;
- (CVE-2021-23362)/közepes;
- (CVE-2021-23840)/súlyos;
- (CVE-2021-25214)/közepes;
- (CVE-2021-25215)/súlyos;
- (CVE-2021-25216)/kritikus;
- (CVE-2021-25219)/közepes;
- (CVE-2021-27290)/súlyos;
- (CVE-2021-32803)/súlyos;
- (CVE-2021-32804)/súlyos;
- (CVE-2021-37701)/súlyos;
- (CVE-2021-37712)/súlyos;
- (CVE-2021-37713)/súlyos;
- (CVE-2021-39134)/súlyos;
- (CVE-2021-39135)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROS i800 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS i801 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS i802 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS i803 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS M969 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS M2100 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS M2200 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RMC minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RMC20 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RMC30 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RMC40 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RMC41 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RMC8388 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RP110 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS400 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS401 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS416 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS416v2 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900 (32M) minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900G minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900G (32M) minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900GP minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900L minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900L minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS900W minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS910 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS910L minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS910W minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS920L minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS920W minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS930L minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS930W minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS940G minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS969 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS8000 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS8000A minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS8000H minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RS8000T minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG900 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG900C minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG900G minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG900R minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG907R minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG908C minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG909R minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG910C minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG920P minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100 (32M) minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100P minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2100P (32M) minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2200 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2288 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2300 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2300P minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSG2488 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RSL910 minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST916C minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST916P minden, v5.6.0-nál korábbi verziója;
- RUGGEDCOM ROS RST2228 minden, v5.6.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Encryption of Sensitive Data (CVE-2021-37209)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.10
Gyártó: Siemens
Érintett rendszer(ek):
- SIMOTICS CONNECT 400 minden, v1.0.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion (CVE-2021-31344)/közepes;
- Improper Validation of Specified Quantity in Input (CVE-2021-31346)/súlyos;
- Wrap or Wraparound (CVE-2021-31889)/súlyos;
- Improper Handling of Inconsistent Structural Elements (CVE-2021-31890)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.03.15.
Gyártó: PTC
Érintett rendszer(ek):
- Axeda agent minden verziója;
- Axeda Desktop Server for Windows minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-25246)/kritikus;
- Missing Authentication for Critical Function (CVE-2022-25247)/kritikus;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-25248)/közepes;
- Path Traversal (CVE-2022-25249)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-25250)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-25251)/kritikus;
- Improper Check or Handling of Exceptional Conditions (CVE-2022-25252)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-067-01

Bejelentés dátuma: Delta Electronics
Gyártó: 2022.03.22.
Érintett rendszer(ek):
- DIAEnergie minden, 1.8.02.004-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path (CVE-2022-25347)/kritikus;
- Incorrect Default Permissions (CVE-2022-26839)/súlyos;
- SQL Injection (CVE-2022-25980)/kritikus;
- SQL Injection (CVE-2022-26069)/kritikus;
- SQL Injection (CVE-2022-27175)/kritikus;
- SQL Injection (CVE-2022-26338)/kritikus;
- SQL Injection (CVE-2022-26059)/kritikus;
- SQL Injection (CVE-2022-26065)/kritikus;
- SQL Injection (CVE-2022-26013)/kritikus;
- SQL Injection (CVE-2022-26836)/kritikus;
- SQL Injection (CVE-2022-0923)/kritikus;
- SQL Injection (CVE-2022-26666)/kritikus;
- SQL Injection (CVE-2022-26887)/kritikus;
- SQL Injection (CVE-2022-26349)/kritikus;
- SQL Injection (CVE-2022-25880)/kritikus;
- SQL Injection (CVE-2022-26514)/kritikus;
- SQL Injection (CVE-2022-26667)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-081-01

Bejelentés dátuma: Bejelentés dátuma: 2022.03.15.
Gyártó: ASEA Brown Boveri (ABB)
Érintett rendszer(ek):
- Control Software for AC 800M: OPC Server for AC 800M 5.1.0-x, 5.1.1-x és 6.0.0-1-től 6.0.0-3-ig terjedő verziói;
- Control Builder Safe, 1.x és 2.0 OPC Server for AC 800M 5.1.1-1 és 6.0.0-1 verziói;
- Compact Product Suite – Control and I/O: OPC Server for AC 800M: 5.1.0-x, 5.1.1-x és 6.0.0-x verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Execution with Unnecessary Privileges (CVE-2021-22284)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-074-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A CIP-003-8 célja, hogy egyenszilárd és fenntartható kontroll-rendszert nyújtson a nagyfeszültségű villamosenergia-rendszer (Bulk Electricity System - BES) működését biztosító informatikai rendszerek számára azok ellen a támadások ellen, amik üzemeltetési problémákat vagy stabilitási gondokat okozhatnak a rendszerben.

A CIP-003-8 keretében megfogalmazott követelmények alapján a CIP hatálya alá tartozó szervezeteknél egy erre kijelölt felsővezetőnek legalább 15 havonta felül kell vizsgálnia az alábbi kiberbiztonsági szabályokat tartalmazó szabályzati elemeket.

A CIP-002-5.1a alapján magas és közepes szintre besorolt rendszerelemek esetén:

- Személyzeti és képzési szabályok (CIP-004-6);
- Elektronikus határvédelmi rendszerek és távoli hozzáférést biztosító rendszerek szabályai (CIP-005-6);
- A nagyfeszültségű villamosenergia-rendszer fizikai biztonsági szabályai (CIP-006-6);
- Informatikai rendszerek biztonság menedzsmentje (CIP-007-6);
- Informatikai incidensek bejelentésének és kezelésének rendje (CIP-008-6);
- A nagyfeszültségű villamosenergia-rendszer helyreállítási tervei (CIP-009-6);
- Konfiguráció változáskezelés és sérülékenységek tesztelési tesztjei (CIP-010-3);
- Információ védelem (CIP-011-2);
- CIP kivételes körülmények elrendelésének és kezelésének szabályai.

A CIP-002-5.1a alapján alacsony szintre besorolt rendszerelemek esetén:

- Biztonságtudatosság;
- Fizikai biztonsági kontrollok;
- Elektronikus hozzáférési kontrollok;
- Kiberbiztonsági incidenskezelés;
- Ideiglensen használt informatikai eszközök és adathordozók kártékony kód elleni védelme;
- CIP kivételes körülmények elrendelésének és kezelésének szabályai.

A CIP-003-8 a fentieken túl számos referencia modellt is tartalmaz, amelyeken bemutatja, hogyan kell a NERC CIP előírásainak megfelelően kialakítani a magas/közepes/alacsony szintre besorolt eszközök hálózati hozzáférés-kontrolljait.

A CIP-003 jelenleg (2022.03.10-én) hatályos változata itt érhető el: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-003-8.pdf

Nem szoktam titkot csinálni abból, hogy az ICS kiberbiztonság területén igyekszem minél inkább figyelemmel követni az USA-ban tevékenykedő kollégákat (nem egyszer voltak már posztok a blogon Joe Weiss és Robert M. Lee gondolatairól, írásairól). Nem rég Isiah Jones tollából találtam néhány alapvető ökölszabálynak szánt tanácsot, amik mentén könnyebb lehet biztonságos konfigurációt fejleszteni és fenntartani az ICS rendszerek terén (én pedig itt-ott kiegészítettem a saját gondolataimmal - lehet, hogy néhol a kiegészítésem felesleges, mert mindenki számára magától értetődő, de inkább legyen leírva, mint hogy valaki betű szerint kövesse a leírtakat és emiatt valamilyen lépés kimaradjon).

1. Az ICS szoftverek és alkalmazások telepítése előtt készítsünk snapshotot legalább az adott host operációs rendszer szintű beállításairól, a rendszerleíró adatbázisról (registry), szolgáltatásokról és felhasználói fiókokról, esetleg további fontosnak érzett konfigurációs beállításokról.

2. Az ICS szoftverek és alkalmazások telepítése után készítsünk snapshotot legalább az adott host operációs rendszer szintű beállításairól, a rendszerleíró adatbázisról (registry), szolgáltatásokról és felhasználói fiókokról, esetleg további fontosnak érzett konfigurációs beállításokról.

3. Végezzünk összehasonlító konfiguráció-elemzést a telepítés előtti és utáni snapshotok közötti különbségek azonosítása céljából és vizsgáljuk meg alaposan, hogy mi miért változott, a változások indokoltak voltak-e és biztonsági szempontból milyen kockázatokat jelentenek.

4. Az ICS gyártó kézikönyve és az operációs rendszerhez kiadott biztonságos implementációs útmutatója (Security Technical Implementation Guide - STIG) alapján is vizsgáljuk át a 3. pontban feltárt változásokat és távolítsuk el az összes, nem létfontosságú funkciót, szolgáltatást és biztosítsuk, hogy aminek maradnia kell, azok az elérhető ajánlások és best practice-ek szerint vannak beállítva.

5. Az 1-4. pontokban elvégzett feladatok után készítsünk teljes mentést az így előállt konfigurációról, ez lesz az a biztonságos alapkonfiguráció, amit egyébként a magyar jogszabáyok és egyéb, ipari környezetekben is egyre szélesebb körben alkalmazott nemzetközi szabványok is előírnak a különböző szervezetek számára (elég csak az ipari szervezetektől is egyre szélesebb körben megkövetelt ISO 2700x szabványcsaládban is megjelenő alapkonfigurációs nyilvántartás vezetését előíró követelményre gondolni).

6. Készítsünk másolatokat a beállításokról, fájlokról, képernyőképekről és egyéb, hasznos információkról, amiket a rendszer-specifikus konfigurációs tervbe/dokumentumba és a rendszer-specifikus biztonsági tervbe/dokumentumba illeszhetünk.

7. Vezessünk be és kényszerítsünk ki megfelelő változáskezelési szabályokat a produktív rendszerekre vonatkozóan, amik biztosítják, hogy alapesetben senki és semmi nem rendelkezik a változtatáshoz szükséges jogosultságokkal.

8. Tegyünk róla, hogy a fenti konfigurációkból és dokumentációkból, tervekből legyen egy saját másolatunk, amik biztosítják, hogy a teszt környezetekben és különböző esettanulmányoknál nem szükséges mindent nulláról újrakezdeni, minden ICS szoftver/alkalmazás/firmware és host frissítés/patch-elés esetén.

A fenti lépéseket végrehajtva meglehetősen sok fárasztó, ismétlődő munkát takaríthatunk meg és számos megelőzhető problémával kapcsolatos tevékenységet spórlhatunk meg magunknak.

Ha egy támadó már a PLC-ink szintjén jár, akkor meglehetősen komoly incidensünk van. Ebben a helyzetben nagyjából már csak abban bízhatunk, hogy a PLC-ink fejlesztői alkalmazták azokat a biztonsági fejlesztési ajánlásokat és alapelveket, amik ugyan már hosszú évek óta rendelkezésre állnak, de nem csak az ipari, hanem a nagyvállalati IT fejlesztők sem sokszor tartják ezeket szem előtt.

A Claroty Aperture podcast-sorozatának tavaly szeptemberi részében Martin Scheu és Dirk Rotermund, a Top 20 Secure PLC Coding Practices projekt munkatársai beszélnek azokról a jó gyakorlatokról, amik már ma is alkalmazhatóak lennének és szabadon elérhetőek. Ismerve az ICS-OT fejlesztések ma állapotát (illetve annak azt a részét, amire nekem rálátásom van), úgy gondolom, hogy mind a PLC gyártó/fejlesztő cégek, mind a PLC-felhasználó szervezeteknek jó lenne ismerni ezeket az ajánlásokat, ha kiberbiztonsági szempontból (is) ellenállóbb OT rendszereket akarunk építeni.

Bejelentés dátuma: 2022.02.22.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Field PG M5 minden verziója;
- SIMATIC Field PG M6 minden verziója;
- SIMATIC IPC127E minden verziója;
- SIMATIC IPC227G minden verziója;
- SIMATIC IPC277G minden verziója;
- SIMATIC IPC327G minden verziója;
- SIMATIC IPC377G minden verziója;
- SIMATIC IPC427E minden verziója;
- SIMATIC IPC477E minden verziója;
- SIMATIC IPC627E minden verziója;
- SIMATIC IPC647E minden verziója;
- SIMATIC IPC677E minden verziója;
- SIMATIC IPC847E minden verziója;
- SIMATIC ITP1000 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Untrusted Pointer Dereference (CVE-2020-5953)/súlyos;
- Improper Privilege Management (CVE-2020-27339)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-33625)/súlyos;
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2021-33626)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-33627)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-41837)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-41838)/súlyos;
- NULL Pointer Dereference (CVE-2021-41839)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2021-41840)/súlyos;
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2021-41841)/súlyos;
- Out-of-bounds Write (CVE-2021-42059)/közepes;
- Improper Input Validation (CVE-2021-42060)/súlyos;
- Improper Input Validation (CVE-2021-42113)/súlyos;
- Out-of-bounds Write (CVE-2021-42554)/kritikus;
- Improper Input Validation (CVE-2021-43323)/súlyos;
- Out-of-bounds Write (CVE-2021-43522)/súlyos;
- Out-of-bounds Write (CVE-2021-43615)/súlyos;
- Classic Buffer Overflow (CVE-2021-45969)/kritikus;
- Classic Buffer Overflow (CVE-2021-45970)/kritikus;
- Classic Buffer Overflow (CVE-2021-45971)/kritikus;
- Out-of-bounds Write (CVE-2022-24030)/kritikus;
- Out-of-bounds Write (CVE-2022-24031)/súlyos;
- Improper Input Validation (CVE-2022-24069)/súlyos;
Javítás: Nem elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-306654.pdf

Bejelentés dátuma: 2022.02.22.
Gyártó: WIN-911
Érintett rendszer(ek):
- WIN-911 2021 R1 – 5.21.10;
- WIN-911 2021 R2 – 5.21.17;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Default Permissions (CVE-2022-23922)/közepes;
- Incorrect Default Permissions (CVE-2022-23104)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-053-03

Bejelentés dátuma: 2022.02.22.
Gyártó: GE
Érintett rendszer(ek):
- Proficy CIMPLICITY minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-21798)/súlyos
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-053-02

Bejelentés dátuma: 2022.02.22.
Gyártó: GE
Érintett rendszer(ek):
- Proficy CIMPLICITIY v11.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2022-23921)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-053-01

Bejelentés dátuma: 2022.02.24.
Gyártó: Bently Nevada (Baker Hughes leányvállalat)
Érintett rendszer(ek):
- System 1 6.x, Part No. 3060/00, 6.98 és korábbi verziói (2020 decemberi kiadás);
- System 1, Part No. 3071/xx & 3072/xx, 21.1 HF1 és korábbi verziói (2021 júliusi kiadás);
- 3500 Rack Configuration, Part No. 129133-01, Versions 6.4 és korábbi verziói (2020 májusi kiadás);
- 3500/22M Firmware, Part No. 288055-01, 5.05-ös és korábbi verziói (2021 májusi kiadás);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Password Hash with Insufficient Computational Effort (CVE-2021-32997)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-231-02

Bejelentés dátuma: 2022.02.24.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy P5 minden, v01.401.101-nél korábbi firmware-verziója;
- Easergy P3 minden, v30.205-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-22722)/súlyos;
- Classic Buffer Overflow (CVE-2022-22723)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-055-03

Bejelentés dátuma: 2022.02.24.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- EcoWebServerIII MES3-255C-EN 3.0.0-tól 3.3.0-ig terjedő verziói;
- EcoWebServerIII MES3-255C-DM-EN 3.0.0-tól 3.3.0-ig terjedő verziói;
- EcoWebServerIII MES3-255C-CN 3.0.0-tól 3.3.0-ig terjedő verziói;
- EcoWebServerIII MES3-255C-DM-CN 3.0.0-tól 3.3.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2016-10735)/közepes;
- Cross-site Scripting (CVE-2018-14040)/közepes;
- Cross-site Scripting (CVE-2018-14042)/közepes;
- Cross-site Scripting (CVE-2018-20676)/közepes;
- Cross-site Scripting (CVE-2019-8331)/közepes;
- Cross-site Scripting (CVE-2020-11022)/közepes;
- Cross-site Scripting (CVE-2020-11023)/közepes;
- Uncontrolled Resource Consumption (CVE-2017-18214)/súlyos;
- Improperly Controlled Modification of Dynamically-Determined Object Attributes (CVE-2020-7746)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-055-02

Bejelentés dátuma: 2022.02.24.
Gyártó: FATEK Automation
Érintett rendszer(ek):
- FvDesigner 1.5.100-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-25170)/súlyos;
- Out-of-bounds Write (CVE-2022-23985)/súlyos;
- Out-of-bounds Read (CVE-2022-21209)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-055-01

Bejelentés dátuma: 2022.03.03.
Gyártó: IPCOMM
Érintett rendszer(ek):
- IPCOMM ipDIO 3.9 2016/04/18 / IPDIO SW 3.9-es firmware-verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-24432)/közepes;
- Cross-site Scripting (CVE-2022-21146)/közepes;
- Code Injection (CVE-2022-24915)/súlyos;
- Code Injection (CVE-2022-22985)/súlyos;
Javítás: Nem elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-062-01

Bejelentés dátuma: 2022.03.03.
Gyártó: Becton, Dickinson and Company (BD)
Érintett rendszer(ek):
- BD Viper LT system minden, 2.0 és későbbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-22765)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-062-02

Bejelentés dátuma: 2022.03.03.
Gyártó: Becton, Dickinson and Company (BD)
Érintett rendszer(ek):
- BD Pyxis Anesthesia Station ES;
- BD Pyxis Anesthesia Station 4000;
- BD Pyxis CATO;
- BD Pyxis CIISafe;
- BD Pyxis Inventory Connect;
- BD Pyxis IV Prep;
- BD Pyxis JITrBUD;
- BD Pyxis KanBan RF;
- BD Pyxis Logistics;
- BD Pyxis Med Link termékcsalád;
- BD Pyxis MedBank;
- BD Pyxis MedStation 4000;
- BD Pyxis MedStation ES;
- BD Pyxis MedStation ES Server;
- BD Pyxis ParAssist;
- BD Pyxis PharmoPack;
- BD Pyxis ProcedureStation (beleértve az EC változatokat is);
- BD Pyxis Rapid Rx;
- BD Pyxis StockStation;
- BD Pyxis SupplyCenter;
- BD Pyxis SupplyRoller;
- BD Pyxis SupplyStation (beleértve az RF, EC, CP változatokat is);
- BD Pyxis Track and Deliver;
- BD Rowa Pouch Packaging Systems;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-22766)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-062-01

Bejelentés dátuma: 2022.03.04.
Gyártó: Power Line Communications
Érintett rendszer(ek):
- Power Line Communications (PLC) J2497-es kétirányú, soros kommunikációs kapcsolat;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-25922)/közepes;
- Improper Protection against Electromagnetic Fault Injection (CVE-2022-26131)/kritikus;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-063-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az elmúlt hetekben-hónapokban sajnos kevesebb időm volt a blogra, ezért ebben az (éppen csak elkezdett) sorozatban feltorlódtak az incidenesek, amikről írnom kellett volna. Aztán Oroszország megtámadta Ukrajnát és 1-2 nappal később már a történelem első hibrid háborúját figyelhettük, ahol a mindenféle hátterű és motivációjú és szervezettségtű támadók (köznapi néven hackerek) az állami intézmények és (főként orosz) bankok mellett gyorsan rátaláltak a különböző (jellemzően szintén orosz) kritikus infrastruktúrához sorolt cégek Internetről elérhető ICS rendszereire és szépen, sorban elkezdték feltörni őket. Így a mai posztban az ilyen-olyan (háborúhoz kapcsolódó vagy attól - talán? - független) incidensek linkjei mögött a saját, témával kapcsolatos gondolataim lesznek olvashatóak.

Kibertámadás érte a Fehérorosz állami vasúttársaság rendszereit

Ransomware-támadás Nyugat-európai olajterminálok ellen:
SecurityAffairs
SecurityWeek

Zsaroló-vírus támadás érte a SwissPort repülőtér-üzemeltető cég rendszereit:
SecurityMagazine
SecurityWeek
Cyber Security Intelligence

VPNFilter, 2022-ben - új malware-t terjeszt a VPNFilter mögött álló (feltételezetten APT) csoport:
https://www.securityweek.com/new-cyclops-blink-malware-linked-russian-state-hackers-targets-firewalls

Ezek történtek 2022. január-februárban, majd jött az orosz-ukrán háború és számos ICS rendszert ért támadás. Ezzel kapcsolatban egy (közel sem teljes) lista:
- Nogir (gázipari cég Észak-Oszétiában)
- Az Orosz Tudományos Akadémia Nukleáris Biztonsági Kutatóintézete
- Újabb támadás érte a fehérorosz vasúti rendszereket, leállt a vasúti közlekedés (beleértve az orosz csapatok Fehéroroszország irányából, vasúton történő ukrajnai bevonulása is)
- Feltörték és leállították az orosz közlekedési rendszer hálózatát, nem lehetett vonat- és buszjegyeket venni
- Moszkvában benzinkutak rendszerein a támadók háborúellenes üzeneteket jelenítettek meg;
- Az orosz energiaszektorban számos ICS rendszert ért támadás;
- Bár (tudomásom szerint) nem érintettek ICS rendszereket, mégis fontos megemlíteni, hogy betörtek a Gazprom és a Rosatom rendszereibe is. Ezeknek a támadásoknak a pontos hatása nem ismert, de ha "csak" adatokat vittek el, már az is mélységesen aggasztó.
- Vagy az ukrajnai háborúhoz kapcsolódó incidens vagy nem, de kibertámadás érte a Toyota egyes beszállítóinak (GMB Corp., Kojima Industries) rendszereit, ezért leálltak a Toyota Japánban található üzemei (összesen 14 gyáregység).
CyberScoop
SecurityMagazine
The Register

A fentieken túl még számos más incidens volt, ezeket most gyűjteni is nehéz, nemhogy feldolgozni, utánanézni. Az egyik nagy közösségi média felületén szerveződött egy csoport (főleg) a háború kiberbiztonsági témáinak megvitatására (köszönet ezért Frész Ferinek és a csoport tagjainak), ott a tagok igyekeznek minden releváns információt megosztani, de ez még egy viszonylag nagy csoport számára is elég komoly feladat.

Ami pedig még inkább aggasztó szerintem, hogy mostantól várhatóan nem lesz olyan fegyveres konfliktus (és valószínűleg még az sem kell majd hozzá sok esetben), hogy különböző hátterű és motivációjú támadók (egyének vagy csoportok, hacktivistáktól a kiberbűnözőkön át az állami hátterű APT csoportokig) egyre bátrabban támadjanak kritikus infrastruktúrákat és ipari folyamatirányító rendszereket, hiszen most sokan kifejezetten drukkolnak az ATW/BlueHornet, NB65 és más neveken futó, ICS rendszereket támadó csoportoknak. Valószínűnek tartom, hogy ez a folyamat javulni nem, inkább csak romlani fog, vagyis az ICS rendszerek (eddig sem kicsi) kiberbiztonsági kockázatai csak romlani fognak, méghozzá gyorsan.

Mit lehet tenni ez ellen? Több, mint 6 éve írom ezt a blogot és kb. az első posztok egyikében már írtam arról (majd később még számtalanszor), hogy az első és legfontosabb az lenne, hogy az ipari folyamatirányításban használt rendszerek külső (publkus) hálózati kapcsolatait (Internet-kapcsolatait), ha lehetséges, az üzemeltetők számolják fel, ha pedig nem lehetséges, minimalizálják (fehérlistákkal) a legszükségesebbekre. A most látott, ICS rendszerek elleni támadások szinte mindegyikét megelőzhetőnek gondolnám, ha nem kötöttek volna SCADA és egyéb ICS rendszer komponenseket az Internetre. Tovább rontotta ezeknek a rendszereknek az ellenálló-képességét, hogy gyakran bizony gyári, alapértelmezett jelszavak használata is feltételezhető. Ezek olyan hibák, amik nem törvényszerűek, nem kötelező ilyen konfigurációval futtatni ezeket a rendszereket. Sajnos attól tartok, ezekből az esetekből sem a megfelelő következtetéseket és tanulságokat fogják levonni az illetékesek. Az orosz-ukrán háború ismét sokkal veszélyesebb hellyé tette a világunkat és nem csak a fegyveres harcok (pl. a zaporizzsjai atomerőmű elleni támadások) miatt - azok előbb vagy utóbb, így vagy úgy, de véget fognak érni. A megnövekedett ICS biztonsági kockázatok viszont hosszú távon velünk fognak maradni.

Az ICS kiberbiztonság témáját taglalva számos részterületről ejtünk szót ilyen-olyan gyakorisággal, az IT-OT konvergencia is népszerű téma, néha még az IT/IT biztonsági és OT mérnöki együttműködés is szóba kerül időnként, de az egyes cégek (hogy ne mondjam kritikus infrastruktúra-szervezetek) felsővezetőinek az ICS biztonságban betöltött szerepéről szinte soha nem lehet hallani/olvasni. Ezt a méltatlanul hanyagolt témát járja körbe a valamivel több, mint egy hete megjelent poszt a SeConSys blogján.