A 2021-es év az ipari szervezeket és kritikus infrastruktúrák elleni ransomware-támadások éve volt. Ezek az incidensek kiválóan rámutattak az egyes nemzeti kritikus infrastruktúrákra leselkedő új fenyegetésekre, amik ellen új védekezési megközelítésekre is szükség lehet.

A Cisco Talos kutatólaborjának nemrég megtalált podcast-jében Joe Marshall és Jon Munshaw a kritikus infrastruktúrák védelmében az állami és privát szervezetek együttműködési lehetőségeit vitatják meg - a podcast az Apple oldalán érhető el.

Bejelentés dátuma: 2021.12.28.
Gyártó: Moxa
Érintett rendszer(ek):
- MGate 5109 sorozatú Protocol Gateway-ek 2.2-es és korábbi firmware-verziói;
- MGate 5101-PBM-MN sorozatú Protocol Gateway-ek 2.1-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Memory Leak/nem ismert
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/mgate-5109-5101-protocol-gateways-vulnerability

Bejelentés dátuma: 2021.12.28.
Gyártó: Moxa
Érintett rendszer(ek):
- TN-5900 sorozatú eszközök 3.1-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Firmware has weak algorithm to protect the integrity of the device/nem ismert;
- Command injection/nem ismert;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/tn-5900-secure-routers-vulnerabilities

Bejelentés dátuma: 2021.12.30.
Gyártó: Moxa
Érintett rendszer(ek):
- AWK-3131A sorozatú eszközök 1.16-os és korábbi firmware-verziói;
- AWK-4131A sorozatú eszközök 1.16-os és korábbi firmware-verziói;
- AWK-1131A sorozatú eszközök 1.22-es és korábbi firmware-verziói;
- AWK-1137C sorozatú eszközök 1.6-os és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection for Authentication (CVE-2021-37752)/nem ismert;
- Authentication Bypass (CVE-2021-37753)/nem ismert
- Unencrypted Credentials (CVE-2021-37755)/nem ismert
- Improper Restriction That Causes Buffer Overflow (CVE-2021-37757)/nem ismert;
- Reveals Sensitive Information to an Unauthorized Actor (CVE-2021-37751)/nem ismert;
- Improper Restriction of Excessive Authentication Attempts (CVE-2021-37754)/nem ismert;
- Cross-site scripting (CVE-2021-37756)/nem ismert;
- Improper Verification of Firmware (CVE-2021-37758)/nem ismert;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/awk-3131a-4131a-1131a-1137c-wireless-ap-bridge-client-vulnerabilities

Bejelentés dátuma: 2021.12.30.
Gyártó: Moxa
Érintett rendszer(ek):
- TAP-213 sorozatú eszközök 1.2-es és korábbi firmware-verziói;
- TAP-323 sorozatú eszközök 1.3-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection for Authentication (CVE-2021-37752)/nem ismert;
- Authentication Bypass (CVE-2021-37753)/nem ismert;
- Unencrypted Credentials (CVE-2021-37755)/nem ismert;
- Improper Restriction That Causes Buffer Overflow (CVE-2021-37757)/nem ismert;
- Reveals Sensitive Information to an Unauthorized Actor (CVE-2021-37751)/nem ismert;
- Improper Restriction of Excessive Authentication Attempts (CVE-2021-37754)/nem ismert;
- Cross-site scripting (CVE-2021-37756)/nem ismert;
- Improper Verification of Firmware (CVE-2021-37758)/nem ismert;
- Improper Restriction That Causes Buffer Overflow (CVE-2021-37757)/nem ismert;
- Reveals Sensitive Information to an Unauthorized Actor (CVE-2021-37751)/nem ismert;
- Improper Restriction of Excessive Authentication Attempts (CVE-2021-37754)/nem ismert;
- Improper Verification of Firmware (CVE-2021-37758)/nem ismert;
Javítás: Részben elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/tap-213-tap-323-series-wireless-ap-bridge-client-vulnerabilities

Bejelentés dátuma: 2021.12.30.
Gyártó: Moxa
Érintett rendszer(ek):
- OnCell G3150A sorozatú eszközök 1.5-ös és korábbi firmware-veziói;
- OnCell G3470A sorozatú eszközök 1.7-es és korábbi firmware-veziói;
- WDR-3124A sorozatú eszközök 1.3-as és korábbi firmware-veziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection for Authentication (CVE-2021-37752)/nem ismert;
- Authentication Bypass (CVE-2021-37753)/nem ismert;
- Unencrypted Credentials (CVE-2021-37755)/nem ismert;
- Improper Restriction That Causes Buffer Overflow (CVE-2021-37757)/nem ismert;
- Reveals Sensitive Information to an Unauthorized Actor (CVE-2021-37751)/nem ismert;
- Improper Restriction of Excessive Authentication Attempts (CVE-2021-37754)/nem ismert;
- Improper Verification of Firmware (CVE-2021-37758)/nem ismert;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/oncell-g3150a-g3470-wdr-3124a-cellular-gateways-router-vulnerabilities

Bejelentés dátuma: 2022.01.06.
Gyártó: Moxa
Érintett rendszer(ek):
- EDR-G903 sorozatú eszközök 5.6-os és korábbi firmware-verziói;
- EDR-G902 sorozatú eszközök 5.6-os és korábbi firmware-verziói;
- EDR-810 sorozatú eszközök 5.8-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Memory Leak/nem ismert
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/edr-g903-g902-810-secure-routers-vulnerability

Bejelentés dátuma: 2022.01.06.
Gyártó: IDEC
Érintett rendszer(ek):
- FC6A MICROSmart All-in-One CPU Modulok v2.32-es és korábbi verziói;
- FC6B MICROSmart All-in-One CPU Modulok v2.31-es és korábbi verziói;
- FC6A MICROSmart Plus CPU Modulok v1.91-es és korábbi verziói;
- FC6B MICROSmart Plus CPU Modulok v2.31-es és korábbi verziói;
- FT1A Controller SmartAXIS Pro/Lite v2.31-es és korábbi verziói;
- WindLDR v8.19.1-es és korábbi verziói;
- WindEDIT Lite v1.3.1-es és korábbi verziói;
- Data File Manager v2.12.1-es és korábbi verziói;
- FC6A MICROSmart All-in-One CPU Modulok v2.32-es és korábbi verziói;
- FC6A MICROSmart Plus CPU Modulok v1.91-es és korábbi verziói;
- WindLDR v8.19.1-es és korábbi verziói;
- WindEDIT Lite v1.3.1-es és korábbi verziói;
- Data File Manager v2.12.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Unprotected Transport of Credentials (CVE-2021-37400)/súlyos
- Plaintext Storage of a Password (CVE-2021-37401)/súlyos
- Unprotected Transport of Credentials (CVE-2021-20826)/súlyos
- Plaintext Storage of a Password (CVE-2021-20827)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-006-03

Bejelentés dátuma: 2022.01.06.
Gyártó: Omron
Érintett rendszer(ek):
- CX-One 4.60-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-21137)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-006-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Épp csak egy hete indítottam végre útjára az ICS biztonsági szabványokat áttekintő sorozatomat, csütörtökön pedig a blogon már több posztájaval is vendégeskedő GéPé kolléga írása jelent meg a SeConSys blogján a 62443 aktualitásairól.

Én is tervezem, hogy erről (az egyre fontosabbá váló) szabványról is írjak majd egy sorozatot, de előtte mindenképp szeretném befejezni az éppen csak elkezdett NERC CIP bemutatását. Addig is, olvasható a mostani írás.

Az ICS biztonsági területen elérhető szabványok feldolgozása régóta szerepelt a terveim között, de valahogy soha nem jutottam odáig, hogy legyen elég időm megírni ezt a sorozatot. Most hozzákezdek és remélem, hogy nem csak időt fogok találni a sorozat legalább elfogadható színvonalú feldolgozásához, de a kitartásom is meg fog maradni. A sorozatban először a NERC CIP-t fogom feldolgozni.

A NERC CIP egy szabványcsomag, amit a North American Electric Reliability Corporation (innen a NERC) állított össze a kritikus infrastruktúrák védelme (Critical Infrastructure Protection, CIP) céljából. Ugyan a kritikus infrastruktúrák gyűjtőfogalom sokkal tágabb lehet, mint a villamosenergia-rendszer (bár vannak források, pl. ilyen a SeConSys által készített, Villamosenergetikai ipari felügyeleti rendszerek kiberbiztonsági kézikönyve című kiadvány is, amik a villamosenergia-rendszereket a legkritikusabb kritikus infrastruktúrának nevezik), a NERC CIP kifejezetten a villamosenergia-rendszerek kiberbiztonságával foglalkozik.

A NERC CIP-nek jelenleg 12 hatályos és egy, valamikor a jövőben hatályossá váló fejezete van, amik az alábbi témaköröket fedik le:

CIP-002-5.1a - Kiberbiztonság - A nagyfeszültségű villamosenergia-rendszer (Bulk Electricity System, BES) számítógépes rendszereinek kategorizálása
CIP-003-8 - Kiberbiztonság - Biztonsági menedzsment kontrollok
CIP-004-6 - Kiberbiztonság - Személyzet és képzés
CIP-005-6 - Kiberbiztonság - Elektronikus határvédelem
CIP-006-6 - Kiberbiztonság - A nagyfeszültségű villamosenergia-rendszer számítógépes rendszereinek fizikai biztonsága
CIP-007-6 - Kiberbiztonság - Rendszerek biztonságának menedzsmentje
CIP-008-6 - Kiberbiztonság - Incidensek jelentési rendje és incidenskezelés
CIP-009-6 - Kiberbiztonság - Helyreállítási tervek a nagyfeszültségű villamosenergia-rendszer (Bulk Electricity System, BES) számítógépes rendszereire vonatkozóan
CIP-010-3 - Kiberbiztonság - Konfigurációs változáskezelés és sérülékenység-elemzés
CIP-011-2 - Kiberbiztonság - Információvédelem
CIP-013-1 - Kiberbiztonság - A beszállítói lánc kockázatkezelése
CIP-014-2 - Fizikai biztonság

A jövőben hatályba lépő fejezet:

CIP-012-1 - Kiberbiztonság - Kommunikáció vezérlőközpontok között

A terv jelenleg az, hogy a következő hónapok során egy-egy fejezetet fogok (valamilyen részletességgel) ennek a sorozatnak a posztjaiban bemutatni, utána pedig más szabványok is következhetnek majd.

Bejelentés dátuma: 2021.12.20.
Gyártó: Siemens
Érintett rendszer(ek):
- TraceAlertServerPLUS minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-44228)/kritikus
- Improper Input Validation (CVE-2021-45046)/kritikus
Javítás: Nincs információ
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-397453.pdf

Bejelentés dátuma: 2021.12.21.
Gyártó: Siemens
Érintett rendszer(ek):
- Sensformer / Sensgear Platform (6BK1602-0AA12-0TP0): All versions < V2.7.0
- Sensformer / Sensgear Platform (6BK1602-0AA22-0TP0): All versions < V2.7.0
- Sensformer / Sensgear Platform (6BK1602-0AA32-0TP0): All versions < V2.7.0
- Sensformer / Sensgear Platform (6BK1602-0AA42-0TP0): All versions < V2.7.0
- Sensformer / Sensgear Platform (6BK1602-0AA52-0TP0): All versions < V2.7.0
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-44228)/kritikus
- Improper Input Validation (CVE-2021-45046)/kritikus
- Uncontrolled Recursion (CVE-2021-45105/kritikus
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-479842.pdf

Bejelentés dátuma: 2021.12.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS Data Collector (dc.exe) V15.0.0.21320 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function/közepes
- Buffer Copy without Checking Size of Input/közepes
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-01

Bejelentés dátuma: 2021.12.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EVlink City EVC1S22P4/EVC1S7P4 minden, R8 V3.4.0.2-nál korábbi verziója;
- EVlink Parking EVW2/EVF2/EVP2PE minden, R8 V3.4.0.2-nál korábbi verziója;
- EVlink Smart Wallbox EVB1A minden, R8 V3.4.0.2-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Request Forgery (CVE-2021-22724)/súlyos
- Cross-Site Request Forgery (CVE-2021-22725)/súlyos
- Improper Restriction of Excessive Authentication Attempts (CVE-2021-22818)/súlyos
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-22819)/közepes
- Insufficient Session Expiration (CVE-2021-22820)/súlyos
- Server-Side Request Forgery (CVE-2021-22821)/kritikus
- Cross-Site Scripting (CVE-2021-22822)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-02

Bejelentés dátuma: 2021.12.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Monitoring Expert 9.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-22826)/közepes
- Improper Input Validation (CVE-2021-22827)/közepes
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-03

Bejelentés dátuma: 2021.12.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- AP7xxxx és AP8xxx típusú APC-k NMC2 moduljainak V6.9.6 és korábbi verziói;
- AP7xxx és AP8xxx típusú APC-k NMC3 moduljainak V1.1.0.3 és korábbi verziói;
- APDU9xxx típusú APC-k NMC3 moduljainak V1.0.0.28 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-22825)/közepes
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-04

Bejelentés dátuma: 2021.12.23.
Gyártó: Moxa
Érintett rendszer(ek):
- MGate MB3180-as sorozatú eszközök 2.2-es és korábbi firmware-verziói;
- MGate MB3280-as sorozatú eszközök 4.1-es és korábbi firmware-verziói;
- MGate MB3480-as sorozatú eszközök 3.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2021-4161)/kritikus
Javítás: Nincs elérhető információ, a gyártó kockázatcsökkentő intézkedés alkalmazását javasolja
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-357-01

Bejelentés dátuma: 2021.12.23.
Gyártó: Exacq Technologies (Johnson Controls leányvállalat)
Érintett rendszer(ek):
- xacq Enterprise Manager 21.12-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-44228)/kritikus
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-357-02

Bejelentés dátuma: 2021.12.23.
Gyártó:
Érintett rendszer(ek):
- A vD25-ös és korábbi verziójú infúziós pumpák Agilia Connect WiFi moduljai;
- Agilia Link+ v3.0 D15 és korábbi verziói;
- Vigilant Software Suite v1.0: Vigilant Centerium, Vigilant MasterMed és Vigilant Insight
- Agilia Partner karbantartó szoftver v3.3.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2021-23236)/súlyos
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2021-31562)/közepes
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2021-41835)/súlyos
- Insufficiently Protected Credentials (CVE-2021-23196)/súlyos
- Improper Access Control (CVE-2021-23233)/súlyos
- Plaintext Storage of a Password (CVE-2021-23207)/közepes
- Files or Directories Accessible to External Parties (CVE-2021-33843)/közepes
- Exposure of Information Through Directory Listing (CVE-2021-23195)/közepes
- Cross-site Scripting (CVE-2021-33848)/közepes
- Use of Hard-coded Credentials (CVE-2021-44464)/közepes
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2021-33846)/közepes
- Use of Client-side Authentication (CVE-2021-43355)/súlyos
- Use of Unmaintained Third-party Components (CVE-2020-35340)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-21-355-01

Bejelentés dátuma: 2021.12.21.
Gyártó: mySCADA
Érintett rendszer(ek):
- myPRO 8.20.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2021-43985)/kritikus
- Use of Password Hash with Insufficient Computational Effort (CVE-2021-43989)/súlyos
- Hidden Functionality (CVE-2021-43987)/kritikus
- OS Command Injection (CVE-2021-44453)/kritikus
- OS Command Injection (CVE-2021-22657)/kritikus
- OS Command Injection (CVE-2021-2319)/kritikus
- OS Command Injection (CVE-2021-43981)/kritikus
- OS Command Injection (CVE-2021-43984)/kritikus
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-355-01

Bejelentés dátuma: 2021.12.21.
Gyártó: Emerson
Érintett rendszer(ek):
- DeltaV Distributed Control System vezérlők és munkaállomások minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2021-26264)/közepes
- Uncontrolled Search Path Element (CVE-2021-44463)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-355-04

Bejelentés dátuma: 2021.12.21.
Gyártó: WECON
Érintett rendszer(ek):
- LeviStudioU 2019-09-21-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2021-23138)/súlyos
- Heap-based Buffer Overflow (CVE-2021-23157)/súlyos
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-355-03

Bejelentés dátuma: 2021.12.21.
Gyártó: Horner Automation
Érintett rendszer(ek):
- Cscape EnvisionRV v4.50.3.1-es és korábbi verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-44462)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-355-02

Bejelentés dátuma: 2021.12.14.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort W2150A/W2250A sorozatú berendezések 1.11-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command injection
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/nport-w2150a-w2250a-serial-device-servers-vulnerability

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A JBS elleni zsarolóvírus-támadás után néhányan, köztük Joe Weiss is eléggé hangsúlyosan kezdtek foglalkozni az élelmiszer-iparban használt ICS rendszerek biztonsági kérdéseivel. A foodprocessing.com weboldalon június végén Joe egy, a témával foglalkozó podcast-ben is kifejtette az ezzel kapcsolatos gondolatait.

Bejelentés dátuma: 2021.12.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- NMC2-vel szerelt AP7xxxx és AP8xxx Rack PDU-k v6.9.6-os és korábbi verziói;
- NMC3-mal szerelt AP7xxx és AP8xxx Rack PDU-k v1.1.0.3-as és korábbi verziói;
- NMC3-mal szerelt APDU9xxx Rack PDU-k v1.0.0.28-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting/közepes
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-348-02

Bejelentés dátuma: 2021.12.14.
Gyártó: Advantech
Érintett rendszer(ek):
- R-SeeNet monitoring alkalmazás 2.4.16-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- 23 db különböző SQL Injection sérülékenység/súlyos
- Improper Privilege Management/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-348-01

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter STAR-CCM+ Viewer minden, 2021.3.1-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write/súlyos
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siveillance Identity v1.5 minden verziója;
- Siveillance Identity v1.6 minden, v1.6.284.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2021-44522)/súlyos
- Exposure of Resource to Wrong Sphere (CVE-2021-44523)/súlyos
- Exposure of Resource to Wrong Sphere (CVE-2021-44524)/súlyos
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- ModelSim Simulation minden verziója;
- Questa Simulation minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficiently Protected Credentials/kritikus
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC eaSie PCS 7 Skill Package (6DL5424-0BX00-0AV8) minden, 21.00 SP3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal/közepes
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden, v13.2.0.5-nél korábbi verziója;
- Teamcenter Visualization minden, v13.2.0.5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-Bounds Write (CVE-2021-44001)/súlyos
- Out-of-Bounds Write (CVE-2021-44002)/súlyos
- Use of Uninitialized Variable/közepes
- Out-of-Bounds Read (CVE-2021-44004)/alacsony
- Out-of-Bounds Write (CVE-2021-44005)/súlyos
- Out-of-Bounds Write (CVE-2021-44006)/súlyos
- Off-by-One Error/alacsony
- Out-of-Bounds Read (CVE-2021-44008)/alacsony
- Out-of-Bounds Read (CVE-2021-44009)/alacsony
- Out-of-Bounds Read (CVE-2021-44010)/alacsony
- Out-of-Bounds Read (CVE-2021-44011)/alacsony
- Out-of-Bounds Read (CVE-2021-44012)/alacsony
- Out-of-Bounds Read (CVE-2021-44013)/alacsony
- Use-after-Free/súlyos
- Out-of-Bounds Read (CVE-2021-44015)/alacsony
- Out-of-Bounds Read (CVE-2021-44017)/alacsony
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- JT Utilities minden, v13.0.3.0-nál korábbi verziója;
- JTTK minden, v11.0.3.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write/súlyos
- Use after Free/súlyos
- Out-of-bounds Read/alacsony
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- POWER METER SICAM Q100 (7KG9501-0AA01-0AA1, 7KG9501-0AA01-2AA1, 7KG9501-0AA31-0AA1, 7KG9501-0AA31-2AA1) minden, v2.41-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow/kritikus
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Capital VSTAR minden, engedélyezett Ethernet interfésszel használt verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Access of Resource Using Incompatible Type/közepes
- Improper Validation of Specified Quantity in Input (CVE-2021-31345)/súlyos
- Improper Validation of Specified Quantity in Input (CVE-2021-31346)/súlyos
- Out-of-Bounds Read/súlyos
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-31882)/közepes
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-31883)/súlyos
- Improper Null Termination/súlyos
- Integer Underflow/súlyos
- Improper Handling of Inconsistent Structural Elements/súlyos
Javítás: Nincs információ, kockázatcsökkentő intézkedések érhetőek el.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINUMERIK Edge minden, 3.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Certificate Validation/súlyos
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2021.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Advantage Navigator Energy & Sustainability minden, 2021-12-13-nál korábbi verziója;
- Advantage Navigator Software Proxy minden verziója;
- Capital minden, 2019.1 SP1912-es és későbbi verziója, ha Teamcenter integration funkció engedélyezve van;
- Cerberus DMS V5.0 és V5.1 verziói, ha az Advanced Reporting EM telepítve van;
- Comos Desktop App minden verziója;
- Desigo CC V3.0, V4.0, V4.1 és V4.2 verziói, ha az Advanced Reporting EM telepítve van;
- Desigo CC V5.0 és V5.1 verziói, ha az Advanced Reporting vagy Info Center EM telepítve vannak;
- E-Car OC Cloud Application minden, 2021-12-13-nál korábbi verziója;
- Energy Engage V3.1 verziója;
- EnergyIP V8.5, V8.6, V8.7 és V9.0 verziói;
- EnergyIP Prepay V3.7 és V3.8 verziói;
- Enlighted Amaze minden, 2021-12-10-nél korábbi verziója;
- Enlighted Where minden, 2021-12-11-nél korábbi verziója;
- Geolus Shape Search V10 minden verziója;
- Geolus Shape Search V11 minden verziója;
- GMA-Manager: minden, V8.6.2j-398-as és újabb és V8.6.2-472-nél korábbi verziója;
- HES UDIS minden verziója;
- Industrial Edge Management App (IEM-App) minden verziója;
- Industrial Edge Management Hub minden, 2021-12-13-nál korábbi verziója;
- Industrial Edge Management OS (IEM-OS) minden verziója;
- Mendix Applications minden verziója;
- MindSphere App Management Cockpits (Developer&Operator) minden, 2021-12-16-nál korábbi verziója;
- MindSphere Asset Manager minden, 2021-12-16-nál korábbi verziója;
- Mindsphere Cloud Foundry minden, 2021-12-14-nél korábbi verziója;
- Mindsphere Cloud Platform minden, 2021-12-11-nél korábbi verziója;
- MindSphere IAM (User Management/ Settings) minden verziója;
- MindSphere Integrated Data Lake minden, 2021-12-16-nál korábbi verziója;
- MindSphere Notification Service minden, 2021-12-16-nál korábbi verziója;
- MindSphere Predictive Learning minden verziója;
- MindSphere Usage Transparency Service minden, 2021-12-16-nál korábbi verziója;
- MindSphere Visual Explorer minden verziója;
- NX minden verziója;
- Opcenter EX CP Process Automation Control minden, V17.2.3-nál újabb és V18.1-nél korábbi verziója;
- Opcenter Intelligence 3.2-es és újabb OEM verziói, amiket Tableau-val együtt szállítottak;
- Operation Scheduler V1.1.3 és újabb verziói;
- SENTRON powermanager V4 V4.1-es és V4.2-es verziói;
- SIGUARD DSA V4.2, V4.3 és V4.4-es verziói;
- Simcenter 3D összes, V2022.1-es és korábbi verziói;
- SiPass integrated V2.80 minden verziója;
- SiPass integrated V2.85 minden verziója;
- Siveillance Command V4.16.2.1-es és újabb verziói;
- Siveillance Control Pro összes verziója;
- Siveillance Identity V1.5 összes verziója;
- Siveillance Identity V1.6 összes verziója;
- Siveillance Vantage összes verziója;
- Solid Edge CAM Pro minden, Solid Edge SE 2020 vagy későbbi verzióval szállított példánya;
- Solid Edge Harness Design minden, 2020 SP2002-es és újabb verziója, ha a Teamcenter integration funkció használatban van;
- Spectrum Power™ 4 V4.70 SP8-as és újabb verziói;
- Spectrum Power™ 7 V2.30 SP2-es és újabb verziói;
- SPPA-T3000 SeS3000 Security Server (6DU7054-0H.00-..A0) minden verziója;
- Teamcenter V13.1-es és újabb verziói;
- Teamcenter Active Workspace V4.3-as és újabb verziói;
- Teamcenter Briefcase Browser V13.1-es és újabb verziói;
- Teamcenter Data Share Manager V13.1-es és újabb verziói;
- Teamcenter Deployment Center V3.1-es és újabb verziói;
- Teamcenter Dispatcher Service V11.3-as és újabb verziói;
- Teamcenter EDA:All versions >= V2.3-as és újabb verziói;
- Teamcenter FMS:All versions >= V11.3-as és újabb verziói;
- Teamcenter Integration Framework V13.2-es és korábbi verziói;
- Teamcenter MBSE Gateway V4.0 és újabb verziói;
- Teamcenter Mendix Connector V1.0
- Teamcenter Microservices Framework V5.1-es és újabb verziói;
- Teamcenter Polarion Integration V5.1-es és újabb verziói;
- Teamcenter Rapid Start V13.1-es és újabb verziói;
- Teamcenter Reporting and Analytics Java SOA kliensenk alapuló V11.3-as és újabb verziói;
- Teamcenter Requirements Integrator Java SOA kliensenk alapuló V11.3-as és újabb verziói;
- Teamcenter Retail Footwear and Apparel V4.3-as és újabb verziói;
- Teamcenter Security Services V11.3-as és újabb verziói;
- Teamcenter Supplier Collaboration V5.1-es és újabb verziói;
- Teamcenter System Modeling Workbench Java SOA kliensenk alapuló V11.3-as és újabb verziói;
- Teamcenter Technical Publishing V2.10-es és újabb verziói;
- VeSys minden, 2019.1 SP1912-es és újabb verziója, ha a Teamcenter integration funkció használatban van;
- Xpedition Enterprise VX.2.6-os és újabb verziói;
- Xpedition IC Packaging VX.2.6-os és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-44228)/kritikus
- Improper Input Validation (CVE-2021-44228)/kritikus
- Improper Input Validation (CVE-2021-45046)/alacsony (csak az SPPA-T3000 SeS3000 Security Server-t érintő sérülékenység)
Javítás: Egyes érintett termékeknél igen (részletek a Siemens ProductCERT publikációjában található)
Linkek a publikációkhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-661247.pdf
https://cert-portal.siemens.com/productcert/pdf/ssa-714170.pdf

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC ITC1500 V3 minden, V3.2.1.0-nál korábbi verziója;
- SIMATIC ITC1500 V3 PRO minden, V3.2.1.0-nál korábbi verziója;
- SIMATIC ITC1900 V3 minden, V3.2.1.0-nál korábbi verziója;
- SIMATIC ITC1900 V3 PRO minden, V3.2.1.0-nál korábbi verziója;
- SIMATIC ITC2200 V3 minden, V3.2.1.0-nál korábbi verziója;
- SIMATIC ITC2200 V3 PRO minden, V3.2.1.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2017-18922)/kritikus
- Out-of-bounds Write (CVE-2018-20019)/kritikus
- Out-of-bounds Write (CVE-2018-20748)/kritikus
- Out-of-bounds Write (CVE-2018-20749)/kritikus
- Out-of-bounds Write (CVE-2018-20750)/kritikus
- Exposure of Sensitive Information to an Unauthorized Actor/súlyos
- Improper Initialization/súlyos
- Integer Overflow or Wraparound (CVE-2019-15690)/kritikus
- Integer Overflow or Wraparound (CVE-2019-20788)/kritikus
- Buffer Copy without Checking Size of Input (‘Classic Buffer Overflow’)/súlyos
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2019-20840)/súlyos
- NULL Pointer Dereference (CVE-2020-14396)/súlyos
- NULL Pointer Dereference (CVE-2020-14397)/súlyos
- Loop with Unreachable Exit Condition (‘Infinite Loop’)/súlyos
- Integer Overflow or Wraparound (CVE-2020-14401)/közepes
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2020-14402)/közepes
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2020-14403)/közepes
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2020-14404)/közepes
- Allocation of Resources Without Limits or Throttling/közepes
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-390195.pdf

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SiPass integrated V2.76 minden verziója;
- SiPass integrated V2.80 minden verziója;
- SiPass integrated V2.85 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2021-44522)/súlyos
- Exposure of Resource to Wrong Sphere (CVE-2021-44523)/súlyos
- Exposure of Resource to Wrong Sphere (CVE-2021-44524)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-160202.pdf

Bejelentés dátuma: 2021.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Teamcenter Active Workspace V4.3 minden, V4.3.11-nél korábbi verziója;
- Teamcenter Active Workspace V5.0 minden, V5.0.10-nél korábbi verziója;
- Teamcenter Active Workspace V5.1 minden, V5.1.6-nál korábbi verziója;
- Teamcenter Active Workspace V5.2 minden, V5.2.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal/közepes
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-133772.pdf

Bejelentés dátuma: 2021.12.16.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GX Works2 1.606G és korábbi verziói;
- MELSOFT Navigator minden verziója;
- EZSockdet minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read/közepes
- Integer Underflow/közepes
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-05

Bejelentés dátuma: 2021.12.16.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GX Works2 1.606G és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Handling of Length Parameter Inconsistency/közepes
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-04

Bejelentés dátuma: 2021.12.16.
Gyártó: Wibu-Systems AG
Érintett rendszer(ek):
- CodeMeter Runtime minden, 7.30a-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-03

Bejelentés dátuma: 2021.12.16.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft 1.01.30-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-02

Bejelentés dátuma: 2021.12.16.
Gyártó: Xylem
Érintett rendszer(ek):
- AquaView (SCADA rendszer) 1.60, 7.x és 8.x verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials/kritikus
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

2021-ben ismét nagy számú, különböző ipari szektorokban tevékenykedő céget ért súlyos kiberbiztonsági incidens, ezekből választott három olyan Daniel Dos Santos, a Forescout munkatársa a HelpnetSecurity.com-on megjelent cikkében, amik fontos tanulságokkal szolgálhatnak mindenkinek, aki folyamatvezérlő rendszerek kiberbiztonságával foglalkozik.

Az első a Colonial Pipeline elleni támadás, amiről én is írtam és ami talán a legnagyobb visszhangot keltett ICS biztonsági esemény volt 2021-ben (bár még van nem egész két hét az évből, szóval talán kicsit korai ez a kijelentésem). A Colonial Pipeline-incidens legnagyobb tanulsága, hogy a folyamatirányító rendszerek esetén egyre fontosabb a megfelelő hálózat-szegmentálás. Sajnos ez itthon és a világban is létező probléma, OT hálózatok esetén nem meglepő, ha egyetlen, ún. flat network-öt találunk, ahol a különböző SCADA/DCS szerverek és munkaállomások ugyanabban a hálózati zónában találhatóak, mint az RTU-k, PLC-k, és egyéb berendezések. Pedig a megoldás alapjául szolgáló Purdue-modellre alapozó biztonságos ICS architektúra-modellek (akár már az Ipari 4.0/ipari IoT/ipari felhőmegoldásokkal felturbózott változatok is) nagyon régen és szabadon elérhetőek. Persze önmagában ez sem fogja megoldani az adott szervezet ICS biztonsági problémáit, csak egy jó alapot adnak, amire az IT és OT hálózati és biztonsági szakemberek már elkezdhetik felépíteni a saját architektúrájukhoz illeszkedő egyedi megoldásaikat. A Colonial Pipeline-incidens másik tanulsága, hogy végképp leáldozott az egyfaktoros (felhasználónév-jelszó-alapú) azonosítást használó VPN-megoldásoknak, ezeket egyszerűen már nem tekinthetjük biztonságosnak, ezek helyett szükséges minimálisan 2 vagy többfaktoros authentikációt használni a távoli hozzáférések esetén.

A második az Oldsmar-i viziközmű cég elleni támadás Floridában, ahol a támadó(k) az ivóvízhez adagolt vegyszer mennyiségét is képesek voltak megváltoztatni. Ugyan a vízmű egyik dolgozója időben felismerte az illetéktelen módosítást és meg tudta előzni, hogy komolyabb baj legyen, az eset vizsgálata rámutatott arra, hogy mennyire fontos a különböző, távoli hozzáférésre használható protokollok és szoftverek (SSH, RDP, VNC különböző változatai, stb.) megfelelő monitorozása és ebben az esetben is előkerült a biztonságos távoli hozzáférés és hálózat-szegmentálás kérdései (a támadó VNC kapcsolaton keresztül jutott be a vízmű egyik Windows 7-et futtató, közvetlenül az Internetről elérhető munkaállomására, ahol már képes volt hozzáférni az ivóvízhez adagolt vegyszerek vezérlését végző rendszerhez). Megfelelő hálózat-szegmentálás, biztonságos és megfelelően monitorozott távoli hozzáférések kialakítása, nem lehet eleget hangsúlyozni ezek fontosságát.

A harmadik eset júliusban történt, amikor támadók bejutottak az iráni állami vasúttársaság IT rendszereibe és egy MeteorExpress-nek elnevezett malware-t terjesztettek szét a rendszerekben. A hivatkozott cikk szerint ez az eset a beszállítói lánc kezelésével kapcsolatos ICS biztonsági kockázatok kiváló példája, bár erre szerintem még 2021-ben is a 2020 végén kipattant SolarWinds-incidens a legjobb és minden érintett számára a leginkább érthető példa.

Bejelentés dátuma: 2021.12.07.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú CMU eszközök 12.4.X firmware-verziói;
- RTU500 sorozatú CMU eszközök 12.6.X firmware-verziói;
- RTU500 sorozatú CMU eszközök 12.7.X firmware-verziói;
- RTU500 sorozatú CMU eszközök 13.0.X firmware-verziói;
- RTU500 sorozatú CMU eszközök 13.1.X firmware-verziói;
- RTU500 sorozatú CMU eszközök 13.2.1 firmware-verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion/súlyos
- Reachable Assertion/súlyos
Javítás: Elérhető (a 12.4.X firmware-verziók javítása 2022. januárban fog megjelennni)
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-341-01

Bejelentés dátuma: 2021.12.07.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- XMC20 minden, R15A-nál korábbi verziója;
- FOX61x minden, R15A-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Weak Password Requirements/kritikus
- Missing Handler/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-341-02

Bejelentés dátuma: 2021.12.07.
Gyártó: FANUC
Érintett rendszer(ek):
- R-30iA, R-30iA Mate; v7: v7.20, v7.30, v7.40, v7.43, v7.50, v.7.63, v7.70;
- R-30iB, R-30iB Mate, R-30iB Compact; v8: v8.10, v8.13, v8.20, v8.23, v8.26, v8.30, v8.33, v8.36;
- R-30iB Plus, R-30iB Mate Plus, R-30iB Compact Plus, R-30iB Mini Plus; v9: v9.10, v9.13, v9.16, v9.30, v9.36, v9.40;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Integer Coercion Error/súlyos
- Out-of-bounds Write/súlyos
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-243-02

Bejelentés dátuma: 2021.12.09.
Gyártó: Hillrom
Érintett rendszer(ek):
- Welch Allyn Q-Stress Cardiac Stress Testing System 6.0.0-tól 6.3.1-ig terjedő verziói;
- Welch Allyn X-Scribe Cardiac Stress Testing System 5.01-tól 6.3.1-ig terjedő verziói;
- Welch Allyn Diagnostic Cardiology Suite 2.1.0 verziója;
- Welch Allyn Vision Express 6.1.0-tól 6.4.0-ig terjedő verziói;
- Welch Allyn H-Scribe Holter Analysis System 5.01-tól 6.4.0-ig terjedő verziói;
- Welch Allyn R-Scribe Resting ECG System 5.01-tól 7.0.0-ig terjedő verziói;
- Welch Allyn Connex Cardio 1.0.0-tól 1.1.1-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel/súlyos
Javítás: A gyártó jelenleg is dolgozik a javított verziókon.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-21-343-01

Bejelentés dátuma: 2021.12.09.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- GMS600 1.2.0 verziója;
- GMS600 1.3.0 verziója;
- GMS600 1.3.1.0 verziója;
- PWC600 1.1.0.0 verziója;
- PWC600 1.1.0.1 verziója;
- PWC600 1.0.1.0 verziója;
- PWC600 1.0.1.1 verziója;
- PWC600 1.0.1.3 verziója;
- PWC600 1.0.1.4 verziója;
- Relion 670/650 sorozatú eszközök 2.2.0 összes revíziója;
- Relion 670/650/SAM600-IO sorozatú eszközök 2.2.1 összes revíziója;
- Relion 670 sorozatú eszközök 2.2.2 összes revíziója;
- Relion 670 sorozatú eszközök 2.2.3 összes revíziója a 2.2.3.4-ig terjedően;
- Relion 670/650 sorozatú eszközök 2.2.4 összes revíziója;
- Relion 670/650/SAM600-IO sorozatú eszközök 2.2.5 összes revíziója a 2.2.5.1-ig terjedően;
- Relion 670/650 sorozatú eszközök 2.1 összes revíziója;
- Relion 670 sorozatú eszközök 2.0 összes revíziója;
- Relion 650 sorozatú eszközök 1.3 összes revíziója;
- Relion 650 sorozatú eszközök 1.2 összes revíziója;
- Relion 650 sorozatú eszközök 1.1 összes revíziója;
- Relion 650 sorozatú eszközök 1.0 összes revíziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Controls/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-343-01

Bejelentés dátuma: 2021.12.09.
Gyártó: WECON
Érintett rendszer(ek): LeviStudioU (HMI programozáshoz használt szoftver) 2019-09-21-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow/súlyos
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-343-02

Továbbá nagyon úgy tűnik, hogy a múlt hét pénteken nyilvánosságra került (és az elmúlt napokban sok kollégát minden másnál jobban foglalkoztató) Log4j sérülékénység az OT rendszereket sem hagyja érintetlenül, erről a Dragos publikációjában írnak részletesebben.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nemrég még az indiai kritikus infrastruktúrák elleni APT-támadásokról írtam, október közepén pedig már olyan hírek jelentek meg, hogy az indiai kormány Energiaügyi Minisztériuma (Power Ministry) és az ország illetékes hatósága (Central Electricity Authority, CEA) a “Central Electricity Authority (Technical Standards for Connectivity to the Grid) (Amendment) Regulations, 2019” című dokumentumba illesztve adott ki útmutató (guidelines), amivel azonban a fejleményről hírt adó TrendMicro szerint minden indiai villamosenergia-szektorban működő cégnek meg kell felelnie. A villamosenergia-szektor cégein túl a velük kapcsolatban álló rendszerintegrátorok, gyártók, beszállítók és szolgáltatók felé is elvárás az új követelményrendszerben megfogalmazottaknak történő megfelelés.

Érdekes látni, hogy szinte minden (magát komolyan vevő) ország vezetésének kell legalább egy súlyosabb incidens ahhoz, hogy lépjenek a kritikus infrastruktúráik kibervédelme terén. Persze a kérdés ebben az esetben is az, hogy vajon a most megfogalmazott elvárások teljesítését ki, hogyan és mikor fogja (fogja-e) ellenőrizni?