Immár 14 éve, hogy a Stuxnet nyilvánosságra kerülése után szélesebb szakmai körben ismertté vált az ICS/OT rendszerek kiberbiztonsági témája. Nem sokkal később (talán 2013-ban lehetett) már egy ISACA Budapest Chapter konferencián volt előadás a témából, Gélák Robi tartott egy kifejezett jó "Bevezetés a SCADA-biztonság világába"-szintű előadást, aztán ezt nagyritkán egy-egy másik kolléga (Krasznay Csaba, Hirsch Gábor és még néhányan) követtek. Ezek ellenére 2018 végéig, a SeConSys elindulásáig nem igazán került be az ICS/OT biztonság témája a magyar szakmai közösség érdeklődésének homlokterébe, a SeConSys kézikönyv, majd a 2020 februárjában megjelent, az Internet magyar szegletében publikusan elérhető ICS/OT rendszereket és eszközöket kutató BlackCell whitepaper sem keltett komolyabb hullámokat. Így jutottunk el 2024-ig, amikor az Európai Unió NIS2 direktívájának várható magyarországi implementációja megint lehetőséget ad számos gyártó, integrátor és tanácsadó cég számára, hogy megpróbálják eladni a megoldásaikat és szolgálatásaikat az ipari folyamatirányítási rendszereket használó szervezeteknek.

A mai poszt témája azonban nem ez (ezt a témát majd egy kicsit később szeretném kicsit körbejárni), hanem az, hogy miért nem értik a magyar információ- és IT biztonsági szakma tapasztalt, ismert és elismert művelői (tisztelet a ritka kivételeknek) azokat a különbségeket, amik az információbiztonság/IT biztonság és az ICS/OT kiberbiztonság között a legalapvetőbbek? A kérdés akkor merült fel bennem, amikor még idén év elején láttam Kocsis Tamás előadását az ISACA Budapest második szerdai programján és végighallgattam az előadás utáni kérdéseket és válaszokat is. Maga az előadás szerintem egészen jó volt, ami viszont feltűnt, hogy mind az előadás, mind a kérdések sé a válaszok azt mutatják, hogy a hallgatóság nagy része érezhetően nem találkozott még olyan rendszerekkel, ahol nem csak adatokra, hanem a fizikai valóságra is hatással lehet egy-egy biztonsági incidens.

Ezt pedig azért is nagyon érdekesnek tartom, mert ha így van, az felvet egy űjabb kérdést: ezek az információ-/IT biztonsági területeken dolgozó kollégák vajon soha nem auditáltak még informatikai géptermet? Ha pedig auditáltak, akkor soha nem jutottak el odáig, hogy feltegyenek kérdéseket a rack-szekrények hőmérsékletét monitorozó, a légkondícionálást és a szünetmentes tápegységeket vezérlő rendszerek működésével és biztonságával kapcsolatban?

Szóval mostanában erősen az (is) jár a fejemben, hogy vajon mit kéne tenni annak érdekében, hogy a hazai szakma képviselőit legalább a legalapvetőbb ICS/OT biztonsági ismereteknél egy kicsit többet át lehessen adni és ezen a területen is tudatosabbak legyenek a kollégák?

Bejelentés dátuma: 2024.06.26.
Gyártó: ABB
Érintett rendszer(ek):
- ASPECT®-Enterprise ASP-ENT-x (2CQG103201S3021, 2CQG103202S3021, 2CQG103203S3021, 2CQG103204S3021) 3-as firmware-verziója;
- NEXUS NEX-2x és NEXUS-3-x sorozatú eszközök (2CQG100102R2021, 2CQG100104R2021, 2CQG100105R2021, 2CQG100106R2021, 2CQG100110R2021, 2CQG100112R2021, 2CQG100103R2021, 2CQG100107R2021, 2CQG100108R2021, 2CQG100109R2021,2CQG100111R2021, 2CQG100113R2021) 3-as firmware-verziója;
- MATRIX MAT-x sorozatú eszközök (2CQG100102R1021, 2CQG100103R1021, 2CQG100104R1021, 2CQG100105R1021, 2CQG100106R1021) 3-as firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Hard-coded default credential (CVE-2024-4007)/súlyos;
Javítás: Elérhető
Link a publikációhoz: ABB

https://search.abb.com/library/Download.aspx?DocumentID=9AKK108469A6101&LanguageCode=en&DocumentPartId=&Action=Launch

Bejelentés dátuma: 2024.07.02.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Kantech KT1 ajtó vezérlő Rev01 2.09.01-es és korábbi verziói;
- Kantech KT2 ajtó vezérlő Rev01 2.09.01-es és korábbi verziói;
- Kantech KT400 ajtó vezérlő Rev01 3.01.16-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2024-32754)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-01

Bejelentés dátuma: 2024.07.02.
Gyártó: mySCADA
Érintett rendszer(ek):
- myPRO SCADA 8.31.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Password (CVE-2024-4708)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-02

Bejelentés dátuma: 2024.07.02.
Gyártók: ICONICS, Mitsubishi Electric
Érintett rendszer(ek):
- ICONICS Suite, beleértve a GENESIS64, Hyper Historian, AnalytiX és MobileHMI rendszerek 10.97.2-es verzióját;
- AlarmWorX Multimedia (AlarmWorX64 MMX) minden, 10.97.3-nál korábbi verziója;
- MobileHMI minden, 10.97.3-nál korábbi verziója;
- ICONICS, beleértve a GENESIS64, Hyper Historian, AnalytiX és MobileHMI rendszerek minden, 10.97.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2023-2650)/alacsony;
- Improper Neutralization (CVE-2023-4807)/közepes;
- Uncontrolled Search Path Element (CVE-2024-1182)/súlyos;
- Improper Authentication (CVE-2024-1573)/közepes;
- Unsafe Reflection (CVE-2024-1574)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-03

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A NIS2, ahogy a múlt héten én is írtam róla, most az egyik legforróbb téma az EU mindenféle fontos informatikai rendszereit (legyenek azok adat- vagy fizikai folyamatirányító rendszerek) üzemeltető cégei és azok beszállítói és tanácsadói számára. A múlt héten azt próbáltam némileg megvilágítani, milyen kockázatai lehetnek annak, ha kizárólag az IT világban szerzett tapasztalatok birtokában próbál valaki NIS2 megfelelőséget szavatoló intézkedéseket bevezetni ICS/OT rendszereket (is) használó szervezeteknél. Ma ennél egy kicsit mélyebbre megyünk a NIS2 dzsungelben, ezúttal is a SANS ICS blogján megjelent írásokat szemlézve.

Az első cikk, amit a témában találtam, rögtön egy 8 részes sorozat, aminek az első része a NIS2 hatálya alá tartozó szervezetek kiberbiztonsági képesség-fejlesztésével foglalkozik (nyilván a mindenféle plecsnik hasznáról is szól, ha már a SANS egy olyan szervezet, ami nagyon durván drága tanfolyamokat és minősítéseket kínál - de tényleg elképesztően drágák lettek ezek a tanfolyamok és vizsgák...).

A második rész a megfelelőségen túl vizsgálja a NIS2 kínálta lehetőségeket arra, hogyan építhetnek az új jogszabály hatálya alá tartozó szervezetek egy, az eddigieknél kiberbiztonsági szempontból ellenállóbb rendszereket.

A harmadik rész a NIS2 hatásaival foglalkozik, röviden ismerteti a kritikus és fontos szervezetek kategóriáit, a biztonsági incidensek jelentésére vonatkozó szigorú követelményekkel, az érintett szervezetek fejlődő kiberbiztonsági állapotával, a munkatársak oktatásával és képzésével és az időben (korán) kezdett felkészülés fontosságával.

A negyedik rész a NIS2 követelmények teljesítéséhez szükséges biztonsági műveleti központok (SOC-ok) által tapasztalt kihívásokkal foglalkozik, az ötödik rész pedig a kiberbiztonsági stratégia három kritikus területét vizsgálja. Ezek a következők:

- Felsővezetői felelősség és felsővezetői kiberbiztonsági képzések;
- Kockázatmenedzsment keretrendszer (külön érintve a mentésekre, kockázatelemzésre, több-faktoros authentikációra, beszállítói lánc biztonságára, üzletmenet-folytonosságra, alapvető kiberbiztonsági higiéniára és incidenskezelésre vonatkozó témákat);
- Jelentéstételi kötelezettség a kiberbiztonsági incidensekre vonatkozóan;

A hatodik részben azt foglalják össze, amit (a SANS szerint) minden szervezetnek tudnia kell a NIS2-vel kapcsolatban. Kinek kell megfelelni a NIS2 alapján támasztott követelményeknek? Milyen követelmények vonatkoznak a beszállítói lánc biztonságára? Kinek és mennyi időn belül kell jelenteni a kiberbiztonsági incidenseket? Ezek a kérdések csak ízelítőként szolgálnak az ebben a részben tárgyalt témákból.

Jó ez a sorozat, de a számunkra, ezen a blogon igazán érdekes kérdés az, hogy mit jelent a NIS2 megfelelés az ICS/OT rendszerek esetén? Ez a téma a hetedik részben kerül boncolgatásra. Ez a rész szól az ICS/OT rendszereket fenyegető kiberbiztonsági kockázatokról és az ICS/OT rendszerek megfelelőségi kihívásairól.

A nyolcadik rész pedig egy finom kritika, ami arra próbál rámutatni, hogy a NIS2 önmagában miért nem fogja megoldani az információ-megosztás problémáját.

Mára nagyjából ennyi, ígérem, hogy (ha csak nem történik valami rendkívüli) egy időre most igyekezni fogok nem NIS2-vel kapcsolatos dolgokról írni.

Bejelentés dátuma: 2024.06.13.
Gyártó: Motorola Solutions
Érintett rendszer(ek):
- Vigilant Fixed LPR Coms Box (BCAV1F2-C600) 3.1.171.9-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2024-38279)/közepes;
- Cleartext Storage in a File or on Disk (CVE-2024-38280)/közepes;
- Use of Hard-coded Credentials (CVE-2024-38281)/súlyos;
- Insufficiently Protected Credentials (CVE-2024-38282)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2024-38283)/közepes;
- Authentication Bypass by Capture-replay (CVE-2024-38284)/súlyos;
- Insufficiently Protected Credentials (CVE-2024-38285)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-19

Bejelentés dátuma: 2024.06.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View SE: v12.0
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2024-37367)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-16

Bejelentés dátuma: 2024.06.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View SE: v11.0
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2024-37368)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-18

Bejelentés dátuma: 2024.06.18.
Gyártó: RAD Data Communications
Érintett rendszer(ek):
- SecFlow-2 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2019-6268)/súlyos;
Javítás: Nincs, a termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-170-01

Bejelentés dátuma: 2024.06.25.
Gyártó: ABB
Érintett rendszer(ek):
- ABB 800xA Base 6.1.1-2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-3036)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-177-01

Bejelentés dátuma: 2024.06.25.
Gyártó: PTC
Érintett rendszer(ek):
- Creo Elements/Direct License Server 20.7.0.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authorization (CVE-2024-6071)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-177-02

Bejelentés dátuma: 2024.06.27.
Gyártó: marKoni
Érintett rendszer(ek):
- Markoni-D (Compact) FM Transmitterek minden, 2.0.1-nél korábbi verziója;
- Markoni-DH (Exciter+Amplifiers) FM Transmitterek minden, 2.0.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2024-39373)/kritikus;
- Use of Hard-coded Credentials (CVE-2024-39374)/kritikus;
- Use of Client-Side Authentication (CVE-2024-39375)/kritikus;
- Improper Access Control (CVE-2024-39376)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-01

Bejelentés dátuma: 2024.06.27.
Gyártó: SDG Technologies
Érintett rendszer(ek):
- PnPSCADA (webes SCADA HMI) 4-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authorization (CVE-2024-2882)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-02

Bejelentés dátuma: 2024.06.27.
Gyártó: Yokogawa
Érintett rendszer(ek):
- FAST/TOOLS RVSVRN csomag R9.01-től R10.04-ig terjedő verziói;
- FAST/TOOLS UNSVRN csomag R9.01-től R10.04-ig terjedő verziói;
- FAST/TOOLS HMIWEB csomag R9.01-től R10.04-ig terjedő verziói;
- FAST/TOOLS FTEES csomag R9.01-től R10.04-ig terjedő verziói;
- FAST/TOOLS HMIMOB csomag R9.01-től R10.04-ig terjedő verziói;
- CI Server R1.01.00-tól R1.03.00-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-4105)/közepes;
- Empty Password in Configuration File (CVE-2024-4106)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-03

Bejelentés dátuma: 2024.06.27.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Illustra Essential Gen 4 Illustra.Ess4.01.02.10.5982-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-32755)/kritikus;
- Storing Passwords in a Recoverable Format (CVE-2024-32756)/közepes;
- Insertion of Sensitive Information into Log File (CVE-2024-32757)/közepes;
- Storing Passwords in a Recoverable Format (CVE-2024-32932)/közepes;
Javítás: Elérhető
Linkek a publikációkhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-04
https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-05
https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-06
https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-07

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A NIS2 EU-s irányelv 2022 óta ismert, de ahogy közelednek az első, az érintetti körbe tartozó szervezetekre vonatkozó határidők, mostanában kezdenek egyre többen és egyre többet beszélni róla. Az a probléma, amiről a mai poszt szól, a NIS2 által érintett ágazatok széles köréből adódik. A NIS2 két kategóriában számos érintett nemzetgazdasági ágazatot nevesít, a kiemelten kritikus kategóriában 11 ágazat szerepel:

- Energiaszektor (villamosenergia, távfűtés és hűtés, olaj, gáz, hidrogén);
- Szállítmányozás (légiközlekedés, vasúti közlekedés, viziközlekedés, közúti közlekedés)
- Banki szolgáltatások;
- Pénzügyi piaci infrastruktúrák;
- Egészségügy;
- Ivóvíz-szolgáltatás;
- Sennyvíz-kezelés;
- Digitális infrastruktúra
- Infokommunikációs szolgáltatások irányítása;
- Közigazgatás;
- Világűr;

Az egyéb kritikus ágazatok listáján 7 további ágazat szerepel:

- Postai és futárszolgáltatások;
- Hulladékgazdálkodás;
- Vegyszerek gyártása, előállítása és forgalmazása;
- Élelmiszer-termelés, -feldolgozás és -forgalmazás;
- Gyártás (Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása, számítógépek, elektronikai és optikai termékek gyártása, villamos berendezések gyártása, máshova nem sorolt gépek és gépi berendezések gyártása, gépjárművek, pótkocsik és félpótkocsik gyártása, egyéb szállítóeszközök gyártása);
- Digitális szolgáltatók;
- Kutatás;

Ebből a felsorolásból is látszik, hogy a NIS2 irányelv nagyon sokféle különböző területet fog lefedni, amelyek egy jelentős része csak adatokkal foglalkozik, míg a másik részének elválaszthatatlan részét képezik a különböző fizikai folyamatokat vezérlő ICS/OT rendszerek, amikre egészen más biztonsági intézkedéseknek és kontrolloknak kell vonatkoznia - és ezzel el is érkeztünk oda, ami miatt elkezdtem írni a mai posztot. Számos olyan előadás hangzott el az utóbbi időben itthon, amiket általam nagyra tartott információbiztonsági vagy IT biztonsági szakemberek tartottak, azonban ezeknek a szakértőknek tudomásom szerint semmilyen ICS/OT kiberbiztonsági tapasztalatuk nincs. Önmagában még ez sem jelent törvényszerűen problémát, de amint egy ipari folyamatirányító rendszerekre köré épülő szervezetben kezdenek dolgozni, rögtön megváltozhat a helyzet. Ennek egy igen látványos példája volt idén februárban az a nyílt levél, amiről én is írtam.

Azóta nem csak a nagyvállalati IT-ban komoly tapasztalatokkal rendelkező kollégák kezdtek foglalkozni a NIS2-ből eredő követelmények teljesítésével, hanem kisvárosok telekommunikációs szolgáltatói között is láttam olyat, amelyik NIS2-megfelelőségi szolgáltatásokat kínál.

Szóval igen érdekes idők következnek és csak bízni tudok abban, hogy a nemzeti kritikus infrastruktúrák NIS2-megfelelésén dolgozó kollégáknak lesz idejük (és szándékuk!) megtanulni a folyamatvezérlő rendszerek biztonságának a nagyvállalati információ-/IT biztonságétől gyakran nagyon is különböző kontrolljainak sajátosságait.

Bejelentés dátuma: 2024.06.03.
Gyártó: ABB
Érintett rendszer(ek):
- WebPro SNMP card PowerValue 1.1.8.j és korábbi verziói;
- WebPro SNMP card PowerValue UL 1.1.8.j és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-Site Scripting (ABBVREP0138)/kritikus;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2024.06.04.
Gyártó: CODESYS
Érintett rendszer(ek):
- CODESYS Control Win (SL) 3.5.20.10-nél korábbi verziói;
- CODESYS Development System V3 3.5.20.10-nél korábbi verziói;
- CODESYS Edge Gateway for Windows 3.5.20.10-nél korábbi verziói;
- CODESYS Gateway for Windows 3.5.20.10-nél korábbi verziói;
- CODESYS HMI (SL) 3.5.20.10-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2023-5751)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2024-027/

Bejelentés dátuma: 2024.06.04.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- CC-Link IE TSN Industrial Managed Switch NZ2MHG-TSNT8F2 05-ös és korábbi verziói;
- CC-Link IE TSN Industrial Managed Switch NZ2MHG-TSNT4 05-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Denial-of-Service (CVE-2023-2650)/n/a;
Javítás: Elérhető
Link a publikációhoz: Mitsubishi Electric

Bejelentés dátuma: 2024.06.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 minden verziója;
- Network module, Modicon M340, Modbus/TCP BMXNOE0100 minden verziója;
- Network module, Modicon M340, Ethernet TCP/IP BMXNOE0110 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Files or Directories Accessible to External Parties (CVE-2024-5056)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.06.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PowerLogic P5 v01.500.104-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2024-5559)/közepes;
Javítás: Jelenleg nem elérhető (a gyártó visszavonta a hibát javító patch-et).
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.06.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EVlink Home Smart v2.0.4.1.2_131-es és v2.0.3.8.2_128-as verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of the Resource Wrong Sphere (CVE-2024-5313)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.06.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- SpaceLogic AS-P V5.0.3-as és korábbi verziói;
- SpaceLogic AS-B V5.0.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Time-of-check Time-of-use (TOCTOU) Race Condition (CVE-2024-5558)/közepes;
- Insertion of Sensitive Information into Log File (CVE-2024-5557)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.06.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Sage 1410 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 1430 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 1450 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 2400 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 3030 Magnum C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 4400 C3414-500-S02K5_P8-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-37036)/kritikus;
- Path Traversal (CVE-2024-37037)/súlyos;
- Incorrect Default Permissions (CVE-2024-37038)/súlyos;
- Unchecked Return Value (CVE-2024-37039)/közepes;
- Classic Buffer Overflow (CVE-2024-37040)/közepes;
- Out-of-bounds Read (CVE-2024-5560)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens ST7 ScadaConnect (6NH7997-5DA10-0AA0) 1.1-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Integer Overflow or Wraparound (CVE-2022-40303)/súlyos;
- Double Free (CVE-2022-40304)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- Inefficient Regular Expression Complexity (CVE-2023-3446)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Improper Input Validation (CVE-2023-21808)/súlyos;
- Improper Input Validation (CVE-2023-24895)/súlyos;
- Improper Input Validation (CVE-2023-24897)/súlyos;
- Improper Input Validation (CVE-2023-24936)/súlyos;
- Improper Input Validation (CVE-2023-28260)/súlyos;
- NULL Pointer Dereference (CVE-2023-28484)/közepes;
- Improper Input Validation (CVE-2023-29331)/súlyos;
- Double Free (CVE-2023-29469)/közepes;
- Improper Input Validation (CVE-2023-32032)/közepes;
- Improper Input Validation (CVE-2023-33126)/súlyos;
- Improper Input Validation (CVE-2023-33127)/súlyos;
- Improper Input Validation (CVE-2023-33128)/súlyos;
- Improper Input Validation (CVE-2023-33135)/súlyos;
- Improper Input Validation (CVE-2023-33170)/súlyos;
- Improper Input Validation (CVE-2023-35390)/súlyos;
- Improper Input Validation (CVE-2023-35391)/közepes;
- Improper Input Validation (CVE-2023-36038)/súlyos;
- Improper Input Validation (CVE-2023-36049)/súlyos;
- Improper Input Validation (CVE-2023-36435)/súlyos;
- Improper Input Validation (CVE-2023-36558)/közepes;
- Improper Input Validation (CVE-2023-36792)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36793)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36794)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36796)/súlyos;
- Improper Input Validation (CVE-2023-36799)/közepes;
- Improper Input Validation (CVE-2023-38171)/súlyos;
- Improper Input Validation (CVE-2023-38178)/súlyos;
- Improper Input Validation (CVE-2023-38180)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-39615)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44487)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens PowerSys V3.11-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2024-36266)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC CP 1542SP-1 (6GK7542-6UX00-0XE0) minden, V2.3-nál korábbi verziója;
- Siemens SIMATIC CP 1542SP-1 IRC (6GK7542-6VX00-0XE0) minden, V2.3-nál korábbi verziója;
- Siemens SIMATIC CP 1543SP-1 (6GK7543-6WX00-0XE0) minden, V2.3-nál korábbi verziója;
- Siemens SIPLUS ET 200SP CP 1542SP-1 IRC TX RAIL (6AG2542-6VX00-4XE0) minden, V2.3-nál korábbi verziója;
- Siemens SIPLUS ET 200SP CP 1543SP-1 ISEC (6AG1543-6WX00-7XE0) minden, V2.3-nál korábbi verziója;
- Siemens SIPLUS ET 200SP CP 1543SP-1 ISEC TX RAIL (6AG2543-6WX00-4XE0) minden, V2.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-2097)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3435)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3545)/súlyos;
- Race Condition (CVE-2022-3623)/közepes;
- Injection (CVE-2022-3643)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Integer Overflow or Wraparound (CVE-2022-40303)/súlyos;
- Double Free (CVE-2022-40304)/súlyos;
- Improper Locking (CVE-2022-42328)/közepes;
- Improper Locking (CVE-2022-42329)/közepes;
- NULL Pointer Dereference (CVE-2022-44792)/közepes;
- NULL Pointer Dereference (CVE-2022-44793)/közepes;
- Use-After-Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- NULL Pointer Dereference (CVE-2023-28484)/közepes;
- Double Free (CVE-2023-29469)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2023-38380)/súlyos;
- Out-of-bounds Read (CVE-2023-41910)/kritikus;
- Infinite Loop (CVE-2023-50763)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) V1.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-41742)/súlyos;
- Insufficient Session Expiration (CVE-2024-35206)/súlyos;
- Cross-Site Request Forgery (CVE-2024-35207)/súlyos;
- Insufficiently Protected Credentials (CVE-2024-35208)/közepes;
- Exposed Dangerous Method or Function (CVE-2024-35209)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2024-35210)/közepes;
- Sensitive Cookie in HTTPS Session Without 'Secure' Attribute (CVE-2024-35211)/közepes;
- Improper Input Validation (CVE-2024-35212)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SITOP UPS1600 10 A Ethernet/ PROFINET (6EP4134-3AB00-2AY0) minden, V2.5.4-nél korábbi verziója;
- SITOP UPS1600 20 A Ethernet/ PROFINET (6EP4136-3AB00-2AY0) minden, V2.5.4-nél korábbi verziója;
- SITOP UPS1600 40 A Ethernet/ PROFINET (6EP4137-3AB00-2AY0) minden, V2.5.4-nél korábbi verziója;
- SITOP UPS1600 EX 20 A Ethernet PROFINET (6EP4136-3AC00-2AY0) minden, V2.5.4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-26552)/közepes;
- Out-of-bounds Write (CVE-2023-26553)/közepes;
- Out-of-bounds Write (CVE-2023-26554)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens JT2Go minden, V2312.0004-nél korábbi verziója;
- Siemens Teamcenter Visualization V14.2 minden verziója;
- Siemens Teamcenter Visualization V14.3 minden, V14.3.0.9-nél korábbi verziója;
- Siemens Teamcenter Visualization V2312 minden, V2312.0004-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-26275)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2024-26276)/alacsony;
- NULL Pointer Dereference (CVE-2024-26277)/alacsony;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SCALANCE XM408-4C (6GK5408-4GP00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XM408-4C (L3 int.) (6GK5408-4GQ00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XM408-8C (6GK5408-8GS00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XM408-8C (L3 int.) (6GK5408-8GR00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XM416-4C (6GK5416-4GS00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XM416-4C (L3 int.) (6GK5416-4GR00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 1x230V (6GK5524-8GS00-3AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 1x230V (L3 int.) (6GK5524-8GR00-3AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 2x230V (6GK5524-8GS00-4AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 2x230V (L3 int.) (6GK5524-8GR00-4AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 24V (6GK5524-8GS00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 24V (L3 int.) (6GK5524-8GR00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 1x230V (6GK5526-8GS00-3AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 1x230V (L3 int.) (6GK5526-8GR00-3AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 2x230V (6GK5526-8GS00-4AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 2x230V (L3 int.) (6GK5526-8GR00-4AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 24V (6GK5526-8GS00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 24V (L3 int.) (6GK5526-8GR00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR528-6M (2HR2) (6GK5528-0AA00-2HR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR528-6M (2HR2, L3 int.) (6GK5528-0AR00-2HR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR528-6M (6GK5528-0AA00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR528-6M (L3 int.) (6GK5528-0AR00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR552-12M (2HR2) (6GK5552-0AA00-2HR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR552-12M (2HR2) (6GK5552-0AR00-2HR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR552-12M (2HR2, L3 int.) (6GK5552-0AR00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR552-12M (6GK5552-0AA00-2AR2) minden, V6.6.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-2097)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Use-After-Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC S7-200 SMART CPU CR40 (6ES7288-1CR40-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU CR60 (6ES7288-1CR60-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR20 (6ES7288-1SR20-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR20 (6ES7288-1SR20-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR30 (6ES7288-1SR30-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR30 (6ES7288-1SR30-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR40 (6ES7288-1SR40-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR40 (6ES7288-1SR40-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR60 (6ES7288-1SR60-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR60 (6ES7288-1SR60-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST20 (6ES7288-1ST20-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST20 (6ES7288-1ST20-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST30 (6ES7288-1ST30-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST30 (6ES7288-1ST30-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST40 (6ES7288-1ST40-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST40 (6ES7288-1ST40-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST60 (6ES7288-1ST60-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST60 (6ES7288-1ST60-0AA1) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Insufficiently Random Values (CVE-2024-35292)/súlyos;
Javítás: Nincs.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Mendix 9-et használó Mendix alkalmazások V9.24.22-nél korábbi és V9.3.0-nál újabb verziói;
- Siemens Mendix 10-et használó Mendix alkalmazások V10.11.0-nál korábbi verziói;
- Siemens Mendix Mendix 10 (V10.6)-ot használó Mendix alkalmazások V10.6.9-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Privilege Management (CVE-2024-33500)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- TIA Administrator minden, V3 SP2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Creation of Temporary File in Directory with Insecure Permissions (CVE-2023-38533)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- CPCX26 Central Processing/Communication minden, V06.02-nél korábbi verziója;
- ETA4 Ethernet Interface IEC60870-5-104 minden, V10.46-nál korábbi verziója;
- ETA5 Ethernet Int. 1x100TX IEC61850 Ed.2 minden, V03.27-nél korábbi verziója;
- PCCX26 Ax 1703 PE, Contr, Communication Element minden, V06.05-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Null Termination (CVE-2024-31484)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE WAM763-1 (6GK5763-1AL00-7DA0) minden verziója;
- SCALANCE WAM763-1 (ME) (6GK5763-1AL00-7DC0) minden verziója;
- SCALANCE WAM763-1 (US) (6GK5763-1AL00-7DB0) minden verziója;
- SCALANCE WAM766-1 (EU) (6GK5766-1GE00-7DA0) minden verziója;
- SCALANCE WAM766-1 (ME) (6GK5766-1GE00-7DC0) minden verziója;
- SCALANCE WAM766-1 (US) (6GK5766-1GE00-7DB0) minden verziója;
- SCALANCE WAM766-1 EEC (EU) (6GK5766-1GE00-7TA0) minden verziója;
- SCALANCE WAM766-1 EEC (ME) (6GK5766-1GE00-7TC0) minden verziója;
- SCALANCE WAM766-1 EEC (US) (6GK5766-1GE00-7TB0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3AA0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3DA0) minden verziója;
- SCALANCE WUM763-1 (US) (6GK5763-1AL00-3AB0) minden verziója;
- SCALANCE WUM763-1 (US) (6GK5763-1AL00-3DB0) minden verziója;
- SCALANCE WUM766-1 (EU) (6GK5766-1GE00-3DA0) minden verziója;
- SCALANCE WUM766-1 (ME) (6GK5766-1GE00-3DC0) minden verziója;
- SCALANCE WUM766-1 (US) (6GK5766-1GE00-3DB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Control of a Resource Through its Lifetime (CVE-2022-46144)/közepes;
- Acceptance of Extraneous Untrusted Data With Trusted Data (CVE-2023-44317)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2023-44318)/közepes;
- Use of Weak Hash (CVE-2023-44319)/közepes;
- Injection (CVE-2023-44373)/kritikus;
- Unsynchronized Access to Shared Data in a Multithreaded Context (CVE-2023-44374)/közepes;
- OS Command Injection (CVE-2023-49691)/súlyos;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2302 minden, V2302.0012-nél korábbi verziója;
- Tecnomatix Plant Simulation V2404 minden, V2404.0001-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Type Conversion or Cast (CVE-2024-35303)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIPLUS TIM 1531 IRC (6AG1543-1MX00-7XE0) minden, V2.4.8-nál korábbi verziója;
- TIM 1531 IRC (6GK7543-1MX00-0XE0) minden, V2.4.8-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2021-47178)/közepes;
- Out-of-bounds Write (CVE-2022-1015)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-39189)/súlyos;
- Incorrect Conversion between Numeric Types (CVE-2022-40225)/közepes;
- Integer Overflow or Wraparound (CVE-2022-40303)/súlyos;
- Double Free (CVE-2022-40304)/súlyos;
- Improper Input Validation (CVE-2022-45886)/súlyos;
- Race Condition (CVE-2022-45887)/közepes;
- Use After Free (CVE-2022-45919)/súlyos;
- Improper Locking (CVE-2023-0160)/közepes;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- Out-of-bounds Write (CVE-2023-1017)/közepes;
- Out-of-bounds Write (CVE-2023-2124)/súlyos;
- Improper Locking (CVE-2023-2269)/közepes;
- Out-of-bounds Write (CVE-2023-21255)/súlyos;
- NULL Pointer Dereference (CVE-2023-27321)/közepes;
- Use After Free (CVE-2023-28319)/súlyos;
- Out-of-bounds Write (CVE-2023-35788)/súlyos;
- Race Condition (CVE-2023-35823)/súlyos;
- Race Condition (CVE-2023-35824)/súlyos;
- Race Condition (CVE-2023-35828)/súlyos;
- Use After Free (CVE-2023-35829)/súlyos;
- Out-of-bounds Read (CVE-2023-41910)/kritikus;
- Infinite Loop (CVE-2023-50763)/közepes;
- Improper Input Validation (CVE-2023-52474)/súlyos;
- Improper Input Validation (CVE-2024-0775)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.06.13.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Tellus Lite V-Simulator v4.0.20.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-Bound Write (CVE-2024-37022)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-37029)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-14

Bejelentés dátuma: 2024.06.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View SE v12.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2024-37369)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-17

Bejelentés dátuma: 2024.06.19.
Gyártó: Moxa
Érintett rendszer(ek):
- Moxa SDS-3008 sorozatú eszközök 2.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2015-9251)/közepes;
- Cross-site Scripting (CVE-2020-11022)/közepes;
- Cross-site Scripting (CVE-2020-11023)/közepes;
- Prototype Pollution (CVE-2019-11358)/közepes;
Javítás: A gyártó műszaki támogatásánál elérhető.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.06.20.
Gyártó: CAREL
Érintett rendszer(ek):
- Boss-Mini 1.4.0 (Build 6221) verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2023-3643)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-172-02

Bejelentés dátuma: 2024.06.20.
Gyártó: Yokogawa
Érintett rendszer(ek):
- CENTUM CS 3000 (beleértve a CENTUM CS 3000 Entry Class rendszereket) R3.08.10-től R3.09.50-ig terjedő verziói;
- CENTUM VP (beleértve a CENTUM VP Entry Class rendszereket) R4.01.00-tól R4.03.00-ig terjedő verziói;
- CENTUM VP (beleértve a CENTUM VP Entry Class rendszereket) R5.01.00-tól R5.04.20-ig terjedő verziói;
- CENTUM VP (beleértve a CENTUM VP Entry Class rendszereket) R6.01.00-tól R6.11.10-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Access Control (CVE-2024-5650)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-172-01

Bejelentés dátuma: 2024.06.20.
Gyártó: Westermo
Érintett rendszer(ek):
- L210-F2G Lynx ipari Ethernet switch-ek 4.21.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2024-37183)/közepes;
- Improper Control of Interaction Frequency (CVE-2024-35246)/súlyos;
- Improper Control of Interaction Frequency (CVE-2024-32943)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-172-03

Bejelentés dátuma: 2024.06.20.
Gyártó: Moxa
Érintett rendszer(ek):
- UC-2100 sorozatú eszközök v1.13-as és korábbi firmware-verziói;
- UC-3100 sorozatú eszközök v1.7-es és korábbi firmware-verziói;
- UC-5100 sorozatú eszközök v1.5-ös és korábbi firmware-verziói;
- UC-8100 sorozatú eszközök v3.6-os és korábbi firmware-verziói;
- UC-8100-ME-T sorozatú eszközök v3.2-es és korábbi firmware-verziói;
- UC-8100A-ME-T sorozatú eszközök v1.7-es és korábbi firmware-verziói;
- UC-8200 sorozatú eszközök v1.6-os és korábbi firmware-verziói;
- UC-8410A sorozatú eszközök v4.2.2-es és korábbi firmware-verziói;
- UC-8540 sorozatú eszközök v2.2-es és korábbi firmware-verziói;
- UC-8580 sorozatú eszközök v2.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Integrity Check Value (CVE-2023-48795)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.06.21.
Gyártó: Moxa
Érintett rendszer(ek):
- OnCell G3470A-LTE sorozatú eszközök v1.7.7-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper neutralization of special elements used in a command (CVE-2024-4638)/súlyos;
- Improper neutralization of special elements used in a command (CVE-2024-4639)/súlyos;
- Classic Buffer Overflow (CVE-2024-4640)/súlyos;
- Use of externally-controlled format string (CVE-2024-4641)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Ahogy minden évben, idén is volt az SANS-nek egy Industrial Control Systems Summit nevű konferenciája Orlando-ban (a Disney World-ben, illetve közvetlenül mellette), aminek a Solutions Track része online és ingyen is nézhető volt (és utólag is elérhető, visszanézhető a SANS Webcast-ok között).

Az első előadás, amit meg tudtam nézni, Richard Springer-é, a Fortinet egyik vezetőjéé volt. Előre kell bocsátanom, hogy nem én vagyok a Fortinet, mint cég és termékeik legnagyobb rajongója, több szempontból is vannak fenntartásaim a céggel illetve a termékeikkel szemben, de ez az előadás most nem ezek miatt nem tetszett. Szerintem teljesen mindegy, hogy egy terméket, megoldást én személy szerint mennyire tartok jónak vagy rossznak, egy alapvetően IT környezetbe, IT hálózatokba tervezett megoldás, még ha a létező és elérhető legjobb is az adott feladatra, nem gondolom, hogy ugyanúgy alkalmazható lenne egy OT környezetben. Ezt a konkrét gondolatot Richard-nak az a diája váltotta ki bennem, ahol a FortiNAC OT környezetekben történő alkalmazásáról és a posture folyamaton elbukó eszközök automatikus kizárásáról beszélt. Ezt szerintem egyetlen OT üzemeltető illetve egyetlen gyártó sem fogja soha engedélyezni, mert egy hibás működés vagy konfiguráció azonnal olyan szintű rendelkezésre állási incidenseket okozhat, amik akár a safety kockázatok növekedését is okozhatják (még ha nem is törvényszerűen lesz egy ilyen incidensből sérülés vagy halál).

A Claroty előadását sajnos nem tudtam megnézni és egyelőre időm se volt visszanézni, utána viszont a KeySight és a Nozomi Networks munkatársai tartottak közösen előadást az ICS visibility témában. Ebben az előadásban sok újdonság azok számára nincs, akik foglalkoznak az ICS/OT hálózatok forgalmának biztonsági elemzésével, immár lassan 10 éve egyre több (ma már legalább tucatnyi) különböző megoldás létezik erre a feladatra, sőt, a SCADAfence felvásárlása után már olyan ICS/OT vendor is van (a Honeywell), aki nem csak támogatja egy vagy több ICS/OT network visibility megoldás használatát az általa gyártott és üzemeltetett OT hálózatokban, de maguk is kínálnak ilyen megoldást. Ez a felállás (hogy az OT vendor ad OT visibility megoldást) rendelkezik egy vitathatatlan versenyelőnnyel az OT vendor-független megoldásokkal szemben, nevezetesen azt, hogy a Honeywell a SCADAfence-hez ad aktív polling lehetőséget, amit egyetlen másik termék esetén sem támogat semelyik OT visibility megoldás esetén sem (és persze a többi gyártó sem akar hallani erről a SCADAfence esetén, szóval ez igazán akkor előny, ha egy szervezetnél csak Honeywell-megoldások biztosítják az ipari folyamatautomatizálást).

Sajnos nem tudtam több előadást megnézni az ideiek közül, így kíváncsian várom, mikor lesznek elérhetőek a felvételek.

Az ISA/IEC 62443 szabványcsaládjának két tagjáról én is írtam, nemrég pedig egy egészen részletes és hosszú kritikát tartalmazó írásra bukkantam Sinclair Koelemij tollából, amit még 2020-ban publikált.

Sinclair szerint, bár a 62443-ban leírt, zóna- és eszköz-alapú kockázatértékelésre épülő biztonsági megközelítés, bár nem alapjaiban hibás, de nem elég jó. Ezzel szemben kidolgozott egy két szintű modellt vázol fel az írásában, ahol a "szokásos" ICS-biztonsági következményeket (Loss of visibility, Loss of control) három, a kiberbiztonsági területen újnak számító következmény-kategóriát ismertet:

- Loss of required performance;
- Loss of ability;
- Loss of confidentiality;

A fentieknél még messze több van Sinlair blogposztjában, érdemes végigolvasni.

Bejelentés dátuma: 2024.05.28.
Gyártó: Campbell Scientific
Érintett rendszer(ek):
- Campbell Scientific CSI Web Server 1.6-os és korábbi verziói;
- RTMC Pro 5.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2024-5433)/közepes;
- Weak Encoding for Password (CVE-2024-5434)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-149-01

Bejelentés dátuma: 2024.05.30.
Gyártó: LenelS2
Érintett rendszer(ek):
- NetBox minden, 5.6.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Password (CVE-2024-2420)/kritikus;
- OS Command Injection (CVE-2024-2421)/kritikus;
- Argument Injection (CVE-2024-2422)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-151-01

Bejelentés dátuma: 2024.05.30.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Monitouch V-SFT 6.2.3.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-Bounds Write (CVE-2024-5271)/súlyos;
- Stack-Based Buffer Overflow (CVE-2024-34171)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-151-02

Bejelentés dátuma: 2024.05.30.
Gyártó: Westermo
Érintett rendszer(ek):
- EDW-100 soros-Ethernet átalakító minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Password (CVE-2024-36080)/kritikus;
- Insufficiently Protected Credentials (CVE-2024-36081)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-151-04

Bejelentés dátuma: 2024.06.04.
Gyártó: Uniview
Érintett rendszer(ek):
- NVR301-04S2-P4 NVR-B3801.20.17.240507-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-3850)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-156-01

Bejelentés dátuma: 2024.06.06.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Software House iStar Pro Door Controller minden verziója;
- ICU 6.9.2.25888-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2024-32752)/kritikus;
Javítás: Nincs az érintett eszköz elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-158-04

Bejelentés dátuma: 2024.06.06.
Gyártó: Emerson
Érintett rendszer(ek):
- Ovation 3.8.0 Feature Pack 1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-29966)/kritikus;
- Insufficient Verification of Data Authenticity (CVE-2022-30267)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-158-02

Bejelentés dátuma: 2024.06.06.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- CC-Link IE TSN ipari switch NZ2MHG-TSNT8F2-es változatának 05-ös és korábbi verziói;
- CC-Link IE TSN ipari switch NZ2MHG-TSNT4-es változatának 05-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2023-2650)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-158-03

Bejelentés dátuma: 2024.06.06.
Gyártó: Emerson
Érintett rendszer(ek):
- AC Machine Edition minden verziója;
- PACSystem RXi minden verziója;
- PACSystem RX3i minden verziója;
- PACSystem RSTi-EP minden verziója;
- PACSystem VersaMax minden verziója;
- Fanuc VersaMax minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2022-30263)/közepes;
- Insufficient Verification of Data Authenticity (CVE-2022-30268)/közepes;
- Insufficiently Protected Credentials (CVE-2022-30266)/közepes;
- Download of Code Without Integrity Check (CVE-2022-30265)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-158-01

Bejelentés dátuma: 2024.06.11.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ControlLogix 5580 V34.011-es verziója;
- GuardLogix 5580 V34.011-es verziója;
- 1756-EN4 V4.001-es verziója;
- CompactLogix 5380 V34.011-es verziója;
- Compact GuardLogix 5380 V34.011-es verziója;
- CompactLogix 5380 V34.011-es verziója;
- ControlLogix 5580 V34.011-es verziója;
- CompactLogix 5480 V34.011-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Always-Incorrect Control Flow Implementation (CVE-2024-5659)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-163-01

Bejelentés dátuma: 2024.06.11.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA PI Web API: 2023-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2024-3468)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-163-02

Bejelentés dátuma: 2024.06.11.
Gyártó: AVEVA
Érintett rendszer(ek):
- PI Asset Framework Client 2023-as verziója;
- PI Asset Framework Client 2018 SP3 P04-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2024-3467)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-163-03

Bejelentés dátuma: 2024.06.11.
Gyártó: Intrado
Érintett rendszer(ek):
- 911 Emergency Gateway (EGW) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SQL Injection (CVE-2024-1839)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-163-04

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

2024. május 24-én megjelent a Network Code on Cyber Security nevű EU-s szabályozás az európai villamosenergia-szektor kiberbiztonságának jelenleg legmagasabb szintű, európai követelményrendszere (a NIS2, bár jóval nagyobb nyilvánosságot kap, irányelvként alacsonyabb rendű jogszabály, mint a Network Code, ami egy EU-s jogszabály). Ez persze nem jelenti azt, hogy a Network Code bármiben is ellentmondana a NIS2-ben foglaltaknak, inkább csak kiegészíti a NIS2 rendelkezéseit, különösen az európai villamosenergia-rendszer határkeresztező kapcsolatainak IT és OT rendszereivel kapcsolatos biztonsági témák terén.

A most megjelenő Network Code egy több, mint 3,5 éves munka eredménye, amit az ACER (az európai energiahivatalok EU-s szerve) irányításával az ENTSO-E (az európai villamosenergia-ipari rendszerirányítók közössége) és az EU-DSO (az európai villmosenergia-ipari elosztóhálózati cégek EU-s ernyőszervezete) munkatársai készítették. Be kell vallanom, hogy személyes érzések is kötnek ehhez a Network Code-hoz, mert a munka kezdetén, még 2021-ben lehetőségem nyílt a Network Code írásában résztvevő egyik munkacsoportban hozzájárulni egy kicsit a most megjelenő szabályozáshoz.

A Network Code on Cyber Security szövege itt érhető el: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202401366