Bejelentés dátuma: 2021.11.30.
Gyártó: Xylem
Érintett rendszer(ek): AADI GeoView Webservice webes adatmegjelenítő v2.1.3-nál korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-334-01

Bejelentés dátuma: 2021.11.30.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-R sorozat R00/01/02CPU típusú eszközeinek 24-es és korábbi firmware-verziói;
- MELSEC iQ-R sorozat R04/08/16/32/120(EN)CPU típusú eszközeinek 57-es és korábbi firmware-verziói;
- MELSEC iQ-R sorozat R08/16/32/120SFCPU típusú eszközök minden verziója;
- MELSEC iQ-R sorozat R08/16/32/120PCPU típusú eszközeinek 29-es és korábbi firmware-verziói;
- MELSEC iQ-R sorozat R08/16/32/120PSFCPU típusú eszközök minden verziója;
- MELSEC iQ-R sorozat R16/32/64MTCPU típusú eszközök minden verziója;
- MELSEC iQ-R sorozat R12CCPU-V típusú eszközök minden verziója;
- MELSEC Q sorozat Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU típusú eszközök minden verziója;
- MELSEC Q sorozat Q03/04/06/13/26UDVCPU típusú eszközök 23071-es és korábbi sorozatszámú eszközök közül az első 5 számjegy szerint;
- MELSEC Q sorozat Q04/06/13/26UDPVCPU típusú eszközök 23071-es és korábbi sorozatszámú eszközök közül az első 5 számjegy szerint;
- MELSEC Q sorozat Q12DCCPU-V, Q24DHCCPU-V(G), Q24/26DHCCPU-LS típusú eszközök minden verziója;
- MELSEC Q sorozat MR-MQ100 típusú eszközök minden verziója;
- MELSEC Q sorozat Q172/173DCPU-S1, Q172/172DSCPU típusú eszközök minden verziója;
- MELSEC Q sorozat Q170MCPU, Q170MSCPU(-S1) típusú eszközök minden verziója;
- MELSEC L sorozat L02/06/26CPU(-P), L26CPU-(P)BT típusú eszközök minden verziója;
- MELIPC sorozat MI5122-VW típusú eszközök minden verziója.
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption/súlyos
- Improper Handling of Length Parameter Inconsistency/súlyos
- Improper Input Validation/súlyos
Javítás: Részben már elérhető, részben a jövőben várható
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-334-02

Bejelentés dátuma: 2021.11.30.
Gyártó: Delta Electronics
Érintett rendszer(ek): CNCSoft szoftvermenedzsment platform 1.01.30-as és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-334-03

Bejelentés dátuma: 2021.11.30.
Gyártó: Johnson Controls
Érintett rendszer(ek): CEM Systems AC2000 minden 10.6-nál korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Off-by-one Error/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-334-04

Bejelentés dátuma: 2021.11.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Retail Operations 5.7.3-as és korábbi verziói;
- Counterparty Settlement and Billing (CSB) 5.7.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-334-05

Bejelentés dátuma: 2021.12.02.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric Software Update v2.3.0-tól v2.5.1-ig terjedő verziói, amit egyebek mellett az alábbi termékekben használnak:
- EcoStruxure Augmented Operator Advisor;
- EcoStruxure Control Expert (korábbi nevén Unity Pro);
- EcoStruxure Process Expert (korábbi nevén EcoStruxure Hybrid Distributed Control System);
- EcoStruxure Machine Expert (korábbi nevén SoMachine or SoMachine Motion);
- EcoStruxure Machine Expert Basic;
- EcoStruxure Operator Terminal Expert;
- EcoStruxure Plant Builder;
- EcoStruxure Power Design;
- EcoStruxure Automation Expert;
- EcoStruxure Automation Maintenance Expert;
- Eurotherm Data Reviewer;
- Eurotherm iTools;
- eXLhoist Configuration Software;
- Schneider Electric Floating License Manager;
- Schneider Electric License Manager;
- Harmony XB5SSoft;
- SoMove;
- Versatile Software BLUE;
- Vijeo Designer;
- OsiSense XX Configuration Software;
- Zelio Soft 2;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Entropy/alacsony
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-01

Bejelentés dátuma: 2021.12.02.
Gyártó: Johnson Controls
Érintett rendszer(ek): Entrapass minden, 8.40-esnél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-02

Bejelentés dátuma: 2021.12.02.
Gyártó: Distributed Data Systems
Érintett rendszer(ek): WebHMI SCADA rendszer 4.1-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Primary Weakness/kritikus
- Unrestricted Upload of File with Dangerous Type/kritikus
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-03

Bejelentés dátuma: 2021.12.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú CMU eszközök 12.0 minden firmware-verziója;
- RTU500 sorozatú CMU eszközök 12.2 minden firmware-verziója;
- RTU500 sorozatú CMU eszközök 12.4 minden firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-04

Bejelentés dátuma: 2021.12.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Relion 670/650 sorozatú eszközök 2.2.0 verziójának minden revíziója;
- Relion 670/650/SAM600-IO sorozatú eszközök 2.2.1 verziójának minden revíziója;
- Relion 670 series sorozatú eszközök 2.2.2 verziójának minden revíziója;
- Relion 670 series sorozatú eszközök 2.2.3-tól 2.2.3.3-ig terjedő verzióinak minden revíziója;
- Relion 670/650 sorozatú eszközök 2.2.4 verziójának minden revíziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insecure Default Initialization of Resource/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-05

Bejelentés dátuma: 2021.12.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- APM Edge Version 1.0
- APM Edge Version 2.0
- APM Edge Version 3.0
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Különböző harmadik féltől származó modulokból eredő sérülékenységek (összesen 29 sérülékenység, 1 kritikus, 10 súlyos, 17 közepes és egy alacsony besorolással)
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-06

Bejelentés dátuma: 2021.12.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek): PCM600 Update Manager következő verzió 2.1, 2.1.0.4, 2.2, 2.2.0.1, 2.2.0.2, 2.2.0.23, 2.3.0.60, 2.4.20041.1 és 2.4.20119.2
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Certificate Validation/közepes
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-07

Bejelentés dátuma: 2021.12.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú CMU eszközök 11.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 12.0.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 12.2.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 12.4.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 12.6.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 12.7.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 13.0.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 13.1.* verziójú firmware-jei;
- RTU500 sorozatú CMU eszközök 13.2.1 verziójú firmware-je;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Discrepancy/alacsony
- Buffer Over-read/közepes
- Out-of-bounds Read/súlyos
Javítás: Egyes érintett verziókhoz elérhető, a 12.0.* verziókhoz várhatóan 2022. februárban fogják kiadni a javítást. A 11.* verziókhoz javítás nem készül, mivel ez a főverzió már nem rendelkezik gyártói támogatással.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-336-08

Bejelentés dátuma: 2021.11.23.
Gyártó: Moxa
Érintett rendszer(ek): NPort IAW5000A-I/O sorozatú eszközök 1.2-es és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of a Hard-coded Cryptographic Key in Firmware/nem ismert
- Exposure of Sensitive Information to an Unauthorized Actor/nem ismert
- Use of Hard-coded Cryptographic Key in Program Module/nem ismert
- Use of Platform-dependent Third-party Components With vulnerabilities/nem ismert
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/nport-iaw5000a-io-serial-device-servers-vulnerabilities-(1)

Bejelentés dátuma: 2021.11.23.
Gyártó: Moxa
Érintett rendszer(ek):
ioLogik E2200 sorozatú eszközök 3.13-as és korábbi firmware-verziói;
ioAdmin Configuration Utility 3.19-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
ioLogik E2200 sorozatú eszközök:
- Improper Authentication/nem ismert
- Use of Client-side Authentication/nem ismert
- Use of Hard-coded Password/nem ismert
- Improper Access Control/nem ismert
- Stack-based Buffer Overflow/nem ismert
- Buffer Copy Without Checking Size of Input/nem ismert
- Stack-based Buffer Overflow/Improper Authorization/nem ismert
- Stack-based Buffer Overflow/Improper Authorization/nem ismert
- Stack-based Buffer Overflow/Improper Authorization/nem ismert
ioAdmin Configuration Utility:
- Weak Password Requirements/nem ismert
- Improper Restriction of Excessive Authentication Attempts/nem ismert
- Cleartext Storage of Sensitive Information in Memory/nem ismert
Javítás: Egyes sérülékenységeket javító újabb verziók már elérhetőek
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/iologik-e2200-ioadmin-configuration-utility-vulnerabilities

Bejelentés dátuma: 2021.11.23.
Gyártó: Moxa
Érintett rendszer(ek):
- ioPAC 8500-2-RJ45-IEC-T 1.4-es és korábbi firmware-verziói;
- ioPAC 8500-2-M12-IEC-T 1.4-es és korábbi firmware-verziói;
- ioPAC 8600-CPU30-M12-IEC-T 1.2-es és korábbi firmware-verziói;
- ioPAC 8600-CPU30-RJ45-IEC-T 1.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Relative path traversal/nem ismert
- Cleartext transmission of sensitive information/nem ismert
- Use of hard-coded cryptographic key/nem ismert
- Unprotected storage of credentials/nem ismert
Javítás: Jelenleg nem elérhető, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/iopac-8500-and-iopac-8600-series-iec-models-controllers-vulnerabilities

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az elmúlt hónapokban ismét több cikk került elém a tengerhajózás kiberbiztonsági kockázatairól és ezek bizony azt mutatják nekem, hogy (hasonlóan más iparágakhoz), jelenleg a tengeri szállítmányozás (és nem utolsó sorban a COViD-19 miatt kisebb részben a tengeri utazás) területén van egyfajta feleszmélés és rácsodálkozás a kiberbiztonsági kockázatokra. Ahogy az újabb és újabb cikkek napvilágra kerülnek, úgy válik egyre nyilvánvalóbbá, hogy ez az iparág sem mentes az olyan kockázatoktól, amiket a különböző közműszolgáltatók esetén már-már meg is szoktunk. Egy dolog viszont mindenképp újdonság: a járvány, majd az azt követő gazdasági felívelés során elég rendesen szétzilálódtak a korábban már alapértelmezettnek tekintett (és főként a tengeri teherszállításra alapozott) ellátási láncok. Láttuk, milyen hatása volt a Szuezi-csatornát eltorlaszoló egyetlen konténerszállító hajónak, ha ehhez mérjük a nagy teherszállító hajók kiberbiztonsági kitettségéből adódó kockázatokat, máris láthatjuk, hogy egyáltalán nem elhanyagolható dolgokról beszélünk.

A Cybersecurity Intelligence cikke a Kikötők Nemzetközi Szervezete (International Association of Ports and Harbors’ - IAPH) által kiadott kiberbiztonsági útmutató kapcsán és a 2017-es NotPetya-támadás Maersk-re gyakorolt súlyos hatásokat felemlegetve írt arról, mire is lenne szüksége a szektornak a témában.

Az IBM SecurityIntelligence.com cikke a tengerhajózás IT-kitettsége mellett arról is ír, hogy az egyre nagyobb fokú IT-függőség ellenére a legtöbb tengerjáró hajón nincsenek IT szakemberek (IT biztonsági szakértőkről pedig már ne is álmodjunk). Ezeket a tényezőket is figyelembe véve nem lehet túlságosan meglepő, hogy a tengerhajózás területén is egyre nő a kibertámadások száma (kíváncsi leszek, mikor találják meg ezeket a személy- és teherszállító hajókat vezérlő rendszereket a zsarolóvírusokkal operáló kiberbűnözői csoportok - képzeljük csak el, mi történne, ha egy nagy tengerjáró utasszállító hajó rendszereit akkor titkosítja egy ransomware, amikor több száz vagy éppen ezer utas tartózkodik a fedélzeten? Vajon melyik hajótársaság nem fog fizetni egy ilyen helyzetben?).

Az IBM szerint az alábbi intézkedésekkel lehet elfogadható szintre csökkenteni a tengerhajózási szektor kiberbiztonsági kockázatait:

- A lehetséges fenyegetések és sérülékenységek azonosítása;
- Kiberbiztonsági akcióterv elindítása a tengerhajózási szektorra szabva;
- Kiberbiztonsági képzések a hajók legénysége és a szektor cégeinél dolgozó egyéb alkalmazottak számára;
- Az üzletmenet-folytonossági tervek kiegészítése a kiberbiztonsági incidensek kezelésére vonatkozó fejezetekkel.

A témát mindenképpen nagyon érdekesnek tartom, bár ez éppenséggel talán nem érinti olyan nagyon közelről a hazai helyzetet (kivéve természetesen a szektorban dolgozó honfitársainkat, őket viszont annál inkább érinthetik a tengerhajózás kiberbiztonsági kérdései).

Az utóbbi időben kevesebb energiám volt a blogon naprakész posztokban beszámolni a különböző, ICS biztonsági incidensekről, de nem szeretném, ha ezekről egyáltalán nem esne szó, ezért arra az elhatározásra jutottam, hogy új sorozat indul, amiben az adott hónapban bekövetkezett, ICS rendszereket illetve ipari szervezeteket/kritikus infrastruktúrákat érintő kiberbiztonsági incidenseket fogok összegyűjteni. Aztán ha lesz olyan hónap (bár ebben egyre kevésbé hiszek, de majd meglátjuk, jó lenne, ha tévednék), amikor nem jelennek meg információk ilyen incidensekről, akkor egyszerűen nem lesz újabb része ennek a blogposzt-sorozatnak.

Az első rész rögtön két hónapot (2021. októbert és novembert) fog lefedni.

Irán kibertámadásra hivatkozik az üzemanyag-ellátási zavarok okaként

Október végén érkezett a hír a SecurityWeek.com-on illetve a CyberSecurityIntelligence.com-on, ami szerint az Iránban tapasztalt üzemanyag-ellátási problémák hátterében a kormány kibertámadás nyomait találta. Az incidens természetéről nem nagyon vannak információk, így azt sem tudjuk egyelőre, hogy milyen jellegű támadásról van szó és az állami olajvállalat mely rendszereit érintette, volt-e a célpontok között ICS rendszer. Az viszont biztos, hogy súlyos incidensről lehetett szó, mert bár a nemzeti olajtársaság gyorsan megkezdte az üzemzavar utáni helyreállítási munkákat, de több, mint egy nappal később még mindig nem csillapodtak az incidens hatására kialakult ellátási zavarok (ahogy erről a másnapi SecurityWeek cikkben írnak).

Kibertámadás érhette az iráni Mahan Air egyes rendszereit

Még mindig Irán, november 22-én érkezett a hír, hogy az atomprogram miatt hosszú ideje nemzetközi embargó által sújtott iráni légközlekedési szektor egyik, Európában is ismert cége, a Mahan Air szenvedhetett kiberbiztonsági incidenst a hírek szerint.

A támadásért egy magát “Hooshyarane Vatan”-nak nevezett csoport vállalt felelősséget. Érdekessége az esetnek, hogy ennek kapcsán az iráni Fars hírügynökség úgy fogalmazott, hasonló támadások már sokszor érték a Mahan Airt, akik állítják, hogy a támadást gyorsan elhárították és nem volt hatással a cég működésére vagy a járataik indulására illetve érkezésére.

Zsarolóvírus-támadás érte a Toronto-i tömegközlekedési vállalat egyes rendszereit

Még október végén érte ransomware-támadás Toronto tömegközlekedési vállalatának, az Ann Arbor Area Transportation Authority-nek (ismertek még a TheRide néven is) rendszereit. A támadásnak nem volt közvetlen hatása a forgalomirányításra, de a járművezetőkkel történő kommunikációra, utazástervezésre, használt rendszereket, utasinformációs rendszereket és a vállalat belső levelezőrendszerét érintette a támadás.

Az incidenssel kapcsolatos részleteket a CyberScoop cikke tartalmaz.

Clop ransomware-támadás érte a Swire Pacific Offshore tengeri szolgáltató céget

A BleepingComputer hozta le a hírt november 26-án, hogy a Swire Pacific Offshore nevű, jelentős részben az energiaszektornak szolgáltató hajózási cég rendszereit a Clop zsarolóvírus fertőzte meg. A cég nyilatkozata szerint az incidens következtében elvesztettek bizalmas kereskedelmi és személyes adatokat, de a cég szolgáltatásaiban a támadás nem okozott fennakadást.

Kibertámadás érte a Vestas dán szélturbina-gyártó rendszereit

Szintén november 22-i a hír, hogy kibertámadás érte a Vestas nevű dán cég rendszereit. A Vestas egy jelentős gyártója a szélerőművi turbináknak, az USA-ban és Kanadában például 40.000 MW beépített kapacitású erőművekben dolgoznak az általuk gyártott turbinák. A vállalat által indított vizsgálatok jelenleg is folynak, de azt már meg lehetett állapítani, hogy a Vestas IT rendszerein tárolt egyes adatokhoz férhettek hozzá a támadók. Bővebb információk (pl. arról, hogy ransomware-támadásról lehet-e szó és kértek-e már váltságdíjat a támadók) egyelőre nem állnak rendelkezésre, amit még tudunk, az az, hogy a Vestas gyártó-, összeszerelő- és szervíz-tevékenységei az incidens ellenére is tovább folynak.

Az esetről a SecurityWeek, a BleepingComputer és a PortSwigger is írt.

Még nyáron írtam meg ennek a sorozatnak az előző (első) posztját, amiben a SANS Institute által addig publikált két, kezdőknek szánt ICS biztonsági posztjáról írtam. Október elején megjelent a SANS sorozatának harmadik része, ami (a COViD-19 járvány következtében mindenhol, így a különböző ipari szektorokban ICS rendszereket használó szervezeteknél is elszaporodott távoli munkavégzés miatt ma talán kiemelten fontos) távoli hozzáférések kérdésével foglalkozik.

A poszt elején az ICS rendszerekhez történő távoli hozzáférések fontosságáról van egy nem is rövid fejezet, itt röviden ismét átveszik az ICS rendszerek múltját (amikor még minden jobb volt, csak azok fértek hozzá az ICS rendszerekhez, akiknek ez volt a feladatuk és még értettek is hozzájuk) és a távoli hozzáférések jelentette előnyöket, de az elmúlt évtized nagy port kavart ICS biztonsági incidenseit példaként felhozva a kockázatok is szóba kerülnek.

A poszt leghosszabb része a távoli hozzáférések és a Purdue referencia architektúra modell kapcsolatát mutatja be, majd az ezután következő fejezet azt is bemutatja, hogy milyen jó gyakorlatok mentén érdemes több DMZ-n keresztül biztosítani a távoli hozzáféréseket az ICS rendszerek hálózataihoz.

Külön fejezet foglalkozik a távoli hozzáférések authentikációs kérdéseivel és itt is megjelenik az a (mára már gyakorlatilag ICS hálózatbiztonsági alapvetésnek számító) ökölszabály, hogy az ICS hálózatokban használt Microsoft AD címtár semmilyen körülmények között ne legyen összekapcsolva a vállalati - enterprise - hálózat AD-jával!

Egy másik fontos biztonsági kontroll pont lehet az ICS rendszerekhez történő távoli hozzáférések esetén az ugró szerverek (vagy jump hostok) használata, amit szintén egész alaposan körüljár a posztban a SANS szerzője, Stephen Mathezer.

A fájlok ICS rendszerek hálózataiba történő bejuttatása és onnan történő kijuttatása is egyre gyakoribb igény, de ennek is megvan a biztonságosnak tekintett módja, amiről szintén egy teljes fejezet szól a fent hivatkozott posztban.

Bár a közvetlen, DMZ-ket és ugrószervereket megkerülő kapcsolatot (különösen az Internet irányából) már több, mint egy évtizede nem ajánlják az ICS biztonsági szakemberek, időnként bizony nincs mód ezek helyett egy biztonságosabb megoldást kialakítani. Stephen Mathezer az ilyen esetekre vonatkozóan is ad tanácsokat, hogy milyen kompenzáló kontrollokkal lehet csökkenteni a közvetlen kapcsolat jelentette kockázatokat.

Az utolsó fontos pontja a témáról írt publikációnak, hogy hogyan lehet megelőzni az engedély nélküli távoli hozzáférések kiépítését az ICS rendszereinkhez.

Egyelőre nem látom, hogy lesz-e folytatása ennek a SANS-os sorozatnak, én viszont találtam egy rakat forrásanyagot, amiket a saját sorozatom további részeiben meg fogok osztani - szóval várhatóak még "ICS biztonság kezdőknek" posztok a jövőben.

Bejelentés dátuma: 2021.11.09.
Gyártó: Siemens
Érintett rendszer(ek): SIMATIC RTLS Locating Manager minden, V2.12-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insertion of Sensitive Information into Log File/közepes
- Cleartext Storage of Sensitive Information/közepes
- Improper Input Validation/közepes
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-145157.pdf

Bejelentés dátuma: 2021.11.09.
Gyártó: Siemens
Érintett rendszer(ek):
- PSS(R)CAPE 14 telepítések, amiket 2021.10.05-nél korábbi telepítőkből installáltak;
- PSS(R)E V34 minden, V34.9.1-nél korábbi verziója;
- PSS(R)E V35 minden, V35.3.2-nél korábbi verziója;
- PSS(R)ODMS V12 minden, V12.2.6.1-nél korábbi verziója;
- SICAM 230 minden verziója;
- SIMATIC Information Server V2019 SP1-es és korábbi verziói;
- SIMATIC PCS neo minden verziója;
- SIMATIC Process Historian (beleértve a Process Historian OPC UA Server-t is) V2019 SP1-es és korábbi verziói;
- SIMATIC WinCC OA V3.17 minden verziója;
- SIMATIC WinCC OA V3.18 minden verziója;
- SIMIT Simulation Platform V10.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management/súlyos
Javítás: Egyes érintett termékekhez elérhetőek javítások
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-580693.pdf

Bejelentés dátuma: 2021.11.09.
Gyártó: Siemens
Érintett rendszer(ek): NX 1980 sorozat V1984-nél korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2021-41533)/alacsony
- Out-of-bounds Read (CVE-2021-41534)/alacsony
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-740908.pdf

Bejelentés dátuma: 2021.11.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siveillance Video DLNA Server 2019 R1;
- Siveillance Video DLNA Server 2019 R2
- Siveillance Video DLNA Server 2019 R3
- Siveillance Video DLNA Server 2020 R1
- Siveillance Video DLNA Server 2020 R2
- Siveillance Video DLNA Server 2020 R3
- Siveillance Video DLNA Server 2021 R1
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal/súlyos
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-755517.pdf

Bejelentés dátuma: 2021.11.16.
Gyártó: FATEK Automation
Érintett rendszer(ek): WinProladder 3.30_24518-as és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write/súlyos
- Stack-based Buffer Overflow/súlyos
Javítás: Nincs információ javításról
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-320-01

Bejelentés dátuma: 2021.11.16.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GOT2000 sorozat
- GT27 modelljének minden verziója;
- GT25 modelljének minden verziója;
- GT23 modelljének minden verziója;
- GT21 modelljének minden verziója;
- GOT SIMPLE sorozat
- GS21 modelljének minden verziója;
- GT SoftGOT2000 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation/súlyos
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-320-02

Bejelentés dátuma: 2021.11.18.
Gyártó: Philips
Érintett rendszer(ek):
- IntelliBridge EC 40 Hub C.00.04-es és korábbi verziói;
- IntelliBridge EC 80 Hub C.00.04-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials/súlyos
- Authentication Bypass Using an Alternate Path or Channel/súlyos
Javítás: A gyártó a javítást várhatóan 2021 végén fogja publikálni.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsma-21-322-01

Bejelentés dátuma: 2021.11.18.
Gyártó: Philips
Érintett rendszer(ek):
- Patient Information Center iX (PIC iX) B.02-es, C.02-es és C.03-as verziói;
- Efficia CM sorozat A.01-től C.0x-ig terjedő és 4.0 revíziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation/közepes
- Use of Hard-coded Cryptographic Key/közepes
- Use of a Broken or Risky Cryptographic Algorithm/közepes
Javítás: Az Improper Input Validation sérülékenység javítása már elérhető, a másik két sérülékenységhez a gyártó a javítást 2022 végére ígéri.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsma-21-322-02

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A 2021-es év az ICS biztonság világában elég egyértelműen az ipari szervezetek elleni ransomware-támadásokról szól. Bár korántsem ez az egyetlen fenyegetés a különböző folyamatvezérlő rendszerek ellen, de a Colonial Pipeline elleni zsarolóvírus-támadás, majd a Kaseya-incidens kritikus infrastruktúrákra gyakorolt hatása már most elég világosan mutatja, hogy a különböző folyamatvezérlő rendszerek használatára épülő szervezeteknek idén ez az egyik legnagyobb kockázat.

Mike Rodgers tengernagy (4 csillagos főtiszt az amerikai haditengerészetnél), az NSA korábbi igazgatója már évek óta nyíltan kiáll az ICS rendszerek biztonságáról szóló konferenciákon (2017-ben még aktív haditengerészként és NSA igazgatóként élőben hallgathattam végig egy keynote-ját, 2 éve pedig már civilként beszélgetett az atlantai ICS Cyber Security Conference szervezőjével.

A Claroty Aperture Podcast-jének egy június végi epizódjában a 2021-ben történt súlyos ICS biztonsági incidensekről és az azokat kiváltó zsarolóvírus-támadásokkal kapcsolatos gondolatait osztotta meg.

Bejelentés dátuma: 2021.11.04.
Gyártó: AzeoTech
Érintett rendszer(ek): DAQFactory alkalmazásfejlesztési platform 18.1 Build 2347-es és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Inherently Dangerous Function/súlyos
- Deserialization of Untrusted Data/súlyos
- Cleartext Transmission of Sensitive Information/közepes
- Modification of Assumed-Immutable Data (MAID)/közepes
Javítás: A gyártó jelenleg is dolgozik rajta, várhatóan 2022 elején fog megjelenni.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-308-02

Bejelentés dátuma: 2021.11.04.
Gyártó: VISAM
Érintett rendszer(ek): VBASE Pro-RT/ Server-RT (Web Remote) 11.6.0.6-os verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control/súlyos
- Cross-site Scripting/közepes
- Improper Restriction of XML External Entity Reference/közepes
- Using Components with Known Vulnerabilities/közepes
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-308-01

Bejelentés dátuma: 2021.11.04.
Gyártó: Philips
Érintett rendszer(ek): Tasy EMR HTML5 3.06.1803-as és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2021-39375)/súlyos
- SQL Injection (CVE-2021-39376)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsma-21-308-01

Bejelentés dátuma: 2021.11.09.
Gyártó: OSIsoft
Érintett rendszer(ek): PI Web API 2019 SPI és minden korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting/közepes
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-313-06

Bejelentés dátuma: 2021.11.09.
Gyártó: OSIsoft
Érintett rendszer(ek): PI:Vision minden, 2021-es korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting/közepes
- Incorrect Authorization/alacsony
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-313-05

Bejelentés dátuma: 2021.11.09.
Gyártó: mySCADA
Érintett rendszer(ek): myDESIGNER 8.20.0 és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Relative Path Traversal/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-313-04

Bejelentés dátuma: 2021.11.09.
Gyártó: Siemens
Érintett rendszer(ek): Az alábbi, Nucleus RTOS-t használó rendszerek:
- Capital VSTAR minden verziója;
- Nucleus NET minden verziója;
- Nucleus ReadyStart v3 minden, v2017.02.4-esnél korábbi verziója;
- Nucleus ReadyStart v4 minden, v4.1.1-esnél korábbi verziója;
- Nucleus Source Code minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion/közepes
- Improper Validation of Specified Quantity in Input (CVE-2021-31345)/súlyos
- Improper Validation of Specified Quantity in Input (CVE-2021-31346)/súlyos
- Out-of-bounds Read/súlyos
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-31882)/közepes
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-31883)/súlyos
- Improper Null Termination (CVE-2021-31884)/súlyos
- Buffer Access with Incorrect Length Value/súlyos
- Improper Null Termination (CVE-2021-31886)/kritikus
- Improper Null Termination (CVE-2021-31887)/súlyos
- Improper Null Termination (CVE-2021-31888)/súlyos
- Integer Underflow/súlyos
- Improper Handling of Inconsistent Structural Elements/súlyos
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-044112.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-313-03

Bejelentés dátuma: 2021.11.09.
Gyártó: Schneider Electric
Érintett rendszer(ek): GUIcon 2.0 (Build 683.003) és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write/súlyos
- Use After Free/súlyos
- Out-of-bounds Read/közepes
Javítás: Nincs, az érintett rendszerek támogatása 2020-ban megszűnt
Link a publikációhoz (Schneider Electric): https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-07
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-313-02

Bejelentés dátuma: 2021.11.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
Az alábbi UPS termékek:
- NMC2-t (Network Management Card) tartalmazó, 1 fázisú UPS-ek, beleértve a Smart-UPS, Symmetra, és Galaxy 3500-as berendezések NMC2 AOS v6.9.8-as és korábbi verzióit;
- NMC2-t tartalmazó, 3 fázisú UPS-ek, beleértve a Symmetra PX 250/500 (SYPX NMC2 AOS v6.9.6-os és korábbi verzióit;
- NMC2-t tartalmazó, 3 fázisú UPS-ek, beleértve a Symmetra PX 48/96/100/160 kW UPS (PX2), Symmetra PX 20/40 kW UPS (SY3P), Gutor (SXW, GVX és a Galaxy (GVMTS, GVMSA, GVXTS, GVXSA, G7K, GFC, G9KCHU) berendezések NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC3-at (Network Management Card) tartalmazó, 1 fázisú UPS-ek, beleértve a Smart-UPS, Symmetra és a Galaxy 3500-as készülékek NMC3 AOS v1.4.2.1-es és korábbi vverziói;
Az alábbi APC termékek:
- NMC2-t használó APC Rack Power Distribution Units (PDU) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC3-t használó APC Rack Power Distribution Units (PDU) NMC3 AOS v1.4.0 és korábbi verziói;
- NMC2-t használó APC 3 fázisú Power Distribution Products NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó InfraStruxure 150 kVA PDU (X84P) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó InfraStruxure 40/60kVA PDU (XPDU) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó Modular 150/175kVA PDU (XRDP) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó 400 and 500 kVA (PMM) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó Modular PDU (XRDP2G) NMC2 AOS v6.9.6-os és korábbi verziói;
- Rack Automatic Transfer Switches (ATS) NMC2 AOS v6.9.6-os és korábbi verziói;
Valamint az alábbi termékek:
- Environmental Monitoring Unit beágyazott NMC2 (NB250) NetBotz NBRK0250 hálózati interfészek NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2 hálózati interfésszel szerelt hűtő berendezések (cooling products) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2 hálózati interfésszel szerelt AP9922 Battery Management System (BM4) NMC2 AOS v6.9.6-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting/közepes
- Cross-site Scripting/közepes
- Cross-site Scripting/közepes
- Cross-site Scripting/közepes
- Cross-site Scripting/közepes
- Exposure of Sensitive Information to an Unauthorized Actor/közepes
Javítás: Egyes érintett rendszerekhez elérhető
Link a publikációhoz (Schneider Electric): https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-03
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-313-01

Bejelentés dátuma: 2021.11.09.
Gyártó: Philips
Érintett rendszer(ek):
- MRI 1.5T 5.x.x verziói;
- MRI 3T 5.x.x verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control/közepes
- Incorrect Ownership Assignment/közepes
- Exposure of Sensitive Information to an Unauthorized Actor/közepes
Javítás: A gyártó a javításokat 2022. októberben tervezi kiadni.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsma-21-313-01

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek): SENTRON powermanager Version 3 minden verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource/súlyos
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-537983.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-10

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek): Climatix POL909 (AWM modul) minden, v11.34-nél korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Encryption of Sensitive Data/közepes
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-703715.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-09

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
- NX 1953-as sorozat minden, v1973.3700-nál korábbi verziója;
- NX 1980-as sorozat minden, v1988-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free/súlyos
- Access of Uninitialized Pointer/alacsony
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-328042.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-08

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek) az alábbi Nucleus RTOS-t (valósidejű operációs rendszert) használó berendezések:
- APOGEE MBC (PPC) (BACnet) minden verziója;
- APOGEE MBC (PPC) (P2 Ethernet) minden verziója;
- APOGEE MEC (PPC) (BACnet) minden verziója;
- APOGEE MEC (PPC) (P2 Ethernet) minden verziója;
- APOGEE PXC Compact (BACnet) minden verziója;
- APOGEE PXC Compact (P2 Ethernet) minden verziója;
- APOGEE PXC Modular (BACnet) minden verziója;
- APOGEE PXC Modular (P2 Ethernet) minden verziója;
- TALON TC Compact (BACnet) minden verziója;
- TALON TC Modular (BACnet) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion/közepes
- Improper Validation of Specified Quantity in Input (CVE-2021-31345)/súlyos
- Improper Validation of Specified Quantity in Input (CVE-2021-31346)/súlyos
- Out-of-bounds Read/súlyos
- Improper Restriction of Operations within the Bounds (CVE-2021-31882)/közepes
- Improper Restriction of Operations within the Bounds (CVE-2021-31883)/súlyos
- Improper Null Termination (CVE-2021-31884)/súlyos
- Buffer Access with Incorrect Length Value/súlyos
- Improper Null Termination (CVE-2021-31886)/kritikus
- Improper Null Termination (CVE-2021-31887)/kritikus
- Improper Null Termination (CVE-2021-31888)/kritikus
- Integer Underflow/súlyos
- Improper Handling of Inconsistent Structural Elements/súlyos
Javítás: Nincs információ javításról
a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-114589.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-07

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D minden, v8.7.1.3-nál korábbi verziója;
- SCALANCE W1750D 8.7.1.3 és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations Within the Bounds of a Memory Buffer/kritikus
- Command Injection (CVE-2021-37727)/súlyos
- Command Injection (CVE-2021-37730)/súlyos
- Command Injection (CVE-2021-37732)/súlyos
- Path Traversal (CVE-2021-37734)/közepes
- Path Traversal (CVE-2021-37735)/közepes
Javítás: A hibák egy részét a gyártó a v8.7.1.3-as és újabb verziókban javította.
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-917476.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-06

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
Mendix 8 v8.18.13-as és korábbi verzióit használó alkalmazások;
Mendix 9 v9.6.2-es és korábbi verzióit használó alkalmazások;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Authorization (CVE-2021-42025)/közepes
- Incorrect Authorization (CVE-2021-42026)/alacsony
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-779699.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-05

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7 v7.23.26-os és korábbi verzióit használó alkalmazások;
- Mendix 8 v8.18.12-es és korábbi verzióit használó alkalmazások;
- Mendix 9 v9.6.1-es és korábbi verzióit használó alkalmazások;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Web Browser Cache Containing Sensitive Information/közepes
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-338732.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-04

Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS 7 v8.2 és korábbi verziójú rendszerek minden verziója;
- SIMATIC PCS 7 v9.0 és korábbi verziójú rendszerek minden verziója;
- SIMATIC PCS 7 v9.1 és korábbi verziójú rendszerek minden verziója;
- SIMATIC WinCC v7.4 és korábbi verziójú rendszerek minden verziója;
- SIMATIC WinCC v7.5 verzió minden, v7.5 SP2 Update 5-nél korábbi verziói;
- SIMATIC WinCC v15 és korábbi verziójú rendszerek minden verziója;
- SIMATIC WinCC v16 minden verziója;
- SIMATIC WinCC v17 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2021-40358)/kritikus
- Path Traversal (CVE-2021-40359)/súlyos
- Insertion of Sensitive Information into Log File/Közepes
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-840188.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-03

Bejelentés dátuma: 2021.11.11
Gyártók: Eclipse, eProsima, GurumNetworks, Object Computing, Inc. (OCI), Real-Time Innovations (RTI), TwinOaks Computing
Érintett rendszer(ek):
- Eclipse CycloneDDS minden, 0.8.0-nál korábbi verzió;
- eProsima Fast DDS minden, 2.4.0 (#2269)-nél korábbi verzió;
- GurumNetworks GurumDDS minden verziója;
- Object Computing, Inc. (OCI) OpenDDS minden, 3.18.1-nél korábbi verzió;
- Real-Time Innovations (RTI) Connext DDS Professional and Connext DDS Secure 4.2x-től 6.1.0-ig terjedő verziói;
- RTI Connext DDS Micro 3.0.0 és későbbi verziói;
- TwinOaks Computing CoreDX DDS minden, 5.9.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Write-what-where Condition/közepes
- Improper Handling of Syntactically Invalid Structure/közepes
- Network Amplification (CVE-2021-38425)/súlyos
- Incorrect Calculation of Buffer Size(CVE-2021-38423)/közepes
- Heap-based Buffer Overflow/súlyos
- Improper Handling of Length Parameter Inconsistency/súlyos
- Amplification/súlyos
- Network Amplification (CVE-2021-38429)/súlyos
- Stack-based Buffer Overflow (CVE-2021-38427)/közepes
- Stack-based Buffer Overflow (CVE-2021-38433)/közepes
- Incorrect Calculation of Buffer Size(CVE-2021-38435)/közepes
- Network Amplification (CVE-2021-38487)/súlyos
- Network Amplification (CVE-2021-43547)/súlyos
Javítás: Egyes érintett gyártók már elérhetővé tették a javításokat.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-315-02

Bejelentés dátuma: 2021.11.11
Gyártó: WECON
Érintett rendszer(ek): PLC Editor: 1.3.8-as és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow/súlyos
- Out-of-bounds Write/súlyos
Javítás: Nincs
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-315-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az ABC News tudósítása

https://abcnews.go.com/WNT/video/intelligence-bulletin-reveals-potential-plot-disrupt-us-electrical-80961140

szerint a szövetségi hatóságok által kiadott figyelmeztetés egy olyan 2020 júliusában történt esetre hivatkozik, amikor egy összetört, kereskedelmi forgalomban kapható, DJI Mavic 2 drónt találtak egy Pennsylvania állambeli áramszolgáltató alállomása mellett. A drónt olyan módon alakították át, hogy képes legyen zárlatot okozni és ezzel kárt tenni az alállomás tranformátorában vagy az elosztóhálózati vezetékben.

A drónok jelentette kockázat a kritikus infrastruktúrákra nézve egy ideje már ismert, de ez a mostani lehet az első dokumentált eset, amikor a villamosnergia-rendszer egyik eleme elleni támadásról van szó (viszont nem az első dróntámadás ipari létesítmény ellen, szerintem többen emlékszük a 2019-ben a Szaúd-arábiai állami olajcég, a Saudi Aramco olajtermináljai elleni dróntámadásokra, amivel egy időre a szaúdi olajtermelést a felére vetették vissza).

A kérdés már csak az, hogy mit fognak tenni a kritikus infrastruktúrák biztonságáért felelős személyek és szervezetek? A kérdés már csak azért is érdekes lehet, mert ez egy hibrid fenyegetés, ami ellen valószínűleg tartom, hogy nem lehet kizárólag fizikai vagy csak logikai intézkedésekkel védekezni, hanem egy jó kombinált megoldás lenne a célravezető. Meglátjuk, vajon tudnak-e a fizikai és logikai (kiber-) biztonsági szakértők együtt dolgozni azért, hogy a jövőbeli hasonló támadási kísérletek ne járjanak sikerrel. Mert azzal kapcsolatban, hogy nem ez volt az utolsó, kommersz drónos támadási kísérlet kritikus infrastruktúra elemek ellen, nincs kétségem. Az már érdekesebb kérdés, hogy vajon mikor történhet ilyen itthon?

Bejelentés dátuma: 2021.11.02.
Gyártó: Sensormatic Electronics (Johnson Controls leányvállalat)
Érintett rendszer(ek): VideoEdge, hálózati videórögzítő rendszer minden v5.7.1-nél korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting/közepes
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-306-01

Bejelentés dátuma: 2021.10.28.
Gyártó: Sensormatic Electronics (Johnson Controls leányvállalat)
Érintett rendszer(ek): victor videó menedzsment megoldás 5.7-es és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Beégetett felhasználói azonosítók használata/magas
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-301-01

Bejelentés dátuma: 2021.10.28.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- V-Server Lite v4.0.12.0-nál korábbi verziói;
- Tellus Lite V-Simulator v4.0.12.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow/magas
- Out-of-bounds Write/magas
- Untrusted Pointer Dereference/magas
- Out-of-bounds Read/magas
- Access of Uninitialized Pointer/magas
- Heap-based Buffer Overflow/magas
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-299-01

Bejelentés dátuma: 2021.10.19.
Gyártó: ABB
Érintett rendszer(ek): PCM600 Update Manager Client 2.7-től 2.10-ig terjedő verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Tanúsítvány-ellenőzési hiba/közepes
Javítás: Elérhető
Link a publikációhoz: https://search.abb.com/library/Download.aspx?DocumentID=2NGA001142&Action=Launch

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Idén először sikerült regisztrálnom a Dragos évenként megrendezésre kerülő, DISC (Dragos Industrial Security Conference) névre hallgató konferenciájára, amit elsősorban az ügyfeleiknek szerveznek. Az idei regisztráció nyitott volt minden ipari folyamatirányító rendszereket üzemeltető szervezetnél dolgozó kolléga számára, így én is beneveztem.

A konferencia egy napos volt (november 5-én), előtte viszont 2-án, magyar idő szerint 18:00-tól volt egy Capture the Flag, amiben többek között bináris fájl elemzését, ICS protokollt (Modbus/TCP) tartalmazó hálózati forgalom elemzését (PCAP fájlban), adathalász e-mailek és csatolmányaik vizsgálatát, hálózati diagramm-elemzést, kriptanalízist, PLC program és logika elemzést, valamint Windows forensics feladatokat is meg kellett oldani.

A feladatokat egyénileg és csapatban is végig lehetett csinálni, én (lévén CTF-téren elég kezdő vagyok) egyedül vágtam bele, de így is voltak megoldható és érdekes feladatok.

A konferencia maga tegnap délután, magyar idő szerint 14:00-kor kezdődött. Az első érdekesebb előadás a konferencián élőben megjelenő résztvevőknek készített, interaktív belépővel kapcsolatos kihívás teljesítéséről szólt. Ellentétben a megszokott (és általában nem túl fantáziadús) konferencia belépőkkel, itt egy programozható és ezért hackelhető belépőt kaptak a Maryland-be ellátogató résztvevők, aminek négy része van, egy-egy kritikus infrastruktúra-szektor (villamosenergia-, víz- és gázszektor illetve egy gyár) működését kellett helyreállítani (itt látható, hogyan is néz ki, 2 AA elemmel teljesen működőképes - gondolom Raspberry PI-alapú kis eszköz).

A következő előadás a hálózati forgalom megfigyeléséhez használt programok esetén a különböző (jellemzően ICS-specifikus) protokollokhoz használható feldolgozó (ún. dissector) modulok fejlesztéséről szólt. A három előadó a Honeywell egyes termékei által használt FTE (Fault Tolerant Ethernet) protokoll, a Yokogawa Vnet/IP protokoll és a feldolgozásáról.

A harmadik előadás a kifinomult (angol eredetijében sophisticated) malware-ekről szólt, de nem a megszokott módon. Az előadó szerint az elhíresült (néha már-már sztárolt) malware-eket is csak átlagos szoftverfejlesztők írják, nem pedig a szuperhős filmek szuper-gonosz antihőseire emlékeztető hacker-félistenek és bizony ezek a malware-fejlesztők is ugyanolyan gyakran vétenek programozási hibákat, mint bármelyik másik fejlesztő. Erre példákként a Triton/TriSIS, az Industroyer/CrashOverride ICS malware-ekben illetve a Mozi nevű cryptominer-ben felfedezett hibákat mutatta be.

Az ebédszünet előtti (ami ebben az esetben magyar idő szerint délután fél 6-kor volt) utolsó előadás a PLC-kben használt fizikai kulcsok és a PLC logika megváltoztatásával kapcsolatos detekciós lehetőségekről szólt.

A szünet után Leslie Carhart és Vern McCandlish ICS incidenskezelési esettanulmányaival folytatódott a program, amiből ismét elsősorban az volt (számomra) a tanulság, hogy az incidenskezelési ismeretek és gyakorlat mellett legalább ugyanilyen fontos, hogy az incidens elhárításában résztvevők őrizzék meg a higgadtságukat és a biztonsági esemény okozta stresszhelyzetben is tudjanak logikusan gondolkozni.

A következő előadás a vasúti folyamatvezérlő rendszerekkel kapcsolatos biztonsági kérdésekről, ideértve az előadók (Anna Skelton, Reid Wightman) által felfedezett, vasúti rendszereket érintő sérülékenységekről és a vasút ICS rendszerekre gyakorolt hatásairól szólt.

A délutáni (esti) szünet előtti utolsó előadásban Kyle O'Meara a különböző APT csoportok által fejlesztett malware-ek és egyéb támadói kódokban felfedezhető hasonlóságok elemzését mutatta be, mint olyan módszert, amivel azonosítani és követni lehet az egyes APT csoportok tevékenységeit.

Az utolsó blokk első előadásában a zsarolóvírusok által használt, célba vett hálózatokon belüli terjedési (lateral movement) technikákról volt szó. Érdekes volt látni, hogy mára 26 olyan ransomware-családot ismerünk már, amiknek volt és van hatásuk OT rendszerekre/hálózatokra.

A következő előadás a fizikai folyamatvezérlés paramétereinek távoli integritás-ellenőrzésének egy lehetőségét mutatta be.

Az utolsó előadást két OT penteszter tartotta, erősen építve az esettanulmányaikat a MITRE ATT&CK for ICS keretrendszerre.

Aztán amikor már úgy nézett ki, hogy vége a 2021-es DISC-nek Robert M. Lee közölte, hogy van még egy esettanulmányuk, amit viszont az eset bizalmasságára tekintettel az addig használt Zoom helyett Microsoft Teams-en fognak megtartni. Az esettanulmány egy, az energiaszektorban működő cég OT rendszerei elleni támadás részleteit mutatták be, amihez a támadók QNAP storage-okat használtak fel, amiket egy 0-day sérülékenységen keresztül tudtak kompromittálni, továbbá 3 Draytek routert is azonosítani tudtak, amiket felhasználtak a támadók a műveleteik során.

Összességében a DISC 2021 egy nagyon jó, minőségi rendezvény volt, a CTF és az előadások is hozták azt a színvonalat, amit előzetesen vártam. Ennél jobb már csak a helyszínen lehetett volna, de erre csak egészen minimális esélyt látok, függetlenül attól, hogy mennyire lesz nehéz vagy könnyű az USA-ba utazni a COViD miatt. Ha máshogy nem is, virtuálisan én jövőre is biztos, hogy részt fogok venni.