A blog eddig vendégposztjainak túlnyomó többsége (négyből három) az USA E.O. 13920-as számú elnöki rendeletével és az annak háttereként szolgáló állításokkal (mely szerint egyes, az USA villamosenergia-rendszerében használt, kínai gyártmányú transzformátorokban nem dokumentált részegységeket, többek között nem ismert és nem dokumentált kommunikációs modulokat találtak) foglalkozik.

A kínai transzformátorok jelentette kockázatok témája úgy tűnik, nem fog ellaposodni, nemrég egy olyan blogposztot találtam, amiben részletes(ebb)en listázzák azokat az alállomásokat, ahol kínai transzformátorok kerültek beépítésre az USA területén. A blogban hivatkozott adatbázisban a poszt megírásának pillanatában 166 darab transzformátorról találhatóak információk, amelyeket például Wyoming, Vermont, Virginia, Utah, Texas, Pennsylvania, Oregon, Oklahoma, New York, Nevada, Új-Mexikó, New Jersey, Nebraska, Montana, Maine, Massachusetts, Kentucky, Kansas, Indiana, Illinois, Iowa, Florida, Colorado és Kalifornia szövetségi államok mellett kanadai alállomásokon azonosítanak. Külön érdekesség, hogy 29 transzformátornál ismeretlenként van megjelölve, hogy pontosan hol is található a berendezés.

Úgy gondolom, hogy a blog olvasói számára ez a publikáció és maga az adatbázis is érdekes részletekkel szolgálhat.

A héten egyéb okok miatt nem volt időm a szokásos módon összefoglalni az elmúlt napokban publikált ICS rendszerekkel kapcsolatos sérülékenységeket (sem időben élesíteni ezt a posztot), ezért egy kicsit tömörebb, új formátumot tesztelek. Majd meglátjuk, életképesnek bizonyul-e az új forma. Ha valakinek van ezzel kapcsolatban véleménye, a komment szekcióban bátran hangot adhat neki...

Gyártó: Trane
Érintett rendszer(ek): Trane SC épületautomatizálási megoldás v3.8-as és korábbi firmware-verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site scripting/súlyos
Javítás: elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-292-02

Gyártó: AUVESY
Érintett rendszer(ek): Versiondog minden, v8.0-nál korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control/kritikus
- Incorrect Permission Assignment for Critical Resource/súlyos
- Use of Hard-coded Cryptographic Key/súlyos
- Out-of-bounds Read/közepes
- Use After Free/súlyos
- Out-of-bounds Write/közepes
- Write-what-where Condition/kritikus
- Use of Potentially Dangerous Function/súlyos
- Unrestricted Upload of File with Dangerous Type/kritikus
- External Control of File Name or Path/kritikus
- External Control of System or Configuration Setting/kritikus
- Improper Input Validation/súlyos
- Uncontrolled Resource Consumption/súlyos
- Uncontrolled Search Path Element/kritikus
- Authentication Bypass by Capture-replay/súlyos
- SQL Injection/súlyos
- Uncontrolled Resource Consumption/súlyos
Javítás: elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-292-01

Gyártó: ICONICS, Mitsubishi Electric
Érintett rendszer(ek):
OPC Foundation modulok:
- GENESIS64 10.97 és korábbi verziók;
- Hyper Historian 10.97 és korábbi verziók;
- AnalytiX 10.97 és korábbi verziók;
- MobileHMI 10.97 és korábbi verziók;
- MC Works64 4.04E és korábbi verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Recursion/súlyos
Javítás: fejlesztése folyamatban
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-294-03

Gyártó: Delta Electronics
Érintett rendszer(ek): DIALink industrial automation server 1.2.4.0 és korábbi verziói
Sérülékenység(ek) neve/darabszáma/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information/súlyos
- Cross-site Scripting/közepes - 5 különböző
- Improper Neutralization of Formula Elements in a CSV File/közepes
- Cleartext Storage of Sensitive Information/high
- Uncontrolled Search Path Element/high
- Incorrect Default Permissions/high
Javítás: fejlesztése folyamatban
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-294-02

Gyártó: ICONICS, Mitsubishi Electric
Érintett rendszer(ek): az alábbi SCADA HMI-ok:
- GENESIS64 minden, 10.97-es és korábbi verziója;
- MC Works64 az MC Works64 4.04E és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read/súlyos
- Out-of-bounds Write/alacsony
Javítás: fejlesztése folyamatban
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-294-01

Gyártó: B. Braun Melsungen AG
Érintett rendszer(ek):
- Battery pack SP with WiFi 028U000061-es és korábbi szoftver-verziói (USA-ban és Kanadában forgalmazott termékek);
- SpaceStation with SpaceCom 2 012U000061-es és korábbi szoftver-verziói (USA-ban és Kanadában forgalmazott termékek);
- Battery Pack SP with Wi-Fi L81-es és korábbi verziói, amiket a Perfusor Space, Infusomat Space és Infusomat Space P megoldásokban alkalmaztak;
- SpaceStation with SpaceCom 2 minden, L81-es és korábbi verziói;
- Data module compactPlus minden A10-es és A11-es verziói, amiket a Perfusor compactPlus, Infusomat compactPlus és Infusomat P compactPlus eszközökben használtak;
Sérülékenység(ek) neve/darabszáma/CVSSv3 szerinti besorolása:
- Unrestricted Upload of File with Dangerous Type/közepes
- Cleartext Transmission of Sensitive Information/közepes
- Missing Authentication for Critical Function/közepes
- Insufficient Verification of Data Authenticity/kritikus
- Improper Input Validation/közepes
Javítás: elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsma-21-294-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Még 2019-ben megjelent egy cikk a SecurityWeek-en Eduard Kovacstól (a név nem véletlen, 2019-ben találkoztunk az ICS Cyber Security Conference nevű SecurityWeek-es rendezvényen és kiderült, hogy egy erdélyi magyar felmenőkkel rendelkező, kifejezetten ICS biztonsági témákra szakosodott újságíró a kolléga), amiben különböző, ICS biztonsági területen (is) tevékenykedő cégek (Kaspersky Lab, Indegy, Nozomi Networks, Radiflow, FireEye) munkatársai meséltek rövid történeteket a saját tapasztalataik alapján.

Nemrég megjelent a sorozat második része, amiben újabb cégek (Verve Industrial Protection, OTORIO, Applied Risk, NCC Group, aeCyberSolutions, Pdondurance, Positive Technologies, Owl Cyber Defense) emberei osztottak meg további történeteket az általuk tapasztalt érdekes és nem ritkán problémás ICS biztonsági helyzetekről.

Az első rész itt, a második rész pedig itt érhető el.

Sérülékenységek Advantech WebAccess HMI-okban

Natnael Samson, a ZDI-vel együttműködve két sérülékenységet jelentett a DHS CISA-nak, amiket az Advantech WebAccess HMI platformjának 9.02-es és korábbi verzióiban talált.

A gyártó a hibát a 9.1.1-es verzióban javította. A sérülékenységek részleteiről az ICS-CERT publikációjából lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-21-285-02

Advantech WebAccess SCADA sérülékenység

Peter Cheng, az Elex CyberSecurity-hez tartozó kutatóintézet munkatársa egy sérülékenységről osztott meg információkat a DHS CISA-val, ami az Advantech WebAccess/SCADA 9.0.3-es és korábbi verzióit érinti.

A gyártó a hibát a 9.1.1-es verzióban javította. A sérülékenységgel kapcsolatos további információkat az ICS-CERT bejelentése tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsa-21-285-01

Sérülékenység Mitsubishi Electric rendszerekben

Ivan Speziale, a Nozomi Networks munkatársa egy sérülékenységet jelentett a DHS CISA-nak, amit a Mitsubishi Electric alábbi, MELSEC Safety CPU/SIL2 Process CPU moduljaiban fedezett fel:

- R08/16/32/120SFCPU minden verziója;
- R08/16/32/120PSFCPU minden verziója.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről bővebben az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-287-03

Uffizio GPS Tracker sérülékenységek

Harshit Shukla összesen 5 sérülékenységet azonosított és jelentett a DHS CISA-nak az Uffizio GPS Tracker minden verziójával kapcsolatban.

A hibákkal kapcsolatban a gyártó mostanáig nem adott ki javítást vagy más információt. A sérülékenységek részleteit az ICS-CERT publikációjában lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-287-02

Sérülékenységek Schneider Electric Modicon berendezésekben

A Schneider Electric bejelentése szerint az alábbi, Modicon termékcsaládba tartozó berendezéseiket érintik az AMNESIA:33 sérülékenységek:

- TM5CSLC100FS safety vezérlők V2.56-os és korábbi firmware-verziói;
- TM5CSLC200FS safety vezérlők V2.56-os és korábbi firmware-verziói;
- TM5NS31: sercos III kommunikációis modlok V2.78-as és korábbi firmware-verziói;
- TM5NEIP1 EtherNet/IP modulok V3.10-es és korábbi firmware-verziói;
- TM5NEIP1K: EtherNet/IP FieldBus KIT-ek V3.10-es és korábbi firmware-verziói.

A gyártó a hibákat az érintett termékek újabb verzióiban javította. A sérülékenységek részletei a Schneider Electric bejelentésében érhetőek el.

Schneider Electric Conext termékcsalád sérülékenységei

A Schneider Electric által közzétett információk szerint a Conext termékcsalád alábbi tagjaiban 11 sérülékenységet fedeztek fel:

- Conext Advisor 2 Cloud 2.02-es és korábbi verziói;
- Conext Advisor 2 Gateway 1.28.45-ös és korábbi verziói;
- Conext Control V2 Gateway 2.6-os és korábbi verziói.

A gyártó a hibákat javító Windows 10 verzióra történő frissítést javasolja. A sérülékenységekkel kapcsolatos további információkat a Schneider Electric weboldalán lehet megtalálni.

Sérülékenység Schneider Electric Modicon M218-as vezérlőkben

Wang Yuanbo, Li Qianmu, Qi Han és Hou Jun, a Henan RTSEC Technology Co. munkatársai egy sérülékenységet találtak a Schneider Electric Modicon M218-as típusú logikai vezérlőinek v5.1.0.6-os és korábbi firmware-verzióiban.

A gyártó a hibát a v5.1.0.8-as firmware-verzióban javította. A sérülékenység részleteiről a Schneider Electric publikációjából lehet tájékozódni.

Schneider Electric IGSS sérülékenységek

Vyacheslav Moskvin a ZDI-vel együttműködve 4 sérülékenységről közölt információkat a DHS CISA-val, amiket a Schneider Electric IGSS Data Collector nevű termékének v15.0.0.21243-as és korábbi verzióiban fedezett fel.

A gyártó a hibákat a 15.0.0.21244-es verzióban javította. A sérülékenységről további információkat a Schneider Electric és az ICS-CERT bejelentései tartalmaznak.

Sérülékenység Schneider Electric ConneXium Network Manager rendszerekben

David Yesland a ZDI-vel együttműködve egy sérülékenységről tájékoztatta a DHS CISA-t a Schneider Electric ConneXium Network Manager-ben. A hiba a CNM minden verzióját érinti.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységről további részleteket a Schneider Electric és az ICS-CERT webodalain lehet elérni.

Schneider Electric termékek sérülékenysége

Tony Marcel Nasr egy sérülékenységet fedezett fel az alábbi Schneider Electric termékekben:

- spaceLYnk V2.6.1-es és korábbi verziói;
- Wiser for KNX V2.6.1-es és korábbi verziói;
- fellerLYnk V2.6.1-es és korábbi verziói.

A gyártó a hibát az érintett rendszerek v2.6.2-es verzióiban javította. A sérülékenység részleteiről a Schneider Electric publikációjából érdemes tájékozódni.

Sérülékenység Siemens SINUMERIK vezérlőkben

A Qi An Xin csoport ICS laborja egy sérülékenységről tájékoztatta a Siemens-t, ami a SINUMERIK alábbi változatait érinti:

- SINUMERIK 808D minden verziója;
- SINUMERIK 828D minden, v4.95-nél korábbi verziója.

A SINUMERIK 828D-hez a gyártó már kiadta a hibát javító újabb verziót, a 808D-hez kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységgel kapcsolatos további információkat a Siemens ProductCERT és az ICS-CERT bejelentései tartalmaznak.

Siemens SINEC hálózatmenedzsment megoldás sérülékenységei

Noam Moshe, a Claroty munkatársa 15 sérülékenységet jelentett a Siemens-nek, amiket a SINEC NMS (hálózatmenedzsment) megoldásának v1.0 SP2 Update1 előtti verzióiban talált.

A gyártó a hibákat a SINEC NMS újabb verzióiban javította. A sérülékenységek részleteit a Siemens ProductCERT és az ICS-CERT webodalain lehet elolvasni.

Sérülékenység Siemens RUGGEDCOM ROX rendszerekben

A Siemens egy sérülékenységről osztott meg információkat a DHS CISA-val, ami a RUGGEDCOM ROX termékcsalád alábbi tagjait érinti:

- RUGGEDCOM ROX MX5000 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1400 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1500 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1501 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1510 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1511 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1512 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1524 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1536 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX5000 minden, v2.14.1-nél korábbi verziója.

A gyártó a hibát a v2.14.1-es és újabb verziókban javította. A sérülékenységről további részleteket a Siemens ProductCERT és az ICS-CERT publikációi tartalmazzák.

Siemens SCALANCE rendszerek sérülékenységei

A Siemens 15, az alábbi Siemens SCALANCE rendszerekkel kapcsolatos sérülékenységről közölt információkat a DHS CISA-val:

- SCALANCE W1750D minden v8.7.1.3-as és korábbi verziói;
- SCALANCE W1750D v8.7.1.3-as és későbbi verziói (a 15-ből csak 8 érinti ezeket a verziókat).

A gyártó a hibák (egy részével) kapcsolatban a v8.7.1.3 vagy későbbi verziókra történő frissítést és kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységekről részleteket a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenység Siemens SIMATIC történeti adatbázisokban

A Siemens egy kritikus sérülékenységet talált a SIMATIC Process Historian nevű termékeinek alábbi verzióiban:

- SIMATIC Process Historian 2013 és korábbi kiadások minden verziója;
- SIMATIC Process Historian 2014 minden, SP3 Update 6-nál korábbi verziója;
- SIMATIC Process Historian 2019 minden verziója;
- SIMATIC Process Historian 2020 minden verziója.

A hiba javításával és a sérülékenység további információival kapcsolatban a Siemens ProductCERT és az ICS-CERT weboldalain lehet tájékozódni.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nagyjából egy hónapja adott ki figyelmeztetést az FBI, amiben elsősorban az élelmiszer-iparban tevékenykedő cégek elleni, növekvő számú ransomware-támadások veszélyeire hívták fel a figyelmet.

Ahogy korábban én is írtam erről a blogon, már eddig is számos élelmiszeripari és italgyártó céget értek támadások, amik gyakran a készletnyilvántartási rendszereket is közvetlenül érintettek voltak és közvetetten a termelési folyamatokra is hatással voltak (az ilyen jellegű kiberbiztonsági incidensekre mostanáig legalábbis legnagyobb hatású példája, a Colonial Pipeline-incidens sem a folyamatirányítási rendszereket tette használhatatlanná a forrásom szerint). A mostani FBI publikációban szó esik például egy amerikai pékségről, ahova a REvil ransomware a cégnek szolgáltató MSP (Managed Service Provider) IT rendszerén keresztül jutott be.

Az FBI figyelmeztetésének két tanulsága is van: egyrészt, az élelmiszer-ipari szektorban tevékenykedő cégek IT rendszereit is elérték a különböző célú (egyelőre főként ransomware-) támadások, másrészt pedig a beszállítói láncon keresztül érkező támadásokra mind jobban fel kell készülnie minden szervezetnek, függetlenül attól, milyen szektorban tevékenykednek.

Aztán a poszt írása közben jött szembe egy cikk a SecurityMagazine.com-on, ami szerint egy héten belül két amerikai termelőszövetkezet rendszereit érte zsarolóvírus-támadás. A kritikus infrastruktúrák elleni ransomware-támadások tehát nem hogy alább hagynának, de inkább egyre gyakoribbá válnak. A kérdés már csak az, hogy Magyarországon mit tesznek az illetékesek a fenyegetés ellen?

Sérülékenységek Honeywell vezérlőkben

Rei Henigman és Nadav Erez, a Claroty munkatársai 3 sérülékenységet azonosítottak a Honeywell Experion PKS folyamatvezérlő termékcsaládjának alábbi tagjaiban:

- C200-as vezérlők minden verziója;
- C200E típusú vezérlők minden verziója;
- C300-as és ACE vezérlők minden verziója.

A hibával kapcsolatban a gyártói dokumentáció és az ICS-CERT publikációja tartalmaz további részleteket.

Emerson WirelessHART Gateway sérülékenységek

Amir Preminger, a Claroty munkatársa 6 sérülékenységet fedezett fel az Emerson WirelessHART Gateway nevű hálózati eszközeinek alábbi változataiban:

- WirelessHART 1410 Gatewayminden, v4.7.94-nél korábbi verziója;
- WirelessHART 1410D Gatewayminden, v4.7.94-nél korábbi verziója;
- WirelessHART 1420 Gatewayminden, v4.7.94-nél korábbi verziója.

A gyártó a hibával kapcsolatban a v4.7.105-ös verzióra történő frissítést javasolja. A sérülékenységek részleteit az ICS-CERT bejelentésében lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-278-02

Sérülékenységek Mitsubishi Electric vezérlőkben

A Mitsubishi Electric 4 sérülékenységről közölt információkat a DHS CISA-val, amik az alábbi termékeiket érintik:

- GOT2000 sorozat GT21-es modelljének
- GT2107-WTBD változat minden verziója;
- GT2107-WTSD változat minden verziója;
- GT2104-RTBD változat minden verziója;
- GT2104-PMBD változat minden verziója;
- GT2103-PMBD változat minden verziója;
- GOT SIMPLE sorozat GS21-es modelljének
- GS2110-WTBD változat minden verziója;
- GS2107-WTBD változat minden verziója;
- GS2110-WTBD-N változat minden verziója;
- GS2107-WTBD-N változat minden verziója;
- Tension vezérlők
- LE7-40GU-L változat minden verziója.

A gyártó jelenleg is dolgozik a hibákat javító új verziókon. A sérülékenységek részleteiről az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-278-01

FATEK Automation Communication Server sérülékenység

Natnael Samson, a ZDI-vel együttműködve egy sérülékenységet jelentett a DHS CISA-nak, amit a FATEK Automation Communication Server 1.13-as és korábbi verzióiban fedezett fel.

A gyártó mostanáig nem reagált a sérülékenységgel kapcsolatos megkeresésekre. További részletek az ICS-CERT publikációjában érhetőek el: https://us-cert.cisa.gov/ics/advisories/icsa-21-280-07

Sérülékenységek FATEK Automation WinProladder szoftverekben

xina1i és Natnael Samson, a ZDI-vel közösen 7 sérülékenységről közöltek információkat a DHS CISA-val, amiket a FATEK Automation WinProladder 3.30-as és korábbi verzióiban találtak.

A gyártó mindezidáig nem válaszolt a hibákkal kapcsolatos megkeresésekre. A sérülékenységekről bővebb információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-280-06

InHand Networks hálózati eszközök sérülékenységei

Haviv Vaizman, Hay Mizrachi, Alik Koldobsky, Ofir Manzur és Nikolay Sokolik, az OTORIO munkatársai 13 sérülékenységet azonosítottak az InHand Networks IR615 típusú routereinek 2.3.0.r4724-es és 2.3.0.r4870-es verzióiban.

Az InHand Networks a mai napig nem válaszolt a hibákkal kapcsolatos megkeresésekre. A sérülékenységek részleteiről az ICS-CERT weboldalán lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-21-280-05

Mitsubishi Electric vezérlők sérülékenysége

A Mitsubishi Electric egy sérülékenységről tájékoztatta a DHS CISA-t, ami a MELSEC iQ-R C-sorozatú vezérlő moduljai közül az R12CCPU-V változatok minden verzióját érinti.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységgel kapcsolatos további információkat az ICS-CERT publikációjában lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-280-04

Sérülékenység Johnson Controls exacqVision rendszerekben

A Tenable Research egy sérülékenység részleteit osztotta meg a Johnson Controls-szal, az Exacq Technologies anyavállalatával, amit az exacqVision Server 32-bites változatának 21.06.11.0 és korábbi verzióiban találtak.

A gyártó a hibával kapcsolatban az exacqVision Server 32-bites változatának 21.09-es verzióra vagy az exacqVision Server 64-bites változatára történő frissítést javasolja. A sérülékenység részletei az ICS-CERT bejelentésében találhatóak: https://us-cert.cisa.gov/ics/advisories/icsa-21-280-03

Mobile Industrial Robots termékek sérülékenységei

Victor Mayoral Vilches, az Alias Robotics munkatársa 10 sérülékenységről tájékoztatta a DHS CISA-t, amit a Mobile Industrial Robots alábbi termékeiben fedezett fel:

- MiR100, MiR200, MiR250, MiR500, MiR1000 a MiR Robot Software 2.10.2.1-nél korábbi verzióiban;
- MiR Fleet a MiR Fleet Software 2.10.2.1-nél korábbi verzióiban.

A MiR Hook és Shelf Carrier termékeket ez a hiba nem érinti.

A gyártó a hibákat az érintett termékek legújabb verziójában javította. A sérülékenységgel kapcsolatos további információk az ICS-CERT weboldalán érhetőek el: https://us-cert.cisa.gov/ics/advisories/icsa-21-280-02

exacqVision Web Service sérülékenység

A Tenable Research egy sérülékenységet jelentett a Johnson Controls-nak, az Exacq Technologies anyavállalatának, amit az exacqVision Web Service 21.06.11.0 és korábbi verzióiban fedeztek fel.

A gyártó a hibát a 21.09-es verzióban javította. A sérülékenység részleteiről az ICS-CERT publikációjából lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-21-280-01

Sérülékenység Hikvision kamerarendszerekben

A Watchful_IP oldalán megjelent információk szerint egy távoli kódfuttatásra lehetőséget adó sérülékenységet találtak a Hikvision alábbi kamerarendszereiben:

- DS-2CVxxx1 210625-ösnél korábbi Build verziói;
- DS-2CVxxx6 210625-ösnél korábbi Build verziói;
- HWI-xxxx 210625-ösnél korábbi Build verziói;
- IPC-xxxx 210625-ösnél korábbi Build verziói;
- DS-2CD1xx1 210625-ösnél korábbi Build verziói;
- DS-2CD1x23G0 210625-ösnél korábbi Build verziói;
- DS-2CD1x23G0E(C) 210625-ösnél korábbi Build verziói;
- DS-2CD1x43(B) 210625-ösnél korábbi Build verziói;
- DS-2CD1x43(C) 210625-ösnél korábbi Build verziói;
- DS-2CD1x43G0E 210625-ösnél korábbi Build verziói;
- DS-2CD1x53(B) 210625-ösnél korábbi Build verziói;
- DS-2CD1x53(C) 210625-ösnél korábbi Build verziói;
- DS-2CD1xx7G0 210625-ösnél korábbi Build verziói;
- DS-2CD2xx6G2 210625-ösnél korábbi Build verziói;
- DS-2CD2xx6G2(C) 210625-ösnél korábbi Build verziói;
- DS-2CD2xx7G2 210625-ösnél korábbi Build verziói;
- DS-2CD2xx7G2(C) 210625-ösnél korábbi Build verziói;
- DS-2CD2x21G0 210625-ösnél korábbi Build verziói;
- DS-2CD2x21G0(C) 210625-ösnél korábbi Build verziói;
- DS-2CD2x21G1 210625-ösnél korábbi Build verziói;
- DS-2CD2x21G1(C) 210625-ösnél korábbi Build verziói;
- DS-2CD2xx3G2 210625-ösnél korábbi Build verziói;
- DS-2CD3xx6G2 210625-ösnél korábbi Build verziói;
- DS-2CD3xx6G2(C) 210625-ösnél korábbi Build verziói;
- DS-2CD3xx7G2 210625-ösnél korábbi Build verziói;
- DS-2CD3xx7G2(C) 210625-ösnél korábbi Build verziói;
- DS-2CD3xx7G0E 210625-ösnél korábbi Build verziói;
- DS-2CD3x21G0 210625-ösnél korábbi Build verziói;
- DS-2CD3x21G0(C) 210625-ösnél korábbi Build verziói;
- DS-2CD3x51G0(C) 210625-ösnél korábbi Build verziói;
- DS-2CD3xx3G2 210625-ösnél korábbi Build verziói;
- DS-2CD4xx0 210625-ösnél korábbi Build verziói;
- DS-2CD4xx6 210625-ösnél korábbi Build verziói;
- iDS-2XM6810 210625-ösnél korábbi Build verziói;
- iDS-2CD6810 210625-ösnél korábbi Build verziói;
- DS-2XE62x2F(D) 210625-ösnél korábbi Build verziói;
- DS-2XC66x5G0 210625-ösnél korábbi Build verziói;
- DS-2XE64x2F(B) 210625-ösnél korábbi Build verziói;
- DS-2CD8Cx6G0 210625-ösnél korábbi Build verziói;
- (i)DS-2DExxxx 210625-ösnél korábbi Build verziói;
- (i)DS-2PTxxxx 210625-ösnél korábbi Build verziói;
- (i)DS-2SE7xxxx 210625-ösnél korábbi Build verziói;
- DS-2DYHxxxx 210625-ösnél korábbi Build verziói;
- DS-2DY9xxxx 210625-ösnél korábbi Build verziói;
- PTZ-Nxxxx 210625-ösnél korábbi Build verziói;
- HWP-Nxxxx 210625-ösnél korábbi Build verziói;
- DS-2DF5xxxx 210625-ösnél korábbi Build verziói;
- DS-2DF6xxxx 210625-ösnél korábbi Build verziói;
- DS-2DF6xxxx-Cx 210625-ösnél korábbi Build verziói;
- DS-2DF7xxxx 210625-ösnél korábbi Build verziói;
- DS-2DF8xxxx 210625-ösnél korábbi Build verziói;
- DS-2DF9xxxx 210625-ösnél korábbi Build verziói;
- iDS-2PT9xxxx 210625-ösnél korábbi Build verziói;
- iDS-2SK7xxxx 210625-ösnél korábbi Build verziói;
- iDS-2SK8xxxx 210625-ösnél korábbi Build verziói;
- iDS-2SR8xxxx 210625-ösnél korábbi Build verziói;
- iDS-2VSxxxx 210625-ösnél korábbi Build verziói;
- DS-2TBxxx 210702-esnél korábbi Build verziói;
- DS-Bxxxx 210702-esnél korábbi Build verziói;
- DS-2TDxxxxB 210702-esnél korábbi Build verziói;
- DS-2TD1xxx-xx 210702-esnél korábbi Build verziói;
- DS-2TD2xxx-xx 210702-esnél korábbi Build verziói;
- DS-2TD41xx-xx/Wx 210702-esnél korábbi Build verziói;
- DS-2TD62xx-xx/Wx 210702-esnél korábbi Build verziói;
- DS-2TD81xx-xx/Wx 210702-esnél korábbi Build verziói;
- DS-2TD4xxx-xx/V2 210702-esnél korábbi Build verziói;
- DS-2TD62xx-xx/V2 210702-esnél korábbi Build verziói;
- DS-2TD81xx-xx/V2 210702-esnél korábbi Build verziói;
- DS-76xxNI-K1xx(C) V4.30.210 Build201224 és V4.31.000 Build210511 közötti verziói;
- DS-76xxNI-Qxx(C) V4.30.210 Build201224 és V4.31.000 Build210511 közötti verziói;
- DS-HiLookI-NVR-1xxMHxx-C(C) V4.30.210 Build201224 és V4.31.000 Build210511 közötti verziói;
- DS-HiLookI-NVR-2xxMHxx-C(C) V4.30.210 Build201224 és V4.31.000 Build210511 közötti verziói;
- DS-HiWatchI-HWN-41xxMHxx(C) V4.30.210 Build201224 és V4.31.000 Build210511 közötti verziói;
- DS-HiWatchI-HWN-42xxMHxx(C) V4.30.210 Build201224 és V4.31.000 Build210511 közötti verziói;
- DS-71xxNI-Q1xx(C) V4.30.300 Build210221 és V4.31.100 Build210511 közötti verziói;
- DS-HiLookI-NVR-1xxMHxx-D(C) V4.30.300 Build210221 és V4.31.100 Build210511 közötti verziói;
- DS-HiLookI-NVR-1xxHxx-D(C) V4.30.300 Build210221 és V4.31.100 Build210511 közötti verziói;
- DS-HiWatchI-HWN-21xxMHxx(C) V4.30.300 Build210221 és V4.31.100 Build210511 közötti verziói;
- DS-HiWatchI-HWN-21xxHxx(C) V4.30.300 Build210221 és V4.31.100 Build210511 közötti verziói;

A hibát javító firmware-verziókat a gyártó már elérhetővé tette. A sérülékenység részleteit a Hikvision és a Watchful_IP weboldalain lehet megtalálni.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Valamivel több, mint egy hónapja írtam posztot az Aurora-tesztről, nemrég pedig találtam egy posztot Sinclair Koelemij-től (még 2020. júniusából), ahol a Sandia National Lab-ban vizsgált kínai transzformátor történetéből kiindulva a szerző részletesen elemzi, hogyan lehet egy transzformátor ellen egy Aurora-szerű támadást végrehajtani. Külön kitér Joe Weiss 2017. óta hangoztatott ICS biztonsággal kapcsolatos problémájára (amiről érintőlegesen itt írtam, GéPé kolléga pedig a SeConSys blogján, a szenzorok szintjén hiányzó kiberbiztonság jelentette kockázatokra.

Összességében a blogposzt végkövetkeztetése az, hogy a transzformátorok működésébe nem lehet olyan módon beavatkozni, hogy egy Aurora-esemény legyen a végeredménye. A hivatkozott (és nem is rövid, de annál érdekesebb) blogposzt itt érhető el: https://otcybersecurity.blog/2020/06/20/power-transformers-and-aurora/

Sérülékenységek Boston Scientific rendszerekben

Endres Puschner, a Max Planck Intézet, Christoph Saatjohann és Christian Dresen, a Münster-i Alkalmazott Tudományok Egyetemének munkatársai, valamint Markus Willing a Münster-i Egyetem munkatársa, egy szélesebb körű tudományos kutatás keretében 5 sérülékenységet fedeztek fel a Boston Scientific ZOOM LATITUDE Model 3120-as berendezéseiben.

A gyártó a hiba javítását az újabb, Model 3300-as készülékekre történő migrálással tervezi javítani, a Model 3120-ashoz nem fog hibajavítást kiadni. A sérülékenységek részleteiről az ICS-CERT publikációjából lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsma-21-273-01

Moxa MGate készülékek sérülékenységei

Parul Sindhwad, Pranita Binnar és Dr. Faruk Kazi, a Mumbai-i COE-CNDS Lab munkatársai, valamint Jian Xian Li, Hao Hsiang Lin és Guan Yu Lai, a Taiwan-i Telekommunikáció Technológiai Központ munkatársai 2 sérülékenységről tájékoztatták a Moxa-t, amit az alábbi termékeikben találtak:

- MGate MB3180 sorozatú eszközök 2.2-es és korábbi firmware-verziói;
- MGate MB3280 sorozatú eszközök 4.1-es és korábbi firmware-verziói;
- MGate MB3480 sorozatú eszközök 3.2-es és korábbi firmware-verziói.

A gyártó a hibákkal kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekkel kapcsolatos további információkat a Moxa bejelentésében lehet elérni.

Sérülékenységek Moxa MxView rendszerekben

Noam Moshe, a Claroty munkatársa 9 sérülékenységet azonosított a Moxa MxView 3-as verziójának 3.2.2-nél korábbi alverzióiban.

A gyártó a hibákat az MxView 3.2.4-es és újabb verziókban javította. A sérülékenységekkel kapcsolatos további részletek a Moxa weboldalán találhatóak meg.

Siemens Solid Edge sérülékenységek

xinai1i és a ZDI 10 sérülékenységet jelentettek a Siemens-nek, amiket a Solid Edge SE2021MP8-nál korábbi verzióiban találtak.

A gyártó a hibákat az SE2021MP8-as és ennél újabb verziókban javította. A sérülékenységekről bővebb információkat a Siemens ProductCERT publikációjában érhetőek el.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Még 2020. novemberében jelent meg ez a tanulmány az ENISA weboldalán, ami az európai vasutak kiberbiztonsági helyzetét taglalja, felmérve a jelenlegi kiberbiztonsági szintet és kihívásokat, valamint javaslatokat is tesz arra vonatkozóan, hogyan lehetne javítani a biztonság szintjét és milyen válaszokat lehet adni a látható kihívásokra.

A vasúti szektor cégei (a vasúttársaságok és a vasúti pályahálózat üzemeltetői) Európában a NIS direktíva alapján a létfontosságú szolgáltatások üzemeltetőinek (Operators of Essential Services, OES) számítanak, így nekik is ki kell dolgozniuk az alábbi négy kategóriában tartozó biztonsági kontrollokat:

- Információs rendszerek biztonság-irányítása és kockázatkezelése;
- Jogosultságkezelés és fizikai biztonság;
- Krízis-menedzsment és üzletmenet-folytonosság;
- Incidenskezelés és kapcsolódó tevékenységei.

Az ENISA tanulmányában feltárt kiberbiztonsági kihívások a vasúti szektorral kapcsolatban az alábbiak:

- Alacsony szintű biztonságtudatosság - személyes megjegyzés: semmi meglepő, gyakorlatilag úgy látom, hogy minden szektornak többé-kevésbé ugyanazt a fejlődési pályát kell bejárnia az OT biztonság terén, kezdve azzal, amikor a biztonsági kérdéseket feszegető keveseket arról próbálják meggyőzni az adott szektor folyamatirányítási mérnökei;
- Konfliktusok a kiberbiztonsági és safety-követelmények között - ez a konfliktus már érdekesebb kérdés, mert a safety (az én felfogásom és eddig információim szerint) mindig és minden körülmények között üt bármi mást;
- A kritikus szolgáltatások digitális transzformációja - itt sincs nagy meglepetés, szinte minden kritikus infrastrutúra előbb vagy utóbb eljut oda, hogy a digitális transzformáció nevű kezdeményezésnek nem tud tovább ellenállni, de sajnos a legtöbb esetben a biztonsággal kapcsolatos érvek meglehetősen alacsonyra kerülnek a prioritási listán, ha egyáltalán felférnek oda...
- A beszállítói láncban megjelenő kockázatok - sokat ezt sem kell magyarázni, a SolarWinds és Centreon incidensek óta ez a téma sokkal inkább a figyelem középpontjában van, mint korábban bármikor (pedig korábban is voltak súlyos incidensek, amiknél a támadó egy megbízható(nak tekintett) gyártón/szállítón keresztül jutott be számos célpontja rendszereibe);
- Elavult rendszerek - ez sem újdonság, nyilván a vasúti szektor speciális jelző- és biztosítóberendezések és rendszerei sem képeznek kivételt az általános ICS rendszerekkel kapcsolatos problémák (hosszú életciklus, drága bekerülési érték, stb.) alól;
- Összetett biztonsági követelményeknek való megfelelés - a vasúti szektor cégeinek jelenleg úgy kell egyszerre megfelelniük a NIS direktívában előírtaknak, hogy közben még a nemzeti szabályozó hatóságok előírásait is szem előtt kell tartaniuk. Nyilván ahogy a NIS direktívát egyre több tagállam integrálja a saját nemzeti jogrendjébe, ez a kihívás talán kisebb lesz, de felmerült már az igény egy vasúti szektorra vonatkozó szektor-specifikus NIS profilra.

Talán már a fentiekből is látszik, hogy a vasúti szektor kiberbiztonságával kapcsolatban bőven van még tennivalójuk a szektor OT és biztonsági mérnökeinek, különösen annak fényében, hogy a karbonsemlegességi célok elérése érdekében egyre inkább próbálják a vasúti közlekedést a légiközlekedés alternatívájaként kínálni.

Siemens Teamcenter rendszerek sérülékenységei

Nicolas Verdier, a TEHTRIS munkatársa 3 sérülékenységet jelentett a Siemens-nek, amit a gyártó Teamcenter nevű termékének alábbi verzióiban talált:

- Teamcenter 12.4 összes, 12.4.0.8-nál korábbi verziója;
- Teamcenter 13.0 összes, 13.0.0.7-nél korábbi verziója;
- Teamcenter 13.1 összes, 13.1.0.5-nél korábbi verziója;
- Teamcenter 13.2 összes, 13.2.0.2-nél korábbi verziója.

A hibát a gyártó az érintett Teamcenter verziók újabb verzióiban javította. A sérülékenységekről további információkat a Siemens ProductCERT és az ICS-CERT publikációi tartalmaznak.

Sérülékenység Siemens Teamcenter Active Workspace rendszerekben

A Siemens bejelentése szerint egy sérülékenységet fedeztek fel az alábbi rendszereiben:

- Teamcenter Active Workspace v4.3 minden, v4.3.10-nél korábbi verziója;
- Teamcenter Active Workspace v5.0 minden, v5.0.8-nál korábbi verziója;
- Teamcenter Active Workspace v5.1 minden, v5.1.5-nél korábbi verziója;
- Teamcenter Active Workspace v5.2 minden, v5.2.1-nél korábbi verziója.

A hibát a gyártó az Active Workspace újabb verzióiban javította. A sérülékenységről bővebben a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet olvasni.

Siemens Industrial Edge rendszerek sérülékenysége

A Siemens által közzétett információk szerint egy sérülékenységet azonosítottak az Industrial Edge Management nevű megoldásuk 1.3-asnál korábbi verzióiban.

A gyártó a hibát az 1.3-as és újabb verziókban javította. A sérülékenységgel kapcsolatos bővebb információkat a Siemens ProductCERT és az ICS-CERT weboldalain találhatóak meg.

Sérülékenységek Siemens SINEMA Remote Connect Server-ekben

Sharon Brizinov, a Claroty munkatársa 6 sérülékenységet talált a Siemens SINEMA Remote Connect Server-ének minden, V3.0 SP2-nél korábbi verziójában.

A gyártó a hibát a v3.0 SP2-es és újabb verziókban javította. A sérülékenységről további részleteket a Siemens ProductCERT és az ICS-CERT publikációiban lehet elérni.

Siemens LOGO! és SIMATIC RTU 3000-es eszközök sérülékenységeei

A Siemens két sérülékenységet jelentett a DHS CISA-nak az alábbi termékeikkel kapcsolatban:

- LOGO! CMR2020 minden, v2.2-nél korábbi verziója;
- LOGO! CMR2040 minden, v2.2-nél korábbi verziója;
- SIMATIC RTU 3000 család minden verziója.

A gyártó a hibákat a LOGO! CMR rendszerek esetén az újabb verziókban javította. A sérülékenységekkel kapcsolatos további információk a Siemens ProductCERT és az ICS-CERT bejelentéseiben érhetőek el.

Sérülékenység Siemens Siveillance OIS rendszerekben

A Siemens egy sérülékenységről osztott meg információkat a DHS CISA-val a Siveillance OIS épület-menedzsment megoldásuk alábbi rendszereivel kapcsolatban:

- Desigo CC minden, OIS Extension Module-lal szerelt verziója;
- GMA-Manager minden, OIS-t Debian 9-es vagy korábbi verzión futtató változata.
- Operation Scheduler minden, OIS-t Debian 9-es vagy korábbi verzión futtató változata.
- Siveillance Control minden, OIS-t Debian 9-es vagy korábbi verzión futtató változata.
- Siveillance Control Pro minden verziója;

A gyártó a hibát javító újabb verziókat már elérhetővé tette. A sérülékenységről bővebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Siemens Desigo CC termékcsalád sérülékenysége

Markus Wulftange, a Code White GmbH munkatársa egy sérülékenységről informálta a Siemens-t, ami a gyártó alábbi rendszereit érinti:

- Cerberus DMS v4.0 minden verziója;
- Cerberus DMS v4.1 minden verziója;
- Cerberus DMS v4.2 minden verziója;
- Cerberus DMS v5.0 minden, v5.0 QU1-nél korábbi verziója;
- Desigo CC Compact v4.0 minden verziója;
- Desigo CC Compact v4.1 minden verziója;
- Desigo CC Compact v4.2 minden verziója;
- Desigo CC Compact v5.0 minden, v5.0 QU1-nél korábbi verziója;
- Desigo CC v4.0 minden verziója;
- Desigo CC v4.1 minden verziója;
- Desigo CC v4.2 minden verziója;
- Desigo CC v5.0 minden, v5.0 QU1-nél korábbi verziója.

A gyártó a hibát az érintett rendszerek újabb verzióiban javította. A sérülékenység részleteiről a Siemens ProductCERT és az ICS-CERT publikációiban lehet tájékozódni.

Siemens SIPROTEC védelmek sérülékenysége

Yuriy Strela, a GAI NetConsult GmbH munkatársa egy sérülékenységet jelentett a Siemens-nek, amit az alábbi SIPROTEC védelmekben talált és amit kihasználva DoS-támadást lehet végrehajtani a sérülékeny eszközök ellen:

- SIPROTEC 5 védelmek CP050-es CPU változattal szerelt változatainak minden, v8.80-nál korábbi verziója;
- SIPROTEC 5 védelmek CP100-as CPU változattal szerelt változatainak minden, v8.80-nál korábbi verziója;
- SIPROTEC 5 védelmek CP200-as minden verziója;
- SIPROTEC 5 védelmek CP300-as CPU változattal szerelt változatainak minden, v8.80-nál korábbi verziója.

A gyártó a hibát (a CP200-asok kivételével) az érintett védelmek újabb firmware-verzióiban javította. A sérülékenységgel kapcsolatos további információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet elérni.

Sérülékenység Siemens SIMATIC NET CP modulokban

Michael Messner, a Siemens Energy munkatársa egy sérülékenységet azonosított a SIMATIC termékcsalád alábbi tagjaiban:

- SIMATIC CP 343-1 (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC CP 343-1 Advanced (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC CP 343-1 ERPC minden verziója;
- SIMATIC CP 343-1 Lean (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC CP 443-1 (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC CP 443-1 Advanced (beleértve a SIPLUS változatokat is) minden verziója.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről bővebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Siemens NX rendszerek sérülékenységei

A Siemens által nyilvánosságra hozott információk szerint két sérülékenységet találtak az NX 1980-as sorozatú termékeik minden, v1984 előtti verziójában.

A gyártó a hibát a v1984-es és későbbi verzióiban javította. A sérülékenységekkel kapcsolatos bővebb információk az Siemens ProductCERT és az ICS-CERT publikációiban találhatóak meg.

Sérülékenység Siemens APOGEE és TALON rendszerekben

Paul Noalhyt és David Doggett, a Red Balloon Security munkatársai egy sérülékenységet fedeztek fel a Siemens alábbi rendszereiben:

- APOGEE MBC (PPC) (P2 Ethernet) v2.6.3 és újabb verziói;
- APOGEE MEC (PPC) (P2 Ethernet) v2.6.3 és újabb verziói;
- APOGEE PXC Compact (BACnet) minden, v3.5.3-nál régebbi verziója;
- APOGEE PXC Compact (P2 Ethernet) v2.8 és újabb verziói;
- APOGEE PXC Modular (BACnet) minden, v3.5.3-nál régebbi verziója;
- APOGEE PXC Modular (P2 Ethernet) v2.8 és újabb verziói;
- TALON TC Compact (BACnet) minden, v3.5.3-nál régebbi verziója;
- TALON TC Modular (BACnet) minden, v3.5.3-nál régebbi verziója;

A gyártó a BACnet protokollt alkalmazó termékek esetén javította a hibát. A sérülékenység részleteit a Siemes ProductCERT és az ICS-CERT bejelentéseiben érhetőek el.

Siemens Simcenter rendszerek sérülékenysége

Francis Provencher, a ZDI-vel együttműködve egy sérülékenységről közölt információkat a DHS CISA-val, amit a Siemens Simcenter STAR-CCM+ Viewer nevű termékének 2021.2.1-nél korábbi verzióiban talált.

A gyrátó a hibát a 2021.2.1-es és későbbi verziókban javította. A sérülékenységgel kapcsolatos további információkat a Siemens ProcuctCERT és az ICS-CERT weboldalain lehet elolvasni.

Sérülékenységek Siemens RUGGEDCOM ROX eszközökben

Michael Messner, a Siemens Energy munkatársa 3 sérülékenységet azonosított a RUGGEDCOM ROX termékcsalád alábbi tagjaiban:

- RUGGEDCOM ROX MX5000 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1400 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1500 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1501 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1510 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1511 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1512 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1524 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1536 minden, v2.14.1-nél korábbi verziója;
- RUGGEDCOM ROX RX5000 minden, v2.14.1-nél korábbi verziója.

A gyártó a hibákat a v2.14.1-es és újabb verziókban javította. A sérülékenységekről bővebben a Siemens ProductCERT és az ICS-CERT publikációi tartalmaznak.

Siemens Simcenter Femap sérülékenység

Egy xina1i nevű biztonsági kutató a ZDI-vel együttműködve egy sérülékenységet jelentett a DHS CISA-nak a Siemens Simcenter Femap szimulációs alkalmazás alábbi verzióival kapcsolatban:

- Simcenter Femap v2020.2 minden verziója;
- Simcenter Femap v2021.1 minden verziója.

A gyártó a hibát a Simcenter Femap v2021.2-es és későbbi verzióiban javította. A sérülékenység részleteiről a Siemens ProductCERT és az ICS-CERT bejelentéseiből lehet tájékozódni.

Schneider Electric Struxureware sérülékenységek

David Yesland, a ZDI-vel együttműködve 2 sérülékenységet jelentett a Schneider Electric-nek a Struxureware Data Center Expert 7.8.1-es és korábbi verzióival kapcsolatban.

A gyártó jelenleg is dolgozik a hibák javításán. A sérülékenységekkel kapcsolatos további információkat az ICS-CERT weboldalán lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-257-03

Sérülékenység Schneider Electric rendszerekben

kimiya, a ZDI-vel közösen egy sérülékenységet jelentettek a DHS CISA-nak, amit a Schneider Electric alábbi rendszereiben találtak:

- EcoStruxure Control Expert minden verziója, beleértve a korábbi, Unity Pro verziókat is;
- EcoStruxure Process Expert minden verziója, beleértve a korábbi, HDCS verziókat is;
- SCADAPack RemoteConnect for x70 minden verziója.

A gyártó egyelőre dolgozik a hiba javításán. A sérülékenységgel kapcsolatos bővebb információkat az ICS-CERT publikációja tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsa-21-259-02

Sensormatic Electronics rendszerek sérülékenysége

Dr. Dave Burke, Anthony Connor és Harrison Spisak egy sérülékenységet jelentettek a Johnson Controls-nak, a Sensormatic Electronics anyavállalatának, amit a KT-1-es típusú ajtóvezérlők 3.01-es és korábbi verzióiban fedeztek fel.

A hibával kapcsolatban a Johnson Controls a KT-1-es vezérlők 3.04-es, az EntraPass rendszerek esetén pedig a 8.40-es verzióra történő frissítést javasolja. A sérülékenység részletei az ICS-CERT bejelentésében érhetőek el: https://us-cert.cisa.gov/ics/advisories/icsa-21-257-02-0

Sérülékenység Digi PortServer-ekben

Byron Chaney, a RevSec és Jason Holcomb, az Accenture munkatársai egy sérülékenységet azonosítottak a Digi PortServer TS 16 82000684-es és 82000685-ös firmware-verzióiban.

A szóban forgó eszközök támogatása 2016-ban szűnt meg, ezért javítás erre a hibára nem várható. A sérülékenységről bővebben az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-257-01

Trane Trace rendszerek sérülékenysége

A Trane egy sérülékenységről közölt információkat a DHS CISA-val, ami az alábbi rendszereiket érinti:

- Tracer SC minden, v4.4 SP7-nél korábbi verziója;
- Tracer SC+ minden, v5.5 SP3-nál korábbi verziója;
- Tracer Concierge minden, v5.5 SP3-nál korábbi verziója.

A hibát javító újabb verziók elérhetőek a gyártónál. A sérülékenység részletei az ICS-CERT publikációjában találhatóak: https://us-cert.cisa.gov/ics/advisories/icsa-21-266-02

Sérülékenység Trane Symbio vezérlőkben

A Trane egy sérülékenység részleteiről tájékoztatta a DHS CISA-t, ami az alábbi, épület-automatizálási megoldásait érinti:

- Symbio 700 (beleértve az Odyssey Split Systems rendszereket is) minden, v1.00.0023-nál korábbi verzió;
- Symbio 800 (beleértve a következő IntelliPak Rooftop Air Conditioner és Chiller modelleket is: CenTraVac Simplex, CentraVac Duplex, ACR, RTAF, CMAF, HDWA.RTWF, CGWF, CXWF, CCUF és GVAF) minden, v1.00.0007-nél korábbi verziói.

A gyártó a hibát javító újabb verziókat már elérhetővé tette. A sérülékenységgel kapcsolatos bővebb információk az ICS-CERT bejelentésében olvashatóak: https://us-cert.cisa.gov/ics/advisories/icsa-21-266-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.