Siemens SIMATIC S7 készülékek sérülékenysége

Jian Gao egy sérülékenységet jelentett a Siemens-nek, amit a gyártó S7-1200 CPU családjának (beleértve a SIPLUS változatokat is) 4.5.0 verziójában.

A gyártó a hibát a 4.5.1-es és későbbi verziókban javította. A sérülékenységgel kapcsolatos további információkat a Siemens ProductCERT és az ICS-CERT publikációiban lehet megtalálni.

Sérülékenységek Siemens Solid Edge rendszerekben

Xina1i, a ZDI-vel együttműködve 3 sérülékenységről közölt információkat a DHS CISA-val, amiket a Siemens Solid Edge SE2021 MP7 előtti verzióiban fedezett fel.

A gyártó a hibákat a Solid Edge SE2021MP7 és későbbi verzióiban javította. A sérülékenységekről részleteket a Siemens ProductCERT és az ICS-CERT bejelentései tartalmaznak.

Siemens SIMATIC NET CP termékek sérülékenységek

A Siemens két sérülékenységről osztott meg információkat a DHS CISA-val, amiket az alábbi termékeikben találtak:

- SIMATIC NET CP 1543-1 (beleértve a SIPLUS változatokat is) minden, v3.0-nál korábbi verziója;
- SIMATIC NET CP 1545-1 minden verziója.

A gyártó a SIMATIC NET CP 1543-1-hez kiadta a hibákat javító verziókat. A sérülékenységekkel kapcsolatban további információkat a Siemens ProductCERT és ICS-CERT weboldalain lehet olvasni.

Sérülékenység Siemens SGT rendszerekben

A Siemens egy sérülékenységet jelentett a DHS CISA-nak, ami az alábbi termékeiket érinti, amennyiben azokhoz harmadik féltől származó komponenseket használnak:

- SGT-100 minden verziója;
- SGT-200 minden verziója;
- SGT-300 minden verziója;
- SGT-400 minden verziója;
- SGT-A20 minden verziója;
- SGT-A35 minden verziója;
- SGT-A64 minden verziója.

A sérülékenységhez tartozó bővebb információk a Siemens ProductCERT és az ICS-CERT publikációiban lehet elérni.

Intel CPU sérülékenységek Siemens ipari termékekben

A Siemens DHS CISA felé tett bejelentése szerint az alábbi termékeiket érinti 12, Intel CPU-kban talált sérülékenység:

- SIMATIC Drive vezérlő család minden verziója;
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC Field PG M5 minden verziója;
- SIMATIC Field PG M6 minden verziója;
- SIMATIC IPC127E minden verziója;
- SIMATIC IPC427E minden verziója;
- SIMATIC IPC477E minden verziója;
- SIMATIC IPC477E Pro minden verziója;
- SIMATIC IPC527GE minden verziója;
- SIMATIC IPC547G minden verziója;
- SIMATIC IPC627E minden verziója;
- SIMATIC IPC647E minden verziója;
- SIMATIC IPC677E minden verziója;
- SIMATIC IPC847E: All BIOS versions prior to v25.02.10
- SIMATIC ITP1000 minden verziója;
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN-DP MFP minden verziója;
- SINUMERIK 828D HW PPU.4 minden verziója;
- SINUMERIK MC MCU 1720 minden verziója;
- SINUMERIK ONE / SINUMERIK 840D sl HT 10-es kézi terminálok minden verziója;
- SINUMERIK ONE PPU 1740 minden verziója.

A gyártó a hibákkal kapcsolatban BIOS frissítéseket javasol. A sérülékenységekről bővebb információk a Siemens ProductCERT és az ICS-CERT bejelentéseiben érhetőek el.

Siemens SINEC NMS sérülékenység

Noam Moshe, a Claroty munkatársa egy sérülékenységet jelentett a DHS CISA-nak, ami a Siemens SINEC NMS minden, v1.0 SP2-nél korábbi verzióját érinti.

A gyártó a hibát a v1.0 SP2 és újabb verziókban javította. A sérülékenység részleteiről a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Sérülékenységek Siemens rendszerekben

Az Open Design Alliance illetve Mat Powell (a ZDI-vel együttműködve) 3 sérülékenységről közöltek információkat a DHS CISA-val, amiket a Siemens alábbi megoldásaiban találtak:

- JT2Go minden, v13.2.0.2-nél korábbi verziója;
- Teamcenter Visualization minden, v13.2.0.2-nél korábbi verziója.

A gyártó a hibákat az érintett rendszerek v13.2.0.2-es és újabb verzióiban javította. A sérülékenységekkel kapcsolatos bővebb információk a Siemens ProductCERT és az ICS-CERT publikációiban lehet elérni.

Siemens Automation License Manager sérülékenység

A Siemens egy sérülékenységről közölt információkat a DHS CISA-val, ami az alábbi rendszereiket érinti:

- Automation License Manager 5 minden verziója;
- Automation License Manager 6 minden, v6.0 SP9 Update 2-nél korábbi verziója.

A gyártó a hibát az Automation License Manager 6 v6.0 SP9 Update 2-esés újabb verzióiban javította. A sérülékenységről bővebben a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet olvasni.

Fájl parsing sérülékenységek Siemens rendszerekben

Kai Wang, a Qi’anxin csoport Legendsec csapatának tagja, az Open Design Alliance és a ZDI közös erőfeszítéseinek köszönhetően 7 sérülékenységről jutott el információ a DHS CISA-hoz, amiket a Siemens alábbi rendszereiben találtak:

- JT2Go minden, v13.2.0.1-nél korábbi verziója;
- Teamcenter Visualization minden, v13.2.0.1-nél korábbi verziója.

A gyártó a hibákat a v13.2.0.1-es és újabb verziókban javította. A sérülékenységek részleteiről a Siemens ProductCERT és az ICS-CERT weboldalain lehet tájékozódni.

Authorizációs sérülékenység Siemens ipari megoldásokban

A Siemens egy sérülékenységről hozott nyilvánosságra információkat, ami az alábbi ipari környezetekbe szánt rendszereiket érinti:

- SIMATIC Drive vezérlő család minden, V2.9.2-nél korábbi verziója;
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7 PLCSIM Advanced minden, V2-nél későbbi és V4-nél korábbi verziója;
- SIMATIC S7-1200 CPU család (beleértve a SIPLUS változatokat is) V4.4-es verziója;
- SIMATIC S7-1500 CPU család (beleértve az ET200 CPU-kat és SIPLUS változatokat is) minden, V2.5-nél újabb és V2.9.2-nél korábbi verziója;
- SIMATIC S7-1500 szoftveres vezérlő minden, V2.5-nél újabb verziója;
- TIM 1531 IRC (beleértve a SIPLUS NET változatokat is) V2.1-es verziója.

A gyártó a hibát javító újabb verziókat már elérhetővé tette. A sérülékenységgel kapcsolatos részletek a Siemens ProductCERT publikációja tartalmazza.

Horner Automation rendszerek sérülékenységei

Michael Heinzl 3 sérülékenységet jelentett a DHS CISA-nak, amiket a Horner Automation Cscape nevű fejlesztői környezetének 9.90 SP5-ösnél korábbi verzióiban talált.

A gyártó a hibákat a Cscape 9.90 SP5-ös verziójában javította. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-224-02

Sérülékenység Cognex rendszerekben

Amir Preminger, a Claroty munkatársa egy sérülékenységet jelentett a DHS CISA-nak a Cognex In-Sight OPC Server nevű megoldásának v5.7.4 (96) és korábbi verzióival kapcsolatban.

A gyártó a hibát az In-Sight OPC Server 5.9.2-es és későbbi verziókban javította. A sérülékenység részleteiről az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-224-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Augusztus 5-én GéPé kolléga (írásai mind gyakoribb és örömtelibb vendégek ezen a blogon is) egy fontos posztot jelentetett meg a SeConSys blogján, amiben Joe Weiss írásai nyomán az ICS rendszerek technológia-közeli berendezéseinek védelmi megoldásai (illetve azok hiánya) kérdéseit boncolgatta.

Régóta érlelődik bennem egy poszt a témával kapcsolatban, még inkább Joe idestova 4 éve kitartóan hangoztatott érveinek az én nézőpontomból történő vizsgálatáról, szóval most végképp eljött az ideje, hogy erről én is írjak.

Talán már írtam róla, hogy Joe Weiss blogját 2014 óta olvasom és Joe-t 2015. október óta ismerem személyesen (egyszerűen leült mellém a bárpulthoz a szállodában, ahol egy konferencia miatt voltam), a vele folytatott hosszabb beszélgetések adták meg az utolsó lökést, hogy elindítsam ezt a blogot és mind mélyebben ássam bele magam az ICS kiberbiztonság témájába. Szóval Joe egyfajta korai mentor volt számomra és mindig csodálattal néztem azt a kitartást, amit ő és néhány hozzá hasonló úttörő tanúsított az ICS biztonság ügye iránt. 2017-re már elég nyilvánvaló volt, hogy az ICS biztonság nem csupán egy maroknyi üldözési mániás őrült hagymázas rémálma, egyre több ICS rendszer üzemeltető és a szállítói oldal is egyre inkább felismerte, hogy a témával bizony foglalkozni kell. Joe ekkor kezdett arról beszélni, hogy az ICS biztonság nem csak az OT hálózatok biztonságát jelenti, hanem az ICS végponti berendezések kiberbiztonsága is súlyos hiányosságokkal küzd. Az elmúlt évek során ebbéli meggyőződése odáig fejlődött, hogy posztjaiban és egyéb megnyilatkozásaiban már vagy-vagy választásként beszél az OT hálózatbiztonságról és az ICS végponti eszközök kiberbiztonságáról.

Tavaly, már a COViD-járvány alatt volt egy hosszabb Zoom-beszélgetésünk, ahol próbáltam finoman érdeklődni, hogy vajon nem lenne jobb úgy megközelíteni ezt a témát, hogy nem választani kell az OT hálózatbiztonság és a (Purdue-modell szerinti) L1/L0 eszközök biztonsága között, hanem inkább azokat mint egymás kiegészítő biztonsági kontrolljait kéne nézni, az OT hálózatbiztonsághoz úgyis inkább klasszikus IP hálózatbiztonsági (IT biztonsági) mérnökökre van szükség, a L1/L0 eszközök biztonsága pedig olyan téma, amihez a folyamatirányítási logikát mélyebben ismerő mérnökök értenek jobban. Végső soron pedig ismét ugyanoda jutunk: ahhoz, hogy az ICS kiberbiztonság a rendszer minden szintjén egyenszilárd lehessen, az IT, IT biztonsági és folyamatirányítási mérnökök eddiginél és jelenleginél sokkal jobb, hatékonyabb és szorosabb együttműködése szükséges. Mindaddig, amíg a résztvevő mérnökök külön-külön, egymást nem partnernek, inkább ellenfélnek vagy nehezítő tényezőnek tekintve dolgoznak, a támadók mindig találni fognak olyan gyenge pontokat, amiket mindkét (vagy mindhárom) csapat kihagyott a biztonságosabb rendszerekért folytatott munka során és ezeket kihasználva képesek lesznek megzavarni a fizikai folyamatok irányítását.

Ráadásul már az sem lenne elég, ha az IT/OT hálózatbiztonsági és folyamatirányítási mérnökök között létezne egy, a mostaninál sokkal jobb szakmai együttműködés, hiszen a Colonial Pipeline-incidens elég világosan megmutatta (bár nem ez volt az első ilyen incidens, de ennek volt az átlagemberek életére olyan széleskörű negatív hatása, amit már nem tudott senki, a mainstream média és a politikai döntéshozók sem figyelmen kívül hagyni), hogy elég, ha a fizikai folyamatokra épülő üzleti rendszerek némelyike esik áldozatául egy kiberbiztonsági incidensnek, már egy ilyen eset is vezethet oda, hogy az ICS rendszerek leállítása (és ezen keresztül a fizikai folyamatok leállítása) lesz a kisebbik rossz.

Összefoglalva (és válaszolva GéPé kérdéseire):

"Mi a véleményetek a technológia közeli védelem megerősítésének vázolt koncepciójáról?"

Mindenképp szükségesnek gondolom a L1/L0 eszközök kiberbiztonsági képességeinek és védelmi szintjének javítását (érdekes adalék egyébként, hogy egy távoli munkatársam, aki ismeri Joe-t, vitatja Joe azon állítását, hogy a L1/L0 eszközökben semmilyen kiberbiztonsági funkció ne lenne, de konkrét példákat, mint ellenérve még tőle sem láttam) és a SIGA OT Solutions által készített megoldás is lehet olyan jó, mint bármelyik OT hálózatbiztonsági termék, ezt igazán majd az idő és a gyakorlati alkalmazás fogja megmutatni.

"Egy ilyen védelem valóban csökkentené-e egy zsarolóvírusos támadó késztetését?"

Ebben viszont nem hiszek. A ransomware-bandák azért működnek hosszú évek óta ilyen sikeresen, mert kis befektetés mellett tudtak nagy tömegeket támadni (amíg a fő célpontjaik a magánszemélyek voltak), aztán felismerték, hogy a vállalatok elleni támadásokkal jóval nagyobb összegeket is követelhetnek, majd azt, hogy ha a civilizációnk alapjait biztosító ipari folyamatokat irányító szervezetek automatizált rendszereit támadják, sokkal komolyabb nyomást tudnak gyakorolni, hiszen az adatok helyreállításánál sokkal fontosabb, hogy a folyamatvezérlés működjön. Viszont a támadók (némi OSINT felderítéssel) azt is megtudhatják, hogy milyen ügyviteli rendszereket kell ahhoz támadniuk, hogy siker esetén a célpont szervezet fizikai folyamatirányítása majdnem vagy pontosan ugyanannyira megbénuljon, mintha a (jó esetben) sokkal nehezebben hozzáférhető ICS rendszereket és különösképpen a L1/L0 eszközöket támadnák. Éppen ezért én nem számítok arra, hogy a közeli jövőben csökkenne az ipari szervezetek elleni zsarolóvírus-támadások száma, inkább csak növekedni fog.

Első körben ennyit gondoltam hozzátenni a témához (így is hosszabb lett ez a poszt, mint elsőre gondoltam, tovább is tartott megírni, mint eredetileg terveztem), de remélem ez a téma nem itt és most hal el, hanem többen elkezdenek írni a vele kapcsolatos gondolatairól.

Sérülékenységek Swisslog Healthcare pneumatikus csőposta rendszerekben

Barak Hadad és Ben Seri, az Armis munkatársai összesen 8 sérülékenységet találtak a Swisslog Healthcare pneumatikus csőposta megoldásának Nexus Control Panel komponensének 7.2.5.7-esnél korábbi verzióiban.

A gyártó a hibákat (egy kivételével) a 7.2.5.7-es verzióban javította. A sérülékenységek részleteit az ICS-CERT publikációjában lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsma-21-215-01

Advantech WebAccess/SCADA rendszerek sérülékenységei

Chizuru Toyama, a TXOne IoT/ICS Security Research Labs munkatársa, a ZDI-vel együttműködve három sérülékenységet jelentett a DHS CISA-nak, amiket az Advantech alábbi rendszereiben fedezett fel:

- WebAccess/SCADA 8-as 8.4.5-nél korábbi verziói;
- WebAccess/SCADA 9-es 9.0.1-nél korábbi verziói.

A gyártó a hibákat javító újabb verziókat már elérhetővé tette. A sérülékenységekről bővebb információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-217-04

mySCADA myPRO sérülékenységek

Michael Heinzl 4 sérülékenységről közölt információkat a DHS CISA-val a mySCADA myPRO 8.20.0-nál korábbi verzióival kapcsolatban.

A gyártó a hibákat a v8.20.0 és újabb verziókban javította. A sérülékenységekkel kapcsolatban bővebb információkat az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-217-03

Sérülékenységek FATEK Automation rendszerekben

Egy névtelenségbe burkolózó biztonsági kutató, a ZDI-vel együttműködve 3 sérülékenységről közölt infromációkat a DHS CISA-val, amiket a FATEK Automation FvDesigner nevű, HMI termékeihez használható szoftverében talált.

A gyártó nem reagált a DHS CISA hibákkal kapcsolatos megkeresésére. A sérülékenységről bővebb információkat az ICS-CERT publikációjában lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-217-02

HCC Embedded InterNiche TCP/IP stack sérülékenységek

Amine Amri, Stanislav Dashevskyi és Daniel dos Santos, a Forescout valamint Asaf Karas és Shachar Menashe, a VDOO munkatársai összesen 14 sérülékenységet találtak a HCC Embedded alábbi TCP/IP stack-jeiben:

- InterNiche stack minden, v4.3-nál korábbi verziója;
- NicheLite minden, v4.3-nál korábbi verziója.

A sérülékenységek közül 4 (CVE-2020-35683, CVE-2020-35684, CVE-2020-35685 és CVE-2021-31401) a Siemens alábbi megoldásaiban is megtalálhatóak:

- SENTRON 3WA COM190-es minden, V2.0.0-nál korábbi verziója;
- SENTRON 3WL COM35-ös minden, V1.2.0-nál korábbi verziója;
- SENTRON 7KM PAC Switched Ethernet PROFINET Expansion Modul minden, V3.0.4-nél korábbi verziója.

A hibákat a HCC az érintett megoldásaik v4.3-as verziójában javította és a Siemens is kiadta a javításokat tartalmazó újabb verziókat. A sérülékenységek részleteiről az ICS-CERT és a Siemens ProductCERT bejelentéseiben lehet olvasni.

Sérülékenységek ARC Informatique rendszerekben

Az ARC Informatique bejelentése szerint 3 sérülékenységet találtak a PcVue nevű megoldásuk 8.10-esnél újabb, de 12.0.17-esnél korábbi verzióióban.

A sérülékenységekkel kapcsolatban további információkat a gyártó weboldalán lehet találni (authentikáció után).

Moxa ipari switch-ek sérülékenysége

A Moxa által publikált információk szerint Liu Jinyong, a Qi An Xin Group Inc. ipari folyamatirányítási biztonsági laborjának munkatársa egy sérülékenységet fedezett fel a Moxa EDS-405A sorozatú Ethernet switch-einek 3.8-as és korábbi firmware-verzióiban.

A gyártó a hibát a 3.10-es és újabb firmware-verziókban javította. A sérülékenységgel kapcsolatos további részleteket a Moxa weboldalán lehet megtalálni.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A blogon már két vendégposzt is foglalkozott az USA-ban kiadott elnöki rendelettel (EO 13920, Executive Order on Securing the United States Bulk-Power System) és annak a Biden-adminisztráció hivatalba lépése utáni változásaival. A Claroty nemrég rögzített podcast-jában pont ezekről a változásokról és Biden elnök 100 napos, a villamosenergia-rendszer kiberbiztonságát javítani célzó intézkedéseiről lehet hallani.

A felvétel fontosabb témái:

- Az IT-OT konvergencia által generált kockázatok;
- A villamosenergia-rendszer egyedi fenyegetései;
- Hogyan lehet a legjobb kiberbiztonsági ellenállóképességet beépíteni a villamosenergia-rendszer IT és OT rendszereibe?
- Karrierlehetőségek a villamosenergia-szektorban kiberbiztonsági szakterületen;
- Az amerikai Energy ISAC (E-ISAC) küldetése.

A podcast felvételét innen lehet letölteni.

Sérülékenységek KUKA rendszerekben

Chen Jie, az NSFOCUS munkatársa két sérülékenységről közölt információkat a DHS CISA-val, ami a KUKA alábbi rendszereit érinti:

- KR C4 minden, 8.7-nél korábbi verziója;
- KSS minden verziója.

A gyártó a hibákkal kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységek részleteiről az ICS-CERT publikációjából lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-21-208-01

Mitsubishi Electric termékek sérülékenysége

Parul Sindhwad és Dr. Faruk Kazi, a COE-CNDS Lab munkatársai egy sérülékenységről tájékoztatták a DHS CISA-t, amit a Mitsubishi Electric alábbi termékeiben találtak:

- GOT2000 GT27-es, GT25-ös és GT23-as modelljeinek minden 01.19.000 és 01.39.010 közötti verziói, amennyiben használják a “MODBUS/TCP Slave, Gateway” kommunikációs meghajtó szoftvert;
- GT SoftGOT2000 minden, 1.170C és 1.256S közötti verziói, amennyiben használják a a “MODBUS/TCP Slave” kommunikációt.

A gyártó a hibát javító újabb verziókra történő frissítést javasolja. A sérülékenységgel kapcsolatos továbib információk az ICS-CERT bejelentésében érhetőek el: https://us-cert.cisa.gov/ics/advisories/icsa-21-208-02

Geutebrück kamerák sérülékenységei

Titouan Lazard és Ibrahim Ayadhi, a RandoriSec munkatársai tucatnyi sérülékenységről osztottak meg információkat a DHS CISA-val, amiket a Geutebrück alábbi eszközeiben használt, UDP Technology-tól származó firmware-ben találtak:

- E2 sorozatú kamerák – G-CAM 1.12.0.27-es és korábbi, valamint 1.12.13.2-es és 1.12.14.5-ös verziói
- EBC-21xx;
- EFD-22xx;
- ETHC-22xx;
- EWPC-22xx;
- Encoder G-Code1.12.0.27-es és korábbi, valamint 1.12.13.2-es és 1.12.14.5-ös verziói
- EEC-2xx;
- EEN-20xx.

A gyártó a hibákat az 1.12.14.7-es és újabb firmware-ekben javította. A sérülékenységekkel kapcsolatos további részletek az ICS-CERT weboldalán olvashatóak: https://us-cert.cisa.gov/ics/advisories/icsa-21-208-03

Sérülékenység LCDS rendszerekben

Michael Heinzl egy sérülékenységet jelentett a DHS CISA-nak a Leão Consultoria e Desenvolvimento de Sistemas Ltda ME LAquis SCADA rendszerének 4.3.1.1011 és korábbi verzióival kapcsolatban.

A gyártó a hibát a 4.3.1.1079-es és újabb verziókban javította. A sérülékenységről bővebb információkat az ICS-CERT publikációja tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-208-04

Delta Electronics DIAScreen rendszerek sérülékenységei

Kimiya, a ZDI-vel együttműködve két sérülékenységről közölt részleteket a DHS CISA-val, amiket a Delta Electronics DIAScreen v1.1.0-nál korábbi verzióiban fedezett fel.

A gyártó a hibát az 1.1.0 verzióban javította. A sérülékenységről további információk az ICS-CERT bejelentésében olvashatóak: https://us-cert.cisa.gov/ics/advisories/icsa-21-208-05

Wibu-Systems CodeMeter Runtime sérülékenység

Ahogy a múlt héti sérülékenységi posztban már a Siemens egyes rendszerei kapcsán említésre került, a Tenable munkatársai két sérülékenységet találtak a Wibu-Systems CodeMeter Runtime v7.21a-nál korábbi verzióiban.

A gyártó a hibával kapcsolatban a v7.21a vagy újabb verziókra történő frissítést javasolja. A sérülékenység részleteiről az ICS-CERT weboldalán lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-21-210-02

Sérülékenység Hitachi ABB Power Grids rendszerekben

A Hitachi ABB Power Grids egy sérülékenységről tájékoztatta a DHS CISA-t, amit az eSOMS 6.3-as és korábbi verziójú termékeikben találtak.

A gyártó a hibát a 6.3.1-es és későbbi verziókban javította. A sérülékenységgel kapcsolatos további információkat az ICS-CERT publikációja tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsa-21-210-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Wall Street Journal (előfizetéssel elérhető) cikke illetve a Newsweek írása szerint 2011 és 2013 között csaknem két tucatnyi kibertámadás érte az USA különböző csővezeték-hálózatait üzemeltető cégeket. Egyes esetekben a támadók - a most nyilvánosságra hozott információk szerint - képesek voltak fizikai károkat okozni a csővezetékekben illetve megzavarni a hálózat működését. Ezek a hírek már csak azért is érdekesek, mert bár az USA különböző hivatalos szervei rendszeresen figyelmeztettek lehetséges kibertámadásokra, néha még megnevezve orosz vagy éppen kínai állami hátterű csoportok részéről, de konkrét incidensekről a legritkább esetben adtak ki részleteket.

Bár a most nyilvánosságra hozott, korábban bizalmas információk már eléggé elavultnak hathatnak, jelenlegi és korábbi amerikai tisztviselők ezekkel is a nemrég bejelentett, korábbiaknál sokkal szigorúbb kiberbiztonsági követelményeket, amik a különböző csővezeték-hálózatokat üzemeltető cégekre vonatkoznak.

Ebből a hírből csak egy biztos következtetést lehet levonni: a nemzeti kritikus infrastruktúrák elleni kibertámadások (kövessék el azokat állami hátterű APT-csoportok vagy profit-maximalizáló kiberbűnözők) száma, gyakorisága és súlyossága folyamatosan nő és minden felelős vezetőnek (a különböző vállalati és állami szinteken egyaránt) kiemelt feladata kell(ene), hogy legyen, hogy minél jobban felkészítse a saját szervezetét (adott szinten az általa vezetett/védett államot) egy bekövetkező támadás megelőzésére vagy ha megelőzni nem lehet, mielőbbi felismerésére és elhárítására.

Mitsubishi Electric MELSEC-F berendezések sérülékenysége

A Mitsubishi Electric egy sérülékenységet jelentett a DHS CISA-nak, ami a MELSEC-F sorozatú Ethernet interface blokkok alábbi változatait érinti:

- FX3U-ENET 1.14-es és korábbi firmware-verziói;
- FX3U-ENET-L 1.14-es és korábbi firmware-verziói;
- FX3U-ENET-P502 1.14-es és korábbi firmware-verziói.

A gyártó a hibát az érintett eszközök 1.16-os és újabb firmware-verzióiban javította. A sérülékenységről további részleteket az ICS-CERT publikációja tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-201-01

Sérülékenységek Siemens rendszerekben

A Siemens a ZDI-vel együttműködve összesen 43 sérülékenységről publikált részleteket, amik az alábbi termékeiket érinti:

- JT2Go minden, V13.2-nél korábbi verziója;
- Teamcenter Visualization minden, V13.2-nél korábbi verziója.

A gyártó a hibával kapcsolatban az érintett termékek V13.2-es verzióra történő frissítését javasolja. A sérülékenységekről bővebb információkat a Siemens ProductCERT bejelentésében lehet elérni.

Siemens RWG Universal vezérlők sérülékenysége

A Siemens ProductCERT által nyilvánosságra hozott információk szerint egy sérülékenységet azonosítottak az RWG Universal vezérlőik alábbi verzióiban:

- RWG1.M8 minden, V1.16.16-nál korábbi verziója;
- RWG1.M12 minden, V1.16.16-nál korábbi verziója;
- RWG1.M12D minden, V1.16.16-nál korábbi verziója.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről bővebben a Siemens ProductCERT weboldalán lehet olvasni.

Sérülékenység Siemens SINUMERIK berendezésekben

A Siemens által publikált információk alapján egy sérülékenységet találtak a SINUMERIK termékcsalád alábbi tagjaiban:

- SINUMERIK MC minden verziója;
- SINUMERIK ONE minden verziója.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységgel kapcsolatos további részleteket a Siemens ProductCERT publikációjában lehet megtalálni.

Siemens SINAMICS rendszerek sérülékenysége

A Siemens ProductCERT bejelentése szerint egy sérülékenységet találtak a SINAMICS PERFECT HARMONY GH180-as típusú berendezések minden verziójában.

A gyártó a hiba okozta kockázatok csökkentésére több intézkedés alkalmazását is javasolja. A sérülékenység részleteiről a Siemens ProductCERT weboldalán lehet tájékozódni.

Sérülékenység Siemens Mendix rendszerekben

A Siemens által nyilvánosságra hozott információk alapján egy sérülékenységet azonosítottak a Mendix termékcsalád alábbi tagjaiban:

- Mendix 7-est használó Mendix alkalmazások minden, V7.23.22-nél korábbi verziója;
- Mendix 8-ast használó Mendix alkalmazások minden, V8.18.7-nél korábbi verziója;
- Mendix 9-est használó Mendix alkalmazások minden, V9.3.0-nál korábbi verziója.

A gyártó a hibát az egyes Mendix főverziók újabb verzióiban javította. A sérülékenységről további részleteket a Siemens ProductCERT publikációjában lehet találni.

Siemens Solid Edge rendszerek sérülékenysége

A Siemens ProductCERT bejelentése szerint négy sérülékenységet találtak a Solid Edge SE2021 minden, SE2021MP5-nél korábbi verziójában.

A gyártó a hibákat az SE2021MP-ös és újabb verziókban javította. A sérülékenységekkel kapcsolatos bővebb információk a Siemens ProductCERT bejelentésében érhetőek el.

Sérülékenységek Siemens SCALANCE berendezésekben

A Siemens által közzétett információk szerint a FragAttack néven ismertté vált 12 sérülékenységből 9 érintheti egyes a SCALANCE termékcsaládba tartozó termékeiket is:

- SCALANCE W700 IEEE 802.11ax minden verziója;
- SCALANCE W700 IEEE 802.11n minden verziója;
- SCALANCE W1700 IEEE 802.11ac minden verziója;
- SCALANCE W1750D minden verziója.

A gyártó a hibákkal kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről részletesebben a Siemens ProductCERT weboldalán lehet olvasni.

OpenSSL sérülékenység Siemens ipari rendszerekben

A Siemens ProductCERT által publikált információk szerint egy OpenSSL sérülékenység érinti az alábbi termékeiket:

- RUGGEDCOM CloudConnect APE/VPE minden verziója;
- RUGGEDCOM RCM1224 minden, V6.2 és újabb verziója;
- SCALANCE LPE9403 minden verziója;
- SCALANCE M-800 minden, V6.2 és újabb verziója;
- SCALANCE S602 minden, V4.1 és újabb verziója;
- SCALANCE S612 minden, V4.1 és újabb verziója;
- SCALANCE S615 minden, V6.2 és újabb verziója;
- SCALANCE S623 minden, V4.1 és újabb verziója;
- SCALANCE S627-2M minden, V4.1 és újabb verziója;
- SCALANCE SC-600 minden, V2.0 és újabb verziója;
- SCALANCE W700 IEEE 802.11n minden, V6.5 és újabb verziója;
- SCALANCE W1700 IEEE 802.11ac minden, V2.0 és újabb verziója;
- SCALANCE XB-200 minden, V4.3-nál régebbi verziója;
- SCALANCE XC-200 minden, V4.3-nál régebbi verziója;
- SCALANCE XF-200BA minden, V4.3-nál régebbi verziója;
- SCALANCE XM-400 minden, V6.4-nél régebbi verziója;
- SCALANCE XP-200 minden, V4.3-nál régebbi verziója;
- SCALANCE XR-300WG minden, V4.3-nál régebbi verziója;
- SCALANCE XR-500 Family minden, V6.4-nél régebbi verziója;
- SIMATIC CLOUD Connect 7 minden, V1.1 és újabb verziója;
- SIMATIC CP 1242-7 GPRS V2 minden, V3.1 és újabb verziója;
- SIMATIC HMI Basic panelek második generációjának (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC HMI Comfort Outdoor 7 és 15 colos panelek (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC HMI Comfort 4-től 22 colosig terjedő panelek (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC HMI Comfort panelek (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC HMI KTP Mobile panelek összes, SIMATIC Logon-t használó változatának minden, V1.6.0.2 és újabb verziója;
- SIMATIC MV500 minden verziója;
- SIMATIC NET CP 1243-1 (beleértve a SIPLUS változatokat is) minden, V3.1 és újabb verziója;
- SIMATIC NET CP 1243-7 LTE EU minden, V3.1 és újabb verziója;
- SIMATIC NET CP 1243-7 LTE US minden, V3.1 és újabb verziója;
- SIMATIC NET CP 1243-8 IRC minden, V3.1 és újabb verziója;
- SIMATIC NET CP 1542SP-1 IRC (beleértve a SIPLUS változatokat is) minden, 2.1 és újabb verziója;
- SIMATIC NET CP 1543-1 (beleértve a SIPLUS változatokat is) minden, V2.2 és újabb verziója;
- SIMATIC NET CP 1543SP-1 (beleértve a SIPLUS változatokat is) minden, V2.1 és újabb verziója;
- SIMATIC NET CP 1545-1 minden, V1.0 és újabb verziója;
- SIMATIC PCS 7 TeleControl minden verziója;
- SIMATIC PCS neo minden verziója;
- SIMATIC PDM minden, V9.1.0.7 és újabb verziója;
- SIMATIC Process Historian OPC UA Server minden, 2019 és újabb verziója;
- SIMATIC RF166C minden verziója;
- SIMATIC RF185C minden verziója;
- SIMATIC RF186C minden verziója;
- SIMATIC RF186CI minden verziója;
- SIMATIC RF188C minden verziója;
- SIMATIC RF188CI minden verziója;
- SIMATIC RF360R minden verziója;
- SIMATIC S7-1200 CPU family (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (MLFB: 6ES7518-4AX00-1AC0, 6AG1518-4AX00-4AC0, beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC WinCC Runtime Advanced minden verziója;
- SIMATIC WinCC TeleControl minden verziója;
- SINAMICS Connect 300 minden verziója;
- SINEC NMS: V1.0 SP1, V1.0 SP1 Update1
- SINEC PNI minden verziója;
- SINEMA Server V14 V14.0.2, V14.0.2.1 és V14.0.2.2-es verziói;
- SINUMERIK OPC UA Server minden verziója;
- TIA Administrator minden verziója;
- TIM 1531 IRC (beleértve a SIPLUS NET változatokat is) minden, V2.0 és újabb, de V2.2-nél régebbi verziója.

A gyártó egyes érintett termékeihez kiadta a hibát javító újabb verziókat, a többi esetén pedig kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről bővebb információkat a Siemens ProductCERT publikációja tartalmaz.

DHCP kliens-sérülékenység Siemens VxWorks-alapú rendszerekben

A Siemens által közzétett információk alapján egy DHCP kliens-sérülékenységet azonosítottak az alábbi, Wind River VxWorks valósidejű operációs rendszerre épülő termékeikben:

- RUGGEDCOM WIN Subscriber Station minden verziója;
- SCALANCE X200-4 P IRT minden verziója;
- SCALANCE X201-3P IRT minden verziója;
- SCALANCE X201-3P IRT PRO minden verziója;
- SCALANCE X202-2 IRT minden verziója;
- SCALANCE X202-2P IRT minden verziója;
- SCALANCE X202-2P IRT PRO minden verziója;
- SCALANCE X204 IRT minden verziója;
- SCALANCE X204 IRT PRO minden verziója;
- SCALANCE X204-2 (beleértve a SIPLUS NET változatokat is) minden verziója;
- SCALANCE X204-2FM minden verziója;
- SCALANCE X204-2LD (beleértve a SIPLUS NET változatokat is) minden verziója;
- SCALANCE X204-2LD TS minden verziója;
- SCALANCE X204-2TS minden verziója;
- SCALANCE X206-1 minden verziója;
- SCALANCE X206-1LD minden verziója;
- SCALANCE X208 minden verziója;
- SCALANCE X208 PRO minden verziója;
- SCALANCE X212-2 minden verziója;
- SCALANCE X212-2LD minden verziója;
- SCALANCE X216 minden verziója;
- SCALANCE X224 minden verziója;
- SCALANCE X300/X408 család (beleértve a SIPLUS NET változatokat is) minden verziója;
- SCALANCE XF201-3P IRT minden verziója;
- SCALANCE XF202-2P IRT minden verziója;
- SCALANCE XF204 minden verziója;
- SCALANCE XF204 IRT minden verziója;
- SCALANCE XF204-2 minden verziója;
- SCALANCE XF204-2BA IRT minden verziója;
- SCALANCE XF206-1 minden verziója;
- SCALANCE XF208 minden verziója;
- SIMATIC RF 181 EIP minden verziója;
- SIMATIC RF 182C minden verziója.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenység részleteiről a Siemens ProductCERT bejelentéséből lehet tájékozódni.

Sérülékenységek Siemens Teamcenter Active Workspace rendszerekben

A Siemens ProductCERT weboldalán megjelent információk alapján 3 sérülékenységet találtak az alábbi termékeikben:

- Teamcenter Active Workspace V4 minden, V4.3.9-nél korábbi verziója;
- Teamcenter Active Workspace V5.0 minden, V5.0.7-nél korábbi verziója;
- Teamcenter Active Workspace V5.1 minden, V5.1.4-nél korábbi verziója.

A gyártó a hibákat az érintett főverziók legújabb verzióiban javította. A sérülékenységekkel kapcsolatos további részletek a Siemens ProductCERT weboldalán érhetőek el.

WIBU Systems CodeMeter Runtime sérülékenységek Siemens termékekben

A Siemens publikációja szerint a WIBU Systems CodeMeter Runtime nevű termékében nemrég azonosított két sérülékenység érinti a Siemens alábbi megoldásait is:

- PSS CAPE Protection Simulation Platform CAPE 14 telepítések, amennyiben azokat a 2021.06.16-ai előtti telepítőkről végezték;
- SICAM 230 minden verziója;
- SIMATIC Information Server minden, 2019 SP1-es és korábbi verziója;
- SIMATIC PCS neo minden verziója;
- SIMATIC Process Historian (beleértve a Process Historian OPC UA Server-t is) minden, 2019-es és korábbi verziója.
- SIMATIC WinCC OA V3.17 minden, V3.17 P013-nál régebbi verziója;
- SIMATIC WinCC OA V3.18 minden, V3.18 P002-nél régebbi verziója;
- SIMIT Simulation Platform minden, V10.0-nál újabb verziója;
- SINEC INS minden verziója;
- SINEMA Remote Connect Server minden verziója.

A hibákkal kapcsolatban a gyártó az elérhető újabb verziók használatát illetve kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről bővebben a Siemens ProductCERT publikációjában lehet olvasni.

Sérülékenység Siemens SINUMERIK rendszerekben

A Siemens ProductCERT által nyilvánosságra hozott információk szerint egy sérülékenységet találtak a SINUMERIK termékcsalád alábbi tagjaiban:

- SINUMERIK Analyse MyCondition minden verziója;
- SINUMERIK Analyze MyPerformance minden verziója;
- SINUMERIK Analyze MyPerformance /OEE-Monitor minden verziója;
- SINUMERIK Analyze MyPerformance /OEE-Tuning minden verziója;
- SINUMERIK Integrate Client 02 minden, V02.00.12 és újabb, de 02.00.18-nál korábbi verziója;
- SINUMERIK Integrate Client 03 minden, V03.00.12 és újabb, de 03.00.18-nál korábbi verziója;
- SINUMERIK Integrate Client 04 V04.00.02-es és minden, V04.00.15-ös és újabb, de 04.00.18-nál korábbi verziója;
- SINUMERIK Integrate for Production 4.1 minden, V4.1 SP10 HF3-nál korábbi verziója;
- SINUMERIK Integrate for Production 5.1: V5.1
- SINUMERIK Manage MyMachines minden verziója;
- SINUMERIK Manage MyMachines /Remote minden verziója;
- SINUMERIK Manage MyMachines /Spindel Monitor minden verziója;
- SINUMERIK Manage MyPrograms minden verziója;
- SINUMERIK Manage MyResources /Programs minden verziója;
- SINUMERIK Manage MyResources /Tools minden verziója;
- SINUMERIK Manage MyTools minden verziója;
- SINUMERIK Operate V4.8: All versions < V4.8 SP8
- SINUMERIK Operate V4.93: All versions < V4.93 HF7
- SINUMERIK Operate V4.94: All versions < V4.94 HF5
- SINUMERIK Optimize MyProgramming /NX-Cam Editor minden verziója.

A Siemens a hiba javítását tartalmazó újabb verziókat már elérhetővé tette. A sérülékenységgel kapcsolatos további részleteket a gyártó bejelentésében lehet megtalálni.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A hónap elején ismét két (kisebb) amerikai közmű szolgáltatót ért ransomware-támadás.

A Wiregrass Electric Cooperative egy kis vidéki közmű szolgáltató Alabama államban. A cég egyik vezetője szerint az adataik nem kerültek a támadók kezébe és az incidens nem okozott fennakadást az ügyfeleiknek biztosított villamosenergia-szolgáltatásban, azonban a feltöltőkártyás ügyfeleik számára az incidens nehézségeket jelenthetett az egyenlegeik feltöltésében. Az incidensről a Dothan Eagle (egy helyi újság) és a SecurityAffairs.com írt.

A WSSC Water nevű viziközmű vállalatot szintén zsarolóvírus-támadás érte, az elérhető információk szerint esetükben is a vízellátásban közvetlenül érintett ICS rendszerekre nem terjedt ki az incidens hatása, az "csak" egyes üzleti rendszereik működését zavarta meg. Nyilatkoztuk szerint egyes hálózataik fizikailag szeparáltak másoktól (ebben én azért némileg kételkednék, kb. 10 éve hallgatom azt különböző ICS rendszereket üzemeltető mérnököktől, hogy "de az nincs összekapcsolva irodai/ügyviteli hálózatokkal, aztán valahogy mindig kiderül, hogy de mégis van kapcsolat az IT és az OT hálózatok között) és a ransomware által titkosított fájlokat visszaállították mentésből.

Az esetről a WSSC Water CBS Baltimore-nak adott nyilatkozatából és a SecurityAffairs cikkéből lehet többet megtudni.

Moxa NPort készülékek sérülékenységei

Konstantin Kondratev, Evgeniy Druzhinin és Ilya Karpov, a Rostelecom-Solar munkatársai négy sérülékenységet találtak a Moxa NPort IAW5000A-I/O sorozatú vezeték nélküli eszközeinek 2.2-es és korábbi firmware-verzióiban.

A gyártó a hibával kapcsolatos javításokat elkészítette és a Moxa Technical Support-on keresztül teszi elérhetővé ügyfelei számára. A sérülékenységek részleteiről az ICS-CERT publikációjában lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-187-01

Sérülékenységek Philips VUE PACS rendszerekben

A Philips 15 sérülékenységről közölt információkat a DHS CISA-val, amik az alábbi termékeiket érintik:

- Vue PACS 12.2.x.x és korábbi verziói;
- Vue MyVue: 12.2.x.x és korábbi verziói;
- Vue Speech 12.2.x.x és korábbi verziói;
- Vue Motion 12.2.1.5 és korábbi verziói;

A gyártó a hibákat javító újabb firmware-verziókat már elérhetővé tette. A sérülékenységekkel kapcsolatos további információkat az ICS-CERT bejelentése tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsma-21-187-01

MDT AutoSave rendszerek sérülékenységei

Amir Preminger, a Claroty Research munkatársa 7 sérülékenységet talált az MDT Software alábbi termékeiben:

- MDT AutoSave v6.02.06-nál korábbi verziói;
- MDT AutoSave v7.00-7.04 közötti verziói;
- AutoSave for System Platform (A4SP) 4.01-nél korábbi verziói;
- A4SP Version 5.00 verziója.

A gyártó a hibákat javító újabb verziókat már elérhetővé tette. A sérülékenységekről bővebb információkat az ICS-CERT weboldalán lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-189-02

Sérülékenység Rockwell Automation termékekben

Beau Taub, a Bayshore Networks munkatársa egy sérülékenységről osztott meg információkat a Rockwell Automation-nel, ami MicroLogix 1100-asok minden verzióját érinti.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységhez kapcsolódó további részleteket az ICS-CERT publikációjában lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-189-01

Siemens RUGGEDCOM eszközök sérülékenysége

A Siemens egy sérülékenységről közölt információkat a DHS CISA-val, ami a RUGGEDCOM termékcsalád alábbi tagjait érinti:

- RUGGEDCOM ROS i800 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS i801 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS i802 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS i803 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS M969 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS M2100 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS M2200 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RMC 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RMC20 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RMC30 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RMC40 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RMC41 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RMC8388 V4.X 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RMC8388 V5.X 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RP110 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS400 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS401 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS416 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS416V2 V4.X 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS416V2 V5.X 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RS900 (32M) V4.X 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS900 (32M) V5.X 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RS900G 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS900G (32M) V4.X 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS900G (32M) V5.X 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RS900GP 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS900L 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS PS900W 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS910 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS910L 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS910W 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS920L 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS920W 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS930L 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS930W 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS940G 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS969 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS8000 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS8000A 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS8000H 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RS8000T 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RSG900 V4.X 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RSG900 V5.X 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RSG900C 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RSG900G V4.X 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RSG800G V5.X 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RSG900R 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RSG920P V4.X 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RSG920P V5.X 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RSG2100 (32M) V4.X 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RSG2100 (32M) V5.X 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RSG2100 V4.X 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RSG2100P 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RSG2100P (32M) V4.X 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RSG2100P (32M) V5.X 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RSG2200 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RSG2288 V4.X 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RSG2288 V5.X 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RSG2300 V4.X 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RSG2300 V5.X 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RSG2300P V4.X 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RSG2300P V5.X 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RSG2488 V4.X 4.3.7-es és korábbi verziói;
- RUGGEDCOM ROS RSG2488 V5.X 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RSL910 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RST916C 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RST916P 5.5.4-es és korábbi verziói;
- RUGGEDCOM ROS RST2228 5.5.4-es és korábbi verziói.

A gyártó a hibát az újabb verziókban javította és kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységgel kapcsolatos további részletek a Siemens ProductCERT és az ICS-CERT bejelentéseiben találhatóak meg.

Sérülékenységek Siemens JT Utilities rendszerekben

A Siemens három sérülékenységről jelentett részleteket a DHS CISA-nak, amik a JT Utilities v13.0.2.0-nál korábbi verzióit érinti.

A gyártó a hibákat a JT Utilities v13.0.2.0 és újabb verzióiban javította. A sérülékenységekről bővebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Siemens Solid Edge sérülékenységek

Mat Powell, a ZDI-vel együttműködve 4 sérülékenységet jelentett a DHS CISA-nak, amiket a Siemens Solid Eged SE2021MP5-nél korábbi verzióiban talált.

A gyártó a hibákat az SE2021MP5-ös és újabb verziókban javította. A sérülékenységek részleteiről a Siemens ProductCERT és az ICS-CERT publikációiból lehet tájékozódni.

Sérülékenység Siemens SINUMERIK rendszerekben

A Siemens egy sérülékenység részleteiről tájékoztatta a DHS CISA-t, ami a SINUMERIK termékcsaládjuk alábbi tagjait érinti:

- SINUMERIK Analyze MyCondition minden verziója;
- SINUMERIK Analyze MyPerformance minden verziója;
- SINUMERIK Analyze MyPerformance/OEE-Monitor minden verziója;
- SINUMERIK Analyze MyPerformance/OEE-Tuning minden verziója;
- SINUMERIK Integrate Client 02 v02.00.12 és újabb verziói, kivéve a v02.00.18-as verziót;
- SINUMERIK Integrate Client 03 v03.00.12 és újabb verziói, kivéve a v03.00.18-as verziót;
- SINUMERIK Integrate Client 04 v04.00.02 és újabb verziói a v04.00.15-ig, kivéve a v04.00.18-as verziót;
- SINUMERIK Integrate for Production 4.1 minden, v4.1 SP10 HF3-nál korábbi verziója;
- SINUMERIK Integrate for Production 5.1;
- SINUMERIK Manage MyMachines minden verziója;
- SINUMERIK Manage MyMachines/Remote minden verziója;
- SINUMERIK Manage MyMachines/Spindel Monitor minden verziója;
- SINUMERIK Manage MyPrograms minden verziója;
- SINUMERIK Manage MyResources/Programs minden verziója;
- SINUMERIK Manage MyResources/Tools minden verziója;
- SINUMERIK Manage My Tools minden verziója;
- SINUMERIK Operate v4.8 minden, v4.8 SP8-nál korábbi verziója;
- SINUMERIK Operate v4.93 minden, v4.93 HF7-nél korábbi verziója;
- SINUMERIK Operate v4.94 minden, v4.94 HF5-nél korábbi verziója;
- SINUMERIK Optimize MyProgramming/NX-Cam Editor minden verziója.

A hibát javító újabb verziókat a gyártó már elérhetővé tette. A sérülékenységgel kapcsolatos további részleteket a Siemens ProductCERT és az ICS-CERT bejelentései tartalmazzák.

Siemens PROFINET eszközök sérülékenysége

A Siemens által publikált információk alapján egy sérülékenységet azonosítottak az alábbi termékeikben:

- PROFINET IO DK Standard Ethernet vezérlőhöz használható fejlesztői/tesztelői készletek minden verziója;
- PROFINET IO EK-ERTEC 200-hoz használható fejlesztői/tesztelői készletek minden verziója;
- PROFINET IO: EK-ERTEC 200P-hez használható fejlesztői/tesztelői készletek minden verziója;
- RUGGEDCOM RM1224 minden, v6.4-nél korábbi verziója;
- SCALANCE M-800 minden, v6.4-nél korábbi verziója;
- SCALANCE S615 minden, v6.4-nél korábbi verziója;
- SCALANCE W700 IEEE 802.11n minden verziója;
- SCALANCE W700 IEEE 802.11ac minden verziója;
- SCALANCE X200-4 P IRT minden, v5.5.0-nál korábbi verziója;
- SCALANCE X201-3P IRT minden, v5.5.0-nál korábbi verziója;
- SCALANCE X201-3P IRT PRO minden, v5.5.0-nál korábbi verziója;
- SCALANCE X202-2 IRT minden, v5.5.0-nál korábbi verziója;
- SCALANCE X202-2P IRT minden, v5.5.0-nál korábbi verziója (beleértve a SIPLUS NET változatokat is);
- SCALANCE X202-2P IRT PRO minden, v5.5.0-nál korábbi verziója;
- SCALANCE X204 IRT minden, v5.5.0-nál korábbi verziója;
- SCALANCE X204 IRT PRO minden, v5.5.0-nál korábbi verziója;
- SCALANCE X204-2 minden, v5.5.0-nál korábbi verziója (beleértve a SIPLUS NET változatokat is);
- SCALANCE X204-2FM minden verziója;
- SCALANCE X204-2LD minden verziója (beleértve a SIPLUS NET változatokat is);
- SCALANCE X20204-2LD TS minden verziója;
- SCALANCE X204 -2TS minden verziója;
- SCALANCE X206-1 minden verziója;
- SCALANCE X206-1LD minden verziója (beleértve a SIPLUS NET változatokat is);
- SCALANCE X208 minden verziója (beleértve a SIPLUS NET változatokat is);
- SCALANCE X208PRO minden verziója;
- SCALANCE X212-2 minden verziója;
- SCALANCE X12-2LD minden verziója;
- SCALANCE X216 minden verziója;
- SCALANCE X224 minden verziója;
- SCALANCE X302-7EEC minden verziója;
- SCALANCE 304-2FE minden verziója;
- SCALANCE X306-1LDFE minden verziója;
- SCALANCE X307-2EEC minden verziója;
- SCALANCE X307-3 minden verziója;
- SCALANCE X307-3LD minden verziója;
- SCALANCE X308-2 minden verziója (beleértve a SIPLUS NET változatokat is);
- SCALANCE X308-2LD minden verziója;
- SCALANCE X308-2LH minden verziója;
- SCALANCE X308-2LH+ minden verziója;
- SCALANCE X308-2M minden verziója;
- SCALANCE X308-2M POE minden verziója;
- SCALANCE X308-2M TS minden verziója;
- SCALANCE X310 minden verziója;
- SCALANCE X310FE minden verziója;
- SCALANCE X320-1FE minden verziója;
- SCALANCE X320-3LDFE minden verziója;
- SCALANCE XB-200 minden verziója;
- SCALANCE XC-200 minden verziója;
- SCALANCE XF201-3P IRT minden, v5.5.0-nál korábbi verziója;
- SCALANCE XF202-2P IRT minden, v5.5.0-nál korábbi verziója;
- SCALANCE XF204 minden verziója;
- SCALANCE XF204 IRT minden, v5.5.0-nál korábbi verziója;
- SCALANCE XF204-2 minden verziója (beleértve a SIPLUS NET változatokat is);
- SCALANCE XF204-2BA IRT minden, v5.5.0-nál korábbi verziója;
- SCALANCE XF206-1 minden verziója;
- SCALANCE XF208 minden verziója;
- SCALANCE XF-200BA minden verziója;
- SCALANCE XM400 minden, v6.3.1-nál korábbi verziója;
- SCALANCE XP-200 minden verziója;
- SCALANCE XR324-4M EEC minden verziója;
- SCALANCE XR324-4M POE minden verziója;
- SCALANCE XR324-4M POE TS minden verziója;
- SCALANCE XR324-12M minden verziója;
- SCALANCE XR324-12M TS minden verziója;
- SCALANCE XR500 minden, v6.3.1-nál korábbi verziója;
- SCALANCE XR-300WG minden verziója;
- SIMATIC CFU PA minden verziója;
- SIMATIC IE/PB-LINK V3 minden verziója;
- SIMATIC MV500 család minden, v3.0-nál korábbi verziója;
- SIMATIC NET CM 1542-1 minden verziója;
- SIMATIC NET CP1616/CP1604 minden, 2.7-nél korábbi verziója;
- SIMATIC NET CP1626 minden verziója;
- SIMATIC NET DK-16xx PN IO minden, 2.7-nél korábbi verziója;
- SIMATIC Power Line Booster PLB, Base Module (MLFB: 6ES7972-5AA10-0AB0) minden verziója;
- SIMATIC PROFINET Driver minden verziója;
- SIMATIC S7-1200 CPU család minden, v4.5-nél korábbi verziója (beleértve a SIPLUS NET változatokat is);
- SIMOCODE proV Ethernet/IP minden, v1.1.3-nál korábbi verziója;
- SIMOCODE proV PROFINET minden, v2.1.3-nál korábbi verziója;
- SOFTNET-IE PNIO minden verziója;

A gyártó a hibát javító új verziókat és a különböző kockázatcsökkentő intézkedésekre vonatkozó ajánlásait már elérhetővé tette. A sérülékenységről bővebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Sérülékenység Siemens SIMATIC szoftverekben

Uri Katz, a Claroty munkatársa egy sérülékenységet jelentett a Siemens-nek, ami a SIMATIC termékcsalád alábbi szoftvereit érinti:

- SIMATIC PCS 7 v8.2 és korábbi kiadásainak minden verziója;
- SIMATIC PCS 7 v9.0 minden, 9.0 SP3-nál korábbi verziója;
- SIMATIC PDM minden, v9.2-nél korábbi verziója;
- SIMATIC STEP 7 v5.X minden, v5.6 SP2 HF3-nál korábbi verziója;
- SINAMICS STARTER (STEP 7 OEM verziót tartalmazó változatainak) minden, v5.4 HF2-nél korábbi verziója.

A hibát javító új verziókat a gyártó már elérhetővé tette. A sérülékenységgel kapcsolatos részleteket a Siemens ProductCERT és az ICS-CERT publikációi tartalmazzák.

Siemens ipari termékek sérülékenységei

A Siemens két, az alábbi ipari környezetekben használt megoldásaikat érintő sérülékenységről tájékoztatta a DHS CISA-t:

- SIMATIC HMI Unified Comfort panelek minden, v17-nél korábbi verziója;
- SIMATIC NET CP 1243-1 minden verziója (beleértve a SIPLUS NET változatokat is);
- SIMATIC NET CP 1243-8 IRC minden verziója;
- SIMATIC NET CP 1542SP-1 IRC minden verziója;
- SIMATIC NET CP 1542SP-1 IRC minden verziója (beleértve a SIPLUS NET változatokat is);
- SIMATIC NET CP 1543-1 minden verziója (beleértve a SIPLUS NET változatokat is);
- SIMATIC NET CP 1543SP-1 minden verziója (beleértve a SIPLUS NET változatokat is);
- SIMATIC NET CP 1545-1 minden verziója;
- SINUMERIK ONE MCP minden verziója;
- TIM 1531 IRC minden, v2.2-nél korábbi verziója (beleértve a SIPLUS NET változatokat is).

A gyártó a hibákat javító újabb verziókat és a kockázatok csökkentését célzó egyéb tanácsait már elérhetővé tette. A sérülékenységekről további információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet megtalálni.

Sérülékenység Siemens SIMATIC rendszerekben

A Siemens egy sérülékenységről közölt információkat a DHS CISA-val, ami az alábbi termékeiket érinti:

- SIMATIC PCS 7 V8.2 és korábbi kiadásainak minden verziója;
- SIMATIC PCS 7 V9.X minden verziója;
- SIMATIC PDM minden verziója;
- SIMATIC STEP 7 V5.X minden, v5.7-nél korábbi verziója;
- SINAMICS STARTER (STEP 7 OEM verziót tartalmazó változatainak) minden verziója.

A gyártó a hiba javítását a SIMATIC STEP 7 V5.X verziókhoz már elérhetővé tette. A sérülékenységgel kapcsolatos további részletek a Siemens ProductCERT és az ICS-CERT weboldalain érhetőek el.

Schneider Electric rendszerek sérülékenységei

Kai Wang, a Fortinet FortiGuard Labs munkatársa, Andrey Muravitsky, Maxim Tumakov és Artem Zinenko, a Kaspersky munkatársai, Gal Kauffman, az Armis, Nicholas Miles, a Tenable, Li Wei, a Friday Lab - Bolean Tech és Kai Wang (gondolom nem ugyanaz, aki a Fortinet-nél dolgozik), a Qi'anxin csoport Codesafe Team of Legendsec csapatának tagja összesen 6 sérülékenységet jelentettek a Schneider Electric-nek, amik a gyártó alábbi termékeit érintik:

- EcoStruxure Control Expert minden, v15.0 SP1 és korábbi verziója, beleértve a Unity Pro (korábbi nevén EcoStruxure Control Expert) minden verzióját is;
- EcoStruxure Process Expert minden verziója, beleértve az EcoStruxure Hybrid DCS (korábbi nevén EcoStruxure Process Expert) minden verzióját is;
- SCADAPack RemoteConnect for x70 minden verziója;
- SCADAPack 470, 474, 570, 574 és 575 RTU-k minden verziója;
- Modicon M580 CPU-k (BMEP* és BMEH* sorozatszámú eszközökök) minden verziója;
- Modicon M340 CPU-k (BMXP34* sorozatszámú eszközök) minden verziója.

A hibával kapcsolatos további információkat a gyártó weboldalán lehet elérni.

Schneider Electric C-Bus Toolkit sérülékenység

rgod, a ZDI-vel együttműködve egy sérülékenységről közölt információkat a DHS CISA-val, amit a Schneider Electric C-Bus Toolkit 1.15.8 és korábbi verzióiban talált.

A hibát a gyártó a C-Bus Toolkit 1.15.9-es és későbbi verzióiban javította. A sérülékenységről bővebben a Schneider Electric publikációjában lehet olvasni.

Sérülékenységek Ypsomed rendszerekben

Julian Suleder, Linda Huischen és Nils Emmerich, az ERNW Research GmbH és Dr. Oliver Matula, az Enno Rey Netzwerke GmbH munkatársai egy sérülékenységet jelentettek a német BSI-nek, amit az Ypsomed alábbi termékeiben azonosítottak:

- Ypsomed mylife Cloud minden, 1.7.2-nél korábbi verziói;
- Ypsomed mylife App minden, 1.7.5-nél korábbi verziói.

A gyártó a hibákat javító újabb verziókat már elérhetővé tette. A sérülékenységekkel kapcsolatos bővebb információkat az ICS-CERT bejelentése tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsma-21-196-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az idei évben látszólag nagyon elszaporodtak az USA viziközmű cégei elleni kibertámadások (volt már szó ugye itt a blogon is a kansas-i vízmű elleni támadásról, a Florida-i Oldsmar viziközmű cégét ért támadásról, legutóbb pedig a kaliforniai Bay Area vízműve elleni támadásról jött hír) nyomán nem alaptalan a kérdésfeltevés: vajon mennyire biztonságos a vízellátása a modern társadalmaknak?

Brian Krebs június végi blogposztájában többen is nyilatkoznak a kérdésben és egyöntetű a vélemény, hogy a viziközmű-szektorban is bőven van helye fejlődésnek az IT és OT biztonság terén egyaránt. A Water Sector Coordinating Council által végzett felmérés szerint a legnagyobb kockázatnak a válaszadók az alábbiakat tartják:

- A folyamatirányító rendszer kiberbiztonsági kitettségének csökkentése;
- Megfelelő kockázatértékelés;
- Harver- és szoftver-sérülékenységek azonosítása és a kockázatok csökkentése;
- Biztonságtudatossági szint növelése;
- Incidenskezelési, katasztrófa-elhárítási és vészhelyzet-kezelési eljárások kidolgozása;
- Biztonságos távoli hozzáférések kialakítása (emlékezve az Oldsmar-i és kaliforniai incidensek egyik kiváltó okára, ebben valóban komoly fejlesztésekre lenne szükség, minél gyorsabban...)

A felméréssel kapcsolatos további részleteket, valamint linket a jelentésre Brian Krebs blogján lehet találni.