Az elmúlt időszakban ugye több nagy visszhangot keltett ransomware-támadás is történt (Colonial Pipeline, JBS), a mai posztban ezekkel kapcsolatos friss híreket és többféle forrásból származó, kifejezetten zsarolóvírus-támadások elleni védekezéshez használható tanácsokat gyűjtöttem össze.

Egy hete érkeztek részletek arról, hogyan tudták a támadók kompromittálni a Colonial Pipeline rendszereit. A jelek szerint ahhoz az incidenshez, aminek következtében az USA keleti felén mindenhol (repülőterektől a különböző méretű benzinkutakig) zavarokat okozott az üzemanyag-ellátásban, egyetlen, hanyagul kezelt/megválasztott jelszó kiszivárgására vezetett, persze azzal a kiegészítéssel, hogy ez a jelszó egy felhasználó (két- vagy többfaktoros authentikációt nélkülöző, kizárólag felhasználónévre és a kompromittált jelszóra építő) VPN-hozzáféréséhez tartozott. A VPN-felhasználó ráadásul már nem is volt aktív használatban, tehát tisztán látható, hogy a Colonial Pipeline számos alapvető biztonsági ökölszabályt hagyott figyelmen kívül. A FireEye/Mandiant vizsgálatának további részleteit a Bloomberg cikkében lehet olvasni.

 Aztán a hét közepén jött hír, ami szerint az FBI legalább részben sikerrel járt a Colonial Pipeline által kifizetett 4,4 millió amerikai dolláros váltságdíj egy részének visszaszerzésére indított akciójában. Hogy ez pontosan hogyan is volt lehetséges a konkrét esetben, azt a Sophos IT biztonsági cég Naked Security blogján foglalták össze.

A JBS élelmiszeripari multi elleni támadásról is sokfelé írtak (én éppen itt), ezzel az incidenssel kapcsolatban szintén az FBI munkatársai nyilatkozták szerdán, hogy információik szerint a támadás hátterében a REvil (más néven Sodinokibi) kiberbűnözői csoport állhat. A REvil-t számos biztonsági kutató orosz hátterű csoportnak tartja, főleg abból kiindulva, hogy orosz célpontokat nem támadnak, így pedig az orosz hatóságok nem üldözik őket.

Szerdán jött a hír, miszert a JBS 11 millió amerikai dollárt kifizetett a támadók által követelt 22,5 millió dolláros váltságdíjból - erről a SecurityAffairs írt.

Közben a JBS vezetői azt nyilatkozták, hogy várható csütörtökre helyreáll(t) az USA-beli üzemeik működése és ismét teljes kapacitással tudnak termelni.

Az ipari szervezetek elleni ransomware-támadások növekvő súlyát mutatja, hogy pár nap alatt két, ransomware-ek elleni módszereket részletező publikációt is elém sodort az RSS olvasóm.

A medium.com cikkében végigveszi a a jellemző ransomware-es támadási formákat, bemutatja a kriptovaluták előnyeit és hátrányait és a NIST ajánlásai alapján bemutatja milyen költséghatékony hardening eljárásokkal lehet védekezni a zsarolóvírus-támadások ellen.

Míg a medium.com cikke általános tanácsokat fogalmaz meg, amit nem csak OT, hanem gyakorlatilag bármelyik IT rendszer esetén is sikerrel lehet alkalmazni, a Dragos ransomware-ek elleni védelemről szóló publikációja kifejezetten az OT környezetekben alkalmazható védelmi intézkedéseket veszi sorra.

Siemens SIMATIC TIM rendszerek sérülékenységei

A Siemens két sérülékenységet jelentett a DHS CISA-nak, ami az alábbi rendszereikben használt, harmadik féltől származó libcurl komponenst érintik:

- SIMATIC TIM 1531 IRC (beleértve a SIPLUS NET változatokat is) minden v2.2-nél korábbi verziója.

A gyártó a hibákat a v2.2-es és újabb verziókban javította. A sérülékenységekről további részleteket a Siemens ProductCERT és az ICS-CERT publikációi tartalmaznak.

Ugyanezt a terméket és ezeket a verziókat érinti az a DoS-támadásokat lehetővé tevő hiba, amit szintén a Siemens talált saját termékében és ugyancsak a v2.2 és újabb verziókban javítottak. Erről a sérülékenységről szintén a Siemens ProductCERT és az ICS-CERT weboldalain írnak.

Sérülékenység Siemens Mendix SAML modulokban

A Siemens egy sérülékenységet talált a Mendix nevű termékük SAML moduljának 2.1.2-t megelőző verzióiban.

A gyártó a hibát a 2.1.2-es és újabb verziókban javította. A sérülékenység részleteiről a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet olvasni.

Siemens Solid Edge sérülékenységek

A Garmin, a ZDI-vel együttműködve két sérülékenységet jelentett a Siemens-nek, amiket a Solid Edge szoftvereszközök alábbi verzióiban fedeztek fel:

- Solid Edge SE2020 minden, 2020MP14-nél korábbi verzió;
- Solid Edge SE2021 minden, SE2021MP5-nél korábbi verzió.

A gyártó a hibákat az érintett szoftverek újabb verzióiban javította. A sérülékenységekkel kapcsolatos bővebb információkat a Siemens ProductCERT és az ICS-CERT weboldalai lehet elérni.

Sérülékenységek Hillrom orvostechnikai rendszerekben

Itamar Cohen-Matalon, a Medigate Reserach Labs munkatársa két sérülékenységet jelentett a Hillrom-nak, ami gyártó alábbi megoldásai érintik:

- Welch Allyn Service Tool v1.10-nél korábbi verziói;
- Welch Allyn Connex Device Integration Suite – Network Connectivity Engine (NCE) v5.3-nál korábbi verziói;
- Welch Allyn Software Development Kit (SDK) v3.2-nél korábbi verziói;
- Welch Allyn Connex Central Station (CS) v1.8.6-nál korábbi verziói;
- Welch Allyn Service Monitor v1.7.0.0-nál korábbi verziói;
- Welch Allyn Connex Vital Signs Monitor (CVSM) v2.43.02-nél korábbi verziói;
- Welch Allyn Connex Integrated Wall System (CIWS) v2.43.02-nél korábbi verziói;
- Welch Allyn Connex Spot Monitor (CSM) v1.52-nél korábbi verziói;
- Welch Allyn Spot Vital Signs 4400 Device (Spot 4400)/Welch Allyn Spot 4400 Vital Signs Extended Care Device v1.11.00-nál korábbi verziói.

A gyártó a hibákat az érintett termékek legújabb verzióiban elérhetővé tette (két termék esetében 2021. nyarán illetve őszén fogja ezt megtenni). A sérülékenység részleteit az ICS-CERT publikációja tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsma-21-152-01

Advantech iView sérülékenységek

Selim Enes Karaduman a ZDI-vel együtt dolgozva jelentett két sérülékenységet a DHS CISA-nak, amiket az Advantech iView v5.7.03.6182-nél korábbi verzióiban talált.

A gyártó a hibákat a v5.7.03.6182-es verzióban javította. A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-154-01

Sérülékenység Thales rendszerekben

Egy névtelenségét őrző kutató egy sérülékenységet jelentett a DHS CISA-nak a Thales Sentinel LDK Run-Time Environment nevű megoldásának 7.6-os és korábbi verzióival kapcsolatban.

A gyártó a hibát a 8.15-ös és későbbi verziókban javította. A sérülékenységgel kapcsolatban további információkat az ICS-CERT weboldalán lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-159-06

Schneider Electric Modicon sérülékenység

Chizuru Toyama, a TrendMicro TXOne IoT/ICS Security Research Labs munkatársa egy sérülékenységet jelentett a DHS CISA-nak, amit a Schneider Electric Modicon X80 BMXNOR0200H típusú RTU-inak SV1.70 IR22 és korábbi verzióiban talált.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről további részleteket az ICS-CERT publikációjában lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-159-05

Schneider Electric IGSS sérülékenységek

Kimiya, a ZDI-vel együttműködve és tőlük függetlenül Michael Heinzl 13 sérülékenységet jelentettek a DHS CISA-ank a Schneider Electric IGSS v15.0.0.21140-es és korábbi verzióiban.

A gyártó a hibákat az IGSS 15.0.0.21141-es verziójában javította. A sérülékenységekről bővebb információkat az ICS-CERT bejelentésében lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-159-04

Sérülékenység AVEVA InTouch rendszerekben

Ilya Karpov, Evgeniy Druzhinin és Konstantin Kondratev, a Rostelecom-Solar munkatársai egy sérülékenységet találtak az AVEVA InTouch 2020R2 és korábbi verzióiban.

A gyártó a hibát javító patch-eket és újabb verziókat már elérhetővé tette. A sérülékenységgel kapcsolatos további információkat az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-159-03

Open Design Alliance Drawings SDK sérülékenységek

Mat Powell és Brian Gorenc, a ZDI munkatársai 8 sérülékenységet jelentettek DHS CISA-nak, ami az Open Design Alliance alábbi szoftvereit érinti:

- Drawings SDK minden, 2022.4-nél korábbi verziója;
- Drawing SDK 2022.4-es verzióját a nyolc sérülékenységből kettő érinti.

A gyártó a hibákkal kapcsolatban a 2022.5-ös és újabb verziókban javította. A sérülékenységek részleteit az ICS-CERT publikációjában lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-159-02

Sérülékenység Johnson Controls rendszerekben

Jakub Palaczynski egy sérülékenységet jelentett a Johnson Controls-nak, ami a gyártó Metasys nevű épületautomatizálási termékének minden verzióját érinti.

A gyártó a még támogatott verziókhoz (9.0, 10.0, 10.1, 11.0) kiadta a hibát javító patch-eket. A sérülékenység részletei az ICS-CERT bejelentésében találhatóak meg: https://us-cert.cisa.gov/ics/advisories/icsa-21-159-01

Moxa NPort berendezések sérülékenységei

Konstantin Kondratev, Evgeniy Druzhinin és Ilya Karpov, a Rostelecom-Solar munkatársai 4 sérülékenységet találtak a Moxa NPort IAW5000A-I/O sorozatú eszközeinek 2.2 és korábbi verzióiban.

A gyártó a hibát javító új verziót már elérhetővé tette. A sérülékenységgel kapcsolatban további részleteket a Moxa weboldalán lehet megtalálni.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Hiába foglalkozom már lassan egy évtizede különböző ICS/SCADA rendszerek kiberbiztonságával (na jó, igazából 2011-ben még csak elkezdtem ismerkedni a témával és csak 2013-2014 körül kezdtem igazán mélyebben foglalkozni ezzel a területtel), de még mindig meg tud lepni, hány újabb és újabb iparág esetén kell nekem személy szerint is rádöbbennem, hogy bizony ott is alkalmaznak különböző folyamatvezérlő rendszereket és hogy ezeknek a kiberbiztonsági kockázataival pont ugyanúgy nem foglalkoznak, ahogy 8-10 éve még nem foglalkoztak a villamosenergia-szektor ICS-einek biztonságával vagy petrolkémiai cégek folyamatirányító rendszereinek biztonságával és a sort még folytathatnánk. Néhány hónapja már a listámon volt az élelmiszeripari ICS rendszerek biztonságával foglalkozó poszt ötlete, aztán a JBS elleni kibertámadás rámutatott, hogy nincs több időm ennek a posztnak a megírására (ez még akkor is így van, ha az eddig megismert részletek alapján a JBS elleni támadás valószínűleg nem érintette a termelésirányítási rendszereiket, "csak" a nagyvállalati IT egyes rendszereit, mégis, a cég egyes telephelyein egész műszakokra leállt a munka).

Az élelmiszeripari cégek mérete nagyon változatos lehet, a kicsi, háztáji cégektől a JBS-méretű multikig, de a legtöbb ilyen vállalat ma már bizonyos szintű automatizálással oldja meg a termelést, így itt is régóta jelen vannak a különböző PLC-k és egyéb vezérlők, amiknek a felügyeletéhez más iparágakhoz hasonlóan HMI-okat és mérnöki munkaállomásokat használnak. Nem különböznek ezek olyan nagy mértékben azoktól a rendszerektől, amiket például az autógyártó cégek használnak, mégis a jelek szerint minden egyes iparágban újra és újra rá kell döbbeni, hogy bizony a folyamatautomatizáláshoz használt ICS rendszerek és berendezések kiberbiztonsági kihívásaitól az éppen vizsgált iparág sem mentes.

Mi lehet akkor mégis az oka annak, hogy majdnem minden iparágnak kell egy saját incidens, ami az okosabb cégek, mérnökök és menedzserek szemét felnyitja, hogy bizony ideje elkezdeniük kidolgozni a saját OT biztonsági programjukat? Valószínűleg az lehet a háttérben itt is, hogy azok a mérnökök, akik az adott iparág automatizált folyamatait tervezik és építik, ugyanolyan vagy nagyon hasonló környezetben szocializálódnak szakmailag és azok az idősebb mérnökök, akiktől ők tanulták a gyakorlatban a szakmájukat, tudással együtt ugyanúgy átadták azt a (saját idejükben helyes, de mára már megváltozott) helyzetképet, hogy a folyamatvezérlő rendszereket nem lehet elérni a vállalati IT hálózatokból és még kevésbé az Internetről. Ez azonban az IT-OT konvergencia és még inkább az Ipar 4.0 és az ipari IoT térhódításával már évek (ha nem fél-egy évtizede) nem igaz.

Mik az élelmiszeripari ICS rendszerek egyedi kockázatai? Ebből a szempontból az élelmiszeripari folyamatvezérlő rendszerek egy furcsa amalgámot képeznek. Egyrészt nagyon nagy mértékben hasonlítanak a más iparágakban használt gyártásautomatizálási rendszerekre, ugyanakkor egy nagyon fontos szempontból hasonlítanak a gyógyszeripari és a vízművekben használt ICS rendszerekre is, ez pedig az élelmiszerekhez adagolt különböző vegyszerek (gondoljunk csak a többször felhasznált üvegek mosásánál használt tisztító/fertőtlenítő szerekre vagy a különböző tartósítószerekre) pontos és engedélyezett határértékeken belüli mennyiségének ellenőrzésére. Nem olyan régen láttuk az Oldsmar-i vízmű elleni kibertámadásnál, hogy egy illegális hozzáférést szerzett támadó viszonylag könnyen képes lehet módosítani egyes összetevők arányát, aminek az élelmiszeripari ICS rendszerek esetén akár súlyos, szélsőséges esetben halálos következményei is lehetnek.

A probléma és a kihívás tehát adott, a kérdés csak az, hogy vajon az élelmiszeripari cégek képesek-e idejekorán megfelelni ezeknek a kihívásoknak. Bár pontos információim nincsenek, de erős a gyanúm, hogy legnagyobb akadály ebben az iparágban is ott lesz, hogy a folyamatirányításért felelős mérnökök és az IT biztonsággal foglalkozó mérnökök nem csak, hogy nem értik, mivel foglalkozik a másik, de nincs is köztük érdemi munkakapcsolat. Márpedig ennek a két csoportnak a szoros és hatékony együttműködése nélkül nem lehet előrelépni az ICS biztonsági helyzet javítása terén.

Mitsubishi Electric berendezések sérülékenysége

Younes Dragoni, a Nozomi Networks munkatársa egy sérülékenységről közölt információkat a DHS CISA-val, amit a Mitsubishi Electric MELSEC iQ-R CPU moduljai alábbiakban talált:

- R00/01/02CPU minden verziója;
- R04/08/16/32/120(EN)CPU minden verziója;
- R08/16/32/120SFCPU minden verziója;
- R08/16/32/120PCPU minden verziója;
- R08/16/32/120PSFCPU minden verziója.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenység részleteit az ICS-CERT publikációjában lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-147-05

Sérülékenységek Mesa Labs rendszerekben

Stephen Yackey, a Securifera munkatársa 5 sérülékenységet talált a Mesa Labs AmegaView nevű monitoring megoldásának 3.0 és korábbi verzióiban.

A gyártó az érintett termék támogatását 2021 végével tervezi megszűntetni és már ezekhez a hibákhoz sem tervez javítást kiadni, ehelyett a ViewPoint nevű újabb termékükre történő váltást javasolja a hibák által érintett felhasználóinak. A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-147-03

Sensormatic Electronics termékek sérülékenysége

A Johnson Control, a Sensormatic Electronics anyavállalata egy sérülékenységet jelentett a DHS CISA-nak, ami a Sensormatic Electronics VideoEdge nevű megoldásának 5.7.0-nál korábbi verzióit érinti.

A gyártó a hibát a VideoEdge 5.7.0 verziójában javította. A sérülékenységgel kapcsolatos további információkat az ICS-CERT weboldalán lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-147-02

Sérülékenység GENIVI Alliance szoftverekben

Jan Schrewe az Informatik munkatársa egy sérülékenységről osztott meg részleteket a DHS CISA-val, amit a GENIVI Alliance dlt-daemon nevű, nyílt forráskódú diagnosztikai szoftverének 2.18.6-osnál korábbi verzióiban fedezett fel.

A GENIVI Alliance a hibával kapcsolatban a dlt-daemon legújabb verziójára történő frissítést javasolja. A sérülékenységről bővebb információkat az ICS-CERT publikációjában lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-147-01

Siemens SIMATIC S7 rendszerek sérülékenysége

Tal Keren, a Claroty munkatársa egy sérülékenységet azonosított a Siemens SIMATIC termékcsaládjának alábbi tagjaiban:

- SIMATIC Drive Controller termékcsalád minden, V2.9.2-nél korábbi verziója;
- SIMATIC ET 200SP Open Controller CPU1515SP PC2 (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC ET 200SP Open Controller CPU1515SP PC (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1200 CPU termékcsalád (beleértve a SIPLUS változatokat is) minden verziója; minden, V4.5.0-nél korábbi verziója;
- SIMATIC S7-1500 CPU termékcsalád (beleértve a kapcsolódó ET200CPU-kat és a SIPLUS változatokat is) minden, V2.9.2-nél korábbi verziója;
- SIMATIC S7-1500-as szoftveres vezérlők minden verziója;
- SIMATIC S7-PLCSIM Advanced minden, V4.0-nál korábbi verziója.

A gyártó a hibát a legtöbb érintett terméke újabb verzióiban javította. A sérülékenység részleteiről a Siemens ProductCERT bejelentéséből lehet tájékozódni.

Sérülékenységek Luxion KeyShot rendszerekhez használt Datakit programozási könyvtárakban és a Luxion KeyShot-ot használó Siemens Solid Edge rendszerekben

rgod, a ZDI-vel együttműködve öt sérülékenységről közölt információkat a DHS CISA-val, amiket a Datakit CrossCADWare programozási könyvtárak 2021.1-es és korábbi verzióiban talált:

- CatiaV5_3dRead;
- CatiaV6_3dRead;
- Step3dRead;
- Ug3dReadPsr;
- Jt3dReadPsr.

Az érintett könyvtárakat a Luxion KeyShot v10.1-es és korábbi verzióiban is használják, ezért az ezeket a verziókat futtató rendszerek is sérülékenyek.

A Datakit a 2021.2-es verzióban, a Luxion pedig v10.2-es verzióban javította a hibákat. A sérülékenységekkel kapcsolatos további információkat az ICS-CERT weboldalán lehet elolvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-145-01

Ezek a sérülékenységek megtalálhatóak a Siemens Solid Edge alábbi verzióiban:

- Solid Edge SE2020 minden verziója;
- Solid Edge SE2021 minden verziója.

A Solid Edge-dzsel kapcsolatos sérülékenységi információkat a Siemens ProductCERT bejelentésében lehet elérni.

Rockwell Automation vezérlők sérülékenysége

Hyunguk Yoo, a New Orleans-i Egyetem és Adeen Ayub és Irfan Ahmed Virginia-i Nemzetközösségi Egyetem munkatársai egy sérülékenységet találtak a Rockwell Automation alábbi vezérlőiben:

- Micro800 minden verziója;
- MicroLogix 1400 21-es és későbbi verziói, ha az Enhanced Password Security funkciót engedélyezték.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységről további részleteket az ICS-CERT publikációjában lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-145-02

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A vállalat közleménye szerint egy kibertámadás miatt a JBS (a világ egyik legnagyobb élelmiszeripari vállalata) Észak-amerikai és ausztráliai üzemeiben átmenetileg le kellett állítani az élelmiszer (elsősorban marha- és sertéshús) feldolgozási folyamatokat. Bár a közlemény meglehetősen szűkszavú, egyes vélemények szerint ismét egy ransomware-támadás történhetett. Meg nem erősített források szerint az USA-ban található egyes üzemekben a keddi műszakokra már helyreállították a működés alapfeltételeit.

A JBS elsősorban az angolszász világban (USA, Kanada, Ausztrália, Egyesült Királyság) ismert számos márkájával (Swift, Pilgrim's Pride, Seara, Moy Park, Friboi, Primo, Just Bare), de termékeikkel 6 kontinens 190 országában vannak jelen a piacokon.

Ahogy sok más iparág esetén, úgy sokan az élelmiszeriparnál sem gondolnak bele abba, hogy milyen hihetetlenül nagymértékben hagyatkozik az iparág az automatizált folyamatokra. Már terveztem, hogy valamikor ennek az iparágnak az ICS biztonsági kockázatairól is írni fogok, ez az incidens csak megerősítette azt a meggyőződésemet, hogy minél előbb teszem meg ezt, annál jobb.

2018. során több alkalommal is írtam a VPNFilter nevű malware-ről, amely (sok más incindens mellett) felelőssé tehető egy ukrán viziközmű cég ICS rendszerei elleni támadásért.

Két és fél (lassan inkább három) évvel az első blogposzt után újabb információk jelentek meg a VPNFilter-rel kapcsolatban, ezek szerint még mindig találhatóak az Interneten olyan eszközök, ahol a fertőzést még nem sikerült felszámolni.

Az elmúlt években számos olyan intézkedés történt (pl. C&C domainek lefoglalása), amiknek köszönhetően a VPNFilter gyakorlatilag lekapcsolt állapotba került, ráadásul a TrendMicro elemzése szerint egyes támadók az IoT botnetek építése során is hajlamosak a mások által már kompromittált eszközökről eltávolítani a riválisaik által telepített malware-eket és backdoorokat, hogy utána az adott eszközt a saját botnet-hálózatuk tagjaként használják tovább, ez is csökkentette a VPNFilter-rel fertőzött IoT eszközök számát.

A VPNFilter továbbélésével kapcsolatos további részleteket, technikai információkat és tanácsokat a TrendMicro fent hivatkozott cikkében lehet találni.

Siemens rendszerek sérülékenységei

Carsten Eiram, a Risk Based Security munkatársa, a ZDI-vel együttműködve öt sérülékenységről osztott meg részleteket a DHS CISA-val, amik a Siemens alábbi rendszereit érinti:

- JT2Go minden, V13.1.0.2-nél korábbi verziója;
- Teamcenter Visualization minden, V13.1.0.2-nél korábbi verziója.

A gyártó a hibákat az érintett rendszerek V13.1.0.2-es verzióiban javította. A sérülékenységekről további részleteket a Siemens ProductCERT publikációja tartalmaz.

VNC sérülékenységek Siemens SIMATIC HMI/WinCC termékekben

A Siemens bejelentése szerint a SmartVNC-t használó termékeikben 7, az UltraVNC-t használó termékeikben pedig 10 sérülékenységet találtak. Az érintett termékek és verzióik:

- SIMATIC HMI Comfort Outdoor panelek 7"-os és 15"-os változatainak (beleértve a SIPLUS változatokat is) minden, V16 Update 4-nél korábbi verziója;
- SIMATIC HMI Comfort panelek 4-től 22 colosig terjedő változatainak (beleértve a SIPLUS változatokat is) minden, V16 Update 4-nél korábbi verziója;
- SIMATIC HMI KTP Mobile panelek KTP400F, KTP700, KTP700F, KTP900 és KTP900F változatainak minden, V16 Update 4-nél korábbi verziója;
- SIMATIC WinCC Runtime Advanced minden, V16 Update 4-nél korábbi verziója.

A gyártó a hibát az érintett rendszerei V16 Update 4-es verziójában javította. A sérülékenységekkel kapcsolatos bővebb információkat a Siemens ProductCERT bejelentéseiben lehet megtalálni.

Siemens SCALANCE hálózati eszközök sérülékenységei

A Siemens weboldalán megjelent hírek szerint az alábbi, Aruba-alapokra épített termékeikben 19 sérülékenység található:

- SCALANCE W1750D minden, V8.7.0-nél korábbi verziója;
- SCALANCE W1750D V8.7.0 verziója (a 19-ből 12 sérülékenység érinti ezt a verziót).

A gyártó a hibák egy részét a V8.7.0 és későbbi verziókban javította, a többi esetén kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységek részleteiről a Siemens ProductCERT weboldalán lehet olvasni.

Sérülékenységek Emerson X-STREAM gázelemző szoftverekben

Az Emerson összesen hat sérülékenységről osztott meg információkat a DHS CISA-val, ami az X-STREAM gázelemző szoftvereinek alábbi verzióit érinti:

- X-STREAM enhanced XEGP minden revíziója;
- X-STREAM enhanced XEGK minden revíziója;
- X-STREAM enhanced XEFD minden revíziója;
- X-STREAM enhanced XEXF minden revíziója.

A gyártó a hibákkal kapcsolatban a legújabb elérhető firmware-verzióra történő frissítést javasolja. A sérülékenységekről további részleteket az ICS-CERT webodalán lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-138-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A floridai Oldsmar viziközmű vállalatának ICS rendszere elleni támadás meglehetősen nagy visszhangot keltett (én is írtam róla), most pedig a Dragos egy érdekes elemzést publikált, amiben arról írnak, hogy az Oldsmar-i incidens vizsgálata során egy olyan támadó nyomait fedezték fel, aki(k?) egy, a floridai vízmű-cégek számára szolgáltató vállalat weblapját használták fel egy watering hole támadás-sorozathoz, amelyben főként, de korántsem kizárólag floridai szervezektől érkező felhasználók adatait gyűjtötték a támadók. A vizsgálat során gyűjtött telemetriai adatok alapján az derült ki, hogy sok más szervezet munkatársai mellett az Oldsmar-i viziközmű cég egyik munkatársa is letöltötte a támadók által kártékony kóddal preparált weboldalt, ráadásul ugyanazon a napon, mint amikor a támadás történt. Vajon ez véletlen volt? (Valakitől, valahol egyszer azt hallottam, hogy nem szereti a véletleneket, túl sok szervezést igényelnek...)

A vizsgálatról készült részletes elemzés a Dragos blogján érhető el, engem most ez az eset azért késztetett posztírásra, hogy megpróbáljam kihangsúlyozni: a jelenkori kibertámadások és különösképpen az ICS/OT kibertámadások esetén célszerű óvakodni a gyorsan levont, sarkos következtetésekről, ilyen esetekben célszerű a megfelelő forensics szakértők bevonásával minél alaposabb elemzéseket készítenie az incidenst elszenvedett cégnek, akik pedig (hozzám hasonlóan) az ilyen incidensekről a partvonalról írnak, hasznos, ha a hangzatos következtetések levonásával megvárják a részletesebb információkat az adott esettel kapcsolatban.

Sérülékenység Schneider Electric Modicon switch-ekben

A Schneider Electric egy sérülékenységről közölt információkat, ami a Modicon Managed Switch termékei közül az MCSESM és MCSESP sorozatok V8.21-es és korábbi verzióit érinti.

A gyártó a hibát a 8.22-es verzióban javította. A sérülékenységről további információkat a Schneider Electric publikációjában lehet találni.

Sérülékenység Schneider Electric Harmony HMI-ok konfigurációs szoftvereiben

Jie Chen, az NSFOCUS munkatársa egy sérülékenységet talált a Schneider Electric alábbiakban felsorolt Harmony HMI termékeinek konfigurációjához használható, következő szoftverekben:

Vijeo Designer minden, V6.2 SP11-nél korábbi verziójával konfigurált HMI-ok:
- Harmony STO;
- Harmony STU;
- Harmony GTO;
- Harmony GTU;
- Harmony GTUX;
- Harmony GK;

EcoStruxure™ Machine Expert V2.0 és korábbi verzióival konfigurált HMI-ok:
- Harmony HMISCU.

A gyártó a hibát az érintett szoftverek újabb verzióiban javította. A sérülékenységgel kapcsolatos részleteket a Schneider Electric bejelentésében lehet elérni.

Schneider Electric Triconex sérülékenységek

A CNCERT/CC és a Kunlun Digital Technology Co.,Ltd munkatársai 6 sérülékenységet azonosítottak a Schneider Electric Tricon v11.3.x rendszereibe épített Triconex 3009 MP és TCM 4351B típusú eszközeiben.

A gyártó a hibákat az érintett termékek legújabb verzióiban javította. A sérülékenységekről bővebben a Schneider Electric weboldalán lehet olvasni.

Sérülékenységek Schneider Electric homeLYnk és spaceLYnk rendszerekben

Sharon Brizinov, a Claroty munkatársa 9 sérülékenységet fedezett fel a Schneider Electric alábbi termékeiben:

- homeLYnk (Wiser For KNX) V2.60 és korábbi verziói;
- spaceLYnk V2.60 és korábbi verziói.

A kilencből hat sérülékenységet a gyártó az érintett termékek V2.61-es verziójában javította, a többi három sérülékenységgel kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről további részleteket a Schneider Electric publikációja tartalmaz.

Sérülékenység Schneider Electric Modicon PLC-kben

Marcin Dudek, Kinga Staszkiewicz, Jakub Suchorab és Joanna Walkiewicz, a lengyel Nemzeti Nukleáris Kutatóintézet munkatársai egy sérülékenységet jelentettek a Schneider Electric-nek, ami a gyártó Modicon M241/M251 típusú vezérlőinek V5.1.9.1-esnél korábbi verzióit érinti.

A gyártó a hibát az érintett rendszerekhez kiadott legújabb verziókban javította. A sérülékenység részleteit a Schneider Electric bejelentésében lehet megtalálni.

Sérülékenységek Schneider Electric termékekben

A Schneider Electric által nyilvánosságra hozott információk szerint 6 sérülékenység, amiket a 3S CODESYS Schneider Electric által az alábbi termékeibe beépített komponenseiben találtak, érinti ezeket a rendszereket is:

- EcoStruxure Machine Expert minden, V2.0-nál korábbi verziója;
- Modicon M218 minden, V5.1.0.6-nál korábbi verziója;
- Modicon M241 minden, V5.1.9.14-nél korábbi verziója;
- Modicon M251 minden, V5.1.9.14-nél korábbi verziója;
- Modicon M262 minden, V5.1.5.30-nál korábbi verziója;
- LMC PacDrive Eco/Pro/Pro2 minden, V1.64.18.26-nál korábbi verziója;
- Vijeo Designer and HMISCU, minden V6.2 SP11-nél korábbi verziója;
- ATV IMC minden verziója;
- SoMachine/SoMachine Motion minden verziója.

A gyártó a hibákat az ATV IMC vezérlők esetén már nem javítja, a többi érintett termék esetén a legújabb verzió tartalmazza a javításokat. A sérülékenységekkel kapcsolatban további részleteket a Schneider Electric weboldalán lehet elérni.

Schneider Electric EcoStruxure Geo SCADA Expert sérülékenység

Nicholas Hobbs egy sérülékenységet talált a Schneider Electric alábbi termékeiben:

- ClearSCADA minden verziója;
- EcoStruxure Geo SCADA Expert 2019 minden verziója;
- EcoStruxure Geo SCADA Expert 2020 V83.7742.1-es és korábbi verziói.

A gyártó a hibát az EcoStruxure Geo SCADA Expert 2020 83.7787.1-es verziójában javította. A sérülékenységgel kapcsolatos részleteket a Schneider Electric publikációjában lehet elolvasni.

Sérülékenység Siemens SCALANCE eszközökben

A Siemens egy sérülékenységről közölt információkat a DHS CISA-val, ami a SCALANCE termékvonal alábbi tagjait érinti:

- SCALANCE XM-400 család minden, v6.4-nél korábbi verziója;
- SCALANCE XR-500 család minden, v6.4-nél korábbi verziója.

A gyártó a hibát a v6.4-es és újabb verziókban javította. A sérülékenység részleteiről és további kockázatcsökkentést célzó javaslatokról a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet tájékozódni.

Siemens Mendix Excel importáló modul sérülékenysége

A Siemens egy sérülékenységet jelentett a DHS CISA-nak a Mendix alkalmazás Excel importáló moduljának v9.0.3-asnál régebbi verzióiban.

A gyártó a hibát a v9.0.3-as verzióban javította. A sérülékenységgel kapcsolatos további információkat a Siemens ProductCERT és az ICS-CERT weboldalaink lehet találni.

Siemens Tecnomatix Plant Simulation rendszerek sérülékenységei

Francis Provencher, a ZDI-vel együttműködve három sérülékenységet jelentett a DHS CISA-nak a Siemens Tecnomatix Plant Simulation nevű megoldásának minden, 16.0.5-ösnél korábbi verzióiban.

A gyártó a hibákat a 16.0.5-ös és újabb verziókban javította. A sérülékenységekről bővebben a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Sérülékenység Siemens SIMATIC eszközökben

A Siemens egy sérülékenységről osztott meg részleteket a DHS CISA-val, ami az alábbi, SIMATIC termékcsaládba tartozó eszközeiket érinti:

- SIMATIC NET CP 343-1 Advanced (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC NET CP 343-1 Lean (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC NET CP 343-1 Standard (beleértve a SIPLUS változatokat is) minden verziója.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységgel kapcsolatos további információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet elérni.

SNMP sérülékenység Siemens WinCC rendszerekben

Younes Dragoni és Alessandro Di Pinto, a Nozomi Networks munkatársai egy, az SNMP szolgáltatáshoz kapcsolódó sérülékenységet jelentettek a Siemens-nek a WinCC Runtime alábbi komponenseiben:

- Első generációs SIMATIC HMI Comfort Panelek (beleértve a SIPLUS változatokat is) minden, v16 update 4-nél korábbi verziója;
- SIMATIC HMI KTP Mobile Panelek minden, v16 update 4-nél korábbi verziója.

A hibát a gyártó az érintett termékek 16 update 4 és újabb verzióiban javította. A sérülékenységről bővebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Siemens Mendix adatbázis replikációs modul sérülékenysége

A Siemens egy sérülékenységről osztott meg információkat a DHS CISA-val, ami a Mendix adatbázis replikációs moduljának v7.0.1-nél korábbi verzióit érinti.

A gyártó a hibát a v7.0.1-es és újabb verziókban javította. A sérülékenység részleteiről a Siemens ProductCERT és az ICS-CERT publikációiból lehet tájékozódni.

Sérülékenység Siemens SINAMICS középfeszültségű termékekben

A Siemens egy sérülékenységről közölt információkat a DHS CISA-val, ami az alábbi SINAMICS HMI Comfort paneleket érinti:

- SINAMICS SL150 minden verziója;
- SINAMICS SM150 minden verziója;
- SINAMICS SM150i minden verziója.

A gyártó a hibát javító újabb verziót már elérhetővé tette. A sérülékenységgel kapcsolatos bővebb információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet megtalálni.

Linux-alapú Siemens termékek sérülékenysége

A Siemens egy sérülékenységet jelentett a DHS CISA-nak, ami az alábbi, Linux-alapú termékeikben található meg:

- RUGGEDCOM RM1224 minden, v5.0 és v6.4 közötti verziója;
- SCALANCE M-800 minden, v5.0 és v6.4 közötti verziója;
- SCALANCE S615 minden, v5.0 és v6.4 közötti verziója;
- SCALANCE SC-600 minden, v2.1.3-nál korábbi verziója;
- SCALANCE W1750D v8.3.0.1-es, v8.6.0 és v8.7.0 verziói;
- SIMATIC Cloud Connect 7 minden verziója;
- SIMATIC MV500 család minden verziója;
- SIMATIC NET CP 1243-1 (beleértve a SIPLUS változatokat is) 3.1.39-es és későbbi verziói;
- SIMATIC NET CP 1243-7 LTE EU 3.1.39-es és későbbi verziói;
- SIMATIC NET CP 1243-7 LTE US 3.1.39-es és későbbi verziói;
- SIMATIC NET CP 1243-7 3.1.39-es és későbbi verziói;
- SIMATIC NET CP 1243-8 IRC 3.1.39-es és későbbi verziói;
- SIMATIC NET CP 1542SP-1 IRC (beleértve a SIPLUS változatokat is) 2.0 és későbbi verziói;
- SIMATIC NET CP 1542SP-1 2.0 és későbbi verziói;
- SIMATIC NET CP 1543-1 (beleértve a SIPLUS változatokat is) 2.2 és későbbi verziói;
- SIMATIC NET CP 1543SP-1 (beleértve a SIPLUS változatokat is) 2.0 és későbbi verziói;
- SIMATIC NET CP 1545-1 minden verziója;
- SINEMA Remote Connect Server minden, v3.0 SP1-nél korábbi verziója;
- TIM 1531 IRC (beleértve a SIPLUS változatokat is) minden verziója.

A gyártó az alábbi, sérülékenység által érintett termékek esetében adott ki javítást a hibára:

- RUGGEDCOM RM1224;
- SCALANCE M-800;
- SCALANCE S615;
- SCALANCE SC-600;
- SINEMA Remote Connect Server.

A sérülékenység részleteit a Siemens ProductCERT és az ICS-CERT weboldalain lehet elolvasni.

Sérülékenység Mitsubishi Electric rendszerekben

Parul Sindhwad és Dr. Faruk Kazi, a Mumbai-i COE-CNDS Lab munkatársai egy sérülékenységet találtak a Mitsubishi Electric alábbi rendszereiben:

- GOT2000 sorozat
- GT27 modell 01.19.000-tól 01.38.000-ig terjedő verziói;
- GT25 modell 01.19.000-tól 01.38.000-ig terjedő verziói;
- GT23 modell 01.19.000-tól 01.38.000-ig terjedő verziói;
- GT21 modell 01.21.000-tól 01.39.000-ig terjedő verziói;
- GOT SIMPLE sorozat
- GS21 modell 01.21.000-tól 01.39.000-ig terjedő verziói;
- GT SoftGOT2000 1.170C-től 1.250L-ig terjedő verziói;
- LE7-40GU-L: Screen package data for MODBUS/TCP v1.00.

A gyártó a hibát javító új verziókat már elérhetővé tette. A sérülékenységgel kapcsolatban bővebb információkat az ICS-CERT publikációja tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-131-02

Omron CX-One rendszerek sérülékenysége

rgod a ZDI-vel együttműködve egy sérülékenységet jelentett a DHS CISA-nak, ami az Omron alábbi rendszereit érinti:

- CX-One 4.60-as és korábbi verziói, beleértve a CX-Server 5.0.29.0 és korábbi verzióit.

A gyártó a hibát az érintett megoldások újabb verzióiban javította. A sérülékenység részleteiről az ICS-CERT bejelentéséből lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-21-131-01

Sérülékenység OPC UA termékekben

Eran Jacob, az Otorio Research Team munkatársa egy sérülékenységről közölt információkat a DHS CISA-val, ami az OPC alábbi rendszereit érinti:

- A .NET-alapú OPC UA Client/Server SDK csomag V3.0.7 és korábbi (.NET 4.5, 4.0 és 3.5 Framework) verziók.

A gyártó a hibát javító újabb verziót elérhetővé tette a weboldalán. A sérülékenységről bővebben az ICS-CERT webodlalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-133-04

OPC UA Server sérülékenység

Eran Jacob, az Otorio Research Team munkatársa egy sérülékenységet talált az OPC alábbi termékeiben:

- OPC UA .NET Standard 1.4.365.48-nál korábbi verziói;
- OPC UA .NET Legacy.

A gyártó a hiba javítását már elérhetővé tette. A sérülékenység részleteit az ICS-CERT publikációjából lehet megismerni: https://us-cert.cisa.gov/ics/advisories/icsa-21-133-03

Sérülékenység Sensormatic Electronics rendszerekben

A Johnson Controls, a Sensormatic Electronics anyavállalata egy sérülékenység részleteiről tájékoztatta a DHS CISA-t, ami a Tyco AI nevű Sensormatic Electronics-megoldás v1.2 és korábbi változatait érinti.

A gyártó a Tyco AI v1.3-ban javította a most megtalált hibát. A sérülékenységgel kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-133-02

Sérülékenységek Rockwell Automation rendszerekben

Mashav Sapir, a Claroty munkatársa három sérülékenységet fedezett fel a Rockwell Automation alábbi rendszereiben:

- Connected Components Workbench v12.00.00 és korábbi verziói.

A gyártó a hibát a v13.00.00 és újabb verziókban javította. A sérülékenységek részleteiről az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-133-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az APT10 (Dragos terminológia szerint Talonite) az egyik legrégebben aktív, ICS rendszereket támadó csoport. Módszereik közé kártékony kódot tartalmazó csatolmányokkal ellátott adathalász e-mailek és egyedi malware-ek tartoznak, célpontjaik pedig főként amerikai, japán és tajvani villamosenergia-ipari cégek.

Bár az egyes csoportok nemzetiségéről nem szokás megemlékezni, az APT10 esete ebből a szempontból különleges, mert az FBI nem csak, hogy Kínához kötötte a csoportot, de két tagjukról névvel és fényképpel ellátott körözést is kiadott (márpedig az FBI körözési listájára azért még ma sem olyan könnyű felkerülni): https://www.fbi.gov/wanted/cyber/apt-10-group

Az évek során az APT10/Talonite csoportról számos hosszabb rövidebb elemzés jelent meg, néhány ezek közül:

Cysiv
Dragos
FireEye
MalwareBytes