Az USA kritikus infrastruktúráinak kiberbiztonsága meglehetősen forró témának számít, ismét történtek fontos dolgok a tengeren túlon, amiről (szokása szerint) GéPé kolléga ismét készített egy rövid összefoglalót. Íme.

Az USA 2020-ban jól érzékelhetően fokozta a villamosenergia-rendszere kiberbiztonságát érő fenyegetések elleni erőfeszítéseit. Ennek egyik markáns jele volt az EO 13920 (Executive Order on Securing the United States Bulk-Power System, 2020. május 1.) elnöki rendelet kiadása. Bár Biden elnök az EO alkalmazását 2021. január 20-án 90 napra felfüggesztette, de nem valószínű, hogy az USA-t az elmúlt hónapokban ért kibertámadások – hangsúllyal a SolarWind/Orion incidens – tükrében az EO végleges visszavonásáról, vagy akár enyhítéséről születne döntés.

További lényeges lépésnek tekinthető, hogy az USA Energiaügyi Minisztériuma (DoE: Department of Energy) 2020. november 30-án a Villamosenergetikai Tanácsadó Bizottság (EAC: Electricity Advisory Committee) létrehozta a Nemzetbiztonsági Bizottság Villamosenergia-hálózat Ellenállóképességéért felelős albizottságát (GRNS: Grid Resilience for National Security). A GRNS feladata egyebek mellett utat mutatni a villamosenergia-rendszert érő egyre nagyobb fenyegetések előrejelzésére, valamint a kockázatkezelés és a veszély mérséklés új megközelítésére.

Bár a GRNS-t még a Trump adminisztráció hozta létre, de az USA töretlen elkötelezettségét jól mutatja, hogy a DoE április 5-én 8 millió USD (mintegy 2,5 milliárd HUF!) értékben támogatási keretet hirdetett meg a villamosenergia-rendszer kiberbiztonságát és ellenállóképességét erősítő kutatások és fejlesztések finanszírozására. A DoE célként tűzi ki rugalmas, öngyógyító és autonóm eszközök, technológiák kutatását, fejlesztését. Ezt támogatandó a DoE fontosnak tartja az állami és magánszereplők együttműködésének (PPT: Public-Private Partnerships) kibővítését.

Ezek után különösen jelzésértékű lesz a 90 napos felfüggesztésének vége felé járó EO 13920 további sorsa…

És persze fontos lenne, ha Magyarországon is létrejöhetne mind az EAC, mind a GRNS hazai megfelelője, nem beszélve a kapcsolódó kutatás-fejlesztés dedikált forrásáról…

Súlyos tévedés lenne abban bízni, hogy mivel hazánk nem elsődleges célországa a kibertámadásoknak, ezért felelősséggel ki is lehetne zárni pl. a villamosenergia-rendszerünket érintő támadás lehetőségét…

A Hexane/Lyceum névre keresztelt támadók (Hexane-nek a Dragos, Lyceum-nak a MITRE ATT&CK for ICS framework nevezi ezt az ICS rendszereket támadó csoportot) legkésőbb 2018. óta aktívak és a tevékenységükben növekedés figyelhető meg 2019. eleje-közepe óta.

Módszereik közé a célzott adathalász támadások (jellemzően Excel fájlok felhasználásával célba jutattott malware-ek célbajuttatásával együtt gyűjtik a legitim felhasználói adatokat), közbeékelődéses támadások (Man-in-the-Middle) tartoznak, ezek mellett Visual Basic makrókat és PowerShell scripteket, valamint standard HTTP és DNS protokollokat használnak a támadásaik során.

A Hexane/Lyceum csoport is azoknak a támadóknak a sorát gyarapítja, akik előszeretettel támadnak olyan cégeket, akiken keresztül utána könnyebben juthatnak be a valódi célpontjaikat képező (ennek a csoportnak az esetében a telekommunikációs vállalatok mellett az olaj- és gázszektor cégei képezik a célpontokat) szervezetek rendszereibe.

A Hexane/Lyceum a Dragos elemzése szerint mutat bizonyos hasonlóságokat a Magnallium/APT33 és a Chrysene/APT34 csoportokkal, mindhárom csoport fókuszában az olaj- és gázipari szektor cégei tartoznak és további hasonlóságokat is fel lehet fedezni a TTP-ik (tactics, techniques, and procedures) terén.

A téma és a csoport iránt érdeklődők számára a Dragos fent hivatkozott cikke mellett a MITRE ATT&CK for ICS Hexane/Lyceum-ról szóló írása is érdekes lehet.

Sérülékenység Philips orvosi megoldásokban

Jean George, a CHU UCL Namur kutatóintézet munkatrása egy sérülékenységet talált a Philips alábbi PET/CT orvosi rendszereiben:

- 882300 Gemini 16 Slice;
- 882160 Gemini Dual;
- 882400 Gemini GXL 10 Slice;
- 882390 Gemini GXL 6 Slice;
- 882410 Gemini GXL 16 Slice;
- 882412 GEMINI LXL;
- 882473 Gemini TF Ready;
- 882470 Gemini TF 16 w/ TOF Performance;
- 882471 Gemini TF 64 w/ TOF Performance;
- 882476 Gemini TF Big Bore;
- 882438 TruFlight Select PET/CT.

A hibával kacpsolatban a gyártó kockázatcsökkentő intézkedések alkalmazásást javasolja. A sérülékenységgel kapcsolatban további információkat az ICS-CERT publikációjában lehet találni: https://us-cert.cisa.gov/ics/advisories/icsma-21-084-01

Weintek EasyWeb cMT berendezések sérülékenységei

Marcin Dudek, a CERT.PL munkatársa három sérülékenységet fedezett fel a Weintek cMT berendezéseinek alábbi modelljeiben és operációs rendszereiben:

- cMT-SVR-1xx/2xx 20210305-nél korábbi verziói;
- cMT-G01/G02 20210209-nél korábbi verziói;
- cMT-G03/G04 20210222-nél korábbi verziói;
- cMT3071/cMT3072/cMT3090/cMT3103/cMT3151 20210218-nál korábbi verziói;
- cMT-HDM 20210204-nél korábbi verziói;
- cMT-FHD 20210208-nál korábbi verziói;
- cMT-CTRL01 20210302-nél korábbi verziói.

A hibákat javító újabb verziókat a gyártó már elérhetővé tette. A sérülékenységek részleteit az ICS-CERT bejelentésében lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-082-01

Sérülékenységek GE eszközökben

Tom Westenberg, a Thales UK munkatársa három sérülékenységet talált a GE MU320E típusú készülékeinek v04A00.1-esnél korábbi firmware-verzióiban.

A gyártó a hibát a v04A00.1-es és újabb firmware-ekben javította. A sérülékenységekről további információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-082-02

GE Reason DR60-as készülékek sérülékenységei

A Thales OT Security csapata három sérülékenységről közölt részleteket a GE-vel, amik a gyártó DR60-as típusú digitális hibarögzítő berendezéseinek minden, 02A04.1-nél korábbi firmware-verzióit érintik.

A gyártó a hibákat a 02A04.1-es és újabb firmware-verziókban javította. A sérülékenységekről bővebben az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-082-03

Sérülékenységek Ovarro TBox RTU-kban

Uri Katz, a Claroty munkatársa 5 sérülékenységet azonosított az Ovarro alábbi RTU-iban:

- TBoxLT2 (minden modell);
- TBox MS-CPU32;
- TBox MS-CPU32-S2;
- TBox RM2 (minden modell);
- TBox TG2 (minden modell);
- Minden, TWinSoft 12.4-nél és Firmware 1.46-nél korábbi verzió.

A gyártó a hibákat a TWinSoft 12.4-es és az 1.46-es firmware-ben javította. A sérülékenységek részleteit az ICS-CERT publikációja tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsa-21-054-04

Moxa VPort IP kamerák sérülékenységei

Qian Chen, a Qihoo 360 Nirvan csapat tagja három sérülékenységet jelentett a Moxa-nak, amik a gyártó VPort 06EC-2V sorozatú IP kameráinak 1.1-es és korábbi firmware-verzióit érintik.

A hibával kapcsolatban a gyártó a Moxa Technical Support-tal történő kapcsolatfelvételt javasolja az érintett verziókat használó ügyfeleinek. A sérülékenységekkel kapcsolatos további információkat a Moxa bejelentése tartalmazza.

Sérülékenységek Moxa routerekben

A BDU FSTEC munkatársai összesen 10 sérülékenységet azonosítottak a Moxa EDR-810 sorozatú routereinek 5.7-es és korábbi firmware-verzióiban.

A gyártó a hibákat javító újabb verziókat már elérhetővé tette. A sérülékenységek részleteiről a Moxa weboldalán lehet tájékozódni.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Dale Peterson a jelenkori ICS biztonsági közösség egyik ismert és elismert tagja. A mai podcast-nek az ő egyik felvételét választottam, amiben Otis Alexander-rel a MITRE ATT&CK for ICS keretrendszeréről beszélgetnek, mintegy 50 percben: https://dale-peterson.com/2020/09/30/attck-for-ics-evaluations/

Két napon belül 2 jelentős ICS gyártót, a kanadai Sierra Wireless-t és az amerikai Honeywell-t is zsarolóvírus támadások értek a hírek szerint.

A Sierra Wireless közleménye szerint az incidens az IT rendszereik egy részét, köztük a cég webes megjelenését kiszolgáló rendszereket is érintette, azonban a közlemény arra is kitér, hogy az incidens következtében a gyártósorokat is leállították.

A Sierra Wireless munkatársai a hírek szerint mostanra sikeresen felülkerekedtek a malware-támadáson és állítják, hogy az incidens csak a cég belső rendszereit érintette, az ügyfeleik által igénybe vehető termékeket és szolgáltatásokat nem.

A Honeywell-t ér zsarolóvírus támadás a gyártóóriás szerint csak "limitált számú" IT rendszerük működésben okozott fennakadását és hogy a támadók nem tudtak ügyféladatokat megszerezni.

Ezek a hírek, együtt az elmúlt hetekben nyílvánosságra került más ipari szereplők elleni ransomware-támadásokkal, egyre világosabban mutatják, hogy a különböző automatizálási rendszerekre építő ipari vállalatok is a kiberbűnözők vagy más támadói csoportok figyelmének középpontjába kerültek. A kérdés csak az, kinek meddig tart ki a szerencséje - vagy inkább az, hogy ki eszmél még időben?

Siemens SINEMA Remote Connect Server sérülékenységek

A Siemens ProductCERT két sérülékenységről közölt információkat a DHS CISA-val, amik a SINEMA Remote Connect Server nevű termékük 3.0-nál korábbi verzióit érintik.

A hibákat a gyártó a 3.0 és újabb verziókban javította. A sérülékenységek részleteiről a Siemens ProductCERT és az ICS-CERT publikációiból lehet tájékozódni.

Sérülékenység Siemens SCALANCE és RUGGEDCOM berendezésekben

A Siemens ProductCERT egy sérülékenységről hozott nyilvánosságra információkat, ami az alábbi termékeiket érinti:

- RUGGEDCOM RM1224 v6.3-as firmware-verzió;
- SCALANCE M-800 v6.3-as firmware-verzió;
- SCALANCE: S615 v6.3-as firmware-verzió;
- SCALANCE SC-600-as v2.1-től v2.1.3-ig terjedő verziói.

A gyártó a hibát a SCALANCE SC-600-as készülékek esetében a v2.1.3-as és újabb firmware-verziókban javította, a többi érintett eszköz esetén kockázatcsökkentő intézkedések használatát javasolja. A sérülékenységgel kapcsolatban további információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet megtalálni.

Schneider Electric IGSS sérülékenységek

Kimiya, a ZDI-vel együttműködve négy sérülékenységről osztott meg információkat a DHS CISA-val, amik a Schneider Electric IGSS (Interactive Graphical SCADA System) nevű megoldásához tartozó IGSS Definition (Def.exe) komponens 15.0.0.21041-es és korábbi verzióit érintik.

A gyártó a hibákat a 15.0.0.21042-es verzióban javította. A sérülékenységek részleteiről a Schneider Electric és az ICS-CERT weboldalain lehet olvasni.

Sérülékenység Schneider Electric PowerLogic villamosenergia mérőórákban

Tal Keren és Rei Henigman, a Claroty munkatársai egy sérülékenységet találtak a Schneider Electric alábbi termékeiben:

- ION8650 minden, V4.40.1-nél korábbi verziója;
- ION8800 minden, V372-nél korábbi verziója;
- ION7650 (4 és korábbi hardver-verziók) minden, V376-nál korábbi verziója;
- ION7650 (5 és korábbi hardver-verziók) minden, V416-nál korábbi verziója;
- ION7700/73xx minden verziója;
- ION83xx/84xx/85xx/8600 minden verziója.

Egy másik sérülékenységet pedig az alábbi mérőórákban azonosítottak:

- ION7400 minden, V3.0.0-nál korábbi verzió;
- ION9000 minden, V3.0.0-nál korábbi verzió;
- PM8000 minden, V3.0.0-nál korábbi verzió.

A gyártó a hibát (az ION7700/73xx és ION83xx/84xx/85xx/8600 típusok kivételéve, amiknél már megszűnt a gyártói támogatás) az újabb verziókban javította. A sérülékenységről bővebb információkat a Schneider Electric publikációi tartalmaznak.

Libcurl-sérülékenység Siemens SCALANCE és SIMATIC berendezésekben

A Siemens ProductCERT bejelentése szerint a libcurl-ben talált sérülékenység érinti a gyártó alábbi termékeit:

- SCALANCE SC600 termékcsalád v2.0-nál korábbi verziói;
- SIMATIC NET CM 1542-1 minden verziója.

A gyártó a hibát a SCALANCE SC-600-asok esetén a v2.0 és későbbi verziókban javította, a SIMATIC készülékek esetén kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységről további részleteket a Siemens ProductCERT bejelentésében lehet találni.

Sérülékenység Siemens Mendix Forgot Password Appstore modulban

A Siemens ProductCERT weboldalán megjelent információk szerint egy sérülékenységet találtak a Mendix Forgot Password Appstore modul minden, V3.2.1-nél korábbi verziójában.

A gyártó a hibát a V3.2.1-es és újabb verziókban javította. A sérülékenységgel kapcsolatos további információkat a Siemens ProductCERT publikációjában lehet elérni.

Luxion KeyShot sérülékenységek Siemens Solid Edge rendszerekben

A Siemens ProductCERT bejelentése szerint a Luxion KeyShot termékében talált sérülékenységek érintik a Siemens Solid Edge alábbi verzióit is:

- Solid Edge SE2020 minden verziója;
- Solid Edge SE2021 minden verziója.

A hiba a KeyShot V10.1 és újabb verziókban került javításra. A sérülékenységről bővebben a Siemens ProductCERT bejelentéséből lehet tájékozódni.

Sérülékenység Advantech WebAccess rendszerekben

Chizuru Toyama, a TrendMicro-hoz tartozó TXOne IoT/ICS Security Research Labs munkatársa egy sérülékenységet talált az Advantech WebAccess/SCADA 9.0 és korábbi verzióiban.

A gyártó a hibát a 9.0.1-es és újabb verziókban javította. A sérülékenység részleteiről az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-075-01

Sérülékenységek GE védelmekben és vezérlőkben

A SCADA-X, az Idaho National Labs-hoz tartozó CyTRICS, a Verve Industrial és VuMetric összesen 9 sérülékenységről közöltek információkat a GE-vel, amik az alábbi védelmeiket és vezérlőiket érintik:

- UR termékcsalád B30 típusú berendezések;
- UR termékcsalád B90 típusú berendezések;
- UR termékcsalád C30 típusú berendezések;
- UR termékcsalád C60 típusú berendezések;
- UR termékcsalád C70 típusú berendezések;
- UR termékcsalád C95 típusú berendezések;
- UR termékcsalád D30 típusú berendezések;
- UR termékcsalád D60 típusú berendezések;
- UR termékcsalád F35 típusú berendezések;
- UR termékcsalád F60 típusú berendezések;
- UR termékcsalád G30 típusú berendezések;
- UR termékcsalád G60 típusú berendezések;
- UR termékcsalád L30 típusú berendezések;
- UR termékcsalád L60 típusú berendezések;
- UR termékcsalád L90 típusú berendezések;
- UR termékcsalád M60 típusú berendezések;
- UR termékcsalád N60 típusú berendezések;
- UR termékcsalád T35 típusú berendezések;
- UR termékcsalád T60 típusú berendezések.

A gyártó a hibákat az érintett eszközökhöz kiadott 8.10-es és újabb firmware-verziókban javította. A sérülékenységekkel kapcsolatos további információkat az ICS-CERT publikációában lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-075-02

Hitachi ABB Power Grids berendezések sérülékenysége

A Hitachi ABB Power Grids által a DHS CISA-val közölt információk alapján egy sérülékenységet azonosítottak az alábbi, AFS sorozatú készülékeikben:

- AFS660/AFS665 7.0.07-es verziója, beleértve az alábbi változatokat:
- AFS660-SR;
- AFS665-SR.

A hibát javító újabb verziót a gyártó már elérhetővé tette. A sérülékenység részleteiről az ICS-CERT bejelentésében lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-075-03

Sérülékenység Exacq Technologies rendszerekben

Milan Kyselica egy sérülékenységet jelentett a Johnson Controlsnak, amit a cég leányvállalatának, az Exacq Technologies-nak az exacqVision Web Service nevű termékének v20.12.02.0 és korábbi verzióiban talált.

A Johnson Controls tájékoztatása szerint a hibát az exacqVision Web Service v21.03 és újabb verzióiban javították. A sérülékenységgel kapcsolatos bővebb információkat az ICS-CERT weboldalán lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-077-01

Hitachi ABB Power Grids eSOMS sérülékenység

A Hitachi ABB Power Grids egy sérülékenységről tájékoztatta a DHS CISA-t, ami az alábbi termékeiket érinti:

- eSOMS 6.0 verziói a 6.0.4.2.2 előtt;
- eSOMS 6.1 verziói a 6.1.4 előtt;
- eSOMS 6.3-asnál korábbi verziói.

A gyártó a hibát az eSOMS újabb verzióiban javította. A sérülékenységről további információk az ICS-CERT publikációjában érhetőek el: https://us-cert.cisa.gov/ics/advisories/icsa-21-077-02

Sérülékenységek Hitachi ABB Power Grids eSOMS Telerik rendszerekben

A Hitachi ABB Power Grids hét különböző sérülékenységet talált az eSOMS termékeik 6.3-nál korábbi verzióiban, amik a Telerik szoftvereket használják.

A gyártó a hibát az eSOMS 6.3-as verziójában javította. A sérülékenységek részleteiről az ICS-CERT bejelentéséből lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-21-077-03

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Lassan eljutunk oda, hogy már abban sem lehetünk biztosak, mennyire stabil a föld a lábunk alatt. Legalábbis erről írt egy cikket Michael Samios, az athéni (Amerikai Egyesült Államok) nemzeti obszervatóriumának munkatársa a kollégáival közösen. A cikkben a szeizmológiai (gyakorlatilag a földrengések megfigyeléséhez és a földrengés-paraméterek minél pontosabb meghatározásához használt, a földrengéshullámokat regisztráló) berendezések kiberbiztonsági kockázatait ismerteti. A dolgozat szerint támadók a rendszerek biztonsági réseit kihasználva akár hamis földrengés-riadókat is előidézhetnek, aminek következtében megrengethetik a földrengések előrejelzésébe vetett bizalmat, ami pedig végső soron emberéletekbe is kerülhet - elég arra gondolni, hogy csak az elmúlt néhány évben hány nagyon komoly, sok áldozattal járó földrengést láttunk szerte a világon.

Az Internetre csatlakoztatott szeizmológiai megfigyelő rendszerek semmivel sem hordoznak kevesebb sérülékenységet, mint más, fizikai folyamatokat monitorozó rendszerek. Titkosítatlan adattovábbítás, nem biztonságos protokollok használata, gyenge authentikáció - az IT biztonság és ICS biztonság területén már ismert problémák közül nagyjából semmi sem hiányzik a szeizmológiai rendszerek sérülékenységi listájáról sem, ezek pedig nagyon könnyű prédává teszik ezeket a rendszereket (is) a támadóknak.

Michael Samios (szerintem igen helyesen) első lépésként a szeizmológusok biztonságtudatossági képzését jelöli meg, mint legfontosabb fejlesztésre szoruló területet. Ezzel párhuzamosan szerintem a szeizmológiai rendszerek fejlesztőinek oktatására is hangsúlyt kéne helyezni.

A cikk ezen túlmenően további megoldási javaslatokkal nem szolgál, de amit az ICS kiberbiztonság területén már lassan egy évtizede látok, az szerintem komolyabb változtatások nélkül ezen a területen is alkalmazható lenne. A kérdés már csak az, vajon itthon hány szeizmológiai rendszer/berendezés érhető el az Internetről és vajon a hazai szakemberekhez eljut-e ez a bejegyzés, hogy legalább elgondolkodhassanak az ilyen kérdéseken?

A különböző (főként, de nem kizárólag) termelésirányítási rendszereket használó vállalatok elleni ransomware-támadások ma már egyáltalán nem számítanak ritkának, de az, hogy egy héten belül két sörgyár rendszerei elleni zsarolóvírus támadásról jussanak el hozzám információk, az azért (még?) nem számít mindennaposnak.

Múlt heti a hír, ami szerint a Molson Coors sörgyár rendszereit feltételezhetően ransomware-támadás érte. A cég nem közölt információkat még az incidens jellegéről sem, ezért azt sem lehet tudni, hogy a termelési és logisztikai folyamataik automatizálásához használt rendszerek érintettek lehettek-e.

A másik incidensről még ennyit sem lehet tudni, hozzám is csak suttogó pletykaként jutott el az információ, ami szerint az egyik nagy magyar sörgyár egyes rendszereit is kibertámadás érte. ICS érintettségről itt sem szólt a forrásom, de mivel ez csak abszolút pletyka-szintű információ, nem is találgatnék egyelőre többet. Az viszont mindenképp érdekes, hogy nem ez az első eset, amiről hallok és ahol hazai viszonylatban nagy méretű vállalat esik zsarolóvírus áldozatává (az ipari szektorban).

Update: a Molson Coors-incidenssel kapcsolatban a CyberScoop forrásai alapján arról ír, hogy a feltételezett ransomware bizony a sörfőzésben használt rendszereket is elérte.

Sérülékenységek Siemens Solid Edge rendszerekben

Francis Provencher és rgod, a ZDI-vel együttműködésben négy sérülékenységet jelentettek a DHS CISA-nak a Siemens alábbi rendszereivel kapcsolatban:

- Solid Edge SE2020 minden, SE2020MP13-nál korábbi verziói;
- Solid Edge SE2021 minden, SE2021MP3-nál korábbi verziói.

A gyártó a hibát az érintett termékek újabb verzióiban javította. A sérülékenységek részleteit a Siemens ProductCERT és az ICS-CERT publikációk tartalmazzák.

Siemens SIMATIC S7 PLC-k sérülékenységei

A Siemens három sérülékenységről közölt információkat a DHS CISA-val, amik a SIMATICS S7-PLCSIM v5.4 minden verzióját érinti.

A hibákkal kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekkel kapcsolatban további információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenység Siemens SCALANCE és RuggedCom eszközökben

A Siemens egy sérülékenységről osztott meg információkat a DHS CISA-val, ami az alábbi termékeiket érinti:

- RUGGEDCOM RM1224 v4.3-as és későbbi verziói;
- SCALANCE M-800 v4.3-as és későbbi verziói;
- SCALANCE S615 v4.3-as és későbbi verziói;
- SCALANCE SC-600-as család minden, v2.0 és korábbi, de v2.1.3-nál újabb verziója;
- SCALANCE X300WG minden, v4.1-nél korábbi verziója;
- SCALANCE XM400 minden, v6.2-nél korábbi verziója;
- SCALANCE XR500 minden, v6.2-nél korábbi verziója;
- SCALANCE Xx200-as család minden, v4.1-nél korábbi verziója.

A gyártó a hibát egyes érintett termékeinek újabb verzióiban javította. A sérülékenységről bővebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Siemens Energy PLUSCONTROL sérülékenység

A Siemens egy sérülékenységet fedezett fel a PLUSCONTROL termékének első generációjának összes verziójában.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések használatát ajánlja. A sérülékenységgel kapcsolatos további részletek a Siemens ProductCERT és az ICS-CERT publikációiban érhetőek el.

AMNESIA:33 TCP/IP stack sérülékenységek Siemens SENTRON eszközökben

Daniel dos Santos, Stanislav Dashevskyi, Jos Wetzels és Amine Amri, a Forescout Research Labs munkatársai derítették ki, hogy az AMNESIA:33 TCP/IP stack sérülékenységek a Siemens SENTRON temrékcsalád alábbi tagjait is érintik:

- SENTRON 3VA COM100/800 minden verziója;
- SENTRON 3VA DSP800 minden verziója;
- SENTRON PAC2200 (CLP jóváhagyással rendelkező készülékek) minden verziója;
- SENTRON PAC2200 (MID jóváhagyással rendelkező készülékek) minden verziója;
- SENTRON PAC2200 (MID jóváhagyással rendelkező készülékek) minden verziója;
- SENTRON PAC3200 minden, v2.4.7-nél korábbi verzió;
- SENTRON PAC3200T minden verziója;
- SENTRON PAC3220 minden, v3.2.0-nál korábbi verziója;
- SENTRON PAC4200 minden, v2.3.0-nál korábbi verziója.

A gyártó egyes érintett eszközökhöz kiadta a hibákat javító újabb verziókat, a többihez pedig kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről további információkat a Siemes ProductCERT és az ICS-CERT bejelentéseiben lehet megtalálni.

Sérülékenységek Siemens SIMATIC MV400-as készülékekben

A Siemens két sérülékenységet azonosított a SIMATIC MV400-as termékcsaládjának minden, v7.0.6-nál korábbi verziójában.

A gyártó a hibákat a v7.0.6-os verzióban javította. A sérülékenységekkel kapcsolatos bővebb információkat a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Siemens SCALANCE és SIMATIC rendszerek sérülékenysége

A Siemens egy sérülékenységről közölt információkat a DHS CISA-val, ami az alábbi termékeit érinti:

- SCALANCE SC600 család minden, v2.0-nál korábbi verziója;
- SIMATIC NET CM 1542-1 minden verziója.

A gyártó a SCALANCE SC600 termékcsalád esetén javította a hibát illetve kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenység részleteiről a Siemens ProductCERT és az ICS-CERT publikációiból lehet tájékozódni.

Sérülékenység Siemens LOGO! 8 BM PLC-kben

Max Bäumler egy sérülékenységet jelentett a Siemens-nek, ami a LOGO! 8 BM típusú PLC-k (a SIPLUS variánsok is érintett) minden verziójában.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések alkalmazását ajánlja ügyfeleinek. A sérülékenységgel kapcsolatos információkat a Siemens ProductCERT és az ICS-CERT bejelentései tartalmazzák.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A mai poszt viszonylag rövid lesz. Nemrég találtam meg az Idaho National Lab által készített CCE (Consequence-driven Cyber-informed Engineering) esettanulmányt, ami a 2015-ös és 2016-os ukrán villamosenergia-szektor cégei elleni kibertámadások alapján egy fiktív ország (Baltavia) villamosenergia-rendszere elleni támadást írja le.

Az 55 oldalas esettanulmány az INL digitális könyvtárában érhető el.