2024. május 24-én megjelent a Network Code on Cyber Security nevű EU-s szabályozás az európai villamosenergia-szektor kiberbiztonságának jelenleg legmagasabb szintű, európai követelményrendszere (a NIS2, bár jóval nagyobb nyilvánosságot kap, irányelvként alacsonyabb rendű jogszabály, mint a Network Code, ami egy EU-s jogszabály). Ez persze nem jelenti azt, hogy a Network Code bármiben is ellentmondana a NIS2-ben foglaltaknak, inkább csak kiegészíti a NIS2 rendelkezéseit, különösen az európai villamosenergia-rendszer határkeresztező kapcsolatainak IT és OT rendszereivel kapcsolatos biztonsági témák terén.

A most megjelenő Network Code egy több, mint 3,5 éves munka eredménye, amit az ACER (az európai energiahivatalok EU-s szerve) irányításával az ENTSO-E (az európai villamosenergia-ipari rendszerirányítók közössége) és az EU-DSO (az európai villmosenergia-ipari elosztóhálózati cégek EU-s ernyőszervezete) munkatársai készítették. Be kell vallanom, hogy személyes érzések is kötnek ehhez a Network Code-hoz, mert a munka kezdetén, még 2021-ben lehetőségem nyílt a Network Code írásában résztvevő egyik munkacsoportban hozzájárulni egy kicsit a most megjelenő szabályozáshoz.

A Network Code on Cyber Security szövege itt érhető el: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202401366

A TrendMicro az utóbbi időben egyre nagyobb hangsúlyt helyez a tevékenységei között az OT kiberbiztonság területére. A mai posztban egy tavaly őszi webinar-jukról lesz szó, amiben az alábbi témákat érintették a villamosenergia-rendszerek biztonságával kapcsolatban:

A webinar elején bemutatják a korábban "Kritikus infrastruktúrák kockázati kitettsége - a villamosenergia és viziközmű szektorokban" címmel publikált kutatásuk eredményeit.

Ezután a mostanában a villamosenergia-rendszerek ellen végrehajtott kibertámadások bemutatásával illusztrálva magyarázzák el a lehetséges támadási felületeket, a támadások folyamatait és a támadások következtében villamosenergia-rendszer IT és OT rendszereit fenyegető lehetséges károkat.

A webinar utolsó részében a lehetséges megoldásokról esik szó, a munkatársak biztonságtudatossági oktatásán kívül bemutatják a TrendMicro által kidolgozott Unified Kill Chain megközelítést, ami a Lockheed Martin Cyber KillChain-re és a MITRE ATT&CK-ra épülő megközelítés.

A webinar visszanézhető ezen az oldalon, az oldal alján található linkre kattintva, regisztráció után.

Bejelentés dátuma: 2024.04.22.
Gyártó: Moxa
Érintett rendszer(ek):
- AIG-301 sorozatú eszközök v1.5-ös és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Double free (CVE-2024-27099)/kritikus;
- Code Injection (CVE-2024-25110)/kritikus;
- Code Injection (CVE-2024-21646)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.04.26.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann HiEOS LRS11 01.1.00-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (BSECV-2024-02)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Belden

Bejelentés dátuma: 2024.05.07.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort 5100A sorozatú eszközök v1.6-os és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-3576)/súlyos;
Javítás: Elérhető a gyártó műszaki támogatásánál.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Cerberus PRO UL Compact Panel FC922/924 minden, MP4-nél korábbi verziója;
- Siemens Cerberus PRO UL Engineering Tool minden, MP4-nél korábbi verziója;
- Siemens Cerberus PRO UL X300 Cloud Distribution minden, V4.3.0001-nél korábbi verziója;
- Siemens Desigo Fire Safety UL Compact Panel FC2025/2050 minden, MP4-nél korábbi verziója;
- Siemens Desigo Fire Safety UL Engineering Tool minden, MP4-nél korábbi verziója;
- Siemens Desigo Fire Safety UL X300 Cloud Distribution minden, V4.3.0001-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2024-22039)/kritikus;
- Out-of-bounds Read (CVE-2024-22040)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-22041)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- CPC80 Central Processing/Communication minden, V16.41-nél korábbi verziója;
- CPCI85 Central Processing/Communication minden, V5.30-nál korábbi verziója;
- OPUPI0 AMQP/MQTT minden, V5.30-nál korábbi verziója;
- SICORE Base system minden, V1.3.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Null Termination (CVE-2024-31484)/súlyos;
- Command Injection (CVE-2024-31485)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2024-31486)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Nastran 2306 minden verziója;
- Simcenter Nastran 2312 minden verziója;
- Simcenter Nastran 2406 minden, V2406.90-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2024-33577)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek) a Nozomi Guardian/CMC 23.4.1-nél korábbi verziót használó alábbi Siemens termékek:
- RUGGEDCOM APE1808LNX (6GK6015-0AL200GH0) minden verziója;
- RUGGEDCOM APE1808LNX CC (6GK60150AL20-0GH1) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2023-6916)/súlyos;
- Improper Input Validation (CVE-2024-0218)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- PS/IGES Parasolid Translator komponens minden, V27.1.215-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-32055)/súlyos;
- Type Confusion (CVE-2024-32057)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-32058)/súlyos;
- Out-of-bounds Read (CVE-2024-32059)/súlyos;
- Out-of-bounds Read (CVE-2024-32060)/súlyos;
- Out-of-bounds Read (CVE-2024-32061)/súlyos;
- Type Confusion (CVE-2024-32062)/súlyos;
- Type Confusion (CVE-2024-32063)/súlyos;
- Out-of-bounds Read (CVE-2024-32064)/súlyos;
- Out-of-bounds Read (CVE-2024-32065)/súlyos;
- Out-of-bounds Read (CVE-2024-32066)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden, V2312.0001-nél korábbi verziója;
- Teamcenter Visualization V14.1 minden, V14.1.0.13-nál korábbi verziója;
- Teamcenter Visualization V14.2 minden, V14.2.0.10-nél korábbi verziója;
- Teamcenter Visualization V14.3 minden, V14.3.0.7-nél korábbi verziója;
- Teamcenter Visualization V2312 minden, V2312.0001-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2024-34085)/súlyos;
- Out-of-bounds Write (CVE-2024-34086)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid V35.1 minden, V35.1.256-nál korábbi verziója;
- Parasolid V36.0 minden, V36.0.210-nél korábbi verziója;
- Parasolid V36.1 minden, V36.1.185-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-31980)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM CROSSBOW minden, V5.5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authorization (CVE-2024-27939)/kritikus;
- SQL Injection (CVE-2024-27940)/súlyos;
- SQL Injection (CVE-2024-27941)/súlyos;
- Missing Authentication for Critical Function (CVE-2024-27942)/súlyos;
- External Control of File Name or Path (CVE-2024-27943)/súlyos;
- External Control of File Name or Path (CVE-2024-27944)/súlyos;
- External Control of File Name or Path (CVE-2024-27945)/súlyos;
- Path Traversal (CVE-2024-27946)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2024-27947)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2302 minden, V2302.0011-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-32639)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- S7-PCT minden verziója
- Security Configuration Tool (SCT) minden verziója
- SIMATIC Automation Tool minden verziója
- SIMATIC BATCH V9.1 minden verziója
- SIMATIC NET PC Software minden verziója
- SIMATIC PCS 7 V9.1 minden verziója
- SIMATIC PDM V9.2 minden verziója
- SIMATIC Route Control V9.1 minden verziója
- SIMATIC STEP 7 V5 minden verziója
- SIMATIC WinCC OA V3.17 minden verziója
- SIMATIC WinCC OA V3.18 minden, V3.18 P025-nél korábbi verziója;
- SIMATIC WinCC OA V3.19 minden, V3.19 P010-nél korábbi verziója;
- SIMATIC WinCC Runtime Advanced minden verziója
- SIMATIC WinCC Runtime Professional V16 minden verziója
- SIMATIC WinCC Runtime Professional V17 minden verziója
- SIMATIC WinCC Runtime Professional V18 minden verziója
- SIMATIC WinCC Runtime Professional V19 minden verziója
- SIMATIC WinCC Unified PC Runtime minden verziója
- SIMATIC WinCC V7.4 minden verziója
- SIMATIC WinCC V7.5 minden verziója
- SIMATIC WinCC V8.0 minden verziója
- SINAMICS Startdrive minden, V19 SP1-nél korábbi verziója;
- SINUMERIK ONE virtual minden, V6.23-nál korábbi verziója;
- SINUMERIK PLC Programming Tool minden verziója
- TIA Portal Cloud Connector minden, V2.0-nél korábbi verziója;
- Totally Integrated Automation Portal (TIA Portal) V15.1 minden verziója
- Totally Integrated Automation Portal (TIA Portal) V16 minden verziója
- Totally Integrated Automation Portal (TIA Portal) V17 minden verziója
- Totally Integrated Automation Portal (TIA Portal) V18 minden verziója
- Totally Integrated Automation Portal (TIA Portal) V19 minden, V19 Update 2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-46280)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.05.21.
Gyártó: LCDS - Leão Consultoria e Desenvolvimento de Sistemas Ltda ME
Érintett rendszer(ek):
- LAquis SCADA 4.7.1.7-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2024-5040)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-142-01

Bejelentés dátuma: 2024.05.23.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- AutomationDirect Productivity PLC 3000 P3-550E CPU FW 1.2.10.9-es verziója;
- AutomationDirect Productivity PLC 3000 P3-550E CPU SW 4.1.1.10-es verziója;
- AutomationDirect Productivity PLC 3000 P3-550 CPU FW 1.2.10.9-es verziója;
- AutomationDirect Productivity PLC 3000 P3-550 CPU SW 4.1.1.10-es verziója;
- AutomationDirect Productivity PLC 3000 P3-530 CPU FW 1.2.10.9-es verziója;
- AutomationDirect Productivity PLC 3000 P3-530 CPU SW 4.1.1.10-es verziója;
- AutomationDirect Productivity PLC 2000 P2-550 CPU FW 1.2.10.10-es verziója;
- AutomationDirect Productivity PLC 2000 P2-550 CPU SW 4.1.1.10-es verziója;
- AutomationDirect Productivity PLC 1000 P1-550 CPU FW 1.2.10.10-es verziója;
- AutomationDirect Productivity PLC 1000 P1-550 CPU SW 4.1.1.10-es verziója;
- AutomationDirect Productivity PLC 1000 P1-540 CPU FW 1.2.10.10-es verziója;
- AutomationDirect Productivity PLC 1000 P1-540 CPU SW 4.1.1.10-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Buffer Access with Incorrect Length Value (CVE-2024-24851)/súlyos;
- Out-of-bounds Write (CVE-2024-24946)/súlyos;
- Out-of-bounds Write (CVE-2024-24947)/súlyos;
- Out-of-bounds Write (CVE-2024-24954)/súlyos;
- Out-of-bounds Write (CVE-2024-24955)/súlyos;
- Out-of-bounds Write (CVE-2024-24956)/súlyos;
- Out-of-bounds Write (CVE-2024-24957)/súlyos;
- Out-of-bounds Write (CVE-2024-24958)/súlyos;
- Out-of-bounds Write (CVE-2024-24959)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-24962)/kritikus;
- Stack-based Buffer Overflow (CVE-2024-24963)/kritikus;
- Improper Access Control (CVE-2024-22187)/kritikus;
- Improper Access Control (CVE-2024-23315)/súlyos;
- Active Debug Code (CVE-2024-21785)/kritikus;
- Insufficient Verification of Data Authenticity (CVE-2024-23601)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-144-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nemrég találkoztam Chris Sistrunk egy 2023-as előadásával, ami a proaktív OT incidenskezelés megközelítését mutatta be a tavalyi Houston Security Conference-en (HOUSSECCON).

Az előadásban Chris érinti az IT és OT környezetekben végzett incidenskezelés hasonlóságait és különbségeit, az OT környezeteknél szükséges egyedi megközelítéseket és azokat a proaktív lépéseket, amik segítenek hatékonyabbá tenni az incidensek elhárítását.

Ami igazán érdekes volt ebben az előadásban, az a 99(%)-os elmélet, ami arról szól, hogy:

- Az OT környezetekben kompromittált rendszerek 99 %-a tulajdonképpen IT rendszer;
- Az OT környezetekben talált malware-ek 99 %-a IT malware ("hagyományos" ransomware vagy más, IT rendszerekre tervezett és írt malware);
- Az OT környezetekben végzett forensics vizsgálatok 99 %-a IT rendszereken végzett tevékenység lesz;
- Az incidens észlelésének lehetősége 99 %-ban az IT komponenseken fog rendelkezésre állni;
- A kompromittálástól az észlelési eltelt idő 99 %-át a támadók az OT környezetben üzemelő IT komponenseken fogják tölteni;

Chris Sistrunk szerint ebből következik, hogy a valóban ICS rendszerek elleni támadások (vagyis azok, ahol PLC-ket, RTU-kat, más, Purdue-modell szerint L1 és L0 eszközöket célzó támadások) csak az incidensek 1 %-át teszik ki.

Mit jelent ez azok számára, akiknek ICS/OT incidenskezelési tervet kell készíteniük?

Elsőként én azt javaslom, hogy tanulmányozzák Chris előadásának diáit, amik a SlideShare-en érhetőek el.

Az pedig már az én véleményem, hogy tessék szépen egy vegyes, OT és IT vagy kiberbiztonsági mérnökökből álló csapatot létrehozni, mert az már ennyiből is látszik, hogy egyedül egyik szakterület sem lesz képes egy minőségi és egy OT kiberbiztonsági incidens kitörésekor jelentkező, stresszel telített órákban, napokban terv alapján cselekedni. Ennek elsődleges oka, hogy az IT/kiberbiztonsági szakemberek érthetően nem illetve nem teljeskörűen ismerik az OT és különösen az ICS rendszerek sajátosságait, a működésük IT rendszerekétől eltérő specialitásait illetve az incidenskezelés közben elvégezhető és el nem végezhető műveleteket. Ugyanígy pedig az OT mérnökök, akik naprakészek azoknak a folyamatoknak a fizikájából/kémiájából, amiket a folyamatirányító rendszerek vezényelnek, általában nem ismerik az elérhető és hatékony forensics eszközöket és eljárásokat. Nincs más megoldás, együttműködésre lesz szükség, még akkor is, ha ez az első pillanatokban vélhetően senkinek nem fog tetszeni az érintett csapatokból.

Bejelentés dátuma: 2024.05.13.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann BAT-C2 08.08.01.01R08 or lower
- Hirschmann OWL 3G 6.2.9 or lower
- Hirschmann OWL LTE 6.2.9 or lower
- Hirschmann OWL LTE M12 6.2.9 or lower
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Pointer Segmentation Fault (CVE-2021-28831)/súlyos;
- Remote Code Execution (CVE-2022-28391)/súlyos;
- Denial-of-Service (CVE-2022-30065)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Belden-Hirschmann

Bejelentés dátuma: 2024.05.14.
Gyártó: PHOENIX CONTACT
Érintett rendszer(ek):
- CHARX SEC-3000 1.5.1-es és korábbi verziói;
- CHARX SEC-3050 1.5.1-es és korábbi verziói;
- CHARX SEC-3100 1.5.1-es és korábbi verziói;
- CHARX SEC-3150 1.5.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Untrusted Search Path (CVE-2024-28133)/súlyos;
- Improper Input Validation (CVE-2024-28136)/súlyos;
- Time-of-check Time-of-use (TOCTOU) Race Condition (CVE-2024-28137)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2024-28134)/súlyos;
- Improper Input Validation (CVE-2024-28135)/közepes;
Javítás: Elérhető
Link a publikációhoz:https://cert.vde.com/en/advisories/VDE-2024-019/

Bejelentés dátuma: 2024.05.14.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Software House C-CURE 9000 v3.00.2-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insertion of Sensitive Information into Log File (CVE-2024-0912)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-03

Bejelentés dátuma: 2024.05.14.
Gyártó: Subnet Solutions
Érintett rendszer(ek):
- PowerSYSTEM Center Update 19 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Insufficiently Trustworthy Component (CVE-2024-28042)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-02

Bejelentés dátuma: 2024.05.14.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek) az FA Engineering szoftver termékek alábbi verziói:
- CPU Module Logging Configuration Tool minden verziója;
- CSGL (GX Works2 connection configuration) minden verziója;
- CW Configurator minden verziója;
- Data Transfer minden verziója;
- Data Transfer Classic minden verziója;
- EZSocket (communication middleware product for Mitsubishi Electric partner companies) minden verziója;
- FR Configurator SW3 minden verziója;
- FR Configurator2 minden verziója;
- GENESIS64 minden verziója;
- GT Designer3 Version1 (GOT1000) minden verziója;
- GT Designer3 Version1 (GOT2000) minden verziója;
- GT SoftGOT1000 Version3 minden verziója;
- GT SoftGOT2000 Version1 minden verziója;
- GX Developer minden verziója;
- GX LogViewer minden verziója;
- GX Works2 minden verziója;
- GX Works3 minden verziója;
- iQ Works (MELSOFT Navigator) minden verziója;
- MI Configurator minden verziója;
- Mitsubishi Electric Numerical Control Device Communication Software (FCSB1224) minden verziója;
- MR Configurator (SETUP221) minden verziója;
- MR Configurator2 minden verziója;
- MRZJW3-MC2-UTL minden verziója;
- MX Component minden verziója;
- MX OPC Server DA/UA (Software packaged with MC Works64) minden verziója;
- PX Developer/Monitor Tool minden verziója;
- RT ToolBox3 minden verziója;
- RT VisualBox minden verziója;
- Setting/monitoring tools for the C Controller module (SW4PVC-CCPU) minden verziója;
- SW0DNC-MNETH-B minden verziója;
- SW1DNC-CCBD2-B minden verziója;
- SW1DNC-CCIEF-J minden verziója;
- SW1DNC-CCIEF-B minden verziója;
- SW1DNC-MNETG-B minden verziója;
- SW1DNC-QSCCF-B minden verziója;
- SW1DND-EMSDK-B minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Privilege Management (CVE-2023-51776)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-51777)/közepes;
- Out-of-bounds Write (CVE-2023-51778)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-22102)/közepes;
- Out-of-bounds Write (CVE-2024-22103)/közepes;
- Out-of-bounds Write (CVE-2024-22104)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-22105)/közepes;
- Improper Privilege Management (CVE-2024-22106)/közepes;
- Improper Privilege Management (CVE-2024-25086)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-25087)/közepes;
- Improper Privilege Management (CVE-2024-25088)/közepes;
- Improper Privilege Management (CVE-2024-26314)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-04

Bejelentés dátuma: 2024.05.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Remote Access v13.5.0.174-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unquoted Search Path or Element (CVE-2024-3640)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-01

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CN 4100 minden, V3.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2024-32740)/kritikus;
- Use of Hard-coded Password (CVE-2024-32741)/kritikus;
- Missing Immutable Root of Trust in Hardware (CVE-2024-32742)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge minden, V224.0 Update 5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2024-33489)/súlyos;
- Out-of-bounds Read (CVE-2024-33490)/súlyos;
- Out-of-bounds Read (CVE-2024-33491)/súlyos;
- Out-of-bounds Read (CVE-2024-33492)/súlyos;
- Out-of-bounds Read (CVE-2024-33493)/súlyos;
- Heap-based Buffer Overflow (CVE-2024-34771)/súlyos;
- Out-of-bounds Read (CVE-2024-34772)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-34773)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Polarion ALM minden, V2404.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Access Control (CVE-2024-33647)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Parasolid V35.1 minden, V35.1.256-nál korábbi verziója;
- Siemens Parasolid V36.0 minden, V36.0.208-nál korábbi verziója;
- Siemens Parasolid V36.1 minden, V36.1.173-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-32635)/súlyos;
- Out-of-bounds Read (CVE-2024-32636)/súlyos;
- NULL Pointer Dereference (CVE-2024-32637)/alacsony;
Javítás:
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC RTLS Locating Manager (6GT2780-0DA00) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-0DA10) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-0DA20) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-0DA30) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-1EA10) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-1EA20) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-1EA30) V3.0.1.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2023-4807)/súlyos;
- Improper Input Validation (CVE-2023-5363)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-29409)/közepes;
- Excessive Iteration (CVE-2023-33953)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2023-38039)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38545)/súlyos;
- External Control of File Name or Path (CVE-2023-38546)/alacsony;
- Improper Input Validation (CVE-2023-46218)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-46219)/közepes;
- Download of Code Without Integrity Check (CVE-2024-30206)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2024-30207)/kritikus;
- Incorrect Permission Assignment for Critical Resource (CVE-2024-30208)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2024-30209)/kritikus;
- Insufficient Verification of Data Authenticity (CVE-2024-33494)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2024-33495)/közepes;
- Insufficiently Protected Credentials (CVE-2024-33496)/közepes;
- Insufficiently Protected Credentials (CVE-2024-33497)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-33498)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2024-33499)/kritikus;
- Hidden Functionality (CVE-2024-33583)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.05.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View SE 14.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-4609)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-14

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Még tavaly ősszel találtam egy LinkedIn poszton keresztül egy egészen jó, 11 oldalas tanulmányt az IEC 104-es (IEC 60870-5-104) protokoll elleni támadási lehetőségekről - ráadásul két magyar kutató tollából, György Péter és Holczer Tamás, a BME CrySys Lab munkatársai publikálták a mai poszt tárgyát képező dokumentumot.

Ahogy a tanulmány elején is olvasható, a 104-es protokoll az európai villamosenergia-rendszerben mind a mai napig az egyik alapvető ICS protokollnak számít, így biztonsági vizsgálata és a protokoll elleni támadási lehetőségek minél alaposabb ismerete kulcsfontosságú az európai villamosenergia-ellátás biztonsága szempontjából - különösen igaz ez egy olyan háború idején, ami az európai kontinentális villamosenergia-rendszert is közvetlenül érinti (immár lassan két éve, hogy az ukrán rendszert szinkronizálták a kontinentális rendszerre). Vagy legalább is ismerni kéne...

A tanulmány a 104-es protokoll bemutatása után a protokoll által használt két üzenettípus (Application Protocol Control Information, APCI és Application Service Data Unit) felépítését tárgyalja, majd a protokoll hibáit és a tanulmányhoz épített tesztkörnyezetet mutatja be.

Első támadási formaként egy Man-in-the-Middle támadást teszteltek, majd áttértek magának a 104-es protokoll hibáinak a kihasználására, amihez építettek egy kis méretű, szimulált villamosenergia-rendszert, alállomásokkal. Az alábbi négy, 104-es protokoll elleni támadási módot tesztelték:

- Illetéktelen hozzáférés: kézenfekvőnek tűnt, hiszen számos más ICS protokollhoz hasonlóan a 104-es protokoll sem biztosít authentikációt a kommunikáció során;
- Az APCI szekvencia-szám módosítása: ha a 104-es protokoll egy nem várt szekvencia-számot lát az APCI mezőben a felépült kapcsolat megszakadásához vezet;
- TCP adatfolyam mérgezése: A 104-es protokollt használó szerver-kliens kapcsolatok egyetlen TCP adatfolyamban történnek, amit folyamatosan életben tartanak a kommunikáló felek. A támadó egy helytelen TCP szekvencia-számmal rendelkező vagy FIN csomagot küld a kommunikációban részt vevő egyik félnek, a kapcsolat megszakad.
- TCP csomag befecskendezés: egy sikeres TCP csomag-befecskendezéses támadáshoz a támadónak képesnek kell lennie a megfelelő szekvencia-számot megadni, mind a TCP, mind az APCI szekvenciák tekintetében. Ha azonban ezt sikerül megoldani, akkor gyakorlatilag bármilyen változtatást képes lehet a támadó végrehajtani a kliens-szerver kommunikációban.

Nem igazán tudok elmenni amellett a tény mellett, hogy magyar kutatók ICS/OT biztonsági témájú publikációjáról egy német kolléga LI-oldaláról kellett tudomást szereznem. Azt hiszem mindaddig, amíg a hazai színtéren az ilyen munkákról nem vagy alig lehet tudni, nem sok esélyünk lesz arra, hogy a magyar kritikus infrastruktúrák folyamatirányító rendszereinek biztonságát érdemben javítani tudjuk.

Bejelentés dátuma: 2024.05.06.
Gyártó: CODESYS
Érintett rendszer(ek):
- CODESYS Development System V2.3 2.3.9.73-asnál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-49675)/súlyos;
- Use After Free (CVE-2023-49676)/közepes;
Javítás: Elérhető
Link a publikációhoz: CODESYS

Bejelentés dátuma: 2024.05.09.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- InfraSuite Device Master 1.0.10 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-46604)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-130-03

Bejelentés dátuma: 2024.05.09.
Gyártó: alpitronic
Érintett rendszer(ek):
- Hypercharger elektromos autó töltő minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Default Credentials (CVE-2024-4622)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-130-02

Bejelentés dátuma: 2024.05.09.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Historian SE v9.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Release of Resource after Effective Lifetime (CVE-2023-31274)/súlyos;
- Improper Check or Handling of Exceptional Conditions (CVE-2023-34348)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-130-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az ICS podcast-eket listázó poszt-sorozat mai részében a SecurityWeek szerkesztője, Ryan Naraine beszélget a Palo Alto Networks egyik vezetőjével arról, hogy az IT (hálózat)biztonságban egyre elismertebb cég hogyan is látja a mind fontosabb IT-OT konvergencia kérdését. A beszélgetés, ami kb. 20 perces, itt hallgatható meg.

Bejelentés dátuma: 2024.04.30.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft-G2 HMI-k (DOPSoft v5.0.0.93-mal együtt használt) 2.0.0.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2024-4192)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-121-01

Bejelentés dátuma: 2024.05.02.
Gyártó: CyberPower
Érintett rendszer(ek):
- PowerPanel business 4.9.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Password (CVE-2024-34025)/kritikus;
- Use of Hard-coded Password (CVE-2024-34025)/kritikus;
- Relative Path Traversal (CVE-2024-33615)/súlyos;
- Use of Hard-coded Credentials (CVE-2024-32053)/kritikus;
- Active Debug Code (CVE-2024-32047)/kritikus;
- Storing Passwords in a Recoverable Format (CVE-2024-32042)/közepes;
- SQL Injection (CVE-2024-31856)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2024-31410)/közepes;
- Improper Authorization (CVE-2024-31409)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-01

Bejelentés dátuma: 2024.05.02.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DIAEnergie v1.10.00.005-ös verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SQL Injection (CVE-2024-34031)/súlyos;
- SQL Injection (CVE-2024-34032)/súlyos;
- Path Traversal (CVE-2024-34033)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-02

Bejelentés dátuma: 2024.05.07.
Gyártó: Subnet Solutions
Érintett rendszer(ek):
- Substation Server 2.23.10-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Insufficiently Trustworthy Component (CVE-2024-26024)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-128-02

Bejelentés dátuma: 2024.05.07.
Gyártó: PTC
Érintett rendszer(ek):
- Codebeamer 22.10 SP9-es és korábbi verziói;
- Codebeamer 2.0.0.3-as és korábbi verziói;
- Codebeamer 2.1.0.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-3951)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-128-01

Bejelentés dátuma: 2024.05.07.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort 5100A sorozatú eszközök v1.6-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-3576)/súlyos;
Javítás: Elérhető a Moxa Technical Support-nál.
Link a publikációhoz: Moxa

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Ha valaki Internetről elérhető ICS/OT rendszereket szeretne kiberbiztonsági szempontból tesztelni, a Shodan az egyik, talán legismertebb szolgáltatás, ami ehhez a vizsgálathoz elérhető - 7 éve én is írtam róla itt a blogon, azóta is ez az egyik legolvasottabb posztom. Nemrég egy egészen jó és részletes útmutatót találtam a Shodan-hoz, ami 80 oldalon, egészen a parancssori használat és az API-integráció szintjéig mutatja be a Shodan használatát. Az útmutatót itt lehet elérni.