Az ipari automatizálási szektor egyik óriásaként a Siemens-re mindig is kiemelt figyelem fordult és fordul ma is az ICS kiberbiztonság területén is, ezért említésre méltó a hír, hogy a Siemens és a gépi tanulásra alapozott végpontvédelmi megoldásokat fejlesztő SparkCognition együttműködési megállapodást kötöttek.

Míg a megoldás pozitívuma, hogy támogatja az olyan, régóta semmilyen gyártói támogatással nem rendelkező (de különböző iparágak által ennek ellenére még mindig széles körben használt) operációs rendszereket, mint a Windows 2000/2003/XP, én némiképp szkeptikus vagyok azzal kapcsolatban, hogy vajon hány, ilyen végzetesen elavult szoftveres környezetekben futó ICS rendszer esetén fogják használni ezeket a megoldásokat?

Schneider Electric Software Update sérülékenység

A Schneider Electric egy sérülékenységről publikált információkat, ami az alábbi termékeiben használt Software Update komponens V2.4.0 és korábbi változatait érinti:

- EcoStruxure Augmented Operator Advisor;
- EcoStruxure Control Expert (formerly known as Unity Pro);
- EcoStruxure Hybrid Distributed Control System (DCS);
- EcoStruxure Machine Expert (formerly known as SoMachine);
- EcoStruxure Machine Expert Basic;
- EcoStruxure Operator Terminal Expert;
- Eurotherm Data Reviewer;
- Eurotherm iTools;
- eXLhoist Configuration Software;
- Schneider Electric Floating License Manager;
- Schneider Electric License Manager;
- Harmony XB5SSoft;
- SoMachine Motion;
- SoMove;
- Versatile Software BLUE;
- Vijeo Designer;
- OsiSense XX Configuration Software;
- Zelio Soft 2.

A gyártó a hibát a Software Update V2.5.0 verziójában javította. A sérülékenységről további információk a Schneider Electric publikációjában érhetőek el.

Sérülékenységek Schneider Electric Floating License Manager szoftverekben

A Schneider Electric bejelentése szerint az alábbi termékeikben használt Floating License Manager-ben megtalálható Flexera FlexNet Publisher-ben több sérülékenységet azonosítottak:

- EcoStruxure Control Expert (csak a Floating licenceket használó változatok);
- EcoStruxure Control Expert - Asset Link (csak a Floating licenceket használó változatok);
- EcoStruxure Hybrid Distributed Control System (DCS) (korábbi nevén PlantStruxure PES);
- EcoStruxure Machine Expert (korábbi nevén SoMachine, csak a Floating licenceket használó változatok);
- EcoStruxure Machine Expert – Safety (csak a Floating licenceket használó változatok);
- Facility Expert Online;
- EcoStruxure Power Monitoring Expert;
- EcoStruxure Power SCADA Operation (korábbi nevén PowerSCADA Expert és PowerLogic SCADA);
- SoMachine Motion Floating változat.

A gyártó a hibákat a Floating License Manager V2.5.0.0 verzióban javította. A sérülékenység részleteit a Schneider Electric bejelentésében lehet elérni.

Phoenix Contact rendszerek sérülékenységei

Natnael Samson és egy mdm néven ismert biztonsági kutató két sérülékenységet találtak a Phoenix Contact Worx Software Suite termékének alábbi verzióiban:

- PC Worx 1.87 és korábbi verziói;
- PC Worx Express 1.87 és korábbi verziói.

A hibákkal kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről bővebben az ICS-CERT publikációjában lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-20-191-01

Sérülékenységek Siemens Opcenter Execution Core rendszerekben

A Siemens három sérülékenységről közölt információkat a DHS CISA-val, amik az alábbi termékeiket érintik:

- Camstar Enterprise Platform minden verziója;
- Opcenter Execution Core minden, v8.2-nél régebbi verziója.

A gyártó a hibákat az Opcenter Execution Core v8.2-es verziójában javította. A sérülékenységekről további részleteket a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet olvasni.

Siemens LOGO! webszerver sérülékenység

Alexander Perez-Palma és Dave McDaniel, a Cisco Talos, valamint Emanuel Almeida, a Cisco Systems munkatársai egy sérülékenységet találtak a Siemens alábbi rendszereiben:

LOGO! 8 BM (beleértve a SIPLUS változatokat is):
- 1.81.01 és 1.81.03 közötti verziók;
- 1.82.01;
- 1.82.02.

A gyártó a hibát az 1.82.04, 1.82.03 és 1.82.04-es verziókban javította. A sérülékenységről bővebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet tájékozódni.

Sérülékenységek Siemens UMC stack-ben

Victor Fidalgo, az INCIBE és Reid Wightman, a Dragos munkatársai 3 sérülékenységet találtak a Siemens alábbi termékeiben:

- Opcenter Execution Discrete minden, v3.2-nél korábbi verziója;
- Opcenter Execution Foundation minden, v3.2-nél korábbi verziója;
- Opcenter Execution Process minden, v3.2-nél korábbi verziója;
- Opcenter Intelligence minden verziója;
- Opcenter Quality minden, v11.3-nál régebbi verziója;
- Opcenter RD&L v8.0
- SIMATIC IT LMS minden verziója;
- SIMATIC IT Production Suite minden verziója;
- SIMATIC Notifier Server for Windows minden verziója;
- SIMATIC PCS neo minden verziója;
- SIMATIC STEP 7 (TIA Portal) v15 minden verziója;
- SIMATIC STEP 7 (TIA Portal) v16 minden, V16 Update 2-nél korábbi verziója;
- SIMOCODE ES minden verziója;
- Soft Starter ES minden verziója.

A hibák által érintett egyes termékekhez a gyártó kiadta a javítást tartalmazó újabb verziókat. A sérülékenységek részleteiről a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Siemens SIMATIC HMI sérülékenység

A Siemens ProductCERT egy sérülékenységről adott közre információkat, ami az alábbi termékeit érinti:

- SIMATIC HMI Basic panelek első generációs (beleértve a SIPLUS-t is) változatainak minden verziója;
- SIMATIC HMI Basic panelek második generációs (beleértve a SIPLUS-t is) változatainak minden verziója;
- SIMATIC HMI Comfort panelek (beleértve a SIPLUS-t is) változatainak minden verziója;
- SIMATIC HMI KTP700F Mobile Arctic minden verziója;
- SIMATIC HMI Mobile panelek második generációs (beleértve a SIPLUS-t is) változatainak minden verziója;
- SIMATIC WinCC Runtime Advanced minden verziója.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenység részleteit a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet megtalálni.

Sérülékenység a Siemens SIMATIC S7 processzorcsaládban

Ezequiel Fernandez, a Siemens-szel együttműködve egy sérülékenységről osztott meg információkat a DHS CISA-val, ami SIMATIC S7-200 SMART CPU család v2.2 utáni és v2.5.1 előtti verzióit érinti.

A gyártó a hibát a v2.5.1-es verzióban javította, ennek használata mellett kockázatcsökkentő intézekdések bevezetését javasolja. A sérülékenységgel kapcsolatos részletes információkat a Siemens ProductCERT és az ICS-CERT weboldalain lehet elérni.

Sérülékenységek Siemens SICAM rendszerekben

Az Landshut Egyetem és az Augsburg-i Egyetem Alkalmazott Tudományok Intézeteinek munkatársai összesen 9 sérülékenységet jelentettek a Siemens-nek, amik alábbi rendszereket érintik:

- SICAM MMU 2.05 előtti összes verziója;
- SICAM SGU minden verziója;
- SICAM T 2.18 előtti összes verziója.

A gyártó aibákat a MMU és T sorozatoknál a legújabb verzióban javította, az SGU sorozat esetén a SICAM A8000 RTU-ra történő váltást javasolja. A sérülékenységekről további részleteket a Siemens ProductCERT és az ICS-CERT publikációi tartalmaznak.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A FireEye egy meglehetősen érdekes kutatás eredményeit publikáltak, amely szerint a pénzügyileg motivált támadók (őket szokás kiberbűnözőkként is emlegetni) egyre inkább kezdik kiterjeszteni a támadásaikat az otthoni felhasználók és a vállalati IT rendszerek után az ipari folyamatirányításban fontos rendszerekre is.

A kutatók két csoportra osztották az ICS rendszereket célzó ransomware-eket, aszerint, hogy a ransomware-ek milyen ipari folyamatokat próbálnak leállítani a fájlok titkosítása előtt. Az első csoportba tartózó hat zsarolóvírus mintegy ezer ipari szoftver folyamatait próbálja leállítani, ebbe a csoportba tartoznak a SNAKE (más neveken SNAKEHOSE, EKANS), a DoppelPaymer, a LockerGoga, a Maze, a MegaCortex és a Nefilim néven ismert ransomware-ek, a második csoportba pedig az 1425 ipari folyamatra specializált CLOP ransomware.

Az ICS ransomware-ek által célzott folyamatok az alábbi gyártók termékeihez tartoznak: GE Proficy, Siemens (SIMATIC WinCC termékcsalád), Beckhoff TwinCAT, National Instruments adatgyűjtő megoldások, Kepware KEPServerEX és az OPC kommunikációs protokollt használó rendszerek.

Bár korábbi ransomware-támadások során felmerült az ICS rendszereket célzó ransomware-ek bevetésének a teóriája, a FireEye kutatói erre nem találtak bizonyítékot, szerintük az ICS rendszereket a megtámadott szervezetek rendszereinek feltérképezése során mintegy véletlenül azonosították a támadók.

Bárhogy is legyen, mára világossá vált, hogy az ICS rendszerek elleni zsarolóvírus-támadások nem egyedi, elszigetelt esetek, hanem egyre inkább tendeciává válnak, így (azután, hogy a a 2010-es években fel kellett ismerni, hogy az ICS rendszerek sem immunisak a kibertámadásokra) el kell fogadni, hogy a zsarolóvírusok megérkeztek az ICS rendszerek világába és nemhogy nem fognak távolmaradni a folyamatirányító rendszerektől, de várhatóan egyre gyakrabban fogják (az ismert biztonsági hiányosságokat kegyetlenül kihasználva) támadni ezeket a rendszereket, csak a kizsarolható pénzösszegeket látva és nem foglalkozva a kritikus infrastruktúrákhoz nélkülözhetetlen rendszerek rendelkezésre állásával vagy éppen az adott ICS rendszerekkel kapcsolatos safety szempontokkal.

Július 25-én, a HackInTheBox SecConf-on a SCADA StrangeLove színeiben Maria Nedyak fog előadást tartani "How to Hack Medical Imaging Applications via DICOM" címmel.

Az előadás időpontját és további részleteket itt lehet megtalálni.

Sérülékenységek Mitsubishi Electric rendszerekben

A Mitsubishi Electric 6 sérülékenységről közölt részleteket a DHS CISA-val, amik a GOT2000 CoreOS Y és korábbi verzióit használó alábbi rendszereiket érintik:

- GT27-es modell;
- GT25-ös modell;
- GT23-as modell.

A gyártó a hibákat az érintett szoftverek újabb verzióiban javította. A sérülékenységekről részletes információkat az ICS-CERT publikációjában lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-20-189-02

Grundfos rendszerek sérülékenysége

Marcin Dudek, a CERT.PL munkatársa 2 sérülékenységet jelentett a DHS CISA-nak, amik a Grundfos CIM 500 v06.16.00-nál korábbi verzióit érintik.

A gyártó a hibákat a v06.16.00 verzióban javította. A sérülékenységekkel kapcsolatban részleteket az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-20-189-01

Sérülékenység Rockwell Automation rendszerekben

Az Incite Team tagjai és a Claroty kutatói egy sérülékenységet azonosítottak a Rockwell Automation Logix Designer Studio 5000-es szoftverének alábbi verzióiban:

- 32.00;
- 32.01;
- 32.02.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről további információkat az ICS-CERT weboldalán lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-20-191-02

Moxa MGate sérülékenységek

A Moxa publikációja szerint két sérülékenységet találtak az MGate 5105-MB-EIP sorozatú eszközök 4.2-es és korábbi verzióiban.

A gyártó a hibákat a legújabb firmware-verzióban javította. A sérülékenységekkel kapcsolatos részletes információk a Moxa weboldalán találhatóak: https://www.moxa.com/en/support/support/security-advisory/mgate-5105-mb-eip-series-protocol-gateways-vulnerabilities

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Proofpoint nevű biztonsági cég nemrég publikált cikke szerint 2019 nyarán egy legalább két hónapig észrevétlen malware-támadás nyomaira bukkantak, ami elsősorban amerikai közműszolgáltatókat célzott. Az elemzés szerint a támadók a közműszolgáltatók munkatársainak küldött, 30 napos ingyenes képzési lehetőségeket kínáló e-mailekben terjesztették a FlowCloud néven hivatkozott malware-t, amit az első támadási hullám során egy hordozható végrehajtható állományba (PE fájlba) rejtettek. 2019 júliusa és szeptembere között jellemzően ezeket a PE fájlokat csatolták az e-mailekhez, majd változtattak a támadáshoz használt eszközökön (a PE fájlokat Microsoft Word dokumentumokra cserélték), a célpontjaik azonban változatlanul az amerikai közműszolgáltatásban fontos szerepet betöltő szervezetek maradtak.

A Proofpoint elemzői munkájuk során több hasonlóságot találtak a FlowCloud malware-t és a korábbi, LookBack malware-t szintén amerikai közműszolgáltatóknál terjesztői támadók között, akiket ők TA410 néven hivatkoznak.

Sérülékenységek Mitsubishi Electric rendszerekben

A Mitsubishi Electric két sérülékenységről közölt részleteket a DHS CISA-val, amik a Factory Automation szoftverük alábbi verzióit érintik:

- CPU Module Logging Configuration Tool 1.94Y és korábbi verziói;
- CW Configurator 1.010L és korábbi verziói;
- EM Software Development Kit (EM Configurator) 1.010L és korábbi verziói;
- GT Designer3（GOT2000) 1.221F és korábbi verziói;
- GX LogViewer 1.96A és korábbi verziói;
- GX Works2 1.586L és korábbi verziói;
- GX Works3 1.058L és korábbi verziói;
- M_CommDTM-HART 1.00A és korábbi verziói;
- M_CommDTM-IO-Link 1.02C és korábbi verziói;
- MELFA-Works 4.3 és korábbi verziói;
- MELSEC-L Flexible High-Speed I/O Control Module Configuration Tool 1.004E és korábbi verziói;
- MELSOFT FieldDeviceConfigurator 1.03D és korábbi verziói;
- MELSOFT iQ AppPortal 1.11M és korábbi verziói;
- MELSOFT Navigator 2.58L és korábbi verziói;
- MI Configurator 1.003D és korábbi verziói;
- Motion Control Setting 1.005F és korábbi verziói;
- MR Configurator2 1.72A és korábbi verziói;
- MT Works2 1.156N és korábbi verziói;
- RT ToolBox2 3.72A és korábbi verziói;
- RT ToolBox3 1.50C és korábbi verziói.

A gyártó a hibákat az érintett szoftverek újabb verzióiban javította. A sérülékenységekkel kapcsolatos részleteket az ICS-CERT publikációjában lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsa-20-182-02

Delta Electronics rendszerek sérülékenységei

Natnael Samson, a ZDI-vel együttműködve két sérülékenységet jelentett a DHS CISA-nak, amik a Delta Electronics DOPSoft nevű HMI szerkesztő szoftverének 4.00.08.15-ös és korábbi verzióit érintik.

A gyártó a hibákat javító 4.00.08.17-es verziót valamikor július hónap folyamán tervezi kiadni. A sérülékenységekről további részleteket az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-182-01

Sérülékenység ABB rendszerekben

William Knowles, az Applied Risk munkatársa egy sérülékenységet jelentett az ABB-nek, ami a gyártó alábbi rendszereit érinti:

- System 800xA Information Manager 5.1 Rev E/5.1 FP4 Rev E TC6-nál korábbi verziói;
- System 800xA Information Manager 6.0.3.3 RU1-nél korábbi verziói;
- System 800xA Information Manager 6.1 RU1-nél korábbi verziói.

A gyártó a hibát az újabb verziókban javította. A sérülékenységről bővebben az ICS-CERT weboldalán lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-184-02

Nortek Linear eMerge sérülékenységek

Gjoko, az Applied Risk munkatársa öt sérülékenységet jelentett a DHS CISA-nak a Nortek Linear eMerge 50P/5000P rendszerének 4.6.07 (revision 79330) és korábbi verzióival kapcsolatban.

A gyártó a hibákat a v32-09a verzióban javította. A sérülékenységek részletei az ICS-CERT publikációjában találhatóak: https://www.us-cert.gov/ics/advisories/icsa-20-184-01

Sérülékenységek OpenClinic GA rendszerekben

Brian D. Hysell 12 sérülékenységet talált a Source Forge-on elérhető, nyílt forráskódú OpenClinic GA rendszer alábbi verzióiban:

- OpenClinic GA 5.09.02;
- OpenClinic GA 5.89.05b.

A fejlesztő közösség a mostani hibákkal kapcsolatban még nem adott információkat, az ICS-CERT javaslata az elérhető összes hibajavítás telepítésére vonatkozik. A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsma-20-184-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az EvilCorp. néven emlegetett támadói csoport a Symantec és az NCC Group kutatói szerint több, mint 30 amerikai nagyvállalat ellen indítottak összetett és kifinomult támadásokat. Az érintett szervezetek között gyártóvállalatok, az energia- és vegyipari szektorok cégei mellet szállítmányozással foglalkozó szervezetek és az egészségügyi szektor egyes szervezetei is érintettek.

A támadás során egy kompromittált weboldalról töltik le a SocGholish keretrendszer egy ZIP fájlba tömörített változatát. Ez tartalmazza azt a rosszindulatú Javascriptet, ami Chrome böngésző frissítésnek álcázza magát. Egy második Javascript futtatásával indítják el a támadók a PowerShellt, amivel Cobalt Strike malware-t indítják el, ezen keresztül hajtva végre későbbi parancsokat és megfertőzve további rendszerfolyamatokat. Emellett a PsExec-et használva állítják le a megtámadott rendszereken futó Windows Defender példányokat. Amikor ezzel végeztek, indítják el a WastedLocker zsarolóvírust, ami titkosítja az áldozat adatait és törli a rendszerben létező mentéseket (shadow volume copy).

Bár a WastedLocker nem kifejezett ICS rendszereket támadó ransomware, de a 31 már ismert áldozat több, mint harmada köthető különböző ipari szektorokhoz, vagyis egyértelmű, hogy ez a ransomware és támadói csoport is komoly fenyegetést jelentenek az ipari szervezetekre és a Windows-alapú ICS rendszerekre.

A WastedLocker-ről eddig megismert részleteket a Symantec és az NCC Group publikációiban lehet megtalálni.

ABB Device Library Wizard sérülékenység

William Knowles, az Applied Risk munkatársa egy sérülékenységet talált az ABB Device Library Wizard 6.0.X, 6.0.3.1 és 6.0.3.2-es verzióiban.

A gyártó elérhetővé tette a hibát javító új verziókat. A sérülékenységgel kapcsolatban bővebb információkat az ICS-CERT publikációjában lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsa-20-175-03

Sérülékenységek Honeywell berendezésekben

Nikolay Sklyarenko, a Kaspersky munkatársa két sérülékenységet fedezett fel a Honeywell alábbi ICS eszközeiben:

- ControlEdge PLC R130.2, R140, R150 és R151;
- ControlEdge RTU R101, R110, R140, R150 és R151.

A hibák javításával kapcsolatos információkat a Honeywell weboldalán lehet elérni (bejelentkezés után). A sérülékenység részleteit az ICS-CERT bejelentése tartalmazza: https://www.us-cert.gov/ics/advisories/icsa-20-175-02

Mitsubishi Electric Melsec sérülékenység

Shunkai Zhu, Rongkuan Ma és Peng Cheng, a Zhejiang University NESC laborjának munkatársai egy sérülékenységet jelentettek a Mitsubishi Electric-nek, ami az alábbi rendszereiket érinti:

- MELSEC iQ-R, iQ-F, Q, L és FX sorozatú CPU modulokkal szerelt rendszereik összes verziója.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedés alkalmazását javasolja. A sérülékenységről bővebben az ICS-CERT weboldalán lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-175-01

Rockwell Automatin FactoryTalk View sérülékenységek

Ilya Karpov és Evgeny Druzhinin, a független ScadaX Security csoport tagjai két sérülékenységet azonosítottak a Rockwell Automation alábbi rendszereiben:

- FactoryTalk View SE 9.0 és korábbi verziói;
- FactoryTalk View SE 10.0.

A gyártó a hibát a legújabb verzióban javította. A sérülékenységekről további információkat az ICS-CERT publikációjában lehet elérni: https://www.us-cert.gov/ics/advisories/icsa-20-177-03

Sérülékenység Rockwell Automatin FactoryTalk Services Platform szoftverekben

Az Applied Risk munkatársai egy sérülékenységet találtak a Rockwell Automatin FactoryTalk Services Platform 6.11.00 és korábbi verzióiban.

A hibával kapcsolatban a gyártó a 25612-es és 1092746-os tudásbázis cikkek elolvasását javasolja (bejelentkezést igényel). A sérülékenységről bővebb információkat az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-177-02

ENTTEC világításvezérlő rendszerek sérülékenységei

Mark Cross négy sérülékenységről közölt információkat a DHS CISA-val, amik az ENTEC alábbi rendszereinek 70044_update_05032019-482 és korábbi firmware-verzióit érintik:

- Datagate Mk2;
- Storm 24;
- Pixelator;
- E-Streamer Mk2.

A gyártó jelenleg vizsgálja a most felfedezett sérülékenységeket, de még nem adott ki javításokat tartalmazó új verziót. A sérülékenységek részleteiről az ICS-CERT weboldalán lehet tájékozódni: https://www.us-cert.gov/ics/advisories/icsa-20-177-01

Sérülékenység Philips ultrahang rendszerekben

A Philips egy sérülékenységet talált és jelentett a DHS CISA-nak az alábbi ultrahangos orvosi berendezéseivel kapcsolatban:

- Ultrasound ClearVue 3.2 és korábbi verziói;
- Ultrasound CX 5.0.2 és korábbi verziói;
- Ultrasound EPIQ/Affiniti VM5.0 és korábbi verziói;
- Ultrasound Sparq 3.0.2 és korábbi verziói;
- Ultrasound Xperius minden verziója.

A gyártó a hibát javító új verziókat a Ultrasound ClearVue, CX és Sparq rendszerekhez tervezi. A sérülékenységgel kapcsolatos további részleteket az ICS-CERT publikációjában lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsma-20-177-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Alig több, mint két hete írtam a Lion ausztrál sörgyár elleni támadásokról. Az elmúlt hetekben több cikk is napvilágot látott, amik további részleteket közöltek ezekről az incidensekről:

Ransomware Attack Confirmed by Australia-Based Beverage Manufacturer

Australia's Lion brewery hit by second cyber attack as nation staggers under suspected Chinese digital assault

Az utóbbi időben látványosan megnőttek a célzottnak tartott, ipari szervezeteket érő ransomware-támadások, amik már nem csak a fontos információk titkosításával próbálják zsarolni az érintett szervezeteket, hanem el is lopják a bizalmas adatokat, aztán pedig ezek nyilvánosságra hozatalával is fenyegetik az áldozataikat.

Mindent figyelembe véve nem igazán meglepőek ezek a fejlemények, mert már 1-2 évvel ezelőtt is voltak ICS biztonsági szakértők, akik számítottak arra, hogy a ransomware-eket terjesztő csoportok (akik között kiberbűnözők éppúgy lehetnek, mint állami hátterű, ún. APT-csoportok) következő logikus célpontjai az ipari folyamatirányító rendszereket üzemeltetők szervezetek lehetnek. A meglepő (és kifejezetten szomorú) ezekben az incidensekben éppen az, hogy bár volt idejük az ipari szervezeteknek felkészülni ezekre a támadásokra, a jelek szerint sokaknak nem sikerült ezt a felkészülést eredményesen elvégezni.