Moxa OnCell sérülékenységek

Sergey Temnikov, a Kaspersky Lab munkatársa két sérülékenységet jelentett a Moxa-nak, amik a OnCell Central Manager 2.4.1-nél régebbi verzióit érintik.

A gyártó a hibát a legújabb elérhető verzióban javította. A sérülékenység részleteiről a Moxa weboldalán lehet olvasni.

Sérülékenységek Delta Electronics rendszerekben

Natnael Samson és kimiya, a ZDI-vel együttműködve két sérülékenységről közöltek információkat a DHS CISA-val, amik a Delta Electronics CNCSoft ScreenEditor v1.00.96-os és korábbi verzióit érintik.

A gyártó a hibákat a CNCSoft v1.01.24-es verziójában javította. A sérülékenységekről további információkat az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-077-01

Systech rendszerek sérülékenysége

Murat Aydemir, Biznet Bilisim A.S. kritikus infrastruktúrák behatolás-tesztelésére szakosodott munkatársa egy cross-site scripting sérülékenységet talált a Systech NDS-5000-es terminál szerverek 02D.30-as firmware-verziójában.

A gyártó a hibát a 02F firmware-verzióban javította. A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsa-20-079-01

Sérülékenység Insulet inzulin-menedzsment rendszerekben

A Thirdwayv Inc. egy sérülékenységről közölt információkat a DHS CISA-val, ami a Insulet inzulin-menedzsment rendszereinek alábbi sorozatait érinti:

- 19191-es és 40160-as termékazonosítóval rendelkező sorozatok;
- ZXP425 (10-Pack) és ZXR425 (10-Pack Canada) modellek.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységgel kapcsolatban bővebb információkat az ICS-CERT weboldalán lehet találni: https://www.us-cert.gov/ics/advisories/icsma-20-079-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Stuxnet napvilágra kerülése óta eltelt közel egy évtizedben a különböző országok (jellemzően a hírszerző szolgálatok és/vagy a fegyveres erők) által támogatott APT-csoportok száma és képességei nagyságrendekkel növekedtek és ma már rutinszerűek a kritikus infrastruktúrák és azon belül is a villamosenergia-rendszert működtető szervezetek elleni kibertámadások. Bár az üzemzavarok és leállások minden iparágban, minden cég számára károsak (elég csak a Norsk Hydro elleni ransomware-támadás okozta károkra gondolni), a villamosenergia-rendszer elemei elleni támadásoknál nagyobb hatással egy sem járhat. Ráadásul ahogy az energiaszektor cégei egyre nagyobb számban használnak az ICS rendszerek mellett hagyományos IT és újabban IoT rendszereket is (főként a hatékonyság növelése és a kontinensnyi összekapcsolt villamosenergia-rendszerek és villamosenergia-piacok mindinkább időkritikus követelményeknek megfelelő üzemeltetése érdekében, úgy nő ezeknek a cégeknek és az ICS és IT rendszereiknek a kitettsége is.

Ezt a fajta kitettséget csökkenteni és egy, a villamosenergia-rendszer egyes részeinek zavartalan üzemeltetéséért felelős szervezetet hatékonyan megvédeni a kiberbiztonsági fenyegetésektől egyáltalán nem könnyű feladat. Egy-egy nagyobb méretű szervezet nap szinten is több tíz- vagy százezer fenyegetéssel kell, hogy megbírkózzanak, ami már önmagában is elég lehet arra, hogy folyamatosan túlterheljék a (különösen a mai magyar IT és IT biztonsági munkaerőpiaci helyzet mellett) nem túlzottan nagy létszámú IT biztonsági csoportokat. Ráadásul a villamosenergia-szektorban működő vállalatok IT biztonsági szakembereinek nem egy esetben a ma elképzelhető legkifinomultabb támadásokat kell felfedezniük és megbirkózniuk a támadók leleményességével.

Ez az a pont, ahol a fenyegetéselemzés segítségére lehet a mindig erőforrás szűkével küszködő szakembereknek, akik képesek lehetnek priorizálni a feladataikat és olyan tevékenységekre fordítani a véges idejüket és erőforrásaikat, amik a legnagyobb eséllyel segíthetnek megelőzni biztonsági incidenseket.

Néhány tevékenység, aminek bevezetésén minden érintett szervezetnek ajánlott elgondolkodnia:

- Sérülékenység-menedzsment: A villamosenergia-rendszer működésért felelős szervezetek egyenként is nagyon nagy és nagyon bonyolult rendszereket üzemeltetnek. Ahhoz, hogy ezt a feladatukat megfelelően tudják végezni, képesnek kell lenniük pontosan azonosítani és javítani a rendszerek legveszélyesebb sérülékenységeit. A fenyegetéselemzés képessé tudja tenni a szervezeteket arra, hogy az egyes sérülékenységek adott szervezetre gyakorolt kockázatnövelő hatása alapján priorizálja a hibajavítások telepítését.

- A biztonsági megoldások elhelyezésének kérdése: Bár Magyarországon még csak mostanában kezdi felismerni a szabályozó, hogy a közmű- és benne a villamosenergia-szektorra vonatkozóan is az eddigieknél jobb (és szigorúbb) szabályokat kell kidolgozni kiberbiztonsági témakörben is (hasonlóan ahhoz, ahogy a pénzügyi szektorra már legalább 15-20 éve megtörtént), az energiaszektor általános kiberbiztonsági helyzete sok szempontból nem vagy nem sokkal rosszabb, mint más szektoroké, de ez sem jelenti azt, hogy a villamosenergia-ipari cégek IT biztonsági eszközök végtelen tárházával rendelkeznének. A fenyegetéselemzés egy módszere lehet a cégek biztonsági programjai esetén az érettségi állapot értékelésének és alapját adhatják azoknak a döntéseknek, hogy a véges erőforrások telepítése esetén hol lehet a legnagyobb hatást elérni egy új eszköz vagy eljárás bevezetésével.

- Megelőző intézkedések: Az olyan, egy-egy közösség szempontjából elsődleges fontosságú közműszolgáltatás esetén, mint amilyen a villamosenergia-szolgáltatás, az incidensek megelőzését szolgáló intézkedések alapvető fontosságúak. Ezek az intézkedések általában a behatolás-teszteket (hálózatok, alkalmazások, weboldalak, hardverek és más eszközök tesztjeit) és más hasonló tevékenységeket jelentenek, amikkel azonban meglehetősen könnyű szem elől téveszteni az eredeti célt. Ennek a célnak a középpontban tartására is kiváló eszköz lehet a fenyegetéselemzés és segíthet azokra a rendszerekre és eszközökre fókuszálni az aktív védelmi intézkedéseket, amik a legnagyobb kockázatoknak vannak kitéve.

Sérülékenység Rockwell Automation Allen-Bradley berendezésekben

A Cisco Systems munkatársai egy sérülékenységet jelentettek a Rockwell Automation-nek, ami az Allen-Bradley Stratix 5950-es termékcsalád alábbi tagjait érinti:

- 1783-SAD4T0SBK9;
- 1783-SAD4T0SPK9;
- 1783-SAD2T2SBK9;
- 1783-SAD2T2SPK9.

A gyártó a hibával kapcsolatban az FRN v6.4.0 firmware telepítését és kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenység részleteit az ICS-CERT publikációjában lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsa-20-072-03

ABB Asset Suite sérülékenység

Az ABB egy sérülékenységről közölt információkat a DHS CISA-val, ami az Asset Suite 9.6 és korábbi verzióit, kivéve a 9.4.2.6-os és 9.5.3.2-es verzióit érinti.

A gyártó a hibát a 9.6.1-es verzióban javította, a 9.4.2.6-os és 9.5.3.2-es verziók továbbra sem érintettek. A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-072-02

Sérülékenységek ABB eSOMS rendszerekben

Az ABB 13 sérülékenységet jelentett a DHS CISA-nak, amiket az eSOMS 6.02 és korábbi verzióiban találtak.

A gyártó a hibákat az eSOMS 6.0.3-as és 6.1-es verzióiban javította. A sérülékenységekkel kapcsolatban további információkat az ICS-CERT weboldalán lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsa-20-072-01

Rockwell Automation termékek sérülékenységei

Ilya Karpov és Evgeny Druzhinin, a ScadaX Security független biztonsági csoport tagjai és Dmitry Sklyarov, a Positive Technologies munkatársa, valamint Rongkuan Ma, Xin Che és Peng Cheng, a 307 Lab munkatársai 4 sérülékenységet találtak az ABB alábbi termékeiben:

- MicroLogix 1400-as vezérlők
- B sorozatának v21.001 és korábbi verziói;
- A sorozatának minden verziója;
- MicroLogix 1100-as vezérők minden verziója;
- RSLogix 500-as szoftverek v12.001 és korábbi verziói.

A gyártó a MicroLogix 1400 B sorozatú eszközeihez és az RSLogix 500-hoz kiadta a hibákat javító újabb verziókat. A sérülékenységről további részleteket az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-070-06

Sérülékenység Johnson Controls Metasys rendszerekben

Lukasz Rupala egy sérülékenységet fedezett fel a Johnson Controls Metasys termékcsalád alábbi verzióiban:

- Application and Data Server (ADS, ADS-Lite) 10.1 és korábbi verziói;
- Extended Application and Data Server (ADX) 10.1 és korábbi verziói;
- Open Data Server (ODS) 10.1 és korábbi verziói;
- Open Application Server (OAS) 10.1 és korábbi verziói;
- Network Automation Engine (csak a NAE55) 9.0.1, 9.0.2, 9.0.3, 9.0.5 és 9.0.6-os verziói;
- Network Integration Engine (NIE55/NIE59) 9.0.1, 9.0.2, 9.0.3, 9.0.5 és 9.0.6-os verziói;
- NAE85 and NIE85 10.1 és korábbi verziói;
- LonWorks Control Server (LCS) 10.1 és korábbi verziói;
- System Configuration Tool (SCT) 13.2 és korábbi verziói;
- Smoke Control Network Automation Engine (NAE55, UL 864 UUKL/ORD-C100-13 UUKLC 10. kiadás) 8.1-es verziója.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedésekre tesz javaslatot. A sérülékenységgel kapcsolatban bővebb információkat az ICS-CERT weboldalán lehet találni: https://www.us-cert.gov/ics/advisories/icsa-20-070-05

Kantech rendszerek sérülékenysége

Joachim Kerschbaumer egy sérülékenységet jelentett a Johnson Controls-nak, a Kantech anyavállalatának, ami a Kantech EntraPass alábbi változatait érinti:

- Corporate Edition v8.10-nél korábbi összes verziója;
- Global Edition v8.10-nél korábbi összes verziója.

A gyártó a hibát a v8.10-es verzióban javította, azoknak az ügyfeleinek pedig, akik valamilyen ok miatt nem tudnak frissíteni, kockázatcsökkentő intézkedéseket javasol. A sérülékenység részleteit az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-070-04

Schneider Electric IGSS sérülékenységek

A Schneider Electric publikációjában két sérülékenységről hozott nyilvánosságra információkat, amiket a ZDI jelenett nekik és amik az Interactive Graphical SCADA System (IGSS) nevű termékük 14-es és korábbi verziói közül azokat érinti, amelyekben használják az IGSSupdate szolgáltatást.

A gyártó a hibákat a 14.0.0.20009-es verzióban javította. A sérülékenységről további részleteket a Schneider Electric publikációjában lehet találni.

Sérülékenység Schneider Electric rendszerekben

A kínai IT biztonsági teszt központ (CNITSEC) egy sérülékenységet jelentett a Schneider Electricnek, ami az alábbi termékeiket érinti:

- A 140NOE771x1-es Quantum Ethernet Network modulok 7.0 és korábbi verziói;
- A 140CPU65xxxxx integrált Ethernet modullal rendelkező Quantum processzorok minden verziója;
- Az integrált Ethernet modullal rendelkező Premium processzorok minden verziója.

A gyártó a 140NOE771x1-es Quantum kontrollerekhez kiadta a hibát javító 7.1-es verziót. A további érintett típusok már elérték életciklusuk végét, így nem várható hozzájuk javítás. A sérülékenység részleteit a Schneider Electric weboldalán lehet elérni.

Schneider Electric ZigBee telepítőkészlet sérülékenység

Yongjun Liu, az nsfocus munkatársa egy sérülékenységet talált a Schneider Electric ZigBee telepítőkészletének 1.0.1-nél korábbi verzióiban.

A gyártó a hibát az 1.0.1-es verzióban javította. A sérülékenység részleteiről a Schneider Electric bejelentésében lehet olvasni.

Sérülékenységek Schneider Electric vezérlőkben

Niv Levy 3 sérülékenységet talált, amik a Schneider Electric Andover Continuum vezérlőinek minden verzióját érintik.

A gyártó a hibákhoz nem készít javítást, mivel az Andover Continuum termékcsalád támogatását már megszűntette, helyette az
EcoStruxure Building Operation termékre történő váltást javasolja. A sérülékenységekkel kapcsolatban további információkat a Schneider Electric publikációja tartalmaz.

Siemens Spectrum Power 5 sérülékenység

A Kudelski Security Pen-testing Team egy Cross-site Scripting sérülékenységet talált a Siemens Spectrum Power 5 SCADA rendszerének 5.50 HF02-nél korábbi verzióiban.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedésre tett javaslatot. A sérülékenységről részleteket a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Sérülékenység Siemens rendszerekben

Peter Cheng, az Elex Cybersecurity munkatársa és a CNCERT/CC egy sérülékenységről közöltek információkat a Siemens-szel, ami a gyártó alábbi termékeit érinti:

- SIMATIC S7-300 CPU család (beleértve az ET200-as CPU-kat és a SIPLUS változatokat is) minden, 3.X.17-nél korábbi verziója;
- SINUMERIK 840D sl minden verziója.

A gyártó a hibát a SIMATIC S7-300 CPU család esetén a 3.X.17-es verzióban javította, a SINUMERIK 840D sl eszközök esetén nincs hír javításról. A sérülékenységgel kapcsolatban további részleteket a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Siemens SiNVR 3 sérülékenységek

A Siemens 10 sérülékenységről közölt információkat a DHS CISA-val, amik a SiNVR 3 videómenedzsment megoldásuk alábbi elemeit érintik:

- SiNVR 3 Central Control Server (CCS) minden verziója;
- SiNVR 3 Video Server minden verziója.

A gyártó a sérülékenységgel kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről bővebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Sérülékenység Belden Hirschmann rendszerekben

Sebastian Krause és Toralf Gimpel, a GAI NetConsult GmbH munkatársai egy sérülékenységet találtak a Belden Hirschmann alábbi rendszereiben:

- HiOS RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED 07.0.02 és korábbi verziói;
- HiSecOS EAGLE20/30 03.2.00 és korábbi verziói.

A gyártó a hibát az érintett termékekhez kiadott újabb verzióban javította. A sérülékenység részleteit a Belden Hirschmann publikációja tartalmazza.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Lassan már fel sem kapja a fejét az ember, ha ipari szervezetek elleni kibertámdásokról olvas. A héten két támadásról is jelentek meg hírek.

Az első incidensről az ENTSO-E (European Network of Transmission System Operators for Electricity, 35 ország 42 villamosipari átviteli rendszerirányítóját tömörítő szervezet) számolt be meglehetősen szűkszavú közleményében, amely szerint az ENTSO-E irodai hálózatának és rendszereinek semmilyen kapcsolata nincs a tagszervezet rendszerirányítók (Transmission System Operator, TSO) hálózataival.

A SecurityWeek cikkében három európai TSO (a norvég Statnett, a finn Fingrid és a svájci Swissgrid) közleményeit is idézi, amely szerint egyik TSO sem találta nyomát annak, hogy az ENTSO-E elleni támadás érintette volna a rendszereiket.

Az incidensről a Dragos blogján is megjelent egy bejegyzés, aminek első fele az ENTSO-E-t ért támadás kevés tudható részleteit ismerteti, a második felében pedig az USA Új-Mexikó államának New Mexico Public Regulation Commission (NMPRC) nevű szabályozó szerve elleni, valószínűsíthetően ransomware-támadásról ír. Egyelőre ebben az esetben is kevés információ áll rendelkezésre, nem lehet tudni sem arról, hogy milyen ransomware-ről lehet szó és az incidens kiterjedéséről sem. Az NMPRC szóvivője szerint semmilyen bizalmas információhoz nem fértek hozzá a támadók. Lévén az NMPRC számos közműcég, köztük erőművek és más ipari szervezetek hálózatairól tárol műszaki információkat, ezért értékes célpont lehet olyan támadók számára, akik támadásokat terveznek ezek ellen a szervezetek ellen.

A Dragos gyors elemzése szerint mindkét, a héten napvilágot látott incidens azt mutatja meg, hogy az ipari szervezetek elleni támadásokat végrehajtó csoportok egyre kifinomultabb módszereket alkalmaznak és egyre körültekintőbbek, így egyáltalán nem lehetetlen, hogy ezek a támadások csak a későbbi, közműcégek elleni támadások előkészítési fázisához tartozó információ-gyűjtő műveletek voltak.

A kérdés igazán az, hogy ilyen esetekben mit lehet, mit kell tenniük az illetékeseknek? Talán kicsit unalmas, hogy rendszeresen az USA-t hozom példának, de úgy gondolom, hogy az Atlanti-óceán túlpartján legalább tervekben és elképzelésekben több lépéssel előttünk járnak. A FERC (Federal Energy Regulatory Commission) által még 2018-ban kiadott 850-es rendelet (Order 850) alapján az USA villamosenergia-szektorának szereplői 2020. július 1-jétől kötelesek védeni minden, a kezelésükbe tartozó kritikus infrastruktúra-elemet a beszállítói láncon keresztül érkező támadástól is (erről az energycentral.com oldalon írnak). Végső soron (ismét csak) Robert M. Lee-t tudom idézni: "A támadások IT hálózatokat értek, szóval ne boruljunk ki, de az OT hálózatokban nem látjuk át megfelelő szinten, mi történik és agresszívebb proaktivitásra van szükség az ICS rendszereink védelme során. Más szóval, féljünk kevesebbet, tegyünk többet!"

Sérülékenységek Moxa ipari hálózati eszközökben

Jared Rittle, Carl Hurd, Patrick DeSantis és Alexander Perez Palma, a Cisco Talos laborjának munkatársai 12 sérülékenységet találtak a Moxa AWK-3131A sorozatú ipari hálózati eszközeinek 1.13-as és korábbi firmware-verzióiban.

A gyártó a hibát a Moxa műszaki támogató csoportján keresztül elérhető új verzióban javította. A sérülékenységről részleteket a Moxa, a Talos és az ICS-CERT publikációiban lehet olvasni.

Moxa protokoll gateway sérülékenység

A Moxa egy, az alábbi protokoll gateway termékeit érintő sérülékenységről adott információkat:

- MGate MB3180 sorozatú eszközök 1.8-as és korábbi firmware-verziói;
- MGate MB3280 sorozatú eszközök 2.8-as és korábbi firmware-verziói;
- MGate MB3480 sorozatú eszközök 2.6-os és korábbi firmware-verziói;
- MGate MB3170 sorozatú eszközök 2.5-ös és korábbi firmware-verziói;
- MGate MB3270 sorozatú eszközök 2.8-as és korábbi firmware-verziói.

A gyártó a hibát javító új firmware-verziókat elérhetővé tette. A sérülékenység részletei a Moxa bejelentésében érhetőek el.

Sérülékenység Omron PLC-kben

Jipeng You egy sérülékenységről közölt részleteket a DHS CISA-val, ami az Omron CJ-sorozatú PLC-inek minden verzióját érinti.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések bevezetését ajánlja. A sérülékenységről bővebb információkat az ICS-CERT weboldalán lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-063-03

Sérülékenység Phoenix Contact rendszerekben

Az ICS-CERT publikációja szerint egy sérülékenységet találtak a Phoenix Contact Emalytics vezérlőinek alábbi változataiban:

- ILC 2050 BI minden, 1.2.3-nál korábbi verziója;
- ILC 2050 BI-L minden, 1.2.3-nál korábbi verziója.

A gyártó a hibát az 1.2.3-as verzióban javította. A sérülékenységgel kapcsolatban részleteket az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-063-02

Emerson ValveLink rendszerek sérülékenysége

Az Emerson egy sérülékenységet jelentett a DHS CISA-nak, ami a ValveLink rendszereik v12.0.264-től v13.4.118-ig terjedő verzióit érinti.

A gyártó a hibát a v13.4.123 és újabb verziókban javította. A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsa-20-063-01

Sérülékenység Siemens SIPROTEC rendszerekben

Tal Keren, a Claroty munkatársa egy szolgáltatás-megtagadást lehetővé tevő sérülékenységet talált a Siemens SIPROTEC alábbi verzióiban:

- SIPROTEC 4 EN100 Ethernet kommunikációs modullal felszerelt változatainak minden verziója;
- SIPROTEC Compact EN100 Ethernet kommunikációs modullal felszerelt változatainak minden verziója.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről további információkat a Siemens ProductCERT bejelentése tartalmaz.

Siemens Profinet eszközök sérülékenysége

A Siemens ProductCERT weboldalán publikált információk szerint egy sérülékenységet találtak az alábbi Profinet eszközökben:

- SIMATIC ET 200SP Open Controller CPU1515SP PC2 (a SIPLUS változatokat is beleértve) minden verziója;
- SIMATIC S7-1500 CPU család (beleértve az ET200-as CPU-val szerelet és a SIPLUS változatokat is) minden, V2.5 és V2.8 közötti verziója;
- SIMATIC S7-1500 szoftveres vezérlő minden, V2.5 és V20.8 közötti verziója.

A gyártó a hiba javítását tartalmazó új verziókat már elérhetővé tette. A sérülékenység részleteiről a Siemens ProductCERT weboldalán lehet olvasni.

Intel processzor sérülékenységek Siemens ipari rendszerekben

A Siemens ProductCERT bejelentése szerint az alábbi rendszereiket több, Intel processzorokban felfedezett sérülékenység is érinti:

- SIMATIC ET 200SP Open Controller CPU1515SP PC2 (a SIPLUS változatokat is beleértve) minden verziója;
- SIMATIC Field PG M4 minden verziója;
- SIMATIC Field PG M5 minden verziója;
- SIMATIC Field PG M6 minden verziója;
- SIMATIC IPC127E minden verziója;
- SIMATIC IPC427C minden verziója;
- SIMATIC IPC427D (incl. SIPLUS variants) minden verziója;
- SIMATIC IPC427E (incl. SIPLUS variants) minden verziója;
- SIMATIC IPC477C minden verziója;
- SIMATIC IPC477D minden verziója;
- SIMATIC IPC477E minden verziója;
- SIMATIC IPC477E Pro minden verziója;
- SIMATIC IPC527G minden verziója;
- SIMATIC IPC547E minden verziója;
- SIMATIC IPC547G minden verziója;
- SIMATIC IPC627C minden verziója;
- SIMATIC IPC627D minden verziója;
- SIMATIC IPC627E minden verziója;
- SIMATIC IPC647C minden verziója;
- SIMATIC IPC647D minden verziója;
- SIMATIC IPC647E minden verziója;
- SIMATIC IPC677C minden verziója;
- SIMATIC IPC677D minden verziója;
- SIMATIC IPC677E minden verziója;
- SIMATIC IPC827C minden verziója;
- SIMATIC IPC827D minden verziója;
- SIMATIC IPC827E minden verziója;
- SIMATIC IPC847C minden verziója;
- SIMATIC IPC847D minden verziója;
- SIMATIC IPC847E minden verziója;
- SIMATIC ITP1000 minden verziója;
- SIMOTION P320-4E minden verziója;
- SIMOTION P320-4S minden verziója.

A sérülékenységekkel kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését ajánlja. A sérülékenységekről bővebben a Siemens ProductCERT weboldalán lehet olvasni.

Sérülékenységek WAGO rendszerekben

Kelly Leuschner, a Cisco Talos munkatársa 9 sérülékenységet talált a WAGO alábbi termékeiben:

- PFC100-as sorozat (750-81xx/xxx-xxx);
- PFC200-as sorozat (750-82xx/xxx-xxx);
- 750-852, 750-831/xxx-xxx, 750-881, 750-880/xxx-xxx, 750-889;
- 750-823, 750-832/xxx-xxx, 750-862, 750-890/xxx-xxx, 750-891.

A gyártó a hibát a FW 15 vagy újabb verziókban javította. A sérülékenységgel kapcsolatban bővebbn információkat az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-065-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szinte napra pontosan két éve kétszer is írtam arról, hogy cryptovaluta-bányász malware-eket találtak ICS rendszerekben. Ez a fajta fenyegetés, bár mostanában a zsarolóvírusok (ransomware-ek) mintha nagyobb kockázatokat jelentenének az ICS rendszereket üzemeltető szervezetek számára, nem tűntek el, bár a különböző cryptovaluták árfolyamainak kilengéseitől függően változhat, mennyire érdemes ilyen támadásokat indítani. Egyes biztonsági kutatók szerint az ICS rendszerek továbbra is potenciális célpontjai lehetnek a cryptovaluta-bányász malware-ek fejlesztőinek, elsősorban azok a rendszerek, amelyek az Interneten is elérhetőek, dacára azoknak a tanácsoknak, amiket az ICS biztonsági szakértők mindig elsőként említenek: ne csatlakoztassunk ICS rendszereket publikus hálózatokra! (Elég csak elolvasni a BlackCell ICS/OT Snapshot 2019 címmel publikált tanulmányát, ami első alkalommal, kifejezetten az Interneten elérhető magyar ipari folyamatirányító rendszereket és eszközöket kereste és vizsgálta.)

Egy másik ok, ami miatt az ICS rendszerek (és itt most elsősorban a SCADA rendszerekre érdemes gondolni) vonzó célpontot jelenthetnek cryptovaluta-bányász malware-ek számára, az a SCADA rendszerekbe gyakran beépített tetemes performancia-tartalék lehet. Szemben a folyamatirányítási világban használt céleszközök (RTU-k, PLC-k, stb.) tervezésével, a SCADA rendszereket előszeretettel méretezik jelentősen nagyobbra, mint amekkora a várható terhelésük lesz. Ez viszont azt is jelenti, hogy ha ezt a performancia-tartalékot észrevétlenül ki lehet használni, akkor jelentős hasznot is generálhatnak a támadók számára - azzal a kockázattal pedig a támadók nem fognak foglalkozni, hogy mi történhet, ha a rendszer valamilyen rendkívüli esemény miatt nagyobb teljesítmény igénnyel találja magát szembe és emiatt például megnőnek a válaszidők.

Emellett a SCADA rendszerek átlagos áramfelhasználása általában is elég maga, ezért sokszor nem is foglalkoznak vele, így nehéz lehet észrevenni a megnövekedett terhelést és azzal járó fogyasztást. Ugyanígy, a rendszerterhelésre figyelő monitoring sem olyan fejlett a legtöbb esetben, mint azt sokan gondolnák, így ez sem segít gyorsabban azonosítani egy ilyen incidenst.

Mit kellene tenniük az ICS rendszereket üzemeltető szervezeteknek a folyamatirányításban használt rendszereik elleni cryptovaluta-bányász malware-ek jelentette fenyegetések elhárítására?

1. Nem lehet elégszer ismételni: Ne csatlakoztassunk ICS rendszereket az Internetre! Ha mindenképp szükséges távoli elérést biztosítani a szervezet egyes munkatársai vagy külső támogatói számára ezekhez a rendszerekhez, akkor telepítsünk egy megbízható (és lehetőleg több faktoros authentikációt használó) VPN-szolgáltatást a távoli hozzáférésekhez!

2. Alkalmazzunk átfogó és alapos monitoring megoldást és beállításokat (nem csak az ICS rendszerek esetén, de ezeknél mindenképp)!

Ezen két intézkedésen túl számos más fejlesztéssel lehet javítani az ICS rendszerek kiberbiztonsági helyzetén, de már ez a két intézkedés is jelentősen csökkentheti az ipari folyamatirányító rendszerekre leselkedő, cryptovaluta-bányász malware-ek jelentette kockázatokat.

Emerson OpenEnterprise SCADA Server sérülékenység

Roman Lozko, a Kaspersky ICS CERT részlegének munkatársa egy sérülékenységet fedezett fel az Emerson OpenEnterprise SCADA Server termékének alábbi verzióiban:

- OpenEnterprise Server 2.83, ha a Modbus vagy ROC interfészeket telepítették és használják;
- OpenEnterprise 3.1-től 3.3.3-ig terjedő összes verziója.

A gyártó a hibát a 3.3.4-es verzióban javította. A sérülékenységről további részleteket az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-049-02

Sérülékenység Honeywell INNCOM rendszerekben

A Honeywell egy sérülékenységről közölt információkat a DHS CISA-val, ami az INNCOM INNControl 3 3.21-es és korábbi verzióit érinti.

A gyártó az érintett rendszerek frissítését és kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységgel kapcsolatban részleteket az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-049-01

GE ultrahang-készülékek sérülékenysége

Marc Ruef és Rocco Gagliardi, a scip AG, valamint Michael Aguilar, a Secureworks és Jonathan Bouman, aProtozoan.nl munkatársai egy sérülékenységet jelentettek a GE-nek, ami az alábbi, ultrahangos vizsgáló berendezéseiket érinti:

- Vivid termékcsalád minden verziója;
- LOGIQ minden verziója, a LOGIQ 100 Pro kivételével;
- Voluson minden verziója;
- Versana Essential minden verziója;
- Invenia ABUS Scan station minden verziója;
- Venue minden verziója, kivéve a Venue 40 R1-3 és Venue 50 R4-5 verziókat.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenység részleteit az ICS-CERT weboldalán lehet elérni: https://www.us-cert.gov/ics/advisories/icsma-20-049-02

Sérülékenység Spacelabs termékekben

A Spacelabs információkat adott át a DHS CISA a Microsoft által felfedezett és BlueKeep néven ismertté vált Remote Desktop Protocol-sérülékenység által érintett alábbi termékeikkel kapcsolatban:

- Xhibit Telemetry Receiver (XTR), 96280-es modelszámú berendezése v1.0.2-es verziói;
- Arkon (99999) minden verziója.

A gyártó az XTR berendezések esetén a hibát a v1.2.1-es verzióban javította, az Arkon (99999) termékvonal forgalmazása és támogatása viszont már megszűnt, így ehhez javítás sem készül. A sérülékenységről bővebb információkat az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsma-20-049-01

Sérülékenységek Auto-Maskin rendszerekben

Az ICS-CERT az Auto-Masking alábbi rendszereivel kapcsolatos sérülékenységekről hozott nyilvánosságra információkat:

- RP210E remote panel termékek 3.7-es és korábbi verziói;
- DCU210E digitális vezérlő egység 3.7-es és korábbi verziói.

A gyártó a hibákat a legújabb firmware-verzióban javította. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet elérni: https://www.us-cert.gov/ics/advisories/icsa-20-051-04

Honeywell Notifier Web Server sérülékenységek

Gjoko Krstikj két sérülékenységet azonosított a Honeywell Notifier Web Server nevű termékének 3.50-es és korábbi verzióiban.

A gyártó a hibákat a legújabb firmware-verzióban javította. A sérülékenységekről bővebben az ICS-CERT weboldalán lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-051-03

Sérülékenység Rockwell Automation FactoryTalk Diagnostics rendszerekben

rgod a ZDI-vel együttműködve egy, a Rockwell Automation FactoryTalk Diagnostics minden verzióját érintő sérülékenységről közölt információkat a DHS CISA-val.

A gyártó jelenleg is dolgozik a hiba javításán, annak kiadásáig kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységgel kapcsolatban az ICS-CERT publikációja tartalmaz részleteket: https://www.us-cert.gov/ics/advisories/icsa-20-051-02

B&R Industrial Automation rendszerek sérülékenysége

Yehuda Anikster és Amir Preminger, a Claroty munkatársai egy SNMP sérülékenységet találtak a B&R alábbi termékeiben, amely authentikáció nélküli konfiguráció módosítást tesz lehetővé:

- Automation Studio 2.7, 3.0.71, 3.0.80, 3.0.81, 3.0.90, 4.0-tól 4.6.4-ig terjedő és 4.7.2-es verziói;
- Automation Runtime 2.96, 3.00, 3.01, 3.06, 3.07, 3.08 to 3.10, 4.00 to 4.03, 4.04-től 4.03-ig, 4.04-től 4.63-ig terjedő, valamint 4.72 és újabb verziói.

A gyártó közlése szerint jelenleg nincs mód megszüntetni az SNMP felhasználói adatok módosíthatóságát és emiatt kockázatcsökkentő intézkedések alkalmazását javasolja, amíg elkészülnek a hibát javító új verziókkal. A sérülékenységről bővebb információkat az ICS-CERT bejelentésében lehet találni: https://www.us-cert.gov/ics/advisories/icsa-20-051-01

Sérülékenységek Honeywell WIN-PAK rendszerekben

A Honeywell 3, a WIN-PAK 4.7.2 Web és korábbi verziókat érintő sérülékenységről osztott meg információkat a DHS CISA-val.

A hibákat a gyártó a WIN-PAK 4.7.2 B1072.3.4-es verzióban javította. A sérülékenység részletei az ICS-CERT weboldalán érhetőek el: https://www.us-cert.gov/ics/advisories/icsa-20-056-05

Moxa EDS-sorozatú Ethernet switch-ek sérülékenységei

Ilya Karpov és Evgeniy Druzhinin, a Rostelecom-Solar, valamint Georgy Zaytsev, a Positive Technologies munkatársai 7 sérülékenységet azonosítottak a Moxa alábbi Ethernet switch-eiben:

- EDS-G516E sorozatú eszközök 5.2-es és korábbi firmware-verziói;
- EDS-510E sorozatú eszközök 5.2-es és korábbi firmware-verziói.

A gyártó az EDS-G516E sorozathoz kiadta a hibát javító firmware-verziót, az EDS-510E sorozatot használó ügyfeleit pedig a Moxa Technical Support-tal történő kapcsolatfelvételre kéri, valamint kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységekről további részleteket az ICS-CERT publikációjában lehet találni: https://www.us-cert.gov/ics/advisories/icsa-20-056-04

Moxa PT-sorozatú Ethernet switch-ek sérülékenységei

Ilya Karpov és Evgeniy Druzhinin, a Rostelecom-Solar, valamint Georgy Zaytsev, a Positive Technologies munkatársai 6 sérülékenységet azonosítottak a Moxa alábbi Ethernet switch-eiben:

- PT-7528 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- PT-7828 sorozatú eszközök 3.9 és korábbi firmware-verziói.

A gyártó a hibát javító verziókat a Moxa Technical Support-on keresztül tette elérhetővé. A sérülékenységekkel kapcsolatban bővebb információkat az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-056-03

Sérülékenységek Moxa ioLogik vezérlő rendszerekben

Ilya Karpov és Evgeniy Druzhinin, a Rostelecom-Solar munkatársai 3 sérülékenységet találtak a Moxa alábbi termékeiben:

- ioLogik 2500 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- IOxpress konfigurációs eszköz 2.3.0 és korábbi verziói.

A gyártó a hibákat javító új verziókat már elérhetővé tette. A sérülékenységekről részleteket az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-056-02

Moxa protokoll gateway sérülékenységek

Ilya Karpov és Evgeniy Druzhinin, a Rostelecom-Solar munkatársai 9 sérülékenységet fedeztek fel a Moxa alábbi berendezéseiben:

- MB3170 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MB3270 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- MB3180 sorozatú eszközök 2.0 és korábbi firmware-verziói;
- MB3280 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- MB3480 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- MB3660 sorozatú eszközök 2.2 és korábbi firmware-verziói.

A gyártó a hibákat javító legújabb firmware-verziókat már letölthetővé tette. A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-056-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A hét elején két újabb, ipari szervezeteket ért ransomware-támadásról hallottam, tegnap pedig még egybe botlottam.

Az első az INA horvát olajtársaságot, a MOL-csoport tagját érte még február 14-én. A hírek szerint az incidensért a CLOP ransomware egy újabb variánsa a felelős, amit készítői már arra is képessé tettek, hogy a McAfee Endpoint Security és a MalwareBytes Anti-Ransomware-megoldásait is ki tudja kapcsolni. Az INA közleménye szerint az incidens az üzemanyag-előállításért és ellátásért felelős rendszereket (részben ICS rendszereket) nem érintette, azonban a számlázó- és pontgyűjtő-kártya-rendszereket, az új mobil-kuponok és elektronikus matricák kibocsátásáért valamint az INA lakossági földgáz-üzletágának fogyasztói esetén a számlák kiegyenlítéséért felelős rendszereit igen.

A támadás részleteiről több forrás is beszámolt:
SOC Prime
ZDNet
SecurityAffairs

A másik incidensről szóló hír tegnap, február 28-án jelent meg az Index.hu-n, de már a hét elején lehetett pletykákat hallani arról, hogy az Egis Gyógyszergyárban kiberbiztonsági incidens történt (és arról is, hogy az Egis mellett más magyar gyógyszergyárban is történt incidens, erről azonban az Index egyébként elég szűkszavú cikke nem szól, más forrást pedig nem sikerült találnom). Az Index cikke alapján jelenleg az feltételezhető, hogy a termelésirányításért felelős rendszer nem volt érintett, a logisztikát támogató rendszerek némelyike azonban igen. Bár részleteket pénteken délután, amikor ezt a posztot írom, még nem lehet tudni, de a sorok között olvasva és az utóbbi idők tendenciái alapján van egy olyan érzésem, hogy ebben az esetben is valamilyen ransomware-variáns állhat az incidens hátterében (ezt este 19:40-re már meg is erősítették).

Sajnos ez a két eset is nagyon jól rávilágít arra, hogy a preventív intézkedések sokszor minden erőfeszítés ellenére is kevesek lehetnek, legalább ilyen fontosak az incidensek észlelésére és elhárítására vonatkozó képességek és eljárások. Ami pedig nagyon szomorú, hogy a jelek szerint a Norsk Hydro elleni, alig egy évvel ezelőtti ransomware-támadás óta sem igen sikerült a Közép-európai cégeknél elsajátítani azt a fajta transzparenciát, amivel a norvég központú alumínium-ipari óriás kezelte az esetet, mifelénk egy hasonló incidensre adott első reakció még mindig a "nehogy bárki megtudja" gondolat és az ezt képviselő emberek keresztül is tudják vinni az akaratukat. Kár, hogy a jelek szerint továbbra sem ismerték fel, hogy külön-külön előbb vagy utóbb minden szervezetnek szembe kell néznie valamilyen súlyos kiberbiztonsági incidenssel és a legtöbb ipari szervezetnél még mindig uralkodik a nézet, hogy "velünk nem fog semmi hasonlóan rossz dolog történni".

Már összekészítettem ezt a posztot, amikor este (az Egis-incidensről olvasott friss információk után) szembetalálkoztam a Massachusetts állambeli Reading önkormányzati villamosenergia-szolgáltató cége (Reading Municipal Light Department - RMLD) elleni ransomware-támadásról szóló hírrel:

infosecurity
SecurityAffairs

A rendelkezésre álló információk alapján az RMLD elleni támadás is az ügyviteli/vállalati IT rendszereket (pl. a weboldalukat kiszolgáló rendszereiket) érintették és a villamosenergia-rendszer működtetéséhez használt ICS rendszerekig nem jutott el a ransomware.

Synergy Systems & Solutions eszközök sérülékenységei

Az indiai VAPT csoport két sérülékenységet azonosított a Synergy Systems & Solutions HUSKY RTU 6049-E70 RTU-inak 5.0 és korábbi firmware-verzióiban.

A gyártó a hiba javítására az 5.1.2-es vagy újabb firmware-verziók telepítését javasolja. A sérülékenységről bővebben az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-042-01

Siemens rendszerek sérülékenységei

Artem Zinenko, a Kaspersky Lab munkatársa két sérülékenységet fedezett fel a Siemens alábbi rendszereiben használt, SNMP-alapú funkciókban:

- IE/PB LINK PN IO (beleértve a SIPLUS NET változatokat is) minden verziója;
- SCALANCE S602 minden verziója;
- SCALANCE S612 minden verziója;
- SCALANCE S623 minden verziója;
- SCALANCE S627-2M minden verziója;
- SIMATIC CP 1623 minden, 14.00.15.00_51.25.00.01-nél korábbi verzió;
- SIMATIC CP 1626 minden verziója;
- SIMATIC CP 1628 minden, 14.00.15.00_51.25.00.01-nél korábbi verzió;
- SIMATIC CP 343-1 Advanced (beleértve a SIPLUS NET változatokat is) minden verziója;
- SIMATIC CP 443-1 (beleértve a SIPLUS NET változatokat is) minden verziója;
- SIMATIC CP 443-1 Advanced (beleértve a SIPLUS NET változatokat is) minden verziója;
- SIMATIC CP 443-1 OPC UA minden verziója;
- TIM 1531 IRC (beleértve a SIPLUS NET változatokat is) minden verziója.

A gyártó már több érintett termékéhez kiadta a hibát javító újabb verziókat, a többihez pedig jelenleg is dolgoznak a javításon. A sérülékenységgel kapcsolatban további információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet elérni.

Sérülékenységek Schneider Electric Magelis HMI panelekben

Az indiai VAPT csoport egy sérülékenységet azonosított a Schneider Electric alábbi rendszereiben:

- Magelis HMIGTO sorozat minden firmware-verziója;
- Magelis HMISTO sorozat minden firmware-verziója;
- Magelis XBTGH sorozat minden firmware-verziója;
- Magelis HMIGTU sorozat minden firmware-verziója;
- Magelis HMIGTUX sorozat minden firmware-verziója;
- Magelis HMISCU sorozat minden firmware-verziója;
- Magelis HMISTU sorozat minden firmware-verziója;
- Magelis XBTGT sorozat minden firmware-verziója;
- Magelis XBTGC sorozat minden firmware-verziója;
- Magelis HMIGXO sorozat minden firmware-verziója;
- Magelis HMIGXU sorozat minden firmware-verziója.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységről bővebben a Schneider Electric és az ICS-CERT weboldalain lehet olvasni.

Schneider Electric Modicon eszközök sérülékenységei

Az indiai VAPT csoport három sérülékenységet talált a Schneider Electric BMXNOR0200H típusú eszközeinek minden firmware-verziójában.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések alkalmazását ajánlja. A sérülékenységekről további információkat a Schneider Electric és az ICS-CERT publikációiban lehet elérni.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A DHS CISA figyelmeztetése szerint ransomware-támadás ért egy földgázcéget az USA-ban, aminek következtében az érintett cég 2 napra teljesen leállította minden rendszerét és üzleti valamint technológiai folyamatait.

Az incidens elemzése alapján (amit a MITRE ATT&CK for ICS keretrendszerét használva végeztek) a támadók célzott adathalász támadással juttatták a ransomware-t a célba vett szervezet IT rendszerébe és onnan jutottak át az OT rendszerekbe, majd mindkét hálózatban elindították a titkosítást végző komponenst. A támadás által érintett eszközök és rendszerek között voltak a földgáz cég HMI-ai, történeti adatbázisai és a szenzorokból adatokat kinyerő szerverei is, aminek következtében a rendelkezésre állás mellet sérült a fizikai folyamatok fölött gyakorolt felügyelet is, ellenben a támadás a rendelkezésre álló információk szerint nem érintett PLC-ket.

Bár az incidens csak az ICS rendszer egyes részeit (a Windows-alapú rendszereket) és csak egy telephelyen érintette, a gázszolgáltató úgy határozott, hogy a teljes szervezetben minden rendszert és a teljes gázvezeték-hálózatot leállították 2 napra.

A cég megkezdte új eszközökre visszatölteni az utolsó, még bizonyítottan jó konfigurációkat, azonban a szervezetnek, bár volt BCP/DRP terve, de ezek elsősorban a safety-re koncentráltak és nem foglalkoztak a kibertámadások elhárításával, emiatt aztán a katasztrófa-elhárítási gyakorlatok nem biztosították a mostani incidens hatékonyabb kezeléséhez szükséges tapasztalatokat.

A CISA publikációjában számos további hasznos tanulságot lehet találni, többek között a hálózati és eszközgazdálkodási, tervezési és üzemeltetési valamint incidenskezelési témákban.

Úgy látszik, 2020-ra kezd beigazolódni az a 2-3 évvel ezelőtti jóslat, hogy a zsarolóvírusok (és íróik) egyre gyakrabban és egyre eredményesebben vesznek célba ICS rendszereket és az azokat használó vállalatokat. Ideje lenne felkészülni itthon is arra, hogy nem minden támadási kísérletet lesznek képesek az egyes cégek szakemberei megelőzni, akkor pedig csak a megfelelő incidenskezelési tervek és gyakorlatok adhatnak reményt a komolyabb üzemzavarok megelőzésére!