Bejelentés dátuma: 2024.03.26.
Gyártó: ABB
Érintett rendszer(ek):
- S+ Operations 3.3 SP1 RU4 és korábbi verziói;
- S+ Operations 2.1 SP2 RU3 és korábbi verziói;
- S+ Operations 2.0 SP6 TC6 és korábbi verziói;
- S+ Engineering 2.1-től 2.3 RU3-ig terjedő verziói;
- S+ Analyst 7.0.0.0-tól 7.2.0.2-ig terjedő verziói, ha Fast Data Logger használatban van;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Malformed Packet Handling (CVE-2024-0335)/súlyos;
Javítás: Nincs
Link a publikációhoz: ABB
Bejelentés dátuma: 2024.04.09.
Gyártó: SUBNET Solutions
Érintett rendszer(ek):
- PowerSYSTEM Server 4.07.00 és korábbi verziói;
- Substation Server 2021 4.07.00 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Insufficiently Trustworthy Component (CVE-2024-3313)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-100-01
Bejelentés dátuma: 2024.04.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy Studio v9.3.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unquoted search path or element (CVE-2024-2747)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS minden, V2.0 SP2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Path Traversal (CVE-2024-31978)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens TeleControl Server Basic V3 V3.1.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Integer Overflow or Wraparound (CVE-2022-40303)/súlyos;
- Double Free (CVE-2022-40303)/súlyos;
- External Control of File Name or Path (CVE-2022-43513)/súlyos;
- Path Traversal (CVE-2022-43514)/súlyos;
- Improper Input Validation (CVE-2022-44725)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-46908)/súlyos;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- Inefficient Regular Expression Complexity (CVE-2023-3446)/közepes;
- Improper Input Validation (CVE-2023-4807)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Improper Input Validation (CVE-2023-21528)/súlyos;
- Improper Input Validation (CVE-2023-21568)/súlyos;
- Improper Input Validation (CVE-2023-21704)/súlyos;
- Improper Input Validation (CVE-2023-21705)/súlyos;
- Improper Input Validation (CVE-2023-21713)/súlyos;
- Improper Input Validation (CVE-2023-21718)/súlyos;
- Improper Input Validation (CVE-2023-23384)/súlyos;
- NULL Pointer Dereference (CVE-2023-28484)/közepes;
- Improper Input Validation (CVE-2023-29349)/súlyos;
- Improper Input Validation (CVE-2023-29356)/súlyos;
- Double Free (CVE-2023-29469)/közepes;
- Improper Input Validation (CVE-2023-32025)/súlyos;
- Improper Input Validation (CVE-2023-32026)/súlyos;
- Improper Input Validation (CVE-2023-32027)/súlyos;
- Improper Input Validation (CVE-2023-32028)/súlyos;
- Improper Input Validation (CVE-2023-36049)/súlyos;
- Improper Input Validation (CVE-2023-36417)/súlyos;
- Improper Input Validation (CVE-2023-36420)/súlyos;
- Improper Input Validation (CVE-2023-36560)/súlyos;
- Improper Input Validation (CVE-2023-36728)/közepes;
- Improper Input Validation (CVE-2023-36730)/súlyos;
- Improper Input Validation (CVE-2023-36785)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36788)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36792)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36793)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36794)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36796)/súlyos;
- Improper Input Validation (CVE-2023-36873)/súlyos;
- Improper Input Validation (CVE-2023-36899)/súlyos;
- Improper Input Validation (CVE-2023-38169)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-39615)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM APE1808 minden, Palo Alto Networks Virtual NGFW before V11.0.1-es verziójával használt verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Network Amplification (CVE-2022-0028)/súlyos;
- Exposure of Sensitive System Information to an Unauthorized Control Sphere (CVE-2023-0005)/közepes;
- External Control of File Name or Path (CVE-2023-0008)/közepes;
- Cross-site Scripting (CVE-2023-6790)/közepes;
- Insufficiently Protected Credentials (CVE-2023-6791)/közepes;
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2023-38046)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Parasolid V35.1 V35.1.254-nél korábbi verziói;
- Siemens Parasolid V36.0 V36.0.207-nél korábbi verziói;
- Siemens Parasolid V36.1 V36.1.147-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-26275)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2024-26276)/alacsony;
- NULL Pointer Dereference (CVE-2024-26277)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM APE1808 minden, Palo Alto Networks Virtual NGFW-vel használt verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2023-6789)/közepes;
- Improper Privilege Management (CVE-2023-6793)/alancsony;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-38802)/súlyos;
- Truncation of Security-relevant Information (CVE-2023-48795)/közepes;
- Insufficient Session Expiration (CVE-2024-0008)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC PCS 7 V9.1 minden, V9.1 SP2 UC04-nél korábbi verziója;
- Siemens SIMATIC WinCC Runtime Professional V17 minden verziója;
- Siemens SIMATIC WinCC Runtime Professional V18 minden verziója;
- Siemens SIMATIC WinCC Runtime Professional V19 minden, V19 Update 1-nél korábbi verziója;
- Siemens SIMATIC WinCC V7.5 minden, V7.5 SP2 Update 16-nál korábbi verziója;
- Siemens SIMATIC WinCC V8.0 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-50821)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) minden, V8.10.0.9-nél korábbi verziója;
- Siemens SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) minden, V8.10.0.9-nél korábbi verziója;
- Siemens SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) minden, V8.10.0.9-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-35980)/kritikus;
- Classic Buffer Overflow (CVE-2023-35981)/kritikus;
- Classic Buffer Overflow (CVE-2023-35982)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.04.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC S7-1500 TM MFP (GNU/Linux subsystem) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Improper Input Validation (CVE-2023-6121)/közepes;
- Use After Free (CVE-2023-6817)/súlyos;
- Out-of-bounds Write (CVE-2023-6931)/súlyos;
- Use After Free (CVE-2023-6932)/súlyos;
- Improper Input Validation (CVE-2023-45898)/súlyos;
- Use After Free (CVE-2023-6121)/közepes;
- Improper Input Validation (CVE-2024-0727)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.04.11.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 5015-AENFTXT típusú ethernet/IP adapterek v35-ös és v2.12.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-2424)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-102-09
Bejelentés dátuma: 2024.04.16.
Gyártó: Measuresoft
Érintett rendszer(ek):
- ScadaPro 6.9.0.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Access Control (CVE-2024-3746)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-107-01
Bejelentés dátuma: 2024.04.16.
Gyártó: Electrolink
Érintett rendszer(ek):
- 10W, 100W, 250W, Compact DAB adók;
- 500W, 1kW, 2kW Medium DAB adók;
- 2.5kW, 3kW, 4kW, 5kW High Power DAB adók;
- 100W, 500W, 1kW, 2kW Compact FM adók;
- 3kW, 5kW, 10kW, 15kW, 20kW, 30kW Modular FM adók;
- 15W - 40kW Digital FM adók;
- BI, BIII VHF TV adók;
- 10W - 5kW UHF TV adók;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass by Assumed-Immutable Data (CVE-2024-3741)/súlyos;
- Authentication Bypass by Assumed-Immutable Data (CVE-2024-22179)/súlyos;
- Reliance on Cookies without Validation and Integrity Checking (CVE-2024-22186)/súlyos;
- Reliance on Cookies without Validation and Integrity Checking (CVE-2024-21872)/súlyos;
- Missing Authentication for Critical Function (CVE-2024-21846)/közepes;
- Missing Authentication for Critical Function (CVE-2024-1491)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2024-3742)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-107-02
Bejelentés dátuma: 2024.04.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ControlLogix 5580 V35.011-es verziója;
- GuardLogix 5580 V35.011-es verziója;
- CompactLogix 5380 V35.011-es verziója;
- 1756-EN4TR V5.001-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-3493)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-107-03
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.