Másfél hete jelent meg a Dragos új elemzése a 2016. decemberében az Ukrenergo elleni kibertámadásról. Ahogy korábban én is írtam a második, ukrán ICS rendszerek ellen elkövetett támadás végül mindössze alig egy órán át tartó üzemzavart okozott, azonban még így is több fogyasztót érintett, mint a 2015-ben 4 Nyugat-ukrajnai áramszolgáltató elleni támadás.

A 2016. decemberi incidens után megjelent, a támadáshoz használt, CrashOverride/Industroyer néven ismert moduláris malware-ről szóló elemzések után most a Dragos egy részletesebb elemzést adott ki, amiben az egyik vezető kutatójuk, Joe Slowik újraértékelte a rendelkezésre álló információkat. Ezek alapján úgy véli, hogy a támadók célja egy, a végül bekövetkezettnél jóval szélesebb körű üzemzavar előidézése volt, ami pusztító hatású eseményekhez vezethetett volna.

Azt már korábban is tudni lehetett, hogy a CrashOverride/Industroyer malware egyik modulját kifejezetten a megszakítók vezérlésére tervezték, hogy az RTU-k vezérlésével idézzenek elő üzemzavart. Egy másik modulban egy ún. wiper célja a fontosabb konfigurációs és egyéb rendszerfájlok törlése volt, ezzel nehezítve az üzemzavar-elhárításához szükséges helyreállítást (hasonlóan, mint a 2015-ös támadás esetén, ahol a támadók nagy számú RTU-t tettek használhatatlanná, egyes hírek szerint még 2016. áprilisában is voltak olyan RTU-k, amiket az Nyugat-ukrajnai áramszolgáltatók nem tudtak kicserélni).

A CrashOverride/Industroyer eredeti elemzése során a kutatók egy olyan modult is felfedeztek, aminek a feladata egy, a Siemens SIPROTEC védelmekben még 2015-ben felfedezett sérülékenység (CVE-2015-5374) kihasználása volt, amivel egy szolgáltatás-megtagadásos támadással használhatatlanná lehet tenni a védelmet. Joe Slowik feltételezése szerint ennek a modulnak a feladata az lehetett, hogy az üzemzavar elhárítása után használhatatlanná tegye a védelmet, ami így nem lett volna képes megóvni az átviteli rendszer berendezéseit egy későbbi túlfeszültség esetén, ami egy időben jóval hosszabb és talán nagyobb kiterjedésű üzemzavarhoz vezetett volna.

Végül a támadók azért nem érték el a céljaikat, mert a szolgáltatás-megtagadásos támadáshoz használni tervezett programkód hibái miatt nem voltak képesek használhatatlanná tenni a SIPROTEC védelmeket és nem tudták kompromittálni azt a több száz vezérlő berendezést, amiket célba vettek.

A Dragos által Electrum-nak nevezett csoport 2016-os támadásáról készült részletes, 16 oldalas elemzés itt érhető el.

Sérülékenység Siemens SIMATIC TDC rendszerekben

A Siemens egy sérülékenységről közölt információkat a DHS CISA-val, amik a SIMATIC TDC CP51M1 típusú multiprocesszoros automatizálási rendszerének minden, 1.1.7-nél korábbi verzióját érinti.

A gyártó a hibát az 1.1.7-es és későbbi verziókban javította. A sérülékenységről részleteket a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Siemens WirelessHART átjárók sérülékenysége

A Siemens egy sérülékenységgel kapcsolatban adott ki információkat, ami az IE/WSN-PA Link WirelessHART Gateway termékének minden verzióját érinti.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetésére tett javaslatot. A sérülékenységről további információkat a Siemens ProductCERT és az ICS-CERT weboldalain lehet találni.

Siemens SINETPLAN sérülékenység

A Siemens egy sérülékenységet azonosított a SINETPLAN 2.0 verziójában, amit a TIA Administrator 1.0 SP1 Upd1 verzióra történő frissítéssel tanácsol javítani és kockázatcsökkentő intézkedések alkalmazását javasolja.

A sérülékenységgel kapcsolatban további részleteket a Siemens ProductCERT és az ICS-CERT bejelentései tartalmaznak.

Sérülékenységek Siemens ipari termékekben

A Siemens három sérülékenységet fedezett fel (ezek együtt TCP sack panic néven váltak ismertté) az alábbi, ipari automatizálási területeken használt termékeiben:

- CM 1542-1 minden verziója;
- CP 1242-7 minden verziója;
- CP 1243-1 minden verziója;
- CP 1243-7 LTE EU minden verziója;
- CP 1243-7 LTE US minden verziója;
- CP 1243-8 IRC minden verziója;
- CP 1542SP-1 minden verziója;
- CP 1542SP-1 IRC minden verziója;
- CP 1543-1 minden verziója;
- CP 1543SP-1 minden verziója;
- CloudConnect 712 minden, 1.1.5-nél korábbi verziója;
- ROX II minden verziója (de csak a CVE-2019-11479 sérülékenység érinti);
- RUGGEDCOM RM1224 minden verziója;
- S7-1500 CPU 1518(F)-4 PN/DP MFP minden verziója;
- SCALANCE M800 minden verziója;
- SCALANCE M875 minden verziója;
- SCALANCE S615 minden verziója;
- SCALANCE SC-600: minden, 2.0.1-nél korábbi verziója;
- SCALANCE W-700 (IEEE 802.11n) minden verziója;
- SCALANCE W1700 minden verziója;
- SCALANCE WLC711 minden verziója;
- SCALANCE WLC712 minden verziója;
- SIMATIC ITC1500 minden verziója;
- SIMATIC ITC1500 PRO minden verziója;
- SIMATIC ITC1900 minden verziója;
- SIMATIC ITC1900 PRO minden verziója;
- SIMATIC ITC2200 minden verziója;
- SIMATIC ITC2200 PRO minden verziója;
- SIMATIC MV500 minden verziója;
- SIMATIC RF166C minden verziója;
- SIMATIC RF185C minden verziója;
- SIMATIC RF186C minden verziója;
- SIMATIC RF186CI minden verziója;
- SIMATIC RF188C minden verziója;
- SIMATIC RF188CI minden verziója;
- SIMATIC RF600R minden verziója;
- SIMATIC Teleserver Adapter IE Advanced minden verziója;
- SIMATIC Teleserver Adapter IE Basic minden verziója;
- SINEMA Remote Connect Server: minden, 2.0 SP1-nél korábbi verziója;
- SINUMERIK 808D minden verziója;
- SINUMERIK 828D minden verziója;
- SINUMERIK 840D sl minden verziója;
- TIM 1531 IRC minden verziója.

A gyártó általános kockázatcsökkentő intézkedésekre tett javaslatot, valamint az alábbi termékeihez kiadta a hibák javítását is:

- CloudConnect 712: v1.1.5;
- SCALANCE M875: a hardware SCALANCE M876-4-re vagy RUGGEDCOM RM1224-re frissítése és az ott elérhető javítás telepítése;
- SCALANCE SC-600: v2.0.1.

A sérülékenységekkel kapcsolatban bővebbn információkat a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

SINEMA Remote Connect Server sérülékenységek

Hendrik Derre és Tijl Deneut, a HOWEST munkatársai négy sérülékenységgel kapcsolatban osztottak meg információkat a Siemens-szel, amik a SINEMA Remote Connect Server V2.0 SP1-nél korábbi verzióiban találhatóak meg.

A gyártó a hibákat a V2.0 SP1 verzióban javította. A sérülékenységekről részleteket a Siemens ProductCERT publikációjában lehet elérni.

Sérülékenységek RUGGEDCOM termékekben

A Siemens ProductCERT bejelentése szerint a RUGGEDCOM WIN70xx és WIN72xx Base Station rendszereit érintik a Wind River VxWorks nemrég publikált sérülékenységei.

A gyártó a hibákkal kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről további információk a Siemens ProductCERT weboldalán érhetőek el.

Sérülékenységek Siemens Healthineers rendszerekben

A Siemens ProductCERT bejelentése szerint az Healthineers termékeket érinti a DejaBlue néven ismertté vált Microsoft Remote Desktop Services sérülékenység:

- Aptio by Inpeco minden verziója;
- Aptio by Siemens minden verziója;
- Atellica Data Manager minden verziója;
- Atellica Process Manager minden verziója;
- Atellica Solution minden verziója;
- CentraLink minden verziója;
- Iontris VA11, VA12, VB11 verziók;
- MAGNETOM Vida, MAGNETOM Sola, MAGNE-TOM Lumina, MAGNETOM Altea, MAGNETOMAmira és MAGNETOM Sempra VA10A, VA10A-SP01, VA11A, VA11B, VA12M verziói;
- MagicLinkA minden verziója;
- MagicView1000W minden verziója;
- MagicView300 minden verziója;
- Medicalis Clinical Decision Support minden verziója;
- Medicalis Referal Management minden verziója;
- Medicalis Workflow Orchestrator minden verziója;
- Screening Navigator minden verziója;
- Somatom Go.Up, Somatom Go.Now, SomatomGo.Top, Somatom go.All VA10A, VA20A verziói;
- VM SIS Virtual Server, Sensis High End SISServer VD10B, VD11A, VD11B verziói;
- syngo Dynamics minden verziója;
- syngo Imaging minden verziója;
- syngo Virtual Cockpit minden verziója;
- syngo Workflow MLR minden verziója;
- syngo Workflow SLR minden verziója;
- syngo.plaza minden verziója;
- syngo.via minden verziója;
- syngo.via View & GO minden verziója;
- syngo.via WebViewer minden verziója;
- teamplay vevőberendezés minden verziója.

A gyártó a hibával kapcsolatban kockázatcsökkentő intzkedések bevezetését javasolja. Egyes termékek esetén elérhető javítás illetve a Microsoft által kiadott javítás telepítéséhez szükséges új verzió. A sérülékenységgel kapcsolatban további részleteket a Siemens ProductCERT publikációja tartalmaz.

OSISoft PI SQL kliens sérülékenység

Az OSISoft egy, a PI SQL Client 2018-as verzióját érintő sérülékenységről közölt információkat a DHS CISA-val.

A gyártó a hibát a PI SQL Client 2018 R2 verziójában javította. A sérülékenységről további részleteket az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-253-06

Sérülékenység Delta Electrics rendszerekben

kimiya, a 9sg biztonsági csoport tagja a ZDI-vel együttműködve három sérülékenységet azonosított, amik a Delta Electrics TPEditor nevű, Delta szöveges panelek programozásához használható szoftverének 1.94-es és korábbi verzióit érintik.

A gyártó a hibát a TPEditor 1.95-ös verziójában javította. A sérülékenységekről bővebb információkat az ICS-CERT weboldalán lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-253-01

Sérülékenység CODESYS rendszerekben

Martin Hartmann, a cirosec GmbH munkatársa egy sérülékenységet talált a 3S-Smart Software Solutions CODESYS termékcsaládjának alábbi tagjaiban:

- CODESYS Control for BeagleBone;
- CODESYS Control for emPC-A/iMX6;
- CODESYS Control for IOT2000;
- CODESYS Control for Linux;
- CODESYS Control for PFC100;
- CODESYS Control for PFC200;
- CODESYS Control for Raspberry Pi;
- CODESYS Control RTE V3;
- CODESYS Control RTE V3 (for Beckhoff CX);
- CODESYS Control Win V3 (a CODESYS Development System eleme);
- CODESYS Control V3 Runtime System Toolkit;
- CODESYS V3 Safety SIL2;
- CODESYS Gateway V3;
- CODESYS HMI V3;
- CODESYS V3 Simulation Runtime (a CODESYS Development System eleme).

A gyártó a hibát az érintett termékekhez kiadott 3.5.15.0 verziójú frissítésben javította. A sérülékenység részleteiről az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-255-05

CODESYS Control V3 OPC UA Server sérülékenység

A 3S-Smart Software Solutions GmbH egy sérülékenységet jelentett a DHS CISA-nak, ami a CODESYS Control V3 OPC UA Server alábbi verzióit érinti:

- CODESYS Control for BeagleBone;
- CODESYS Control for emPC-A/iMX6;
- CODESYS Control for IOT2000;
- CODESYS Control for Linux;
- CODESYS Control for PFC100;
- CODESYS Control for PFC200;
- CODESYS Control for Raspberry Pi;
- CODESYS Control RTE V3;
- CODESYS Control RTE V3 (for Beckhoff CX);
- CODESYS Control Win V3 (a CODESYS Development System eleme);
- CODESYS Control V3 Runtime System Toolkit.

A gyártó a hibát a 3.5.15.0 verzióban javította. A sérülékenységről további információkat az ICS-CERT publikációjában lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-255-04

Sérülékenység CODESYS Control V3 Online User Management komponensekben

A 3S-Smart Software Solutions GmbH által szolgáltatott információk szerint a CODESYS termékcsalád alábbi tagjaiban használt Online User Management komponensben egy sérülékenységet találtak:

- CODESYS Control for BeagleBone;
- CODESYS Control for emPC-A/iMX6;
- CODESYS Control for IOT2000;
- CODESYS Control for PFC100;
- CODESYS Control for PFC200;
- CODESYS Control for Raspberry Pi;
- CODESYS Control RTE V3;
- CODESYS Control RTE V3 (for Beckhoff CX);
- CODESYS Control Win V3 (a CODESYS Development System eleme);
- CODESYS V3 Simulation Runtime (a CODESYS Development System eleme);
- CODESYS HMI V3.

A gyártó a hibát a 3.5.15.0 verzióban javította. A sérülékenységgel kapcsolatban további információkat az ICS-CERT weboldalán lehet elérni: https://www.us-cert.gov/ics/advisories/icsa-19-255-03

Cross-site scripting sérülékenység CODESYS rendszerekben

Heinz Füglister, a WRH Walter Reist Holding AG munkatársa egy XSS sérülékenységet fedezett fel, ami a 3S-Smart Software Solutions GmbH minden 32 és 64 bites CODESYS Development System V3-as verzióját érinti a 3.5.15.0 verzió előtt.

A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsa-19-255-02

Sérülékenységek CODESYS V3 webszerverekben

Ivan Cheyrezy, a Schneider Electric munkatársa két sérülékenységet azonosított a CODESYS V3 termékcsalád alábbi tagjaiban használt webszerverekben:

- CODESYS Control for BeagleBone;
- CODESYS Control for emPC-A/iMX6;
- CODESYS Control for IOT2000;
- CODESYS Control for Linux;
- CODESYS Control for PFC100;
- CODESYS Control for PFC200;
- CODESYS Control for Raspberry Pi;
- CODESYS Control RTE V3;
- CODESYS Control RTE V3 (for Beckhoff CX);
- CODESYS Control Win V3 (a CODESYS Development System eleme);
- CODESYS HMI V3;
- CODESYS Control V3 Runtime System Toolkit;
- CODESYS V3 Embedded Target Visu Toolkit;
- CODESYS V3 Remote Target Visu Toolkit.

A gyártó a hibákat a legújabb verziókban javította. A sérülékenységekről további részleteket az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-19-255-01

Sérülékenységek Philips orvostechnikai berendezésekben

Shawn Loveric a Finite State, Inc. munkatársa két sérülékenységet talált az alábbi Philips termékekben:

- IntelliVue MP monitorok MP20-MP90 (M8001A/2A/3A/4A/5A/7A/8A/10A) WLAN A verzió, A.03.09-es firmware-verziója;
- IntelliVue MP monitorok MP5/5SC (M8105A/5AS) WLAN A verzió, A.03.09-es firmware-verziója;
- IntelliVue MP monitorok MP2/X2 (M8102A/M3002A) WLAN B verzió, A.01.09-es firmware-verziója;
- IntelliVue MP monitorok MX800/700/600 ((865240/41/42)WLAN B verzió, A.01.09-es firmware-verziója.

A gyártó a hibákat a WLAN C verziójának B.00.31-es verziójában javította. A sérülékenységekről bővebb információkat az ICS-CERT weboldalán lehet találni: https://www.us-cert.gov/ics/advisories/icsma-19-255-01

Sérülékenységek Schneider Electric U.motion Server termékekben

Zhu Jiaqi és Constantin-Cosmin Craciun hat sérülékenységet azonosítottak a Schneider Electric alábbi termékeiben:

- MEG6501-0001 - U.motion KNX server;
- MEG6501-0002 - U.motion KNX Server Plus;
- MEG6260-0410 - U.motion KNX Server Plus, Touch 10;
- MEG6260-0415 - U.motion KNX Server Plus, Touch 15.

A gyártó a hibákat az érintett rendszerekhez kiadott 1.3.7-es verzióban javította. A sérülékenységekről további részleteket a Schneider Electric publikációjában lehet olvasni.

Sérülékenység Schneider Electric Modicon vezérlőkben

A Schneider Electric bejelentése szerint egy sérülékenység található a Modicon Quantum 140 NOE771x1 típusú vezérlőik 6.9-es és korábbi verzióiban.

A gyártó a hibát az érintett vezérlők 7.0-s firmware-verziójában javította. A sérülékenységről bővebb információk a Schneider Electric bejelentésében találhatóak.

Sérülékenységek Schneider Electric TwidoSuite rendszerekben

A Schneider Electric két sérülékenységről közölt információkat a weboldalán, amik a TwidoSuite v2.20.11-es verzió Windows 7 SP1 32-bites operációs rendszerein futó telepítéseit érintik.

A TwidoSuite termék 2016 decemberében elérte életciklusa végét, a gyártó ezért az érintett terméket használó ügyfeleinek a Modicon M221-es vagy más Modicon PLC-kre történő váltást javasolja. A sérülékenységekről további információkat a Schneider Electric weboldalán lehet találni.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Néhány napja jelent meg az IT biztonsági szaksajtóban a hír, hogy 2019. március 5-én egy meg nem nevezett, az USA villamosenergia-rendszerben működő szervezetet ért kibertámadás. Az incidensnek alacsony hatása volt a NERC (az Észak-amerikai villamosenergia-ipari szabályozó szervezet, North American Electric Reliability Corporation - NERC) szerint és nem okozott áramkimaradást, de a 10 órán át tartó támadást az érintett szervezet elég súlyosnak ítélte, hogy jelentse a NERC-nek.

A NERC vizsgálata és az incidens tapasztalatait összefoglaló publikációja szerint a támadók a szervezet egyik Internetes tűzfalának webes interfészén talált sérülékenységet kihasználva, egymás után sokszor újraindítva a tűzfalat, gyakorlatilag egy szolgáltatás-megtagadásos támadást indítottak a cég ellen. Ami még súlyosabbá tette az incidenst, hogy ez a tűzfal az adott villamosenergia-ipari szervezet vezérlőközpontja és távoli erőművi alállomásai közötti kommunikációt kiszolgáló távközlési vonalak védelméért felelt, így azonban az állandó újraindulások miatt kimaradások voltak a központ és az alállomások közötti kommunikációban.

Az incidens utáni vizsgálatok rámutattak, hogy a szervezet elmulasztotta a tűzfalhoz rendelkezésre álló legújabb firmware telepítését, amivel megelőzhető lett volna a támadás. Az incidensről részleteket az E&E News cikkében és a NERC esetről készült publikációjában lehet olvasni.

Az esetből több tanulságot is le lehet vonni. Egyrészt a publikus hálózatokra (elsősorban az Internetre) csatlakoztatott eszközök elérhető frissítéseinek telepítését a lehető leggyorabban ki kell értékelni, azt vizsgálva, milyen következményekkel járhat a telepítésük és csak nagyon súlyos üzembiztonsági kockázatok esetén érdemes mérlegelni a telepítés elhalasztását. Másrészt a különböző, out-of-band menedzsment felületekkel rendelkező eszközök esetén a menedzsment felületeket nem szabad publikus hálózatokból elérhetővé tenni. Ha olyan eszközt használ a szervezet, aminek van dedikált menedzsment portja, azt célszerű egy erre a célra kialakított, a publikus hálózatoktól és a szervezet más hálózataitól (belső ügyviteli hálózatok, DMZ-k, stb.) elkülönített menedzsment célokra fenntartott hálózati szegmensbe bekötni és szigorúan a minimumra szabályozni, hogy ki és honnan érheti el ezeket az eszközöket.

Az incidens nyomán Joe Weiss az Unfettered blogon ismét hangot adott annak a véleményének, hogy hamisak az olyan állítások, amik szerint az USA villamosenergia-rendszerét mostanáig nem érték volna kibertámadások. Saját adatbázisa alapján Joe állítja, hogy az amerikai villamosenergia-rendszer ellen már 2001-ben is történt kibertámadás, amikor kínai támadók próbáltak hozzáférést szerezni a kaliforniai rendszerirányító SCADA rendszeréhez, de akkor végül nem jártak sikerrel.

Ez a hír, illetve a héten szerdán és csütörtökön a sajtót és a hazai IT biztonsági szakmát rendesen felkavaró MFK-s incidens együtt megint fel kell, hogy elevenítse a mindmáig megválaszolatlan kérdést: vajon Magyarországon a villamosenergia-ipari szereplők ellen hány kibertámadás történt az elmúlt években és az állam (aki gyakran tulajdonosa is ezek közül a szervezetek közül soknak) mikor fog végre olyan előírásokat kötelezővé tenni, amik egyrészt kikényszerítik egy minimális biztonsági szint elérését, másrészt kötelezik a nemzetgazdaság számára nélkülözhetetlen villamosenergia-ipari szervezeteket a kiberbiztonsági incidensek jelentésére legalább az MEKH és az NKI felé?

Sérülékenységek EZAutomation rendszerekben

A DHS CISA két sérülékenységről szerzett információkat a 9sg biztonsági csoport tagjaitól, amik az alábbi EZAutomation rendszereket érintik:

- EZ PLC Editor 1.8.41 és korábbi verziói;
- EZ Touch Editor 2.1.0 és korábbi verziói.

Az EZ PLC Editor-okban egy, az alkalmazás által lefoglalt memóriaterületeken kívül végzett műveleteket lehetővé tevő hibát, az EZ Touch Editor-ban egy puffer-túlcsordulásra visszavezethető hibát azonosítottak.

A gyártó a hibákat a PLC Editor 1.9.0 és későbbi illetve a Touch Editor 2.2.0 és későbbi verzióiban javította. A sérülékenységekről további részleteket az ICS-CERT publikációiban lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-246-02
https://www.us-cert.gov/ics/advisories/icsa-19-246-01

Sérülékenységek Red Lion Controls rendszerekben

Michael DePlante, Anthony Fuller és Todd Manning, a ZDI munkatársai 4 sérülékenységet találtak a Red Lion Controls alábbi termékeiben:

- Crimson 3.0 és korábbi verziói;
- Crimson 3.1 3112.00-ás kiadást megelőző verziói.

A gyártó a hibákat a 3.1-es verzió 3112.00-ás kiadásában javította. A sérülékenységekkel kapcsolatban részleteket az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-19-248-01

BD Pyxis rendszerek sérülékenysége

A Becton, Dickinson and Company (BD) egy sérülékenységről tájékoztatta a DHS CISA-t, ami az alábbi termékeit érinti:

- Pyxis ES az 1.3.4-es verziótól az 1.6.1-es verzóig;
- Pyxis Enterprise Server Windows Server-re telepített 4.4-estől 4.12-ig terjedő verziói.

A gyártó a hibát a Pyxis ES 1.6.1.1-es verziójában javította és kockázatcsökkentő intézkedéseket javasol az érintett termékeit használó ügyfelei számára. A sérülékenység részleteit az ICS-CERT weboldalán lehet elérni: https://www.us-cert.gov/ics/advisories/icsma-19-248-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A viziközmű cégek ICS rendszereinek biztonságával sokkal ritkábban szoktak foglalkozni, mint például a villamosenergia-rendszer kiberbiztonságával, nincs ez igazán másképp ezen a blogon sem, de júliusban egy egészen jó, alapvető biztonsági intézkedésekről készült gyűjteményre bukkantam az amerikai Water ISAC weboldalán.

15 alapvető biztonsági intézkedést gyűjtöttek össze, amik alkalmazása jelentősen javíthatja egy ICS rendszerek működését a középpontba állító szervezet kiberbiztonsági helyzetét. A Water ISAC az alábbi intézkedések bevezetését javasolja:

1. Eszközleltár (én ehhez újabban már hozzá szoktam tenni azt is, hogy a hardver- és szoftverleltár mellett egy teljes körű hálózati áttekintő ábra és engedélyezett hálózati forgalom leltár is nagyon hasznos tud lenni);
2. Kockázatelemzések végzése;
3. Az ICS rendszerek kitettségének minimalizálása (elsősorban a külső hálózatok, leginkább az Internet felé);
4. Felhasználói hozzáférések ellenőrzésének kikényszerítése;
5. Illetéktelen fizikai hozzáférések elleni védelmi intézkedések alkalmazása;
6. Egymástól független kiber-fizikai rendszerek telepítése;
7. Sérülékenység-menedzsment folyamatok kialakítása;
8. Megfelelő (kiber)biztonsági kultúra kialakítása;
9. Kiberbiztonsági szabályzatok és eljárások kidolgozása és bevezetése;
10. Monitoring rendszerek és eljárások bevezetése a fenyegetések észlelésére;
11. Incidens-, vészhelyzet- és katasztrófa-elhárítási tervek kidolgozása (és amit én legalább ilyen fontosnak tartok, ezek rendszeres tesztelése!);
12. Védekezés a belső fenyegetések ellen;
13. A beszállítói lánc biztonságának megteremtése;
14. A különböző okos (IoT, IIoT) eszközök biztonságával törödni kell!
15. Részvétel (szektorális) információ megosztó közösségekben (ISAC).

A teljes, 56 oldalas Water ISAC ajánlás itt érhető el: https://www.waterisac.org/system/files/articles/15%20Cybersecurity%20Fundamentals%20%28WaterISAC%29.pdf

Magelis HMI Panelek sérülékenysége

A Schneider Electric bejelentése szerint egy sérülékenységet találtak a Magelis termékcsalád alábbi tagjaiban:

- Magelis HMIGTO sorozat - minden firmware-verzió;
- Magelis HMISTO sorozat - minden firmware-verzió;
- Magelis XBTGH sorozat - minden firmware-verzió;
- Magelis HMIGTU sorozat - minden firmware-verzió;
- Magelis HMIGTUX sorozat - minden firmware-verzió;
- Magelis HMISCU sorozat - minden firmware-verzió;
- Magelis HMISTU sorozat - minden firmware-verzió;
- Magelis XBTGT sorozat - minden firmware-verzió;
- Magelis XBTGC sorozat - minden firmware-verzió;
- Magelis HMIGXO sorozat - minden firmware-verzió;
- Magelis HMIGXU sorozat - minden firmware-verzió.

A sérülékenységgel kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységről részleteket a Schneider Electric bejelentésében lehet találni.

Sérülékenység Schneider Electric Modicon vezérlőkben

A Schneider Electric által publikált információk szerint egy sérülékenységet azonosítottak a Modicon M340-es vezérlők firmware-jének minden verziójában.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységgel kapcsolatban további információkat a Schneider Electric weboldalán lehet olvasni.

Sérülékenységek Schneider Electric Ethernet-soros konverterekben

A Schneider Electric több sérülékenységet fedezett fel a BMXNOR0200H sorozatú Ethernet-soros konverterekben, amik minden firmware-verziót érintenek.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedésekre tett javaslatot. A sérülékenységekről részletesebb információkat a Schneider Electric publikációjában lehet találni.

Schneider Electric TelvisGo sérülékenységek

A Kaspersky Lab 22 sérülékenységet jelentett a Schneider Electric-nek, amik a TelvisGo 2019. július 15-e előtt gyártott berendezéseket érintik.

A gyártó a hibákat az érintett eszközökben egy hotfix-szel javította. A sérülékenységek részleteiről a Schneider Electric bejelentésében lehet olvasni.

Sérülékenység a Schneider Electric Software Update egyik komponensében

Amir Preminger, a Claroty munkatársa egy sérülékenységet azonosított a Schneider Electric Software Update (SESU) SUT Service komponensének 2.1.1 és 2.3.0 közötti verzióiban.

A gyártó a hibát a 2.3.1-es verzióban javította. A sérülékenységről bővebb információkat a Schneider Electric weboldalán lehet elérni.

Sérülékenység Schneider Electric rendszerekben

Sumedt Jitpukdebodin egy sérülékenységet talált a Schneider Electric alábbi termékeiben:

- spaceLYnk minden, 2.4.0-nál korábbi verziója;
- Wiser for KNX (régebbi nevén homeLYnk) minden, 2.4.0-nál korábbi verziója.

A gyártó a hibát az érintett szoftvere 2.4.0 verziójában javította. A sérülékenységgel kapcsolatban további részleteket a Schneider Electric publikációjában lehet találni.

Sérülékenység Schneider Electric SoMachine HVAC rendszerekben

Yongjun Liu, az nsfocus biztonsági csoport tagja egy sérülékenységet fedezett fel a Schneider Electric SoMachine HVAC rendszerek programozásához használható szoftverének v2.4.1 és korábbi verzióiban.

A gyártó a hibát a termék (amit időközben EcoStruxure Machine Expert HVAC névre neveztek át) 1.1.0 verziójában javította. A sérülékenységről bővebben a Schneider Electric bejelentésében lehet olvasni.

Zebra ipari nyomtatók sérülékenysége

Tri Quach egy sérülékenységet jelentett a CISA-nak, ami a Zebra minden ipari nyomtatóját érinti.

A hibát a gyártó a weboldalán elérhető új szoftververzióban javította. A sérülékenységről részleteket az ICS-CERT weboldalán lehet elérni: https://www.us-cert.gov/ics/advisories/icsa-19-232-01

Sérülékenység Datalogic vonalkód olvasó berendezésekben

Tri Quach és Blake Johnson, az Amazon munkatársai egy sérülékenységet találtak a Datalogic AV7000-es vonalkód olvasó berendezéseinek 4.6.0.0-nál korábbi firmware-verzióiban.

A gyártó a hibát az érintett eszközök legújabb firmware-verziójában javította. A sérülékenységgel kapcsolatos részletek az ICS-CERT publikációjában olvashatóak: https://www.us-cert.gov/ics/advisories/icsa-19-239-02

Delta Controls vezérlők sérülékenysége

Douglas McKee és Mark Bereza egy sérülékenységet azonosítottak a Delta Controls alábbi vezérlőiben:

- enteliBUS Manager 3.40 R5 build 571848 és korábbi verziójú firmware-jei;
- enteliBUS Manager Touch (eBMGR-TCH) 3.40 R5 build 571848 és korábbi verziójú firmware-jei;
- enteliBUS Controller (eBCON) 3.40 R5 build 571848 és korábbi verziójú firmware-jei.

A gyártó a hibával kapcsolatban a 3.40 R6 build 612850 verzióra történő frissítést javasolja. A sérülékenységről további információkat az ICS-CERT bejelentésében lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-239-01

Sérülékenység Philips ultrahang készülékekben

A Check Point egy sérülékenységet jelentett a Philips-nek, ami a HDI 4000 ultrahang rendszereket érinti, amennyiben azok elavult operációs rendszereken (pl. Windows 2000) futnak.

A Philips HDI 4000 ultrahang rendszerek gyártói támogatása 2013 végén megszűnt, így a gyártó csak kockázatcsökkentő intézkedések alkalmazására tett javaslatot a hibával kapcsolatban. A sérülékenységgel kapcsolatban részletek az ICS-CERT weboldalán találhatóak: https://www.us-cert.gov/ics/advisories/icsma-19-241-02

Sérülékenység Change Healthcare kardiológiai rendszerekben

Alfonso Powers és Bradley Shubin, az Asante Information Security munkatársai egy sérülékenységről tájékoztatták a Change Healthcare-t, ami a gyártó alábbi kardiológiai rendszereit érinti:

- Horizon Cardiology 11.x és korábbi verziók;
- Horizon Cardiology 12.x;
- McKesson Cardiology 13.x;
- McKesson Cardiology 14. x;
- Change Healthcare Cardiology 14.1.x.

A gyártó a hibát javító patch-et már elkészítette, minden, érintett rendszert használó ügyfelének azt javasolja, hogy vegyék fel a kapcsolatot a terméktámogatási központjukkal. A sérülékenység részleteiről az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsma-19-241-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Július második felében egy kiterjedt adathalász támadási hullám indult az amerikai energiaszektorban működő cégek ellen. A támadók, akik a támadást elemző kutatók szerint nagy valószínűséggel nemzetállami háttérrel rendelkezhetnek, a National Council of Examiners for Engineering and Surveying (NCEES) megszemélyesítésével, mérnöki vizsgák eredményeinek látszó e-maileket és azokhoz csatolt Microsoft Word dokumentumokat küldenek a célba vett szervezetek egyes munkatársainak. A dokumentumokban egy VBA script szolgál dropper célokra, ez a script tölti le a támadók által irányított, ncees[.]com domain-t kiszolgáló szerverről a LookBack trójai egy változatát.

A támadás és a malware elemzése a részletekbe menően a ProofPoint weboldalán található meg. A kérdés igazán az, hogy vajon mi lehet a támadók célja, "csak" adatokat akarnak szerezni a célba vett szervezetektől (és ha az adatlopás a cél, akkor mire akarják használni később a megszerzett adatokat) vagy az adatlopás csak álca, hogy ne legyen egyértelmű, hogy mélyebb hozzáférést akarnak a célba vett energiaszektorba tartozó cégek rendszereiben.

Különböző ukrán és orosz híroldalak forrásai szerint az ukrán biztonsági szolgálat nyomozói kriptobányászatra használt eszközöket találtak a Dél-ukrajnai Yuzhnoukrainsk atomerőműben. A cikkek szerint az erőmű kriptovalutát bányászó munkatársai külön erre a célra helyzetek üzembe számítógépeket és nem az erőmű saját rendszereit fogták be bányászni, azonban az Internetre kötött számítógépeken keresztül az erőmű fizikai biztonsági tervei illetéktelen kezekbe kerülhettek.

Bár sokan fenntartásokkal fogadják a Russia Today és hasonló orosz híroldalak tartalmát, én ebben az esetben kivételt tettem, nem utolsó sorban azért, mert ezt a cikket Anton Shipulin, a Kaspersky ICS biztonsági laborjának egyik ismert munkatársának az oldalán találtam.

A hír kapcsán megint felmerült a fizikai elkülönítés szükségességének kérdése ICS rendszerek esetén. Annyi biztos, hogy sok esetben, amikor egy OT mérnök a fizikai elkülönítésre hivatkozik, mint válaszra minden biztonsági kérdés esetén, érdemes kicsit mélyebben utánajárni, hogy vajon tényleg létezik-e a (többnyire roppant határozottan) állított fizikai leválasztás.

Sérülékenységek Siemens SCALANCE termékekben

A Siemens két sérülékenységet talált a SCALANCE termékcsalád alábbi tagjaiban:

- SCALANCE SC-600 v2.0;
- SCALANCE XB-200 v4.1;
- SCALANCE XC-200 v4.1;
- SCALANCE XF-200BA v4.1;
- SCALANCE XP-200 v4.1;
- SCALANCE SR-300WG v4.1.

A gyártó egyelőre a SCALANCE SC-600-as eszközökhöz készített javítást. A sérülékenységekről bővebb információt a Siemens ProductCERT és az ICS-CERT oldalain lehet találni.

Siemens SINAMICS sérülékenység

A Siemens egy sérülékenységet jelentett a DHS CISA-nak, ami az alábbi termékeit érinti:

- SINAMICS GH150 v4.7 (vezérlő egység) minden verziója;
- SINAMICS GH150 v4.8 (vezérlő egység): minden, v4.8 SP2 HF6-nál korábbi verzió;
- SINAMICS GL150 v4.7 (vezérlő egység) minden verziója;
- SINAMICS GL150 v4.8 (vezérlő egység): minden, v4.8 SP2 HF7-nél korábbi verzió;
- SINAMICS GM150 v4.7 (vezérlő egység) minden verziója;
- SINAMICS GM150 v4.8 (vezérlő egység): minden, v4.8 SP2 HF9-nél korábbi verzió;
- SINAMICS SL150 v4.7 (vezérlő egység) minden verziója;
- SINAMICS SL150 v4.8 (vezérlő egység) minden verziója;
- SINAMICS SM120 v4.7 (vezérlő egység) minden verziója;
- SINAMICS SM120 v4.8 (vezérlő egység) minden verziója;
- SINAMICS SM150 v4.8 (vezérlő egység) minden verziója.

A gyártó a hibát a v4.8 SP2 HF9 verzióban javította. A sérülékenységről további információkat a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Sérülékenység SCALANCE X switch-ekben

Younes Dragoni és Alessandro Di Pinto, a Nozomi Networks munkatársai egy szolgáltatás-megtagadásos támadást lehetővé tevő hibát találtak az alábbi SCALANCE X switch-ekben:

- SCALANCE X-200 minden verziója;
- SCALANCE X-200IRT minden verziója;
- SCALANCE X-200RNA minden verziója.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységgel kapcsolatban részleteket a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenységek Siemens S7 eszközökben

A Siemens ProductCERT publikációja szerint a Haifa-i Műszaki egyetem Informatikai Karának munkatársai (Eli Biham, Sara Bitan, Aviad Carmel és Alon Dankner) és a Tel-Aviv-i Egyetem Villamosmérnöki Karának munkatársai (Uriel Malin és Avishai Wool) két sérülékenységet találtak a Siemens alábbi eszközeiben:

- SIMATIC ET 200SP Open Controller CPU1515SP PC minden verziója;
- SIMATIC ET 200SP Open Controller CPU1515SP PC2 minden verziója;
- SIMATIC S7-1200 CPU család V4.0 és minden korábbi verziója;
- SIMATIC S7-1500 CPU család minden verziója;
- SIMATIC S7-1500 szoftveres vezérlő minden verziója;
- SIMATIC S7-PLCSIM Advanced minden verziója.

A sérülékenységekkel kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységekről további részleteket a Siemes ProductCERT bejelentésében lehet olvasni: https://cert-portal.siemens.com/productcert/pdf/ssa-232418.pdf

Delta Electrics rendszerek sérülékenységei

kimiya, a 9SG biztonsági csoport tagja a ZDI-vel együttműködve két sérülékenységről osztott meg információkat a DHS CISA-val, ami a Delta Electrics DOPSoft nevű HMI-szerkesztő szoftverének 4.00.06.15-ös és korábbi verzióit érintik.

A gyártó a hibát a 4.00.06.47-es verzióban javította. A sérülékenységekről részleteket az ICS-CERT weboldalán lehet találni: https://www.us-cert.gov/ics/advisories/icsa-19-225-01

Sérülékenységek Johnson Controls rendszerekben

Egy harpocrates.ghost néven ismert biztonsági kutató két sérülékenységet jelentett a Johnson Controls-nak, amik a Metasys nevű rendszer 9.0-nál korábbi verzióit érintik.

A gyártó a hibákat a 9.0 és későbbi verziókban javította. A sérülékenységekről további információkat az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-227-01

Fuji Electric rendszerek sérülékenysége

Natnael Samson a ZDI-vel együttműködve egy sérülékenységet jelentett a DHS CISA-nak. A sérülékenység az Alpha Smart Loader minden, 4.2-nél korábbi verzióját érinti.

A gyártó a hibát az Alpha Smart Loader 4.2-es verziójában javította. A sérülékenységről bővebben az ICS-CERT weboldalán lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-19-227-02

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Egy héttel ezelőtt, augusztus 9-én Nagy-Britannia egy jelentős részén voltak komolyabb áramkimaradások. A hírekben felvételeket lehetett látni a sötétbe borult metróállomásokon mobil telefonokkal világítva a kijáratok felé tartó utasokról és London mellett Nagy-Britannia távolabbi területeit is érintette az üzemzavar. Forrásaim szerint az incidensnek nem volt kiberbiztonsági oka, a The Energyst cikke alapján az RWE 740MW kapacitású Little Barford-i gázüzemű majd az Ørsted Hornsea melletti szélerűműve szakadt le a hálózatról, ami több lépésben végül az ismert áramkimaradásokhoz vezetett.

Az első reakciók (legalábbis a brit sajtó részéről) között megjelent a kiberbiztonsági kiváltó ok lehetősége, de az illetékesek ezt határozottan cáfolták. Minden esetre beszédes, hogy mostanra a laikus újságírók egyik gondolata is az egy komolyabb üzemzavar esetén, hogy vajon kibertámadás lehetett-e a háttérben - erről ír a (szintén brit) Cyber Security Intelligence oldal is.

Fontosnak tartom kiemelni, amit a múltban már többen, több incidens esetén is hangoztattak: korántsem minden üzemzavart okoznak kibertámadások és jó lenne óvakodni attól, hogy minden hasonló esetben azonnal hackereket kezdünk emlegetni. Az ICS biztonság témája sajnos úgy kezd egyre népszerűbb lenni, hogy közben a szakemberek és a valóban illetékes szervezetek felkészültsége a témában nem fejlődik kellőképpen. Inkább arra kéne koncentrálni és erőforrásokat fordítani, hogy ezeknél a szervezeteknél fejlesszük az ICS rendszerek és kapcsolódó eljárások illetve érintett emberek biztonsági szintjét.

Időközben tegnap este találtam egy posztot Joe Weiss-től a SANS ICS community weboldalán, ahol Joe éppen azt fejtegeti, hogy annak ellenére, hogy a mai villamosenergia-rendszerekben használt, igen összetett és bonyolult vezérlő rendszereket nagyon-nagyon kevesen látják át teljes mélységükben és ez azt is jelentheti, hogy egy alaposan felkészült támadó (ami - ezt már én teszem hozzá - szinte minden esetben valamilyen nemzetállami, többnyire titkosszolgálati hátterű csoportot jelent) képes lehet egy kibertámadást úgy felépíteni és kivitelezni, hogy az végül például mechanikus vagy emberi hibának tűnjön. Joe érvelése szerint legalábbis furcsa, hogy a Nagy-britanniai incidensnél szinte egyszerre következett be a szélerőmű és a gázüzemű erőmű kiesése, szerinte ez is mutathat abba az irányba, hogy alaposabban kell vizsgálni egy lehetséges kiberbiztonsági incidens nyomait az esetek hátterében.

Joe bejegyzése több más érdekes gondolatot is tartalmaz, regisztráció után itt érhető el.

Annyi mindenképp biztos, hogy a brit villamosenergia-szektort felügyelő hatóság (finoman fogalmazva) nem boldog, így biztosra lehet venni, hogy egy igen alapos vizsgálat fogja követni a múlt heti incidenst.

Update: Elérhető a NationalGrid (a brit átviteli rendszerirányító) előzetes jelentése az incidensről.