A Reuters híre szerint kibertámadás állhat annak hátterében, hogy a Moszkva folyó felett átívelő sikló egy nappal a megnyitása után már le is állították. A sikló operátorai szerint kibertámadás érte a siklót, ahonnan az incidens idején minden utast épségben sikerült lehozni.

További részletek egyelőre nem ismertek.

Update1: Újabb hírek szerint a siklót vezérlő rendszert ransomware-támadás érte.

Sérülékenységek Schneider Electric termékekben

A Schneider Electric publikációja szerint Jacob Baines, a Tenable munkatársa több sérülékenységet talált a Modicon M340, Premium, Quantum PLC-kben és a BMXNOR0200 berendezésekben.

A hibákkal kapcsolatban a gyártó mostanáig csak kockázatcsökkentő intézkedésekre tett javaslatot. A sérülékenységek részleteit a Schneider Electric weboldalán lehet megtalálni.

Sérülékenységek Siemens berendezésekben

A Siemens ProductCERT bejelentése szerint a SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP berendezések V2.6.0 firmware-verziójának GNU/Linux alrendszerében összesen 21 különböző sérülékenységet azonosítottak.

A hibák javításán a gyártó jelenleg is dolgozik. A sérülékenységekről bővebben a Siemens ProductCERT bejelentésében lehet olvasni: https://cert-portal.siemens.com/productcert/pdf/ssb-439005.pdf

Aveva rendszerek sérülékenysége

Az Aveva egy helyi kódfuttatást lehetővé tevő sérülékenységet jelentett az NCCIC-nek, ami az alábbi termékeiket érinti:

- Vijeo Citect v7.40;
- Vijeo Citect 2015;
- Citect SCADA v7.40;
- Citect SCADA 2015;
- Citect SCADA 2016.

A gyártó a hibát az érintett szoftverek legfrissebb verziójában javította. A sérülékenységgel kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-331-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Még 2017 tavaszán az norvégiai Agder egyetemén egy Henrik Waagsnes nevű végzős hallgató a SCADA rendszerek behatolásészlelő rendszere teszt keretrendszeréről írta a diplomamunkáját.

A keretrendszer segítségével a SCADA rendszer hálózati forgalmát lehet szimulálni és észlelni a kártékony forgalmakat. A teszthez Henrik Waagsnes a Suricata és Snort nevű, nyílt forráskódú IDS megoldásokat használta, amik mintaillesztéses módszerrel vizsgálják a hálózaton áthaladó forgalmat. A diplomamunka során kidolgozott megoldás az IEC 60870-5-104 (vagy röviden 104-es protokoll), DNP3 és Modbus protokollokra épülő forgalmakat tudja vizsgálni. Az angol nyelvű diplomamunka itt érhető el.

Bár maga a téma nem újdonság (az ICS rendszerek védelmében a Purdue-modell is javasolja IDS/IPS eszközök használatát az egyes hálózati szegmensek között), mégis nagyon pozitív irányú fejleménynek tartom, hogy egyetemi diplomamunka témák között is megjelenik az ICS kiberbiztonság kérdése és csak bátorítani tudom a hazai hallgatókat is, hogy ha érdeklődnek a téma iránt, fontolják meg, hogy ICS kiberbiztonsági témáról írjanak szakdolgozatot.

Sérülékenység Schneider Electric Modicon berendezésekben

Az ICS-CERT publikációja szerint a Schneider Electric egy sérülékenységet fedezett fel a Modicon M221-es típusú PLC-iben, ami a PLC firmware-jének minden verzióját érinti.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések bevezetésére vonatkozó ajánlásokat adott ki. A sérülékenység részleteit az ICS-CERT weboldalán lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-324-02

Sérülékenység Teledyne rendszerekben

Robert Hawes egy puffer-túlcsordulás hibát azonosított a Teledyne Sherlock 7.2.7.4-es és korábbi verzióiban.

A gyártó a hibát a Sherlock 7.2.7.5-ös és későbbi verzióiban javította. A sérülékenységgel kapcsolatban további információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-324-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Valamivel több, mint egy héttel ezelőtt egy meglepő, de nagyon pozitív cikkre hívta fel a figyelmemet egy barátom, az iho.hu-n, vagyis a vasúti témákkal foglalkozó Indóház online változatán egy ICS rendszerek biztonságával foglalkozó cikk jelent meg. Maga a cikk a téma fontosságának általános és rövid bemutatásánál nem ment tovább, de mégis nagyon fontos, hogy megjelent és az is, hogy egy, a kötött pályás közlekedés világában ismert oldalon írtak róla. Különösképpen úgy, hogy a vasúti jelző- és biztosító berendezések is a folyamatvezérlő rendszerek nagy családjába tartoznak, így az ICS rendszek (egy részének) kiberbiztonsága közvetlen hatással lehet a vasúti üzemre és a vasúton utazók és dolgozók biztonságára is.

Bízom benne, hogy nem egyszeri esetről van szó és a vasúti rendszerekkel foglalkozó IT biztonsági szakemberek közül mind többen fognak elmélyedni az ICS kiberbiztonság világában.

Sérülékenység Philips rendszerekben

Az ICS-CERT bejelentése szerint egy ügyfél nem megfelelő erősségű jelszókövetelményekre visszavezethető sérülékenységet jelentett a Philips-nek, ami a gyártó alábbi rendszereit érinti:

- az iSite PACS minden verziója;
- az IntelliSpace PACS minden verziója.

A Philips havi rendszerességgel jelentet meg hibajavításokat a támogatással még rendelkező termékeihez, az ISite 3.6-os platform azonban már minden szempontból nem támogatott terméknek számít. A gyártó emiatt kockázatcsökkentő intézkedésekre vonatkozó javaslatokat is közzétett.

A sérülékenységről az ICS-CERT publikációja tartalmaz további részleteket: https://ics-cert.us-cert.gov/advisories/ICSMA-18-312-01

Sérülékenység Siemens SIMATIC panelekben és SIMATIC WinCC (TIA Portal) rendszerekben

A Siemens ProductCERT publikációja szerint a gyártó egy code injection sérülékenységet fedezett fel az alábbi termékeiben:

- SIMATIC HMI Comfort 4"-22"-os panelek minden, V14-nél korábbi verziója;
- SIMATIC HMI Comfort Outdoor 7"-os és 15"-os panelek minden, V14-nél korábbi verziója;
- SIMATIC HMI KTP mobil panelek KTP400F, KTP700, KTP700F, KTP900 és KTP900F változatainak minden, V14-nél korábbi verziója;
- SIMATIC WinCC Runtime Advanced minden, V14-nél korábbi verziója;
- SIMATIC WinCC Runtime Professional minden, V14-nél korábbi verziója;
- SIMATIC WinCC (TIA Portal) minden, V14-nél korábbi verziója;
- SIMATIC HMI Classic eszközök (TP/MP/OP/MP mobil panelek) minden, V14-nél korábbi verziója.

A gyártó a hibát az érintett termékek V15 Update 4 és újabb verzióiban javította valamint kockázatcsökkentő intézkedésekre vonatkozó javaslatokat is publikált. A sérülékenységgel kapcsolatban további információkat a Siemens ProductCERT bejelentésében lehet olvasni: https://cert-portal.siemens.com/productcert/pdf/ssa-944083.pdf

Siemens SIMATIC IT termékcsalád sérülékenysége

A gyártó egy sérülékenységet azonosított a SIMATIC IT termékcsalád alábbi tagjaiban:

- SIMATIC IT LMS minden verziója;
- SIMATIC IT Production Suite minden, V7.1 Upd3-nál korábbi V7.1 verziója;
- SIMATIC IT UA Discrete Manufacturing minden, V1.2, V1.3 és korábbi verziói;
- SIMATIC IT UA Discrete Manufacturing V2.3 és V2.4 verziója.

A gyártó minden érintett és támogatással még rendelkező verzióhoz elérhetővé tette a javításokat. A sérülékenységről további információkat a Siemens ProductCERT oldalán lehet találni: https://cert-portal.siemens.com/productcert/pdf/ssa-886615.pdf

Sérülékenység SIMATIC Step7 (TIA Portal) rendszerekben

A Siemens egy jelszótároláshoz kapcsolódó sérülékenységet azonosított a SIMATIC Step (TIA Portal) V15.1-nél korábbi verzióiban.

A gyártó a hibát a V15.1-es verzióban javította. A sérülékenységgel kapcsolatban további részleteket a Siemens ProductCERT bejelentésében lehet olvasni: https://cert-portal.siemens.com/productcert/pdf/ssa-621493.pdf

DoS sérülékenység SIMATIC S7 kommunikációs processzorokban

A Siemens ProductCERT Younes Dragonival, a Nozomi Networks munkatársával és az ICS-CERT-tel együttműködve egy szolgáltatás-megtagadásos támadást lehetővé tevő sérülékenységről publikált információt, ami az alábbi termékeiket érinti:

- SIMATIC S7-1200 minden verziója;
- SIMATIC S7-1500 minden, V2.6-nál korábbi verziója.

A gyártó az S7-1500-as termékekhez kiadta a hibát javító verziót, az S7-1200-as termékekhez pedig kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenység részleteit a Siemens ProductCERT weboldalán lehet megtalálni.

Sérülékenység Siemens SCALANCE S termékekben

Nelson Berg, az Applied Risk munkatársa egy Cross-site Scripting sérülékenységet fedezett fel a Siemens SCALANCE S termékcsalád alábbi tagjaiban:

- SCALANCE S602 minden, V4.0.1.1-nél korábbi verziója;
- SCALANCE S612 minden, V4.0.1.1-nél korábbi verziója;
- SCALANCE S623 minden, V4.0.1.1-nél korábbi verziója;
- SCALANCE S627-2M minden, V4.0.1.1-nél korábbi verziója.

A gyártó a hibát a V4.0.1.1-es verzióban javította. A sérülékenységről további információkat a Siemens ProductCERT publikációja tartalmaz: https://cert-portal.siemens.com/productcert/pdf/ssa-242982.pdf

Webalkalmazás sérülékenységek Siemens SIMATIC panelekben

Hosni Tounsi, a Carthage Red Team munkatársa két, webalkalmazás sérülékenységet azonosított a Siemens SIMATIC alábbi paneljeiben:

- SIMATIC HMI Comfort 4"-22"-os panelek minden, V14-nél korábbi verziója;
- SIMATIC HMI Comfort Outdoor 7"-os és 15"-os panelek minden, V14-nél korábbi verziója;
- SIMATIC HMI KTP mobil panelek KTP400F, KTP700, KTP700F, KTP900 és KTP900F változatainak minden, V14-nél korábbi verziója;
- SIMATIC WinCC Runtime Advanced minden, V14-nél korábbi verziója;
- SIMATIC WinCC Runtime Professional minden, V14-nél korábbi verziója;
- SIMATIC WinCC (TIA Portal) minden, V14-nél korábbi verziója;
- SIMATIC HMI Classic eszközök (TP/MP/OP/MP mobil panelek) minden, V14-nél korábbi verziója.

A hibákat a gyártó a V15 Update 4 és újabb verziókban javította. A sérülékenységekről további információkat a Siemens ProductCERT bejelentésében lehet találni: https://cert-portal.siemens.com/productcert/pdf/ssa-233109.pdf

DoS sérülékenység SIMATIC S7-400 kommunikációs processzorokban

A Siemens a CNCERT/CC-vel együttműködve két sérülékenységet azonosított az alábbi termékeiben:

- SIMATIC S7-400 V6 és korábbi modellek minden verziója;
- SIMATIC S7-400 PN/DP V7 minden verziója;
- SIMATIC S7-400H V4.5 és korábbi modellek minden verziója;
- SIMATIC S7-400H V6 minden verziója;
- SIMATIC S7-410 minden a V8.2.1-nél korábbi verziója.

A gyártó az S7-410-es eszközökhöz adott ki javítást a hibákkal kapcsolatban, a többi érintett termékre vonatkozóan kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységek részletes leírása a Siemens ProductCERT weboldalán érhető el: https://cert-portal.siemens.com/productcert/pdf/ssa-113131.pdf

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Cloud Security Alliance egy elsősorban felhő-rendszerek biztonságával foglalkozó szervezet, ami 2009 óta számos biztonsági témájú kutatást végez, keretrendszereket dolgoz ki és publikál, biztonsági témájú konferenciákat szervez.

A nemrég bejelentett ICS Security Working Group Charter főbb céljai az alábbiak:

- Az ICS rendszerek és berendezések üzemeltetőinél a biztonságtudatosság fejlesztése;
- Jobban megértetni a felsővezetőkkel az ICS biztonsági követelmények fontosságát;
- A felhős ICS rendszerek üzleti és technológiai felhasználási lehetőségeinek kidolgozása;
- ICS biztonsági kockázatelemzések készítése;
- Az ICS biztonság kihívásainak elemzése - biztonságtudatosság, szervezeti és folyamatkockázatok, tudás és technológiai kockázatok;
- Iparág-specifikus szabványok és szabályozások kidolgozása.

A kezdeményezés részleteiről ebben a PDF-ben lehet olvasni.

Bár én alapvetően támogatok minden olyan kezdeményezést, ami az IT vagy ICS rendszerek kiberbiztonságának javítását célozza, de továbbra is meggyőződésem, hogy az ICS rendszerek esetén a publikus hálózatoktól és különösen a publikus felhő-rendszerektől a lehető legnagyobb szeparáltságot célszerű fenntartani és a privát felhők esetén is nagyon komoly előzetes kockázatelemzéseket kell végezni, hogy milyen következményei lehetnek egy vezérlőrendszer (vagy akár csak egyes elemeinek) a felhőbe költöztetésének. Minden esetre érdekes lesz látni, hogy mi lesz a jövője ennek a kezdeményezésnek.

Sérülékenységek Moxa ThingsPro rendszerekben

A gyártó publikációja szerint 7 különböző hibát azonosítottak a Moxa ThingsPro Gateway 2.1-es verziójában. A hibákat (egy kivételével, ehhez kockázatcsökkentő intézkedésre tett javaslatot) a Moxa a ThingsPro Gateway 2.3-as verziójában javította. A sérülékenységekről további részleteket a Moxa weboldalán lehet olvasni: https://www.moxa.com/support/faq/faq_detail.aspx?id=2724

Sérülékenység Fr. Sauter rendszerekben

Gjoko Krstic, az Applied Risk munkatársa egy XXE (XML External Entity Reference) sérülékenységet fedezett fel az Fr. Sauter CASE Suite 3.10-es és korábbi verzióiban.

A hibát a gyártó a CASE Suite 3.10-es verzióhoz kiadott Service Release 1-ben javította. A sérülékenységről részletesebb információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-305-04

Circontrol CirCarLife sérülékenység

Öt különböző biztonsági kutató is jelentette azt a két hibát, amit a Circontrol CirCarLife nevű, elektromos autótöltőjének 4.3.1-es verziójú szoftverében találtak. A gyártó a hibák javítását tartalmazó új verziót már elérhetővé tette. A sérülékenységek részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-305-03

Sérülékenység Schneider Electric rendszerekben

A Venustech egy DLL hijacking sérülékenységet talált a Schneider Electric Software Update termékének v2.2.0-nál korábbi verzióiban. A Software Update-et az alábbi Schneider Electric megoldások használják:

- Acti 9 Smart Test;
- AltivarATV320DtmLibrary;
- AltivarDTMLibrary;
- AltivarMachine340DTMLibrary;
- AltivarProcessATV6xxDTMLibrary;
- AltivarProcessATV9xxDTMLibrary;
- Blue;
- CompactNSX Firmware Update;
- Ecodial Advance Calculation;
- eConfigure;
- Ecoreach Software;
- EcoStruxure Modicon Builder;
- eXLhoist Configuration Software;
- Lexium 26 DTM Library;
- Lexium 28 DTM Library;
- Lexium 32 DTM Library;
- LV Motor Starter;
- PowerSCADA Expert;
- Schneider Electric Floating License Manager;
- Schneider Electric License Manager;
- Schneider Electric Motion Sizer;
- Schneider Electric SQL Gateway;
- SoMachine Basic;
- SoMachine Motion Software;
- SoMachine Motion Tools v4.3;
- SoMachine Software;
- SoMove;
- SoSafe Configurable;
- SoSafe Programmable v2.1;
- TeSysDTM;
- Unity Loader;
- Unity Pro;
- Vijeo Citect;
- Vijeo Designer;
- Vijeo Designer Opti 6.1;
- Vijeo XD;
- Web Gate Client Files.

A Schneider Electric a hibát a Software Update v2.2.0 verziójában javította. A sérülékenységgel kapcsolatosan további információkat az ICS-CERT, illetve (megfelelő jogosultságok birtokában) a Schneider Electric weboldalán lehet olvasni.

Sérülékenységek AVEVA rendszerekben

A Tenable két sérülékenységet jelentett a gyártónak, amik az AVEVA alábbi rendszereit érintik:

- InduSoft Web Studio 8.1 SP2-nél korábbi verziói;
- InTouch Edge HMI (korábbi nevén InTouch Machine Edition) 2017 SP2-nél korábbi verziói.

A gyártó a hibákat javító verziókat már elérhetővé tette. A sérülékenységről további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-305-01

Sérülékenységek Roche egészségügyi rendszerekben

Niv Yehezkel, a Medigate munkatársa 5 sérülékenységet azonosított a Roche Point of Care hordozható egészségügyi termékcsaládjának alábbi tagjaiban:

- Accu-Chek Inform II;
- CoaguChek Pro II;
- CoaguChek XS Plus;
- CoaguChek XS Pro;
- cobas h 232 POC.

A gyártó a sérülékenységekkel kapcsolatban kockázatcsökkentő intézkedések bevezetését javasolja és november hónap folyamán tervez javítást kiadni. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-310-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Bár idén már 8 éve, hogy a Stuxnet visszavonhatatlanul ráirányította a figyelmet az ICS rendszerek biztonságára, még mindig nagyon sok tévhit él a témával kapcsolatban, sokan pedig (különösen az IT illetve az IT biztonság területén dolgozó szakemberek közül) nincsenek tisztában azzal, hogy a mindennapi munkájuk során bizony ők is kapcsolatba kerülnek ICS rendszerekkel (elég csak a szervertermek/hosting szolgáltatók által használt felügyeleti rendszerekre gondolni, amikkel a szervertermek hűtését, szünetmentes elektromos ellátását, stb. biztosítják). Augusztus végén a Tripwire (ami az elmúlt években, mióta a vállalatot felvásárolta az ICS világában ismert Belden, egyre komolyabb hangsúlyt helyez az ICS rendszerek biztonságával kapcsolatos munkákra és publikációkra) két cikkben is napjaink leginkább égető, ICS biztonsági kérdéseivel foglalkozó cikket jelentetett meg.

Az első cikk az IT és az OT egyre szorosabb együttműködésével és ezek ICS biztonságra gyakorolt hatásával illetve kihívásaival foglalkozik, a DHS és az FBI által márciusban kiadott joint technical alert (TA) kapcsán. A cikkben bemutatják, milyen volt korábban az IT és az OT viszonya (jellemzően elkülönülő szerepek és felelősségek jellemezték) és milyen ma, illetve milyen irányba mutatnak a jelenleg is zajló folyamatok (az IT olyan rendszereket - is - üzemeltet, amik az OT munkájához lassan, de biztosan egyre inkább nélkülözhetetlenek lesznek, az OT által üzemeltetett rendszerek pedig egyre inkább nem csak a fizikai folyamatok vezérlésével foglalkozik, hanem támogatják - pl. adatokkal - az IT illetve az üzleti területek munkáját). A cikk teljes terjedelmében itt érhető el: https://www.tripwire.com/state-of-security/ics-security/ics-security-in-the-age-of-it-ot-convergence/

A második cikk az ICS biztonság szervezeti kultúrában megjelenő kihívásaival foglalkozik, kiemelve hogy az ICS biztonság mára egy ugyanolyan, folyamatosan változó és fejlődő szakterületté vált, mint amilyen az IT biztonság immár legalább másfél-két évtizede. Külön fejezetben megjelenik az ipari IoT (IIoT), mint napjaink egyik legnagyobb ICS biztonsági kihívása (és buzzword-je). A cikk végül megpróbál választ adni a felmerült kérdésekre, még egy rövid videóban is összefoglalják az ICS biztonsággal kapcsolatos, IT biztonsági szakembereknek szánt tanácsaikat. A cikket itt lehet elolvasni: https://www.tripwire.com/state-of-security/ics-security/ics-security-challenge-organizations/

Sérülékenységek LCDS LAquis SCADA rendszerekben

A ZDI számos biztonsági kutatóval együttműködve 6 különböző sérülékenységről publikált információkat, amik az LCDS LAquis SCADA Smart Security Manager-ének 4.1.0.3870-es és korábbi verzióit érintik.

A gyártó a hibákat a 4.1.0.4114-es verzióban javította. A sérülékenységekkel kapcsolatban további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-289-01

Omron CX-Supervisor sérülékenységek

A ZDI több biztonsági kutatóval közösen 4 sérülékenység részleteit tette közzé az Omron CX-Supervisor 3.4.1.0 és korábbi verzióival kapcsolatban.

A gyártó a hibákat a CX-Supervisor 3.4.2-es verzióban javította. A sérülékenységekről részleteket az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-290-01

Sérülékenység Telecrane berendezésekben

Hét biztonsági kutató a ZDI-vel együttműködve publikált egy sérülékenységet, ami a Telecrane F25 Series berendezéseinek 00.0A-nál korábbi firmware-verzióit érinti.

A hibát a gyártó a 00.0A verzióban javította. A sérülékenységről bővebben az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-296-03

GAIN Electronic termékek sérülékenységei

Ugyancsak ez a hét biztonsági kutató publikálta azt a három sérülékenységet, amik a GAIN Electronic SAGA1-L8B termékének A0.10-nél korábbi firmware-verzióit érintik.

A gyártó a hibákat az A0.10-es verzióban javította. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-296-02

Sérülékenységek Advantech WebAccess rendszerekben

Mat Powell a ZDI-vel közösen több publikációban is Advantech WebAccess sérülékenységeket hozott nyilvánosságra. A 8.3.1 és korábbi verziókban 4, a 8.3.2 és korábbi verziókban további 2 sérülékenységet fedeztek fel.

A gyártó a hibákat a WebAccess 8.3.3-as verzióban javította. A sérülékenységekkel kapcsolatos részleteket az ICS-CERT alábbi publikációiban lehet olvasni:

https://ics-cert.us-cert.gov/advisories/ICSA-18-296-01
https://ics-cert.us-cert.gov/advisories/ICSA-18-298-02

GEOVAP rendszerek sérülékenységei

Ismail Mert AY AK egy GEOVAP Reliance 4 SCADA/HMI-jal kapcsolatos sérülékenységet jelentett az NCCIC-nek, ami a Reliance 4 SCADA/HMI 4.7.3 Update 3 és korábbi verzióit érinti.

A gyártó a hibát a 4.8.0 verzióban javította. A sérülékenységgel kapcsolatban további információkat az ICS-CERT weboldalán találnak az érdeklődők: https://ics-cert.us-cert.gov/advisories/ICSA-18-298-01

PEPPERL+FUCHS rendszer sérülékenység

A gyártó egy nem megfelelő jogosultság kezelésből származó hibát jelentett a CERT@VDE-nek, akik pedig ezt az információt megosztották az NCCIC-vel. A sérülékenység a PEPPERL+FUCHS CT50-Ex típusú mobil számítógépeinek Android OS v4.4 és v6.0 verzióival futó, a Honeywell által gyártott példányait érinti.

A gyártó a hibát az újabb verziókban már javította, a sérülékenységgel kapcsolatos további részleteket illetve a hibajavítást tartalmazó pontos verziókat az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-303-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.