Az elmúlt néhány évben egyre jobban felgyorsult az IT hálózatokra, egyre gyakrabban vezeték nélküli hálózatokra csatlakoztatott orvosi eszközök terjedése és ezzel párhuzamosan nő az ilyen orvosi rendszerekben felfedezett sérülékenységek száma is.

A probléma súlyát és méretét mutatja a legújabb fejlemény is, hogy megjelent az NIST SP 1800-8-as sorszámú kiadványa, ami kifejezetten a vezeték nélküli hálózatokra csatlakozó infúziós rendszerek biztonsági beállításaira tesz ajánlásokat.

Az új NIST SP az IT rendszerek esetén széles körben használt, szintén az NIST által kiadott SP 800-53 és az ISO/IEC 27001:2013 mellett az egészségügyi szektor által használt IEC/TR 80001-2-2 és a HIPPA biztonsági szabályaival is számos ponton kapcsolódik, így azok számára, akik alkalmazni fogják az NIST új dokumentumát, nem szükséges teljesen a nulláról indulniuk.

Az NIST SP 1800-8 itt érhető el: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-8.pdf

A Detroit-i rendőrség szerint egy benzinkút rendszerébe tört be egy vagy több ismeretlen, aminek következtében 600 gallon (kb. 2270 liter) üzemanyagot tankoltak legalább 10 autóba anélkül, hogy fizettek volna érte.

Az esetről a Fox 2 Detroit,a Slashdot és a Gizmodo is írt és bár sok még a nem ismert részlet, a jelek szerint nem kizárt, hogy megjelentek a folyamatvezérlő rendszerek elleni támadások új generációját képviselő, a tisztán pénzszerzési célú támadások (ahogy kb. másfél hónapja már írtam egy hasonló, oroszországi esetről) egyik első esetéről van szó.

Siemens SIMATIC S7-1200 CPU-család sérülékenység

Lisa Fournet és Marl Joos, a P3 communications GmbH munkatársai egy Cross-site Request Forgery sérülékenységet találtak a Siemens SIMATIC S7-1200 CPU-család 4.2.3-nál korábbi verzióiban.

A gyártó a hibát a 4.2.3-as verzióban javította. A sérülékenységről további információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenység Siemens SCALANCE rendszerekben

A Siemens egy titkosítással kapcsolatos hibát azonosított a SCALANCE W1750D típusú eszközeinek v8.3.0.1-nél korábbi verzióiban. A hibát a v8.3.0.1 verzióban javították.

A sérülékenységről bővebben a Siemens ProductCERT és az ICS-CERT weboldalán lehet olvasni.

Sérülékenység Siemens SIMATIC vezérlőkben

Marcin Dudek, Jacek Gajewski, Kinga Staszkiewicz, Jakub Suchorab és Joanna Walkiewicz, a Lengyel Nemzeti Nukleáris Kutatóintézet munkatársai egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó, DoS-támadást lehetővé tevő sérülékenységet azonosítottak az alábbi Siemens SIMATIC vezérlőkben:

- Simatic S7-1500, v2.0-tól v2.5-ös verzióig;
- Simatic S7-1500 szoftveres vezérlők, v2.0-tól v2.5-ös verzióig;
- Simatic ET 200SP Open Controller minden verziója.

A gyártó a hibát az S7-1500 és S7-1500 szoftveres vezérlőkben javította. A sérülékenységről részleteket a Siemens ProductCERT és az ICS-CERT publikációi tartalmaznak.

Sérülékenység Siemens ROX II berendezésekben

A Siemens két jogosultságkezeléssel kapcsolatos hibát fedezett fel a ROX II minden, v2.12.1-nél korábbi verzióiban. A hibákat a gyártó a v2.12.1-es verzióban javította. A sérülékenységekről bővebb információkat a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenységek Siemens ipari termékekben

A Siemens ProductCERT publikációja szerint három sérülékenységet találtak az alábbi Siemens ipari rendszerekben:

- RUGGEDCOM APE: minden verzió;
- RUGGEDCOM RX1400 VPE: minden verzió;
- SIMATIC ET 200 SP Open Controller: minden verzió;
- SIMATIC ET 200 SP Open Controller (F): minden verzió;
- SIMATIC Field PG M4: minden, V18.01.09-nél korábbi BIOS verzió;
- SIMATIC Field PG M5: minden, V22.01.06-nál korábbi BIOS verzió;
- SIMATIC IPC227E: minden verzió;
- SIMATIC IPC277E: minden verzió;
- SIMATIC IPC3000 SMART V2: minden verzió;
- SIMATIC IPC327E: minden verzió;
- SIMATIC IPC347E: minden verzió;
- SIMATIC IPC377E: minden verzió;
- SIMATIC IPC427C: minden verzió;
- SIMATIC IPC427D: minden, V17.0X.14-nél korábbi BIOS verzió;
- SIMATIC IPC427E: minden, V21.01.09-nél korábbi BIOS verzió;
- SIMATIC IPC477C: minden verzió;
- SIMATIC IPC477D: minden, V17.0X.14-nél korábbi BIOS verzió;
- SIMATIC IPC477E: minden, V21.01.09-nél korábbi BIOS verzió;
- SIMATIC IPC477E Pro: minden, V21.01.09-nél korábbi BIOS verzió;
- SIMATIC IPC547E: minden verzió;
- SIMATIC IPC547G: minden verzió;
- SIMATIC IPC627C: minden verzió;
- SIMATIC IPC627D: minden verzió;
- SIMATIC IPC647C: minden verzió;
- SIMATIC IPC647D: minden verzió;
- SIMATIC IPC677C: minden verzió;
- SIMATIC IPC677D: minden verzió;
- SIMATIC IPC827C: minden verzió;
- SIMATIC IPC827D: minden verzió;
- SIMATIC IPC847C: minden verzió;
- SIMATIC IPC847D: minden verzió;
- SIMATIC ITP1000: minden verzió;
- SIMATIC S7-1500 CPU S7-1518-4 PN/DP MFP (MLFB: 6ES7518-4AX00-1AC0): minden verzió;
- SIMATIC S7-1500 CPU S7-1518F-4 PN/DP MFP (MLFB: 6ES7518-4FX00-1AC0): minden verzió;
- SIMATIC S7-1500 Software Controller: minden verzió;
- SIMOTION P320-4E: minden verzió;
- SIMOTION P320-4S: minden verzió;
- SINUMERIK 840 D sl (NCU720.3B, NCU730.3B, NCU720.3, NCU730.3): minden verzió;
- SINUMERIK PCU 50.5: minden verzió;
- SINUMERIK Panels wtih integrated TCU: minden 2016-ban vagy ez után megjelent verzió;
- SINUMERIK TCU 30.3: minden verzió.

A sérülékenységekről további részleteket a Siemens ProductCERT bejelentése tartalmaz.

GE iFix sérülékenység

LiMingzheng, a 360 aegis biztonsági csoport tagja egy sérülékenységet azonosított a GE iFix HMI rendszereiben használt Gigasoft komponensben. A hiba az alábbi GE iFix verziókat érinti:

- iFIX 2.0-5.0;
- iFIX 5.1;
- iFIX 5.5;
- iFIX 5.8.

A GE a hibát az iFix 5.9-es verziójában javította. A sérülékenységről részleteket az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-282-01

Sérülékenységek Delta Electronics rendszerekben

Ariele Caltabiano (kimiya), a 9SG Security Team tagja és Mat Powell a ZDI-vel együttműködve két sérülékenységet azonosítottak a Delta Electronics TPEditor nevű szoftverének 1.90-es és korábbi verzióiban.

A gyártó a hibákat a TPEditor 1.91-es verziójában javította. A sérülékenységekről bővebb információkat az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-284-03

Sérülékenységek NUUO rendszerekben

Pedro Ribeiro négy sérülékenységet fedezett fel a NUUO CMS rendszerének 3.1-es és korábbi verzióiban. A gyártó a hibát a v3.3-as firmware-verzióban javította.

A sérülékenységek részleteit az ICS-CERT publikációjában lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-284-02-NUUO-CMS

NUUO videórögzítő rendszerek sérülékenységei

Jacob Baines, a Tenable munkatársa két sérülékenységet talált a NUUO NVRmini2 és NVRsolo videórögzítő rendszereinek 3.8.0 és korábbi verzióiban. A gyártó a hibát a v3.9.1-es verzióban javította.

A sérülékenységekről további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-284-01

Sérülékenység Fuji Electric rendszerekben

Karn Ganeshen egy DLL-injection-t lehetővé tevő hibát azonosított a Fuji Electric Energy Savings Estimator V.1.0.2.0 és korábbi verzióiban.

A gyártó a hibát a V.1.0.2.1 verzióban javította. A sérülékenységgel kapcsolatos bővebb információkat az ICS-CERT weboldalán lehet elérni: https://ics-cert.us-cert.gov/advisories/ICSA-18-282-07

Sérülékenységek Hangzhou Xiongmai Technology rendszerekben

Stefan Viehböck 3 sérülékenységet jelentett az NCCIC-nek, amik a Hangzhou Xiongmai Technology minden olyan termékét érintik, amik használják a XMeye P2P Cloud Server-t.

A gyártó mostanáig sem javítást, sem más kockázatcsökkentő intézkedéseket nem publikált a hibákkal kapcsolatban. A sérülékenységek részleteit az ICS-CERT weboldalán lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-282-06

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Dragos által Raspite, a Symantec által pedig Leafminer névvel azonosított csoport a kutatók feltételezései szerint 2017 eleje vagy közepe óta aktív. A csoport célpontjai között egyaránt találhatóak az USA-ban, a Közel-Keleten, Európában és Kelet-Ázsiában működő szervezetek, de az eddig feltárt információk szerint villamosenergia-ipari cégeket (mostanáig) csak az Egyesült Államokban támadtak.

A Raspite/Leafminer műveletei egyelőre nem mutatják annak jeleit, hogy már képesek lennének ICS rendszereket kompromittálni, azonban a közműcégek stratégiai fontosságú weboldalai illetve felhasználói ellen indított támadások és az, hogy igyekeznek minél több módon hozzáféréseket szerezni ezeknek a szervezeteknek a belső hálózataihoz, arra engednek következtetni, hogy csak idő kérdése, mikor jutnak el valamelyik szervezet ICS rendszereiig.

A Dragos blogbejegyzése a Raspite-ról itt, a Symantec cikke a Leafminer-ről pedig itt érhető el.

Carestream radiológiai rendszerek sérülékenysége

Dan Regalado, a Zingbox munkatársa egy hibaüzeneteken keresztül történő információszivárgást okozó hibát azonosított a Carestream Vue RIS webes radiológiai rendszereiben használt RIS Client szoftvere 11.2 és korábbi verziói közül azokban, amik Windows 8.1-es operációs rendszeren és IIS/7.5-ös webszerveren futnak.

A gyártó a hibát a legújabb verzióban javította, a korábbi verziókhoz pedig kockázatcsökkentő intézkedéseket publikált.

A sérülékenység részleteit az ICS-CERT publikációjában lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-277-01

Sérülékenység Change Healthcare webszerverekben

Dan Regalado a Change Healthcare PeerVue Web Server 7.6.2-esnél korábbi verzióiban is talált egy, a Carestream Vue RIS Client-éhez hasonló hibát.

A gyártó ügyfelei számára már elérhetővé tette a hibát javító patch-et. A sérülékenységről bővebb információkat az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-277-02

Sérülékenységek WECON PI Studio rendszerekben

Mat Powell, a ZDI munkatársa és Natnael Samson a ZDI-vel együttműködve 4 különböző hibát találtak a WECON alábbi rendszereiben:

- PI Studio HMI 4.1.9 és korábbi verziói;
- PI Studio 4.2.34 és korábbi verziói.

A gyártó megerősítette a sérülékenységek létét, de egyelőre még nem publikált javított verziókat az érintett szoftverekből.

A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-277-01

Auto-Maskin rendszerek sérülékenységei

A CERT/CC weboldalán négy sérülékenységről hoztak nyilvánosságra részleteket, amik az Auto-Maskin DCU 210E, RP (remote panel) 210E és Marine Pro Observer App rendszereit érintik. A gyártóról illetve a hibák javításáról jelen pillanatig nincs információ. A sérülékenységek részleteiről a www.kb.cert.org oldalon lehet tájékozódni.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Talos két hete újabb részleteket közölt a VPNFilter moduláris malware-re vonatkozó kutatásai során megismert részletekről. Ahogy korábban már én is írtam róla, a VPNFilter egy több szintű, moduláris malware, amit jellemzően SOHO hálózati eszközök ellen fejlesztettek és használtak fel eddig ismeretlen támadók, főként Ukrajnában, de világszerte több, mint fél millió routert és NAS-t sikerült kompromittálniuk. A jelenleg rendelkezésre álló információk szerint a VPNFilter felhasználásával sikerült üzemzavart előidézni egy ukrán víztisztító alállomáson, ahol klór adagolásával tisztították a vízvezetékrendszerbe kerülő vizet.

A kutatásokból most nyilvánosságra hozott részletek szerint a VPNFilter megalkotói kiemelt figyelmet fordítottak a MikroTik eszközökre a malware fejlesztése során, kiváltképp az Ukrajnában használt MikroTik eszközök esetében. Erre tekintettel a most publikált információk között kiemelt jelentőségű a MikroTik eszközök üzemeltetéséhez használt Winbox protokoll alapos elemzése és az ehhez létrehozott, LUA-alapú Winbox dissector.

A blogposztban a Talos kutatói kitérnek a VPNFilter most feltárt képességeire és hét újabb, a támadások harmadik fázisában használt modulról is részletes leírást adnak.

A Talos blogposztja a VPNFilter-kutatás legújabb eredményeiről itt olvasható: https://blog.talosintelligence.com/2018/09/vpnfilter-part-3.html

Sérülékenységek Rockwell Automation RSLinx rendszerekben

A Rockwell Automation a Tenable és a Nozomi Network biztonsági cégekkel közösen fedezett fel több sérülékenységet, amik az RSLinx Classic nevű programozható vezérlőrendszerük 4.00.01 és korábbi verzióit érinti.

A gyártó a hibákat a weboldalán a KB 1075712-es számú tudásbázis cikkben hivatkozott helyről letölthető legújabb verzióban javította. A sérülékenységekről további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-263-02

Sérülékenység Tec4Data rendszerekben

Ankit Anubhav, a NewSky Security munkatársa egy kritikus funkcióhoz szükséges authentikáció hiányából adódó sérülékenységet talált a Tec4Data SmartCooler nevű megoldásának 180806-nál korábbi firmware-verzióiban.

A gyártó a hibát a legújabb firmware-verzióban javította. A sérülékenységről további információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-263-01

Sérülékenység Delta Electronics rendszerekben

Mat Powell, a Trend Micro-hoz tartozó Zero Day Initiative munkatársa egy memóriakezelési hibát azonosított a Delta Industrial Automation PMSoft v2.11 és korábbi verzióiban.

A gyártó a hibát a v2.12-es verzióban javította. A sérülékenységgel kapcsolatos részletesebb információkat az ICS-CERT weboldalán lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-270-04

Fuji Electric FRENIC berendezések sérülékenységei

Michael Flanders és Ghirmay Desta a ZDI-vel együttműködve három sérülékenységet találtak a Fuji Electric alábbi, FRENIC néven ismert termékeiben:

- FRENIC LOADER v3.3 v7.3.4.1a, amit a FRENIC-Mini(C1), FRENIC-Mini(C2), FRENIC-Eco, FRENIC-Multi, FRENIC-MEGA, FRENIC-Ace légkondícionáló berendezésekben használnak.

A gyártó jelenleg is dolgozik a hibák javítását tartalmazó újabb verzión. A sérülékenységekről további részleteket az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-270-03

Sérülékenységek Fuji Electric Alpha5 Smart Loader rendszerekben

Michael Flanders a ZDI-vel együttműködve két sérülékenységet talált a Fuji Electric alábbi termékében:

- Alpha5 Smart Loader 3.7-es és korábbi verziói.

A gyártó jelenleg is dolgozik a hibák javítását tartalmazó új verzión. A sérülékenységekről bővebb információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-270-02

Emerson AMS Device Manager sérülékenységekről

Az Emerson és Sergey Temnikov, a Kaspersky Lab munkatársa közösen azonosítottak két sérülékenységet, amik az Emerson AMS Device Manager néven ismert eszközkezelő rendszerének v12.0-tól v.13.5-ig terjedő verzióit érintik.

A hibákat javító patch-eket a gyártó már elérhetővé tette. A sérülékenységekkel kapcsolatosan további részelteket az ICS-CERT weboldalán lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-270-01

Sérülékenység Delta Electronics ISPSoft rendszerekben

Ariele Caltabiano a ZDI-vel együttműködve egy puffer-túlcsordulásos hibát talált a Delta Electrics ISPSoft 3.0.5-ös és korábbi verzióiban.

A gyártó a hibát a 3.0.6-os verzióban javította. A sérülékenységről további információkat az ICS-CERT publikációjában lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-275-01

GE Communicator sérülékenység

Ariele Caltabiano az iDefense Labs-zel (az Accenture Security-hez tartozó céggel) együttműködve egy sérülékenységet fedezett fel a GE Communicator 3.15-ös és korábbi verzióiban használt Gigasoft v5 és korábbi verzióiban.

A gyártó a Communicator 4-es és újabb verzióiban javította. A sérülékenységgel kapcsolatos további információkat az ICS-CERT weboldalán lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-18-275-02

Sérülékenységek Entes EMG 12 eszközökben

Can Demirel, a Biznet Billsim munkatársa két sérülékenységet azonosított az Entes EMG 12 típusú Ethernet Modbus Gateway-einek 2.57-es és korábbi firmware-verzióiban.

A gyártó a hibákat a legújabb firmware-verzióban javította. A sérülékenység részleteiről az ICS-CERT bejelentéseiben lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-275-03

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A harmadik (és ebben a sorozatban egyelőre utolsó) esettanulmányban egy gyár termelésirányítási rendszerében a monitoring funkciókhoz használt mobiltelefon modemekkel kapcsolatos incidensről lesz szó.

Felmerülhet a kérdés, hogy miért is használna valaki mobiltelefonokat modemnek egy ICS rendszer monitoringjához? A válasz viszonylag egyszerű: a mobiltelefonok modemek használatához nagyjából egyetlen feltételnek kell teljesülnie - legyen az adott létesítményben megfelelő lefedettsége a szolgáltató hálózatának és máris egy olcsó és (meghibásodások, avulás, stb. esetén) könnyen cserélhető, publikus hálózatokra épülő kommunikációs csatornára tett szert az adott szervezet. A rendelkezésre állásnál nyilván tervezni kell az adott szolgáltató karbantartásaival és célszerű egy tartalék megoldással is rendelkezni, ha a mobil szolgáltatónál van üzemzavar, de ezeket a hátrányokat a mobiltelefon modemek rugalmassága és költséghatékonysága általában túlszárnyalja a döntéshozók szemében.

A logikai biztonsági megfontolások (mint általában), a konkrét esetben sem voltak alaposan felmérve, emiatt például a modemek konfigurációja nem volt biztonságos (a gyári jelszavak cseréje is elmaradt), ami miatt a támadók nem csak, hogy a modemeken keresztül hozzáfértek a gyár hálózatához, de ugyanezeket a modemeket felhasználva DoS-támadásokat is indítottak más célpontok ellen, ami mobil adatforgalom-költségként a gyár számláján jelentkezett. A gyár hálózatához hozzáférve a támadóknak lehetőségük nyílhatott módosítani a modemeken keresztül felügyelt berendezéseket, az Internet felé pedig spam-eket küldhettek.

Tanulságok

Ismét csak azzal a tanulsággal kell kezdeni, hogy minden, Internetre csatlakoztatott eszközt a lehetőségekhez képest a leginkább biztonságos konfigurációval szabad csak használni. Mivel az ICS rendszerek esetén a biztonsági hardening során nagyon gyakran az üzembiztonságot fontosabbnak kell tekinteni a biztonságos konfigurációnál, gondoskodni kell arról is, hogy egy esetleges támadásról illetve annak sikeréről minél előbb értesüljenek az illetékesek és biztosítani kell azt is, hogy egy támadás elhárítása után fel lehessen építeni, hogy a támadók pontosan milyen sérülékeny pontokat használtak a támadás során - ehhez célszerű minden bejövő és kimenő hálózati forgalmat rögzíteni és a kockázatelemzésekből származó megállapítások alapján meghatározott ideig megőrizni.

A mobiltelefonos modemek esetén a fentieken túlmenően rendszeresen ellenőrizni kell a szolgáltatótól érkezett számlákat és amennyiben bármilyen jelentős változás tapasztalható a normális forgalomtól, azt haladéktalanul ki kell vizsgálni.

Az esettanulmány eredeti, német nyelvű verziója itt érhető el.

A Kaspersky Lab, az egyik legjelentősebb IT biztonsági cég, akik kiemelten foglalkoznak az ICS rendszerek biztonságával, nemrég megjelentette legújabb jelentését, amiben a 2018 első félévben történt, ICS rendszereket célzó támadásokat elemezte. Az összefoglaló mögött, amennyire tudom, a termékeiket használó ügyfelektől kapott adatokra épülnek, így az, hogy az USA-ban és egyes EU-tagállamokban (így Magyarországon is) már a nem ajánlott vagy egyenesen tiltott szoftverek listáján találhatóak a Kaspersky termékek, torzíthatnak a statisztikákon.

A Kaspersky adatai alapján legnagyobb mértékben ázsiai, Latin-amerikai és Észak-afrikai ICS rendszereket ért támadás 2018 első félévében. Ezek a támadások az esetek legnagyobb részében nem célzott támadásnak, hanem véletlenszerűnek tekinthetőek, amiket 2800 különböző malware-családba tartozó malware-ek okoztak. A támadások száma a legmagasabb Vietnamban, Algériában és Marokkóban volt, a legalacsonyabb pedig Dániában, Írországban és Svájcban.

A támadások leggyakoribb csatornája még mindig az Internet (az összes támadás 27%-a köthető az Internethez illetve webes szolgáltatásokhoz), 8,4%-uknál volt szerepük különböző adathordozóknak és 3,8%-ban játszott szerepet az e-mail.

A Kaspersky teljes elemzése itt érhető el.

Fuji Electric V-Server sérülékenységek

Steven Seeley (akit mr_me néven is ismernek), a Source Incite munkatársa és Ghirmay Desta hét különböző sérülékenységet találtak a Fuji Electric V-Server VPR termékének 4.0.3.0 és korábbi verzióiban.

A gyártó a hibákat a 4.0.4.0 verzióban javította. A sérülékenységekről részletesebb információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-254-01

A sérülékenységekről a SecurityAffairs és a SecurityWeeks is írt.

Sérülékenység Fuji Electric V-Server Lite rendszerekben

Ariele Caltabiano (kimiya) a ZDI-vel együttműködve egy klasszikus puffer túlcsordulásos hibát azonosított a Fuji Electric V-Server Lite 4.0.3.0 és korábbi verzióiban.

A gyártó ezt a hibát is a 4.0.4.0-es firmware verzióban javított. A sérülékenységről további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-254-02

Siemens SCALANCE switch-ek sérülékenysége

A gyártó Siemens egy, a bevitt adatok nem megfelelő ellenőrzéséből fakadó sérülékenységet azonosított az alábbi SCALANCE switch-ekben:

- SCALANCE X300 4.0.0-nál korábbi összes verziója;
- SCALANCE X408 4.0.0-nál korábbi összes verziója;
- SCALANCE X414 minden verziója.

A gyártó az X300-as és X408-as készülékekhez elérhetővé tette a hiba javítását tartalmazó verziót, az X414-es készülékekhez kockázatcsökkentő intézkedéseket javasol. A sérülékenységről bővebben az ICS-CERT és a Siemens ProductCERT weboldalain lehet olvasni.

Sérülékenység Siemens SIMATIC WinCC OA rendszerekben

A Siemens egy nem megfelelő hozzáférés-kezelésből adódó sérülékenységet azonosított a SIMATIC WinCC OA 3.14-es és korábbi verzióiban.

A hibát a gyártó a SIMATIC WinCC OA v3.14-P021 verziójában javította. A sérülékenységről az ICS-CERT és a Siemens ProductCERT is publikált részleteket.

Siemens TD Keypad Designer sérülékenység

A Siemens egy DLL sérülékenységet azonosított a TD Keypad Designer nevű termékének minden elérhető verziójában.

A hibával kapcsolatban a Siemens kockázatcsökkentő intézkedések alkalmazását javasolja az érintett terméket használó ügyfeleinek. A sérülékenységről további információkat az ICS-CERT és a Siemens ProductCERT bejelentéseiben lehet találni.

Sérülékenység Honeywell eszközökben

A gyártó és a Google Android csapatának együttműködése egy nem megfelelő jogosultságkezelési hiba felfedezéséhez vezetett a Honeywell alábbi, Android operációs rendszert futtató mobil számítógépeiben:

- CT60 running Android OS 7.1-et futtató CT60;
- CN80 running Android OS 7.1-et futtató CN80;
- CT40 running Android OS 7.1-et futtató CT40;
- CK75 running Android OS 6.0-át futtató CK75;
- CN75 running Android OS 6.0-át futtató CN75;
- CN75e running Android OS 6.0-át futtató CN75e;
- CT50 running Android OS 6.0-át futtató CT50;
- D75e running Android OS 6.0-át futtató D75e;
- CT50 running Android OS 4.4-et futtató CT50;
- D75e running Android OS 4.4-et futtató D75e;
- CN51 running Android OS 6.0-át futtató CN51;
- EDA50k running Android 4.4-et futtató EDA50k;
- EDA50 running Android OS 7.1-et futtató EDA50;
- EDA50k running Android OS 7.1-et futtató EDA50k;
- EDA70 running Android OS 7.1-et futtató EDA70;
- EDA60k running Android OS 7.1-et futtató EDA60k;
- EDA51 running Android OS 8.1-et futtató EDA51.

A hibát javító Android verziókat a Honeywell elérhetővé tette a weboldalán. A sérülékenység részleteit az ICS-CERT weboldalán lehet elérni: https://ics-cert.us-cert.gov/advisories/ICSA-18-256-01

Spectre-NG sérülékenységek Siemens ipari termékekben

A Siemens által közzétett információk szerint számos terméküket érinti a Spectre-NG (3a és 4-es változatai) sérülékenység, egészen pontosan az alábbi rendszereket:

- RUGGEDCOM APE minden verziója;
- RUGGEDCOM RX1400 VPE minden verziója;
- SIMATIC ET 200 SP Open Controller minden verziója;
- SIMATIC ET 200 SP Open Controller (F) minden verziója;
- SIMATIC Field PG M4, minden V18.01.09-nél korábbi BIOS verzió használata esetén;
- SIMATIC Field PG M5, minden V22.01.06-nél korábbi BIOS verzió használata esetén;
- SIMATIC HMI Basic Panels 2nd Generation összes, SIMATIC WinCC V14-el használt verziója;
- SIMATIC HMI Basic Panels 2nd Generation
- SIMATIC HMI Comfort 15-22 Panelek közül a következőek (6AV2124-0QC02-0AX1, 6AV2124-1QC02-0AX1, 6AV2124-0UC02-0AX1, 6AV2124-0XC02-0AX1), SIMATIC WinCC V14-el használva;
- SIMATIC HMI Comfort 15-22 Panelek közül a következőek (6AV2124-0QC02-0AX1, 6AV2124-1QC02-0AX1, 6AV2124-0UC02-0AX1, 6AV2124-0XC02-0AX1), SIMATIC WinCC V15 Update 2-nél korábbi verziókkal használva;
- SIMATIC HMI Comfort 4-12" Panelek SIMATIC WinCC V14-el használva;
- SIMATIC HMI Comfort 4-12" Panelek SIMATIC WinCC V15 Update 2-nél korábbi verziókkal használva;
- SIMATIC HMI Comfort PRO Panelek SIMATIC WinCC V14-el használva;
- SIMATIC HMI Comfort PRO Panelek SIMATIC WinCC V15 Update 2-nél korábbi verziókkal használva;
- SIMATIC HMI KTP Mobile Panelek SIMATIC WinCC V14-el használva;
- SIMATIC HMI KTP Mobile Panelek SIMATIC WinCC V15 Update 2-nél korábbi verziókkal használva;
- SIMATIC IPC227E minden verziója;
- SIMATIC IPC3000 SMART V2 minden verziója;
- SIMATIC IPC347E minden verziója;
- SIMATIC IPC377E minden verziója;
- SIMATIC IPC427C minden verziója;
- SIMATIC IPC427D minden, V17.0X.14-nél korábbi BIOS verziói;
- SIMATIC IPC427E minden, V21.01.09-nél korábbi BIOS verziói;
- SIMATIC IPC477C minden verziója;
- SIMATIC IPC477D minden, V17.0X.14-nél korábbi BIOS verziói;
- SIMATIC IPC477E minden, V21.01.09-nél korábbi BIOS verziói;
- SIMATIC IPC477E Pro minden, V21.01.09-nél korábbi BIOS verziói;
- SIMATIC IPC547E minden verziója;
- SIMATIC IPC547G minden verziója;
- SIMATIC IPC627C minden verziója;
- SIMATIC IPC627D minden verziója;
- SIMATIC IPC647C minden verziója;
- SIMATIC IPC647D minden verziója;
- SIMATIC IPC677C minden verziója;
- SIMATIC IPC677D minden verziója;
- SIMATIC IPC827C minden verziója;
- SIMATIC IPC827D minden verziója;
- SIMATIC IPC847C minden verziója;
- SIMATIC IPC847D minden verziója;
- SIMATIC ITP1000 minden verziója;
- SIMATIC S7-1500 CPU S7-1518-4 PN/DP MFP (6ES7518-4AX00-1AC0) minden verziója;
- SIMATIC S7-1500 CPU S7-1518-4 PN/DP ODK (6ES7518-4AP00-3AB0) minden verziója;
- SIMATIC S7-1500 CPU S7-1518F-4 PN/DP MFP (6ES7518-4FX00-1AC0) minden verziója;
- SIMATIC S7-1500 CPU S7-1518F-4 PN/DP ODK (6ES7518-4FP00-3AB0) minden verziója;
- SIMATIC S7-1500 Software Controller
- SIMOTION P320-4E minden verziója;
- SIMOTION P320-4S minden verziója;
- SINEMA Remote Connect minden verziója;
- SINUMERIK 840 D sl (NCU720.3B, NCU730.3B, NCU720.3, NCU730.3)
- SINUMERIK PCU 50.5 minden verziója;
- A TCU-val integrált SINUMERIK Panelek minden 2016-ban vagy korábban kiadott verziói;
- SINUMERIK TCU 30.3 minden verziója.

A gyártó a fent felsorolt, sérülékenység által érintett termékei közül többhöz is újabb BIOS verziókat adott ki a sérülékenység javításával, a többihez kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenység részleteiről a Siemens ProductCERT bejelentésében lehet olvasni: https://cert-portal.siemens.com/productcert/pdf/ssa-268644.pdf

Sérülékenység WECON rendszerekben

Natnael Samson a ZDI-vel együttműködve egy puffer túlcsordulásos sérülékenységet azonosított a WECON PLC Editor szoftverének 1.3.3U verziójában.

A gyártó megerősítette a sérülékenység létezését, de mindezidáig nem adott ki javítást. A sérülékenységről további információkat az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-261-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.