Ezen a héten hétfőn publikálta a Symantec azt jelentését, amely szerint egy eddig ismeretlen támadó csoportot azonosítottak (és neveztek el Orangeworm-nek), akiket elsősorban az különböztet meg más csoportoktól, hogy előszeretettel vesznek célba egészségügyi szolgáltatókat és egészségügyi rendszereket.

Bár az egészségügyi rendszerek szigorúan véve nem ICS rendszerek, de (követve az ICS-CERT megközelítését) én is írok az ilyen rendszerek biztonságáról időnként a blogon, így ezt a hírt is figyelemre méltónak tartom.

Az Orangeworm tagjai a Symantec cikke szerint egy Kwampirs nevű trójai programot használnak arra, hogy hátsó ajtót nyissanak a megtámadott rendszereken, amelyek között röntgengépeket és MRI-ket vezérlő rendszerek is találhatóak. Ezeken túl a támadók a Symantec elemzése szerint kifejezetten nagy érdeklődést mutatnak az olyan rendszerek iránt, amelyekkel a betegek hozzájárulásukat tudják adni az egyes vizsgálatokhoz és beavatkozásokhoz.

Az egészségügyben használt rendszerek biztonsága (ahogy arról még bő egy évvel ezelőtt egy két részes bejegyzésben írtam) számos gyenge ponttal rendelkezik, a jelek szerint a Symantec most egy olyan csoport nyomaira bukkant, akik nem csak kihasználják az ilyen rendszerek hibáit, de nem is igazán tesznek erőfeszítéseket annak érdekében, hogy a tevékenységük titok maradjon.

A Symantec cikke a témáról itt érhető el, de már az Index is írt a témáról.

Február közepén jelentette be az amerikai energiaügyi minisztérium (Department of Energy, DoE), hogy egy új hivatalt állít fel CESER nevén, aminek a feladata az amerikai energiaszektor kiberbiztonsági helyzetének javítása lesz. A tervek szerint az új hivatalt egy helyettes államtitkári rangú tisztviselő fogja vezetni, első költségvetése pedig közel 100 millió amerikai dollár lesz.

Szintén még februári döntés volt, hogy az ukrán villamosenergia-ipari rendszerirányító, az Ukrenergo 20 millió amerikai dolláros fejlesztéseket hajt végre az új biztonsági koncepciójuk megvalósításával kapcsolatban.

2016 decemberében az Ukrenergo volt a célpontja a második nagyobb ukrán villamosenergia rendszer elleni kiberbtámadásnak, ami jelentős üzemzavart okozott a Kijev környéki áramellátásban.

Sérülékenységek Omron CX-One rendszerekben

Az ICS-CERT bejelentése szerint az rgod néven ismert biztonsági kutató a ZDI-vel együttműködve talált 3 sérülékenységet az Omron CX-One alábbi verzióiban:

- CX-One 4.42 és korábbi verziók, ide értve az alábbi alkalmazásokat is:
- CX-FLnet 1.00 és korábbi verziók;
- CX-Protocol 1.992 és korábbi verziók;
- CX-Programmer 9.65 és korábbi verziók;
- CX-Server 5.0.22 és korábbi verziók;
- Network Configurator 3.63 és korábbi verziók;
- Switch Box Utility 1.68 és korábbi verziók.

A hibákat a gyártó az alábbi verziókban javította:

- CX-FLnet 1.10;
- CX-Protocol 1.993;
- CX-Programmer 9.66;
- CX-Server 5.0.23;
- Network Configurator 3.64;
- Switch Box Utility 1.69.

A sérülékenységekkel kapcsolatban további részleteket az ICS-CERT publikációjában lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-100-02

ATI Systems vészhelyzeti tömegtájékoztató rendszerek sérülékenységei

Balint Seeber, a Bastille munkatársa 2 sérülékenységet jelentett az ICS-CERT-nek, amit az ATI Systems vészhelyzeti tömegtájékoztató rendszerének alábbi eszközeit érintik:

- HPSS16;
- HPSS32;
- MHPSS;
- ALERT4000.

A gyártó jelenleg is teszteli a hibákat javító patch-et és igény szerint elérhetővé teszi az ügyfelei számára.

A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-100-01

Sérülékenység Yokogawa termékekben

A Yokogawa a japán nemzeti CERT-tel (JPCERT) együttműködve publikált egy sérülékenységet, ami az alábbi termékeit érinti:

- CENTUM CS 1000 minden verziója;
- CENTUM CS 3000 R3.09.50 és korábbi verziók;
- CENTUM CS 3000 Small R3.09.50 és korábbi verziók;
- CENTUM VP R6.03.10 és korábbi verziók;
- CENTUM VP Small R6.03.10 és korábbi verziók;
- CENTUM VP Basic R6.03.10 és korábbi verziók;
- Exaopc R3.75.00 és korábbi verziók;
- B/M9000 CS minden verziója;
- B/M9000 VP R8.01.01 és korábbi verziók.

A gyártó a CENTUM CS 1000, CENTUM CS 3000 és CENTUM CS 3000 Small berendezésekhez nem fog javítást kiadni, ezek a típusok már elérték életciklusuk végét. A CENTUM VP, CENTUM VP Small, CENTUM VP BASIC típusokat használó ügyfelek az R5.04.B2 vagy az R6.04.00 verziókra történő frissítéssel javíthatják a hibát. Az Exaopc-k esetén az R3.76.00 verzió javítja a hibát.

A sérülékenységgel kapcsolatos további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-102-01

Rockwell Automation Stratix ipari switch-ek sérülékenységei

A Rockwell Automation 8 sérülékenységet jelentett az ICS-CERT-nek, amik a Cisco IOS és IOS XE firmware-jeire épülő alábbi termékeit érintik:

- Allen-Bradley Stratix 8300 menedzselt ipari Ethernet switch-ek, 15.2(4a)EA5 és korábbi verziói;
- Allen-Bradley Stratix 5400 ipari Ethernet switch-ek, 15.2(6)E0a és korábbi verziói;
- Allen-Bradley Stratix 5410 ipari Ethernet switch-ek, 15.2(6)E0a és korábbi verziói;
- Allen-Bradley Stratix 5700 ipari Ethernet switch-ek, 15.2(6)E0a és korábbi verziói;
- Allen-Bradley Stratix 8000 moduláris menedzselt Ethernet switch-ek, 15.2(6)E0a és korábbi verziói;
- Allen-Bradley ArmorStratix 5700 menedzselt ipari Ethernet switch-ek, 15.2(6)E0a és korábbi verziói.

A hibákkal kapcsolatban nincs információ javításról.

A sérülékenységekről bővebben az ICS-CERT publikációiban lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-107-05
https://ics-cert.us-cert.gov/advisories/ICSA-18-107-04

Sérülékenységek Rockwell Automation Stratix routerekben

A gyártó 4 sérülékenységet jelentett az ICS-CERT-nek, amik az Allen-Bradley Stratix 5900 routerek 15.6.3M1 és korábbi verzióit érintik.

A hibákkal kapcsolatban nincs információ javításról.

A sérülékenység részleteiről az ICS-CERT bejelentése tartalmaz további információkat: https://ics-cert.us-cert.gov/advisories/ICSA-18-107-03

Schneider Electric Triconex sérülékenységek

A HatMan ICS malware-rel kapcsolatos vizsgálatok során a gyártó és a NCCIC közös vizsgálata során két memóriakezelési hibát fedeztek fel, amik az MP model 3008 10.0-10.4 közötti firmware-verzióit érintik.

A hibákat a gyártó a 11.x verziókban javította.

A sérülékenységekről további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-107-02

Sérülékenység Schneider Electric rendszerekben

A Tenable Research munkatársai egy sérülékenységet fedeztek fel az alábbi Schneider Electric rendszerekben:

- InduSoft Web Studio v8.1 és korábbi verziók;
- InTouch Machine Edition 2017 v8.1 és korábbi verziók.

A hibát a gyártó az InduSoft Web Studio v8.1 SP1 és InTouch Machine Edition 2017 v8.1 SP1 verzióiban javította.

A sérülékenységgel kapcsolatban további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-107-01

Abbott Laboratories rendszerek sérülékenységei

A MedSec Holdings két sérülékenységet fedezett fel az Abbott Laboratories defibrillátorainak alábbi verzióiban:

- Fortify;
- Fortify Assura,;
- Quadra Assura;
- Quadra Assura MP;
- Unify;
- Unify Assura;
- Unify Quadra;
- Promote Quadra;
- Ellipse;
- Current;
- Promote.

A gyártó a legújabb firmware-ben javította a hibákat.

A sérülékenységekről részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-107-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az NCC Group nevű, IT biztonsággal foglalkozó Nagy-britanniai cég nemrégiben egy rövid, ám annál érdekesebb cikket publikált. Egy ügyfelük kérésére átalakították a tavaly júniusban komoly károkat okozó, EternalBlue SMB sérülékenységet kihasználó NotPetya malware-t és a romboló funkciójától megfosztott férget szabadon engedték egy ipari vezérlőrendszer laborkörülmények között reprodukált másolatában.

A módosított malware-t egy mérnöki hálózatban engedték szabadon és semmilyen jogosultságot nem kapott a hálózaton található eszközökön. Első körben a módosított malware három, az EternalBlue sérülékenység ellen nem patch-elt számítógépet talált. A malware-be kódolt exploit-ot használva a NotPetya mindhárom sérülékeny számítógépen kernel szintű jogosultságot szerzett, majd ezzel a jogosultsággal megfertőzte ezeket a számítógépeket.

Tíz percen belül az első három számítógépről szerzett felhasználónevekkel és jelszavakkal a teljes mérnöki hálózatot átfésülte további megfertőzhető eszközöket keresve. Két további perccel később a malware átvette az uralmat a teljes tartomány felett. A módosított NotPety nagyjából 45 perc alatt 107 számítógép felett szerzett irányítást, mielőtt az NCC Group ügyfele aktiválta volna a beépített leállító és eltávolító funkciót.

A teszthez használt NotPetya-variáns terjedésát ezen az ábrán lehet megnézni.

Az NCC Group kutatásáról kiadott publikáció itt érhető el: https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/february/eternalglue-part-two-a-rebuilt-notpetya-gets-its-first-execution-outside-of-the-lab/

Rockwell Automation MicroLogix sérülékenységek

Az ICS-CERT bejelentése szerint Jared Rittle és Patrick DeSantis, a Cisco munkatársai 6 különböző, a nem megfelelő authentikációból adódó sérülékenységet azonosítottak a Rockwell Automation alábbi MicroLogix berendezéseiben:

- MicroLogix 1400 FRN 21.003 és korábbi verziók;
- MicroLogix 1100 FRN 16.00 és korábbi verziók.

A gyártó a weboldalán részletes kockázatcsökkentési tanácsokat publikált: https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1072942 (a megtekintéséhez regisztráció szükséges!)

A sérülékenységek részleteit az ICS-CERT publikációja tartalmazza: https://ics-cert.us-cert.gov/advisories/ICSA-18-095-01

Sérülékenység Moxa MXView rendszerekben

Michael DePlante a Champlain College munkatársa egy információ szivárgás sérülékenységet azonosított a Moxa MXView 2.8-as és korábbi verzióiban.

A gyártó a hibát a 2.9-es verzióban javította.

A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-095-02

LCDS LAquis SCADA sérülékenység

Karn Ganeshen egy újonan felfedezett sérülékenységet jelentett az ICS-CERT-nek, ami a Leão Consultoria e Desenvolvimento de Sistemas Ltda nevű brazil gyártó LAquis SCADA szoftverének 4.1.0.3391-es és korábbi verzióit érinti.

A gyártó a hibát a 4.1.0.3774-es verzióban javította, amit innen lehet letölteni: http://laquisscada.com/instale1.php

A sérülékenységgel kapcsolatos további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-095-03

Sérülékenységek Schneider Electric U.motion Builder szoftverekben

A gyártó által kiadott publikáció szerint 16 különböző sérülékenységet azonosítottak az U.motion Builder v1.3.4-esnél korábbi verzióiban.

A Schneider Electric weboldalán már elérhető a hibákat javító verzió: https://www.schneider-electric.com/en/download/document/SE_UMOTION_BUILDER/

A sérülékenységekről további részleteket a Schneider Electric webodalán lehet találni.

Sérülékenységek Natus NeuroWorks orvosi rendszerekben

A Talos (a Cisco kiberbiztonsági laborja) 5 különböző sérülékenységet azonosított a Natus NeuroWorks orvosi rendszereiben. A Talos publikációja szerint a Natus Xltek NeuroWorks 8-as verziója bizonyítottan érintett.

Jelenleg nincs információ arról, hogy a gyártó tervezi-e a sérülékenységek javítását.

A sérülékenységek részleteivel kapcsolatban a Talos weboldalán lehet bővebb információkat találni: http://blog.talosintelligence.com/2018/04/vulnerability-spotlight-natus.html

Sérülékenység Moxa vezeték nélküli AP/bridge eszközökben

Szintén a Talos munkatársai (Patrick DeSantis és Dave McDaniel) azonosítottak egy sérülékenységet, amit kihasználva a felhasználónév megadása során kódvégrehajtást lehet előidézni.

A sérülékenység a Moxa AWK-3131A 1.4-1.9-ig terjedő firmware verzióit érinti.

A gyártó már kiadott egy olyan, újabb firmware verziót, amiben javította a hibát.

A sérülékenységgel kapcsolatos mélyebb, technikai részleteket is tartalmazó információkat a Talos sérülékenységi jelentése tartalmaz: https://talosintelligence.com/vulnerability_reports/TALOS-2017-0507

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Néhány hete, nem sokkal a Lighthouse Laboratoy kínai ICS-CERT utána találtam rá a RUSCADASEC oldalára, ami hat orosz biztonsági szakértő (Anton Shipulin, Daniil Tameev, Vadim Podolny, Ilya Karpov, Evgeny Druzhinin és Boris Savkov) kezdeményezése egy orosz nyelvű ICS-SCADA szakmai közösség felépítésére.

Céljaik között egyebek mellett az ipari automatizálás területén dolgozó szakemberek biztonságtudatossági és szakmai szintjének fejlesztését, a szakértők és szervezetek közötti kapcsolatépítést emelik ki.

Néhány további részletet a weboldalunkon lehet olvasni: https://www.ruscadasec.ru/

Az utóbbi időben egyre-másra lehet látni, hogy világ egyes fejlett ipari országaiban a kritikus infrastruktúrákkal foglalkozó szakemberek kapcsolatépítésének és biztonságtudatosságának fejlesztésével kapcsolatos képzésének feladatait az állami szervek/hatóságok helyett alulról szerveződő kezdeményezések és maroknyi tenni akaró szakmabeli vállalja fel. Ha nem akarjuk, hogy a magyar kritikus infrastruktúrák kiberbiztonsága a jelenleginél jobban lemaradjon a szakmai fősodortól, lehet hogy nekünk is ezt kéne tennünk?

Sérülékenységek Philips orvosi eszközökben

Az ICS-CERT publikációja szerint a Philips két sérülékenységet azonosított az Alice6 System nevű poliszomnográfiai (összetett orvosi alvásvizsgálati) rendszereinek R8.0.2 és korábbi verzióiban.

A hibákat a gyártó az R8.0.3-as verzióban javította.

A sérülékenységek részleteiről az ICS-CERT bejelentése tartalmaz további információkat: https://ics-cert.us-cert.gov/advisories/ICSMA-18-086-01

Siemens SIMATIC termékek sérülékenysége

A Siemens saját ProductCERT-jén keresztül jelentette be, hogy az alábbi termékei egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó sérülékenység által érintettek:

- OpenPCS 7 V7.1 és korábbi verziók;
- OpenPCS 7 V8.0: minden verzió;
- OpenPCS 7 V8.1: minden verzió;
- OpenPCS 7 V8.2: minden verzió;
- OpenPCS 7 V9.0: minden, V9.0 Upd1-nél korábbi verzió;
- SIMATIC BATCH V7.1 és korábbi verziók;
- SIMATIC BATCH V8.0: minden verzió;
- SIMATIC BATCH V8.1: minden verzió;
- SIMATIC BATCH V8.2: minden verzió;
- SIMATIC BATCH V9.0: minden, V9.0 SP1-nél korábbi verzió;
- SIMATIC NET PC-Software: minden verzió;
- SIMATIC PCS 7 V7.1 és korábbi verziók;
- SIMATIC PCS 7 V8.0: és korábbi verziók;
- SIMATIC PCS 7 V8.1: és korábbi verziók;
- SIMATIC PCS 7 V8.2: és korábbi verziók;
- SIMATIC PCS 7 V9.0: minden, V9.0 SP1-nél korábbi verzió;
- SIMATIC Route Control V7.1 és korábbi verziók;
- SIMATIC Route Control V8.0: és korábbi verziók;
- SIMATIC Route Control V8.1: és korábbi verziók;
- SIMATIC Route Control V8.2: és korábbi verziók;
- SIMATIC Route Control V9.0: minden, V9.0 Upd1-nél korábbi verzió;
- SIMATIC WinCC Runtime Professional: minden, V14 SP1 Upd5-nél korábbi verzió;,
- SIMATIC WinCC 7.2 és korábbi verziók;
- SIMATIC WinCC 7.3: minden, WinCC 7.3 Upd16-nál korábbi verzió;
- SIMATIC WinCC 7.4: minden, V7.4 SP1 Upd4-nél korábbi verzió.

A gyártó az OpenPCS esetén a legújabb verzióra történő frissítést, a többi érintett termék esetén kockázatcsökkentő intézkedések alkalmazását javasolja.

A sérülékenységről kapcsolatban bővebben a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet olvasni.

Sérülékenység Siemens TIM 1531 IRC rendszerekben

Szintén a Siemens ProductCERT publikálta a TIM 1531 IRC rendszerekben talált sérülékenységet, ami a v1.1-nél korábbi összes verziót érinti.

A gyártó a hibát a v1.1-es verzióban javította.

A sérülékenység részletei a Siemens ProductCERT és az ICS-CERT bejelentéseiben találhatóak.

Sérülékenység WAGO rendszerekben

Az ICS-CERT bejelentése szerint Younes Dragoni, a Nozomi Networks munkatársa talált egy sérülékenységet a WAGO egyes 750-es sorozatú berendezéseinek firmware-ében:

- 750-880 firmware version 10 és ennél korábbi verziók;
- 750-881 firmware version 10 és ennél korábbi verziók;
- 750-852 firmware version 10 és ennél korábbi verziók;
- 750-882 firmware version 10 és ennél korábbi verziók;
- 750-885 firmware version 10 és ennél korábbi verziók;
- 750-831 firmware version 10 és ennél korábbi verziók;
- 750-889 firmware version 10 és ennél korábbi verziók;
- 750-829 firmware version 10 és ennél korábbi verziók.

A gyártó a hibát a legújabb firmware-verzióban javította.

A sérülékenységről további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-088-01

Philips iSite/IntelliSpace PACS sérülékenységek

Az ICS-CERT bejelentése szerint fél tucatnyi sérülékenységet és további, harmadik féltől származó komponensek hibára derült fény a Philips iSite/IntelliSpace PACS orvosi képarchiváló rendszerével kapcsolatban. A sérülékenységek az iSite/IntelliSpace PACS minden verzióját érintik.

A gyártó a hibák egy részéhez már kiadta a javításokat.

A sérülékenységek részleteiről az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-18-088-01

Sérülékenységek Siemens épületautomatizálási rendszerekben

A Siemens ProductCERT és az ICS-CERT publikációi szerint 7 különböző sérülékenységet azonosítottak a Siemens alábbi, épületautomatizálásban használt rendszereiben:

- License Management System (LMS) mindan, a V2.1 SP3(2.1.670)-nél korábbi verzió;
- Annual Shading V1.0.4 és 1.1;
- Desigo ABT verziók:
- MP1.1 Build 845;
- MP1.15 Build 360;
- MP1.16 Build 055;
- MP1.2 Build 850;
- MP1.2.1 Build 318;
- MP2.1 Build 965;
- Desigo CC verziók:
- MP1.1;
- MP2.0;
- MP2.1;
- MP3.0;
- Desigo Configuration Manager (DCM) V6.10.140;
- Desigo XWP;
- V5.00.204;
- V5.00.260;
- V5.10.142;
- V5.10.212;
- V6.00.184;
- V6.00.342;
- V6.10.172;
- SiteIQ Analytics;
- V1.1;
- V1.2;
- V1.3;
- Siveillance Identity V1.1.

A gyártó a hibát a License Management System (LMS) 2.1 SP4 (2.1.681)-es verziójában javította, a többi érintett rendszer esetében kockázatcsökkentő intézkedések alkalmazását javasolja.

A sérülékenységek részleteiről a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Egy ideje már figyelemmel követem a kínai Lighthouse Laboratory Team blogját, ami a plcscan.org címen érhető el. Nagyon érdekes betekintést nyújt arról, hogy Kínában hogyan is látják az ICS/SCADA rendszerek kiberbiztonsági kérdéseit és ahogy Joe Weiss a tavaly októberi ICS Cyber Security Conference-en is említette, a különböző ázsiai országok ICS kiberbiztonsággal foglalkozó szakértői is figyelemmel kísérik a nevesebb nyugati szakértők publikációit, ezért úgy vélem, nekünk is érdekes lehet látni, hogy a világ másik részein dolgozó kollégák éppen mivel is foglalkoznak.

2017 év végén indították el a cert.plcscan.org oldalon az első, kifejezetten ICS/SCADA rendszerekre fókuszáló CERT-et. Bár a plcscan.org nyelve alapvetően az egyszerűsített kínai, napjainkban azért már egészen jó megoldások érhetőek el, amikkel egy kínaiul olvasni nem tudó személynek is egészen jó elképzelése lehet arról, milyen tartalom is jelenik meg egy-egy ilyen CERT bejegyzésben. Csak ajánlani tudom ezt a forrást mindenkinek, akit érdekel, hogy Kínában mit gondolnak az ICS rendszerek biztonságáról.

Sérülékenységek Siemens SIMATIC, SINUMERIK és PROFINET IO termékekben

A Siemens ProductCERT egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó sérülékenységet jelentett az ICS-CERT-nek. A hiba az alábbi rendszereket és verziókat érinti:

- SIMATIC CP 343-1 Advanced: minden verzió;
- SIMATIC CP 343-1 Standard: minden verzió;
- SIMATIC CP 443-1 Advanced: minden verzió;
- SIMATIC CP 443-1 Standard: minden verzió;
- SIMATIC S7-1500 Software Controller: a V1.7.0-nál korábbi összes verzió;
- SIMATIC S7-1500: a V1.7.0-nál korábbi összes verzió;
- SIMATIC S7-300: minden verzió;
- SIMATIC S7-400 H V6: minden verzió;
- SIMATIC S7-400 PN/DP V6: a V6.0.7-nél korábbi összes verzió;
- SIMATIC S7-400 PN/DP V7: minden verzió;
- SIMATIC S7-410: a V8.1-nél korábbi összes verzió;
- SIMATIC WinAC RTX 2010: minden verzió;
- SINUMERIK 828D: minden verzió;
- SINUMERIK 840D sl: minden verzió;
- Softnet PROFINET IO, PC-alapú Windows rendszerekhez: minden verzió.

A gyártó a weboldalán elérhetővé tette a hibát javító újabb verziókat.

A sérülékenység részleteiről az ICS-CERT és a Siemens ProductCERT bejelentéseiben lehet olvasni.

Siemens SIMATIC WinCC OA UI mobil alkalmazás sérülékenység

Alexander Bolshev, az IOActive és Ivan Yushkevich, az Embedi munkatársai egy hozzáférés-kezelési hibát azonosítottak a Siemens SIMATIC WinCC OA UI mobil alkalmazás alábbi verzióiban:

- SIMATIC WinCC OA UI for Android: a V3.15.10-nél korábbi összes verzió;
- SIMATIC WinCC OA UI for IOS: a V3.15.10-nél korábbi összes verzió.

A gyártó a hibát a V3.15.10-es verzióban javította.

A sérülékenységről bővebb indormációt az ICS-CERT és a Siemens ProductCERT publikációi tartalmaznak.

Geutebrück IP kamerák sérülékenységei

Davy Douhine, a RandoriSec és Nicolas Mattiocco, a Greenlock munkatársai fél tucatnyi sérülékenységet fedeztek fel a Geutebrück ipari IP kameráiban. A sérülékenységek a következő verziókat érintik:

- G-Cam/EFD-2250 (sorozat szám 5.02024) 1.12.0.4-es firmware verzió;
- Topline TopFD-2125 (sorozat szám 5.02820) 3.15.1-es firmware verzió.

A gyártó a G-Cam/EFD-2250 típusú eszközöknél a hibát az 1.12.0.4-es firmware verzióban javította.

A sérülékenységekkel kapcsolatban további információkat az ICS-CERT webodalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-18-079-01

Sérülékenység Beckhoff TwinCAT PLC-kben

Steven Seeley, a Source Incite munkatársa a sérülékenységet fedezett fel az alábbi Beckhoff TwinCAT PLC-kben:

- TwinCAT 3.1 Build 4022.4 és korábbi verziók;
- TwinCAT 2.11 R3 2259 és korábbi verziók;
- TwinCAT 3.1 C++ / Matlab (TC1210/TC1220/TC1300/TC1320).

A gyártó a hibával kapcsolatban a legújabb verzióra történő frissítést és a Matlab modulok újra fordítását javasolja.

A sérülékenységről bővebben az ICS-CERT publikációjában lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-081-02

Schneider Electric MiCOM sérülékenység

A Schneider Electric bejelentése szerint az alábbi MiCOM termékekben egy szolgáltatás megtagadásos támadást lehtővé tevő sérülékenységet azonosítottak:

- MiCOM P445: 35, 36, 37, E0, F0, F1, F2;
- MiCOM P443, P446: 54, 55, 57, B0, D0, D1, D2;
- MiCOM P543-tól P546-ig: 44, 54, 45, 55, 47, 57, A0, B0, C0, DO, D1, D2;
- MiCOM P841A: 44, 45, 47, A0, C0, C1, C2;
- MiCOM P841B: 54, 55, 57, B0, D0, D1, D2.

A gyártó a hibát az alábbi verziók esetében már javította:

- P445: F0(F), F3;
- P443, P446: D0(F), D3
- MiCOM P543-tól P546-ig: C0(F), D0(F), D3
- P841A: C0(F), C3
- P841B: D0(F), D3

A sérülékenységgel kapcsolatos további részleteket a Schneider Electric webodalán lehet megtalálni.

Sérülékenységek Schneider Electric MGE Network Management Card Transverse-szel szerelt termékekben

A Schneider Electric publikációja szerint Ilya Karpov, Evgeny Druzhinin és Sephen Nosov, a Positive Technologies munkatársai számos sérülékenységet azonosítottak az alábbi, MGE SNMP/Web Card Transverse modullal szerelt termékekben:

- MGE Galaxy 5000;
- MGE Galaxy 6000;
- MGE Galaxy 9000;
- MGE EPS 7000;
- MGE EPS 8000;
- MGE EPS 6000;
- MGE Comet UPS;
- MGE Comet 3000;
- MGE Galaxy PW;
- MGE Galaxy 3000;
- MGE Galaxy 4000;
- MGE STS (Upsilon and Epsilon).

A gyártó a sérülékenységekkel kapcsolatban kockázatcsökkentő intézekedések bevezetését javasolja. A pontos kockázatcsökkentő intézkedésekről és a sérülékenységek további részleteiről a Schneider Electric publikációjában lehet olvasni.

Sérülékenységek Modicon beágyazott webszerverekben

Nikita Maximov, Alexey Stennikov, Anton Dorfman, Alexander Melkikh és Yuliya Simonova, a Positive Technologies munkatársai négy sérülékenységet fedeztek fel a Schneider Electric Modicon M340, Premium, Quantum PLC-iben és a BMXNOR0200-es eszközökben.

A gyártó a sérülékenységekkel kapcsolatban kockázatcsökkentő intézekedések bevezetését javasolja. A sérülékenységekkel kapcsolatos részletek a Schneider Electric bejelentésében találhatóak.

Sérülékenységek Modicon beágyazott FTP szerverekben

Meng Leizi és Zhang Daoquan független biztonsági kutatók, valamint Kirill Chernyshov, Alexey Stennikov és Nikita Maximov, a Positive Technologies munkatársai három sérülékenységet találtak a Schneider Electric Schneider Electric Modicon M340, Premium, Quantum PLC-iben és a BMXNOR0200-es kontrollereiben használt FTP-szerverben.

A gyártó a hibákkal kapcsolatban kockázatcsökkentő intézekedések alkalmazását javasolja. A sérülékenységek részleteit a Schneider Electric publikációja tartalmazza.

Schneider Electric MiCOM Px4x sérülékenységek

A gyártó bejelentése szerint az alábbi termékekben alkalmazott DNP3 over Ethernet protokollban egy szolgáltatás-megtagadásos támadás előidézésére alkalmas hibát találtak:

MiCOM P443 H4 verzió;
MiCOM P445 H4 verzió;
MiCOM P446 H4 verzió;
MiCOM P54x H4 minden verziója;
MiCOM P841A H4 verzió;
MiCOM P841B H4 verzió;

MiCOM P14x minden verziója, a B2(B) kivételével;
MiCOM P44x minden verziója;
MiCOM P64x minden verziója;
MiCOM P746 minden verziója;
MiCOM P849 minden verziója.

A gyártó a sérülékenységgel kapcsolatban ismét a kockázatcsökkentő intézkedések fontosságát hangsúlyozza és kiadta a hibát javító firmware-verziókat is.

A sérülékenység további információkat a Schneider Electric bejelentésében lehet olvasni.

A MiCOM Px4x termékcsalád egyes tagjainál a gyártó egy másik sérülékenységet is azonosított. Az érintett termékek a

MiCOM P14x, 46-os verzió;
MiCOM P44x, D6-os verzió, a D6(E) kivételével;
MiCOM P64x minden verziója;
MiCOM P849 minden verziója.

A hibát a gyártó a P44x sorozat esetén a D6(E) verzióban javította, a többi verzió esetén ebben az esetben is a kockázatcsökkentő intézekedések alkalmazását javasolják.

A sérülékenységről bővebb információ a Schneider Electric publikációjában lehet olvasni.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az elmúlt héten több cikk is megjelent, amik a tavaly év végén napvilágra került Triton/TriSIS malware-támadással kapcsolatos új információkat és elméleteket taglalják.

A Schneider Electric (akiknek a Triconex nevű SIS rendszerét érte támadás egy továbbra is névtelenség mögé bújó Közel-keleti, egyre biztosabb feltételezések szerint szaúdi olajipari cég telephelyén), a Symantec és a Madiant mellett számos amerikai kormányzati szerv (az NSA, az FBI, a DHS és a DARPA) is vizsgálatokat folytatott az incidens kapcsán.

Jelenleg az elméletek szerint a támadók célja nem csupán az olajipari létesítmény működésének megzavarása volt, hanem egyenesen robbanást akartak előidézni a biztonsági (safety) rendszer kompromittálásával.

Az incidens utáni nyomozás során a vizsgálatot végző szakértők egy különös fájlt talált az SIS rendszer egyik mérnöki munkaállomásán, ami minden szempontból egy legitim Schneider Electric szoftverkomponensnek látszott, azonban arra szolgált, hogy szabotálni lehessen a Triconex rendszer működését. A vizsgálatot végzők arról nem nyilatkoznak, hogy ez a fájl hogyan került a rendszerbe, de azt tudni lehet, hogy nem hiszik, hogy belső ember helyezte volna el a mérnöki munkaállomáson, vagyis ez volt az első eset, hogy egy SIS rendszert távolról szabotáltak.

Komolyabb (robbanással járó) incidens azért nem lett a támadásból, mert a támadók hibáztak a malware kódjának írásakor, de az incidenst vizsgáló szakértők biztosak abban, hogy ezt a hibát mostanra javították - ez már csak azért is nagyon aggasztó feltételezés, mert az érintett Schneider Electric Triconex rendszerből világszerte több, mint 13.000 darab működik.

További részleteket az alábbi cikkekben lehet olvasni:
https://www.nytimes.com/2018/03/15/technology/saudi-arabia-hacks-cyberattacks.html
https://www.techspot.com/news/73730-saudi-arabian-petroleum-plant-hit-malware-tried-cause.html