Sérülékenységek Advantech WebAccess rendszerekben
Több biztonsági kutató összesen hét különböző sérülékenységet fedezett fel az Advantech WebAccess 8.3-nál korábbi verzióiban. A hibák között Untrusted Pointer Dereference, puffer-túlcsordulás, könyvtárbejárást lehetővé tevő hiba, SQL injection, a bevitt adatok nem megfelelő ellenőrzése, a feltöltött fájlok nem megfelelő ellenőrzése és memóriakezelési hiba is található.
A hibákat a gyártó a WebAccess 8.3-as verziójában javította.
A sérülékenységekkel kapcsolatos részletekről az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-004-02A
Delta Electronics rendszerek sérülékenységei
Steven Seeley, a Source Incite munkatársa 4 sérülékenységet azonosított a Delta Industrial Automation Screen Editor 2.00.23.00 és korábbi verzióiban. A hibák között puffer-túlcsordulás, különböző memóriakezelési hibák is találhatóak.
A gyártó a hibákat a DOPSoft Version 2-ben javította.
A sérülékenységekről bővebb információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-004-01
Sérülékenységek General Motors és Shanghai OnStar iOS kliensekben
Charles Gans három sérülékenységet fedezett fel a GM által is használt Shanghai OnStar rendszerek iOS klienseinek 7.1-es verziójában. A hibák között érzékeny adatok olvasható formában történő tárolása, man-in-the-middle támadásra lehetőséget adó hiba és nem megfelelő authentikáció is található.
A rendelkezésre álló információk alapján javítás a fenti hibákra még nem érhető el. A GM kockázatcsökkentő intézkedéseket javasol ügyfelei számára. A kockázatcsökkentő intézkedések és a sérülékenységek részletei az ICS-CERT bejelentésében olvashatóak: https://ics-cert.us-cert.gov/advisories/ICSA-17-234-04
Rockwell Automation kontrollerek sérülékenysége
Thiago Alves, az alabamai egyetem munkatársa jelentett egy puffer-túlcsordulási hibát, ami az Allen-Bradley MicroLogix 1400-as sorozatú kontrollereinek B és C sorozatú verzióit érinti, amennyiben a 21.002 vagy korábbi firmware-verziók valamelyikét futtatják:
- 1766-L32AWA
- 1766-L32AWAA
- 1766-L32BWA
- 1766-L32BWAA
- 1766-L32BXB
- 1766-L32BXBA
A hibát a gyártó a 21.003-as verziójú firmware-ben javította.
A sérülékenységgel kapcsolatos részletek az ICS-CERT publikációjában találhatóak: https://ics-cert.us-cert.gov/advisories/ICSA-18-009-01
Sérülékenységek Phoenix Contact hálózati eszközökben
Ilya Karpov és Evgeniy Druzhinin, a Positive Technologies munkatársai két sérülékenységet azonosítottak, amik a Phoenix Contact 3xxx, 4xxx és 48xxx sorozatú switch-einek 1.0-tól 1.32-ig terjedő firmware-verzióiban találhatóak meg. A hibákat kihasználva lehetőség van authentikációs hibákat kihasználni és bizalmas adatokhoz hozzáférni.
A hibákat a gyártó az 1.33 és későbbi verziókban javította.
A sérülékenység részleteiről az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-18-011-03
Sérülékenység Moxa MXView hálózatmenedzsment szoftverekben
Karn Ganeshen egy könyvtárbejárást lehetővé tevő hibát azonosított a Moxa MXview v2.8 és korábbi verzióiban. A gyártó a hibát a v2.9-es verzióban javította.
A sérülékenységgel kapcsolatban további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-18-011-02
Sérülékenységek WECON rendszerekben
Több biztonsági kutató munkájaképpen két, puffer-túlcsorduláson alapuló sérülékenységet azonosítottak a WECON LEVI Studio HMI Editor nevű termékének v1.8.29 és korábbi verzióiban. A gyártó a hibákat a legújabb verzióban javította.
A sérülékenységekkel kapcsolatos további információkat az ICS-CERT vonatkozó publikációjában lehet elérni: https://ics-cert.us-cert.gov/advisories/ICSA-18-011-01
A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.