Az NSA és a DHS CISA közös projektje tavaly októberben publikálta a 10 (szerintük) legsúlyosabb, kiberbiztonsági kockázatot jelentő konfigurációs hibát.

A lista az alábbi tételekből áll össze:

1. Default configurations of software and applications
2. Improper separation of user/administrator privilege
3. Insufficient internal network monitoring
4. Lack of network segmentation
5. Poor patch management
6. Bypass of system access controls
7. Weak or misconfigured multifactor authentication (MFA) methods
8. Insufficient access control lists (ACLs) on network shares and services
9. Poor credential hygiene
10. Unrestricted code execution

A publikált dokumentum nem csak a problémákra hívja fel a figyelmet, hanem részletesen be is mutatja az egyes problémás konfigurációs beállítások hátterét és MITRE ATT&CK-összerendelést is tartalmaz. Ugyanakkor nekem hiányzik az, hogy tanácsokat tartalmazzon az anyag a felsorolt konfigurációs hibák preventív megszűntetésére. Függően attól, hogy mennyi időm lesz az elkövetkező hetekben, tervezem egy olyan poszt megírását, ahol minden egyes tételre írjak egy-egy rövid tanácsot, hogy szerintem hogyan kellene és lehetne az ilyen konfigurációs hibákat ICS/OT környezetekben megszüntetni vagy legalább csökkenteni az ilyen kockázatok súlyát.

Ma reggel egy nyílt levél jelent meg a kiberblogon, amit szerzője egy, még 2023. novemberében, az IT Business "Negyedik műszak" nevű konferenciáján Csinos Tamástól (Clico Hungary) elhangzott előadására válaszul írta (a blogposztban az előadás YouTube-ra feltöltött videófelvétele is elérhető).

Amit pedig én gondolok a témáról a konkrét eset kapcsán, az ugyanaz, amit már korábban is írtam: az OT kiberbiztonság feladatait senki nem lesz képes egyedül megoldani. Sem az OT mérnökök, sem a kiberbiztonsági mérnökök, utóbbiak különösen akkor nem, ha előzőleg nem találkoztak OT rendszerekkel. Ideális esetben (amiről tudjuk, hogy nem létezik) az ICS/OT rendszereket használó szervezetekben rendelkezésre állna egy képzett, OT mérnöki múlttal rendelkező, de a modern kiberbiztonsági eszközöket és eljárásokat készség szinten ismerő és dedikáltan csak az ICS/OT rendszerek kiberbiztonságával foglalkozó csapat. Mivel ilyen azonban szinte sehol nincs (bár a helyzet a világ egyes részein már változik, de túl lassan és gyakran túl későn), ezért én nem látok más lehetőséget, mint az OT mérnökök és a kiberbiztonsági szakemberek szoros együttműködésével megvalósítani azokat az ICS/OT biztonsági programokat, amikhez ma már egyre több információt (egyebek mellett tanfolyamokat, szabványokat, keretrendszereket és jogszabályi követelményeket) lehet elérni. Ehhez azonban a kölcsönös tiszteleten alapuló őszinte kommunikáció elengedhetetlen. Bízom benne, hogy a fenti nyílt levél a jó irányba fogja elmozdítani a párbeszédet a hazai OT kiberbiztonságról.

Bejelentés dátuma: 2024.02.20.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- Wire-cut EDM MV sorozat MV1200S D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MV sorozat MV2400S D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MV sorozat MV4800S D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MV sorozat MV1200R D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MV sorozat MV2400R D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MV sorozat MV4800R D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MV sorozat MV1200S D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MV sorozat MV2400S D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MV sorozat MV4800S D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MV sorozat MV1200R D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MV sorozat MV2400R D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MV sorozat MV4800R D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MP sorozat MP1200 D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MP sorozat MP2400 D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MP sorozat MP4800 D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MP sorozat MP1200 D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MP sorozat MP2400 D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MP sorozat MP4800 D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MX sorozat MX900 D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MX sorozat MX2400 D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MX sorozat MX900 D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MX sorozat MX2400 D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Sinker EDM SV-P sorozat SV8P D-CUBES sorozatú Standard system BRD-M60W000-** minden verziója;
- Sinker EDM SV-P sorozat SV12 D-CUBES sorozatú Standard system BRD-M60W000-** minden verziója;
- Sinker EDM SV-P sorozat SV8P D-CUBES sorozatú Special system BRD-M63W+++-** minden verziója;
- Sinker EDM SV-P sorozat SV12 D-CUBES sorozatú Special system BRD-M63W+++-** minden verziója;
- Sinker EDM SG sorozat SG8 D-CUBES sorozatú Standard system BRD-M60W000-** minden verziója;
- Sinker EDM SG sorozat SG12 D-CUBES sorozatú Standard system BRD-M60W000-** minden verziója;
- Sinker EDM SG sorozat SG28 D-CUBES sorozatú Standard system BRD-M60W000-** minden verziója;
- Sinker EDM SG sorozat SG8 D-CUBES sorozatú Special system BRD-M63W+++-** minden verziója;
- Sinker EDM SG sorozat SG12 D-CUBES sorozatú Special system BRD-M63W+++-** minden verziója;
- Sinker EDM SG sorozat SG28 D-CUBES sorozatú Special system BRD-M63W+++-** minden verziója;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Improper Input Validation (CVE-2023-21554)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-051-03

Bejelentés dátuma: 2024.02.20.
Gyártó: CISA
Érintett rendszer(ek):
- Industrial Control Systems Network Protocol Parsers (ICSNPP) - Ethercat Zeek Plugin: d78dda6-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-7244)/kritikus;
- Out-of-bounds Write (CVE-2023-7243)/kritikus;
- Out-of-bounds Read (CVE-2023-7242)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-051-02

Bejelentés dátuma: 2024.02.20.
Gyártó: Commend
Érintett rendszer(ek):
- WS203VICM video door station 1.7-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Argument Injection (CVE-2024-22182)/súlyos;
- Improper Access Control (CVE-2024-21767)/kritikus;
- Weak Encoding for Password (CVE-2024-23492)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-051-01

Bejelentés dátuma: 2024.02.22.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft-B v1.0.0.4 DOPSoft v4.0.0.82-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2024-1595)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-053-01

Bejelentés dátuma: 2024.02.22.
Gyártó: WAGO
Érintett rendszer(ek):
- WAGO 750-810x típusú eszközök 22 Patch 2-nél korábbi firmware-verziói;
- WAGO 750-811x típusú eszközök 27-nél korábbi firmware-verziói;
- WAGO 750-820x típusú eszközök 22 Patch 2-nél korábbi firmware-verziói;
- WAGO 750-820x típusú eszközök 03.03.08 (80)-nál korábbi verziói;
- WAGO 750-821x típusú eszközök 27-nél korábbi firmware-verziói;
- WAGO 750-821x típusú eszközök 04.03.03 (70)-nél korábbi verziói;
- WAGO 750-821x típusú eszközök 22 Patch 2-nél korábbi firmware-verziói;
- WAGO 751-9301 típusú eszközök 27-nél korábbi firmware-verziói;
- WAGO 751-9301 típusú eszközök 04.03.03 (72)-nél korábbi verziói;
- WAGO 751-9401 típusú eszközök 27-nél korábbi firmware-verziói;
- WAGO 751-9401 típusú eszközök 04.03.03 (72)-nél korábbi verziói;
- WAGO 752-8303 típusú eszközök 27-nél korábbi firmware-verziói;
- WAGO 752-8303 típusú eszközök 22 Patch 2-nél korábbi firmware-verziói;
- WAGO 762-4x0x típusú eszközök 27-nél korábbi firmware-verziói;
- WAGO 762-4x0x típusú eszközök 22 Patch 2-nél korábbi firmware-verziói;
- WAGO 762-5x0x típusú eszközök 22 Patch 2-nél korábbi firmware-verziói;
- WAGO 762-5x0x típusú eszközök 27-nél korábbi firmware-verziói;
- WAGO 762-6x0x típusú eszközök 27-nél korábbi firmware-verziói;
- WAGO 762-6x0x típusú eszközök 22 Patch 2-nél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Improper Validation of Integrity Check Value (CVE-2023-48795)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2024-014/

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A múlt heti, 5G hálózatok biztonságát boncolgató poszt után egy kicsit még mélyebbre megyünk, továbbra is a TrendMicro munkatársainak munkáját követve.

Az Open Radio Access Network egy nem szabadalmaztatott (mondhatjuk úgy is, hogy open source) változata a Radio Access Network rendszernek, ami interoperabilitást tesz lehetővé különböző gyártók mobil kommunikációs hálózatai eszközei között.

Figyelembe véve, hogy egyre több ipari eszköz és site támaszkodik a különböző mobil távközlési szolgáltatók privát és nyilvános APN-jeire (már akár ez is megérne egy külön posztot, hogy vajon mennyire jó gondolat ipari folyamatirányító rendszerek kommunikációját nyilvános APN-ekre bízni), nem tűnik feleslegesnek foglalkozni az Open RAN hálózatok kiberbiztonsági kérdéseivel. A TrendMicro kutatói még egy tavaly december elején publikált cikkükben foglalkoznak a témával.

A cikket az 5G távközlési hálózatok felépítésének bemutatásával kezdik, majd röviden érintik az 5G bázisállomások architektúrális felépítését, a RAN-Open RAN különbségeket, egy alap Open RAN architektúra rövid vázlatát is ismertetik és az O-RAN Allience-nek is szentelnek két bekezdést. A bevezetőből ezután már csak a near-RT RIC Platform ismertetése van hátra, ami egy szoftver-alapú, közel valósidejű, mikro-szervíz platform, ami az Open RAN mikro-szervíz alapú alkalmazásait, (az ún. xApp-okat) futtatja.

Az Open RAN alapjainak áttekintése után a TrendMicro kutatói ismertetik az Open RAN-nal kapcsolatos, eddig megismert támadási vektorokat és sérülékenységeket, ezek lehetséges hatásait és a kockázatcsökkentés lehetséges módjait.

A jelek szerint az 5G hálózatok ICS/OT rendszerekkel kapcsolatos egyre gyorsabban terjedő használata miatt az ipari folyamatirányító rendszerek biztonságáért felelős szakembereknek ajánlott mielőbb legalább alapvető ismereteket szerezni a RAN és Open RAN rendszerek biztonságával kapcsolatban is.

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC RTLS Gateway RTLS4030G, CMIIT (6GT2701-5DB23) minden verziója;
- SIMATIC RTLS Gateway RTLS4030G, ETSI (6GT2701-5DB03) minden verziója;
- SIMATIC RTLS Gateway RTLS4030G, FCC (6GT2701-5DB13) minden verziója;
- SIMATIC RTLS Gateway RTLS4030G, ISED (6GT2701-5DB33) minden verziója;
- SIMATIC RTLS Gateway RTLS4430G, Chirp, ETSI, FCC, ISED, IP65 (6GT2701-5CB03) minden verziója;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Improper Handling of Length Parameter Inconsistency (CVE-2020-11896)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Unicam FX minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Use of Privileged APIs (CVE-2024-22042)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) minden verziója;
- SCALANCE SC626-2C (6GK5626-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC626-2C (6GK5626-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC626-2C (6GK5626-2GS00-2AC2) minden verziója;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) minden verziója;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) minden verziója;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) minden verziója;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Acceptance of Extraneous Untrusted Data With Trusted Data (CVE-2023-44317)/súlyos;
- Use of Weak Hash (CVE-2023-44319)/közepes;
- Forced Browsing (CVE-2023-44320)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44321)/alacsony;
- Unchecked Return Value (CVE-2023-44322)/alacsony;
- Injection (CVE-2023-44373)/kritikus;
- OS Command Injection (CVE-2023-49691)/súlyos;
- OS Command Injection (CVE-2023-49692)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) minden verziója;
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) minden verziója;
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-45614)/kritikus
- Classic Buffer Overflow (CVE-2023-45615)/kritikus
- Classic Buffer Overflow (CVE-2023-45616)/kritikus
- Improper Input Validation (CVE-2023-45617)/súlyos;
- Improper Input Validation (CVE-2023-45618)/súlyos;
- Improper Input Validation (CVE-2023-45619)/súlyos;
- Improper Input Validation (CVE-2023-45620)/súlyos;
- Improper Input Validation (CVE-2023-45621)/súlyos;
- Improper Input Validation (CVE-2023-45622)/súlyos;
- Improper Input Validation (CVE-2023-45623)/súlyos;
- Improper Input Validation (CVE-2023-45624)/súlyos;
- Command Injection (CVE-2023-45625)/súlyos;
- Improper Input Validation (CVE-2023-45626)/súlyos;
- Improper Input Validation (CVE-2023-45627)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS minden, V2.0 SP1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-4203)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Use After Free (CVE-2023-0215)/közepes;
- NULL Pointer Dereference (CVE-2023-0216)/súlyos;
- NULL Pointer Dereference (CVE-2023-0217)/súlyos;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- NULL Pointer Dereference (CVE-2023-0401)/súlyos;
- Out-of-bounds Read (CVE-2023-1255)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-2454)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-2455)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2023-2650)/közepes;
- Improper Authentication (CVE-2023-2975)/közepes;
- Inefficient Regular Expression Complexity (CVE-2023-3446)/közepes;
- Excessive Iteration (CVE-2023-3817)/közepes;
- HTTP Request/Response Smuggling (CVE-2023-25690)/kritikus;
- HTTP Request/Response Smuggling (CVE-2023-27522)/súlyos;
- Injection (CVE-2023-27533)/súlyos;
- Path Traversal (CVE-2023-27534)/súlyos;
- Improper Authentication (CVE-2023-27535)/közepes;
- Improper Authentication (CVE-2023-27536)/közepes;
- Double Free (CVE-2023-27537)/közepes;
- Improper Input Validation (CVE-2023-27538)/súlyos;
- Use After Free (CVE-2023-28319)/súlyos;
- Race Condition (CVE-2023-28320)/közepes;
- Improper Certificate Validation (CVE-2023-28321)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-28322)/alacsony;
- Off-by-one Error (CVE-2023-28709)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-30581)/súlyos;
- Improper Input Validation (CVE-2023-30582)/súlyos;
- Improper Input Validation (CVE-2023-30583)/közepes;
- Improper Input Validation (CVE-2023-30584)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-30585)/súlyos;
- Missing Authorization (CVE-2023-30586)/súlyos;
- Improper Input Validation (CVE-2023-30587)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-30588)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-30589)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-30590)/súlyos;
- Use of Insufficiently Random Values (CVE-2023-31124)/alacsony;
- Buffer Underflow (CVE-2023-31130)/közepes;
- Use of Insufficiently Random Values (CVE-2023-31147)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-32002)/közepes;
- Path Traversal (CVE-2023-32003)/közepes;
- Path Traversal (CVE-2023-32004)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2023-32005)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-32006)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-32067)/súlyos;
- Path Traversal (CVE-2023-32558)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-32559)/súlyos;
- Incorrect Authorization (CVE-2023-34035)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-35945)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2023-38039)/súlyos;
- Type Confusion (CVE-2023-38199)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38545)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2023-38546)/súlyos;
- SQL Injection (CVE-2023-39417)/alacsony;
- Missing Encryption of Sensitive Data (CVE-2023-39418)/súlyos;
- Open Redirect (CVE-2023-41080)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-46120)/közepes;
- SQL Injection (CVE-2024-23810)/közepes;
- Unrestricted Upload of File with Dangerous Type (CVE-2024-23811)/súlyos;
- OS Command Injection (CVE-2024-23812)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Polarion ALM minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Default Permissions (CVE-2023-50236)/súlyos;
- Improper Authentication (CVE-2024-23813)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT 

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE XCH328 (6GK5328-4TS01-2EC2) minden V2.4-nél korábbi verziója;
- SCALANCE XCM324 (6GK5324-8TS01-2AC2) minden V2.4-nél korábbi verziója;
- SCALANCE XCM328 (6GK5328-4TS01-2AC2) minden V2.4-nél korábbi verziója;
- SCALANCE XCM332 (6GK5332-0GA01-2AC2) minden V2.4-nél korábbi verziója;
- SCALANCE XRH334 (24 V DC, 8xFO, CC) (6GK5334-2TS01-2ER3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (2x230 V AC, 8xFO) (6GK5334-2TS01-4AR3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (2x230 V AC, 12xFO) (6GK5334-3TS01-4AR3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (24 V DC, 8xFO) (6GK5334-2TS01-2AR3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (24 V DC, 12xFO) (6GK5334-3TS01-2AR3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (230 V AC, 8xFO) (6GK5334-2TS01-3AR3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (230 V AC, 12xFO) (6GK5334-3TS01-3AR3) minden V2.4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write CVE-2006-20001)/súlyos;
- Incorrect Type Conversion or Cast (CVE-2020-10735)/súlyos;
- Improper Verification of Cryptographic Signature (CVE-2021-3445)/súlyos;
- Out-of-bounds Write (CVE-2021-3638)/közepes;
- Improper Access Control (CVE-2021-4037)/súlyos;
- Improper Authentication (CVE-2021-36369)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-43666)/súlyos;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2021-45451)/súlyos;
- Out-of-bounds Write (CVE-2022-1015)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2022-1348)/közepes;
- Use After Free (CVE-2022-2586)/közepes;
- HTTP Request/Response Smuggling (CVE-2022-2880)/súlyos;
- Improper Input Validation (CVE-2022-3294)/közepes;
- Heap-based Buffer Overflow (CVE-2022-3437)/közepes;
- Integer Overflow or Wraparound (CVE-2022-3515)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2022-4415)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2022-4743)/súlyos;
- Double Free (CVE-2022-4744)/súlyos;
- Out-of-bounds Write (CVE-2022-4900)/közepes;
- Improper Validation of Specified Quantity in Input (CVE-2022-4904)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-23471)/közepes;
- Integer Overflow or Wraparound (CVE-2022-23521)/kritikus;
- Heap-based Buffer Overflow (CVE-2022-24834)/súlyos;
- Incorrect Comparison (CVE-2022-26691)/közepes;
- Out-of-bounds Write (CVE-2022-28737)/súlyos;
- Double Free (CVE-2022-28738)/kritikus;
- Out-of-bounds Read (CVE-2022-28739)/súlyos;
- Improper Input Validation (CVE-2022-29154)/súlyos;
- Incorrect Default Permissions (CVE-2022-29162)/közepes;
- Improper Ownership Management (CVE-2022-29187)/súlyos;
- Out-of-bounds Write (CVE-2022-29536)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-32148)/közepes;
- Injection (CVE-2022-34903)/közepes;
- Type Confusion (CVE-2022-34918)/súlyos;
- Inefficient Algorithmic Complexity (CVE-2022-36021)/közepes;
- NULL Pointer Dereference (CVE-2022-36227)/kritikus;
- HTTP Request/Response Smuggling (CVE-2022-36760)/kritikus;
- HTTP Request/Response Splitting (CVE-2022-37436)/közepes;
- Integer Overflow or Wraparound (CVE-2022-37454)/kritikus;
- NULL Pointer Dereference (CVE-2022-37797)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-38725)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-39189)/súlyos;
- Out-of-bounds Write (CVE-2022-39260)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-41409)/súlyos;
- Missing Release of Memory after Effective Lifetime (CVE-2022-41556)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-41715)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2022-41717)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-41723)/súlyos;
- NULL Pointer Dereference (CVE-2022-41860)/súlyos;
- Improper Input Validation (CVE-2022-41861)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-41862)/alacsony;
- Integer Overflow or Wraparound (CVE-2022-41903)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2022-42919)/súlyos;
- Out-of-bounds Write (CVE-2022-44370)/súlyos;
- Inefficient Algorithmic Complexity (CVE-2022-45061)/súlyos;
- Improper Validation of Integrity Check Value (CVE-2022-45142)/súlyos;
- Use After Free (CVE-2022-45919)/súlyos;
- Observable Discrepancy (CVE-2022-46392)/közepes;
- Out-of-bounds Read (CVE-2022-46393)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-47629)/kritikus;
- Out-of-bounds Read (CVE-2022-48303)/közepes;
- Use After Free (CVE-2022-48434)/súlyos;
- Improper Locking (CVE-2023-0160)/közepes;
- Out-of-bounds Write (CVE-2023-0330)/közepes;
- Observable Discrepancy (CVE-2023-0361)/súlyos;
- Use After Free (CVE-2023-0494)/súlyos;
- Improper Input Validation (CVE-2023-0567)/súlyos;
- Incorrect Calculation of Buffer Size (CVE-2023-0568)/súlyos;
- Use After Free (CVE-2023-0590)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-0662)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-1206)/közepes;
- Out-of-bounds Read (CVE-2023-1380)/súlyos;
- Use After Free (CVE-2023-1393)/súlyos;
- Use After Free (CVE-2023-1611)/közepes;
- Use After Free (CVE-2023-1670)/súlyos;
- Use After Free (CVE-2023-1838)/súlyos;
- Use After Free (CVE-2023-1855)/közepes;
- Use After Free (CVE-2023-1859)/közepes;
- Use After Free (CVE-2023-1989)/közepes;
- Use After Free (CVE-2023-1990)/közepes;
- Incorrect Authorization (CVE-2023-2002)/közepes;
- Out-of-bounds Write (CVE-2023-2124)/súlyos;
- Out-of-bounds Write (CVE-2023-2194)/közepes;
- Improper Locking (CVE-2023-2269)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-2861)/súlyos;
- NULL Pointer Dereference (CVE-2023-2953)/súlyos;
- Improper Removal of Sensitive Information Before Storage or Transfer (CVE-2023-3006)/közepes;
- Out-of-bounds Write (CVE-2023-3090)/súlyos;
- Use After Free (CVE-2023-3111)/súlyos;
- Use After Free (CVE-2023-3141)/súlyos;
- NULL Pointer Dereference (CVE-2023-3212)/közepes;
- Unchecked Return Value (CVE-2023-3247)/alacsony;
- Out-of-bounds Read (CVE-2023-3268)/súlyos;
- Race Condition (CVE-2023-3301)/közepes;
- NULL Pointer Dereference (CVE-2023-3316)/közepes;
- Use After Free (CVE-2023-3390)/súlyos;
- Out-of-bounds Write (CVE-2023-3611)/súlyos;
- Use After Free (CVE-2023-3776)/súlyos;
- Use After Free (CVE-2023-3863)/közepes;
- Use After Free (CVE-2023-4128)/súlyos;
- Incorrect Authorization (CVE-2023-4194)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-20593)/közepes;
- Out-of-bounds Write (CVE-2023-21255)/súlyos;
- Link Following (CVE-2023-22490)/közepes;
- Improper Verification of Cryptographic Signature (CVE-2023-22742)/közepes;
- Classic Buffer Overflow (CVE-2023-22745)/közepes;
- Type Confusion (CVE-2023-23454)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-23931)/közepes;
- Improper Input Validation (CVE-2023-23934)/alacsony;
- Path Traversal (CVE-2023-23946)/közepes;
- Code Injection (CVE-2023-24538)/kritikus;
- Allocation of Resources Without Limits or Throttling (CVE-2023-25153)/közepes;
- Integer Overflow or Wraparound (CVE-2023-25155)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2023-25193)/súlyos;
- Use of Uninitialized Resource (CVE-2023-25588)/közepes;
- HTTP Request/Response Smuggling (CVE-2023-25690)/kritikus;
- Cross-site Scripting (CVE-2023-25727)/közepes;
- Exposure of Resource to Wrong Sphere (CVE-2023-26081)/súlyos;
- Out-of-bounds Write (CVE-2023-26965)/közepes;
- HTTP Request/Response Smuggling (CVE-2023-27522)/súlyos;
- Path Traversal (CVE-2023-27534)/súlyos;
- Improper Authentication (CVE-2023-27535)/közepes;
- Improper Authentication (CVE-2023-27536)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-28450)/súlyos;
- NULL Pointer Dereference (CVE-2023-28466)/súlyos;
- Improper Encoding or Escaping of Output (CVE-2023-28486)/közepes;
- Improper Encoding or Escaping of Output (CVE-2023-28487)/közepes;
- Code Injection (CVE-2023-29402)/kritikus;
- Code Injection (CVE-2023-29404)/kritikus;
- Injection (CVE-2023-29405)/kritikus;
- Interpretation Conflict (CVE-2023-29406)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-29409)/közepes;
- Out-of-bounds Write (CVE-2023-30086)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-30456)/közepes;
- Use After Free (CVE-2023-30772)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-31084)/közepes;
- Use of Insufficiently Random Values (CVE-2023-31124)/alacsony;
- Buffer Underflow (CVE-2023-31130)/közepes;
- Use of Insufficiently Random Values (CVE-2023-31147)/közepes;
- Improper Input Validation (CVE-2023-31436)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-31489)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-32067)/súlyos;
- Improper Input Validation (CVE-2023-32233)/súlyos;
- Divide By Zero (CVE-2023-32573)/közepes;
- Race Condition (CVE-2023-33203)/közepes;
- Improper Input Validation (CVE-2023-34256)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-34872)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-34969)/közepes;
- Out-of-bounds Write (CVE-2023-35001)/súlyos;
- Out-of-bounds Write (CVE-2023-35788)/súlyos;
- Insufficiently Protected Credentials (CVE-2023-35789)/közepes;
- Race Condition (CVE-2023-35823)/súlyos;
- Race Condition (CVE-2023-35824)/súlyos;
- Race Condition (CVE-2023-35828)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-36054)/közepes;
- Inefficient Regular Expression Complexity (CVE-2023-36617)/közepes;
- OS Command Injection (CVE-2023-36664)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2023-37920)/súlyos;
- Classic Buffer Overflow (CVE-2023-38559)/közepes;
- Use After Free (CVE-2023-40283)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- OpenPCS 7 V9.1 minden verziója;
- SIMATIC BATCH V9.1 minden verziója;
- SIMATIC PCS 7 V9.1 minden verziója;
- SIMATIC Route Control V9.1 minden verziója;
- SIMATIC WinCC Runtime Professional V18 minden verziója;
- SIMATIC WinCC Runtime Professional V19 minden verziója;
- SIMATIC WinCC V7.4 minden verziója;
- SIMATIC WinCC V7.5 minden, V7.5 SP2 Update 15-nél korábbi verziója;
- SIMATIC WinCC V8.0 minden, V8.0 SP4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2023-48363)/közepes;
- NULL Pointer Dereference (CVE-2023-48364)/közepes;vítás:
Javítás: Részbenlérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 minden, Nozomi Guardian/CMC-vel használt, 23.3.0-nál korábbi verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-5253)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Location Intelligence Perpetual Large (9DE5110-8CA13-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Medium (9DE5110-8CA12-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Non-Prod (9DE5110-8CA10-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Small (9DE5110-8CA11-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Large (9DE5110-8CA13-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Medium (9DE5110-8CA12-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Non-Prod (9DE5110-8CA10-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Small (9DE5110-8CA11-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Large (9DE5110-8CA13-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Medium (9DE5110-8CA12-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Non-Prod (9DE5110-8CA10-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Small (9DE5110-8CA11-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Large (9DE5110-8CA13-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Medium (9DE5110-8CA12-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Non-Prod (9DE5110-8CA10-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Small (9DE5110-8CA11-1BX0) minden V4.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2024-23816)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIDIS Prime minden, V4.0.400-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Insufficiently Random Values (CVE-2019-19135)/súlyos;
- NULL Pointer Dereference (CVE-2020-1967)/súlyos;
- NULL Pointer Dereference (CVE-2020-1971)/közepes;
- Infinite Loop (CVE-2022-0778)/súlyos;
- Infinite Loop (CVE-2022-29862)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2201 minden, V2201.0012-nél korábbi verziója;
- Tecnomatix Plant Simulation V2201 minden verziója;
- Tecnomatix Plant Simulation V2302 minden, V2302.0006-nál korábbi verziója;
- Tecnomatix Plant Simulation V2302 minden, V2302.0007-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-23795)/súlyos;
- Heap-based Buffer Overflow (CVE-2024-23796)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-23797)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-23798)/súlyos;
- NULL Pointer Dereference (CVE-2024-23799)/alacsony;
- NULL Pointer Dereference (CVE-2024-23800)/alacsony;
- NULL Pointer Dereference (CVE-2024-23801)/alacsony;
- Out-of-bounds Read (CVE-2024-23802)/súlyos;
- Out-of-bounds Write (CVE-2024-23803)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-23804)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, V2401.0000-nál korábbi verziója;
- Simcenter Femap minden, V2306.0001-nél korábbi verziója;
- Simcenter Femap minden, V2306.0000-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-24920)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-24921)/súlyos;
- Out-of-bounds Write (CVE-2024-24922)/súlyos;
- Out-of-bounds Read (CVE-2024-24923)/súlyos;
- Out-of-bounds Write (CVE-2024-24924)/súlyos;
- Access of Uninitialized Pointer (CVE-2024-24925)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid V35.0 minden, V35.0.263-nál korábbi verziója;
- Parasolid V35.0 minden, V35.0.251-nél korábbi verziója;
- Parasolid V35.1 minden, V35.1.252-nél korábbi verziója;
- Parasolid V35.1 minden, V35.1.170-nél korábbi verziója;
- Parasolid V36.0 minden, V36.0.198-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-49125)/súlyos;
- NULL Pointer Dereference (CVE-2024-22043)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CP 343-1 (6GK7343-1EX30-0XE0) minden verziója;
- SIMATIC CP 343-1 Lean (6GK7343-1CX10-0XE0) minden verziója;
- SIPLUS NET CP 343-1 (6AG1343-1EX30-7XE0) minden verziója;
- SIPLUS NET CP 343-1 Lean (6AG1343-1CX10-2XE0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Verification of Source of a Communication Channel (CVE-2023-51440)/súlyos;
Javítás:
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 CPU (BMXP34*) sv3.60-nál korábbi verziói;
- Modicon M580 CPU (BMEP* és BMEH*, az M580 safety CPU-k nem érintettek) sv4.20-nál korábbi verziói;
- Modicon M580 CPU Safety (BMEP58*S és BMEH58*S) minden verziója;
- EcoStruxure™ Control Expert v16.0-nál korábbi verziói;
- EcoStruxure™ Process Expert v2023-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Enforcement of Message Integrity During Transmission in a
Communication Channel (CVE-2023-6408)/súlyos;
- Use of Hard-coded Credentials (CVE-2023-6409)/súlyos;
- Insufficiently Protected Credentials (CVE-2023-27975)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.02.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Harmony Control Relay (RMNF22TB30) minden verziója;
- Harmony Timer Relay (RENF22R2MMW) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2024-0568)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.02.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure IT Gateway 1.20.x és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of hard-coded credentials (CVE-2024-0865)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.02.15.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Service Platform v2.74-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Execution-Assigned Permissions (CVE-2024-21915)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-046-16

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A privát 5G hálózatok az 5G technológia egyetlen (jellemzően nagyon nagy) szervezet számára kiépített változata, ami az 5G hálózatok általános előnyei mellett (kiber)biztonsági és megbízhatósági téren további előnyöket tud nyújtani.

Szokás mondani, hogy az ipari hálózatokban a bizalmasság nem szempont (vagy legalábbis a legkevésbé fontos szempont a safety, reliability, rendelkezésre állás, sértetlenség és bizalmasság ötösből), de szerintem még ezt sem lehet mindent lefedően állítani, hiszen azoknak a szervezeteknek (pl. gyógyszergyárak, más vegyipari vagy akár élelmiszeripari szervezetek, ahol a gyártási receptek sé formulák a legnagyobb értéket képviselik - gondoljunk csak arra, hogy milyen régóta mennyire őrzik a Coca-Cola receptúráját). Ha ezeket is figyelembe vesszük, elég gyorsan érthetővé válik, miért tekintik sokan (pl. a TrendMicro tavaly nyáron megjelent cikkében is) jelentős értéknek a privát 5G hálózatok emelt szintű bizalmasságot biztosítani képes tulajdonságait. Ráadásul egyes vélemények szerint a privát 5G hálózatok a publikus, telco szolgáltatók által kínált 5G szolgáltatással szemben érzékelhető költségmegtakarítást is lehetővé tesznek.

Érdekes (és akár egészen szép reményeket keltő is lehet) látni, hogy egy, a TrendMicro által idézett felmérés szerint a privát 5G hálózatokkal kapcsolatos felsővezetői elvárások között több, kiberbiztonsággal kapcsolatos elvárás is előkelő helyre kerül (pl. biztonsági célú hálózatmonitoring, kockázatkezelés, a már működő rendszerekével egyező vagy azt meghaladó szintű biztonsági funkciók, stb.). Ezek mellett persze számos komoly kihívást is jelentenek az 5G hálózatok, pl. a meglévő kiberbiztonsági rendszerekkel történő integrációs feladatok, az a tény, hogy az elérhető szabványok nem fedik teljes körűen a privát 5G hálózatokat vagy az elosztott felelősségű működési modellek szokatlansága és akkor a Radio Access Network-ök (RAN) biztonsági kérdéseiről még nem is beszéltünk. Ez utóbbi témát a jövő heti poszt fogja egy kicsit körüljárni.

Bejelentés dátuma: 2024.02.06.
Gyártó: HID Global
Érintett rendszer(ek):
- HID iCLASS SE reader konfigurációs kártyák minden verziója;
- OMNIKEY Secure Elements reader konfigurációs kártyák minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2024-23806)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-037-02

Bejelentés dátuma: 2024.02.06.
Gyártó: HID Global
Érintett rendszer(ek):
- iCLASS SE CP1000 Encoder minden verziója;
- iCLASS SE Readers minden verziója;
- iCLASS SE Reader Modules minden verziója;
- iCLASS SE Processors minden verziója;
- OMNIKEY 5427CK Readers minden verziója;
- OMNIKEY 5127CK Readers minden verziója;
- OMNIKEY 5023 Readers minden verziója;
- OMNIKEY 5027 Readers minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2024-22388)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-037-01

Bejelentés dátuma: 2024.02.08.
Gyártó: Qolsys
Érintett rendszer(ek):
- Qolsys IQ Panel 4 4.4.2-nél korábbi verziói;
- Qolsys IQ4 Hub 4.4.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2024-0242)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-039-01

Bejelentés dátuma: 2024.02.13.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-R sorozatú Safety CPU R08SFCPU minden verziója;
- MELSEC iQ-R sorozatú Safety CPU R16SFCPU minden verziója;
- MELSEC iQ-R sorozatú Safety CPU R32SFCPU minden verziója;
- MELSEC iQ-R sorozatú Safety CPU R120SFCPU minden verziója;
- MELSEC iQ-R sorozatú SIL2 Process CPU R08PSFCPU minden verziója;
- MELSEC iQ-R sorozatú SIL2 Process CPU R16PSFCPU minden verziója;
- MELSEC iQ-R sorozatú SIL2 Process CPU R32PSFCPU minden verziója;
- MELSEC iQ-R sorozatú SIL2 Process CPU R120PSFCPU minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Privilege Assignment (CVE-2023-6815)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-044-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Február 6-án már nem első alkalommal tartott meghallgatást az USA kongresszusának illetékes albizottsága az ICS/OT kiberbiztonság témában, ezúttal a fókuszban a viziközmű szektor volt.

A meghallgatáson négyen mondhatták el meglátásaikat és kérdezték őket az albizottság tagjai:

- Robert M. Lee (Dragos)
- Charles Clancy (MITRE)
- Kevin Morley (Amerikai Víziközmű Szövetség, AWWA)
- Marty Edwards (Tenable)

A meghallgatásról készült videófelvétel itt, a jegyzokönyv pedig itt érhető el.

Bejelentés dátuma: 2024.01.30.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Service Platform v6.4-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Verification of Cryptographic Signature (CVE-2024-21917)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-06

Bejelentés dátuma: 2024.01.30.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC WS Series Ethernet Interface Modulok minden, WS0-GETH00200 verziójának összes sorozatszáma;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Capture-replay (CVE-2023-6374)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-03

Bejelentés dátuma: 2024.01.30.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ControlLogix 5570 20.011-es firmware-verziója;
- ControlLogix 5570 20.054_kit1 firmware-verziója;
- GuardLogix 5570 20.011-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024 21916)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-05

Bejelentés dátuma: 2024.01.30.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- EZSocket 3.0 és későbbi verziói;
- FR Configurator2 minden verziója;
- GT Designer3 Version1(GOT1000) minden verziója;
- GT Designer3 Version1(GOT2000) minden verziója;
- GX Works2 1.11M és későbbi verziói;
- GX Works3 minden verziója;
- MELSOFT Navigator 1.04E és későbbi verziói;
- MT Works2 minden verziója;
- MX Component 4.00A és későbbi verziói;
- MX OPC Server DA/UA (az MC Works64-gyel csomagolt szoftververziók) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-6942)/súlyos;
- Unsafe Reflection (CVE-2023-6943)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-02

Bejelentés dátuma: 2024.01.30.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- LP30 Operator Panel V3.5.19.0-nál korábbi verziói;
- LP40 Operator Panel V3.5.19.0-nál korábbi verziói;
- LP50 Operator Panel V3.5.19.0-nál korábbi verziói;
- BM40 Operator Panel V3.5.19.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Validation of Consistency within Input (CVE-2022-47378)/közepes;
- Out-of-bounds Write (CVE-2022-47379)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47380)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47381)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47382)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47383)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47384)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47386)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47387)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47388)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47389)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47390)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47385)/súlyos;
- Improper Validation of Consistency within Input (CVE-2022-47392)/közepes;
- Untrusted Pointer Dereference (CVE-2022-47393)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-07

Bejelentés dátuma: 2024.01.30.
Gyártó: Hitron Systems
Érintett rendszer(ek):
- DVR HVR-4781 1.03-tól 4.02-ig terjedő verziói;
- DVR HVR-8781 1.03-tól 4.02-ig terjedő verziói;
- DVR HVR-16781 1.03-tól 4.02-ig terjedő verziói;
- DVR LGUVR-4H 1.02-tól 4.02-ig terjedő verziói;
- DVR LGUVR-8H 1.02-tól 4.02-ig terjedő verziói;
- DVR LGUVR-16H 1.02-tól 4.02-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2024-22768)/súlyos;
- Improper Input Validation (CVE-2024-22769)/súlyos;
- Improper Input Validation (CVE-2024-22770)/súlyos;
- Improper Input Validation (CVE-2024-22771)/súlyos;
- Improper Input Validation (CVE-2024-22772)/súlyos;
- Improper Input Validation (CVE-2024-23842)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-04

Bejelentés dátuma: 2024.01.30.
Gyártó: Emerson
Érintett rendszer(ek):
- GC370XA Emerson Rosemount Gas Chromatograph 4.1.5-ös verziója;
- GC700XA Emerson Rosemount Gas Chromatograph 4.1.5-ös verziója;
- GC1500XA Emerson Rosemount Gas Chromatograph 4.1.5-ös verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-46687)/kritikus;
- Command Injection (CVE-2023-49716)/közepes;
- Improper Authentication, Improper Authorization (CVE-2023-51761)/súlyos;
- Improper Authentication, Improper Authorization (CVE-2023-43609)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-01

Bejelentés dátuma: 2024.02.01.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA Edge: 2020 R2 SP2 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2023-6132)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-032-03

Bejelentés dátuma: 2024.02.01.
Gyártó: Gessler
Érintett rendszer(ek):
- WEB-MASTER 7.9-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Weak Credentials (CVE-2024-1039)/kritikus;
- Use of Weak Hash (CVE-2024-1040)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-032-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

PLC-khez használható forensics eszköz forráskódját publikálta a Microsoft

Amikor 2020 nyarán a Microsoft felvásárolta a CyberX nevű ICS biztonsági céget, én személy szerint arra számítottam, hogy a Redmond-i cég hasonló lendülettel fogja magát belevetni az ICS kiberbiztonság témájába, ahogy az IT területen már évtizedek óta megszoktuk tőle. Aztán nem éppen ez történt, a jelek szerint sokkal inkább csendben dolgoznak a háttérben és csak ritkán lehet hallani a munkájukról. Néhány hete pont egy ilyen ritka alkalom jött el, amikor a Github-on publikálták az ICSpector névre keresztelt projektjük keretében született forráskódját.

Az ICSpector elsődleges célja a Microsoft szerint a PLC-k forensics-elemzésének megkönnyítése a PLC-k meta-adatainak és projekt fájljainak vizsgálatával, ami (figyelembe véve az elmúlt időszakban történt, gyakran PLC-ket is közvetlenül érintő ICS kiberbiztonsági incidensek növekvő számát) egyáltalán nem tűnik felesleges fejlesztésnek.