Phoenix Contact rendszerek sérülékenysége

Mathy Vanhoef, az imec-DistriNet és a Leuven-i Katolikus Egyetem munkatársa KRACK sérülékenységet fedezett fel a Phoenix Contact alábbi termékeiben:

- BL2 BPC;
- BL2 PPC;
- FL COMSERVER WLAN 232/422/485;
- FL WLAN 110x;
- FL WLAN 210x;
- FL WLAN 510x;
- FL WLAN 230 AP 802-11;
- FL WLAN 24 AP 802-11;
- FL WLAN 24 DAP 802-11;
- FL WLAN 24 EC 802-11;
- FL WLAN EPA;
- FL WLAN SPA;
- ITC 8113;
- RAD-80211-XD;
- RAD-WHG/WLAN-XD;
- TPC 6013;
- VMT 30xx;
- VMT 50xx;
- VMT 70xx.

A gyártó jelenlegi is vizsgálja, hogy a sérülékenység hogyan hat a beágyazott eszközeinek működésére és amíg elkészülnek a sérülékenység javításával, azt javasolják, hogy ügyfeleik telepítsék a Windows operációs rendszerekhez a Microsoft által már kiadott patch-eket.

A sérülékenységgel kapcsolatos részleteket az ICS-CERT publikációja tartalmazza: https://ics-cert.us-cert.gov/advisories/ICSA-17-325-01

Szolgáltatás-megtagadást lehetővé tevő sérülékenység Siemens termékekben

George Lashenko, a CyberX biztonsági kutatója egy SNMP DoS-t lehetővé tevő hibát azonosított a Siemens számos termékében:

- SIMATIC S7-200 Smart: V2.03.01-nél korábbi összes verzió;
- SIMATIC S7-400 PN V6: V6.0.6-nál korábbi összes verzió;
- SIMATIC S7-400 H V6: minden verzió;
- SIMATIC S7-400 PN/DP V7: minden verzió;
- SIMATIC S7-410 V8: minden verzió;
- SIMATIC S7-300: minden verzió;
- SIMATIC S7-1200: minden verzió;
- SIMATIC S7-1500: minden verzió;
- SIMATIC S7-1500 Software Controller: minden verzió;
- SIMATIC WinAC RTX 2010: minden verzió;
- SIMATIC ET 200 Interface modules for PROFINET IO:
- SIMATIC ET 200AL: minden verzió;
- SIMATIC ET 200ecoPN: minden verzió;
- SIMATIC ET 200M: minden verzió;
- SIMATIC ET 200MP: minden verzió;
- SIMATIC ET 200pro: minden verzió;
- SIMATIC ET 200S: minden verzió;
- SIMATIC ET 200SP: minden verzió;
- Development/Evaluation Kits for PROFINET IO:
- DK Standard Ethernet Controller: minden verzió;
- EK-ERTEC 200P:V4.5-nél korábbi összes verzió;
- EK-ERTEC 200 PN IO: minden verzió;
- SIMOTION Firmware:
- SIMOTION D: V5.1 HF1-nél korábbi összes verzió;
- SIMOTION C: V5.1 HF1-nél korábbi összes verzió;
- SIMOTION P: V5.1 HF1-nél korábbi összes verzió;
- SINAMICS:
- SINAMICS DCM: minden verzió;
- SINAMICS DCP: minden verzió;
- SINAMICS G110M/G120(C/P/D) w. PN: V4.7 SP9 HF1-nél korábbi összes verzió
- SINAMICS G130 és G150: minden verzió;
- SINAMICS S110 w. PN: minden verzió;
- SINAMICS S120: minden verzió;
- SINAMICS S150:
- V4.7: minden verzió;
- V4.8: minden verzió;
- SINAMICS V90 w. PN: minden verzió;
- SINUMERIK 840D sl: minden verzió;
- SIMATIC Compact Field Unit: minden verzió;
- SIMATIC PN/PN Coupler: minden verzió;
- SIMOCODE pro V PROFINET: minden verzió;
- SIRIUS Soft starter 3RW44 PN: minden verzió.

A gyártó az alábbi termékekhez a megjelölt verziókban már elérhetővé tette a javításokat:

- SIMATIC S7-200 Smart: V2.03.01;
- SIMATIC S7-400 PN V6: Update V6.0.6;
- EK-ERTEC 200P: Update V4.5;
- SIMOTION D: Update V5.1 HF1;
- SIMOTION C: Update V5.1 HF1;
- SIMOTION P: Update V5.1 HF1;
- SINAMICS G110M/G120(C/P/D): Update V4.7 SP9 HF1.

A Siemens további frissítéseken is dolgozik, azok elkészültéig az alábbi kockázatcsökkentő intézkedések alkalmazását javasolja:

- Amelyik termékben erre van lehetőség, tiltsák le az SNMP szolgáltatást, ezt tökéletes védelmet jelent a sérülékenységet kihasználó támadási kísérletek ellen;
- Kontrollálják az érintett eszközök 161/udp portjához történő hozzáférést;
- Alkalmazzák a Siemens által kidolgozott cell protection koncepciót;
- Használjanak VPN-megoldást az egyes hálózati zónák közötti kommunikációjához;
- Alkalmazzanak mélységi hálózati védelmert.

A sérülékenységgel kapcsolatosan bővebb információkat a Siemens ProductCERT bejelentésében lehet olvasni: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-346262.pdf

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen

Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Korábban az idei évben írtam már a Shodan keresőmotorról és annak ICS világban történő felhasználási lehetőségeiről. Most hétvégén, a Black Friday keretében az egyébként 50 dolláros tagsági díjat 5 dollárra csökkentették. Hétfőig van ideje mindenkinek élni a lehetőséggel, aki úgy gondolja, hasznos lehet számára a Shodan minden elérhető funkciója. Részletek: https://www.shodan.io/store/member

A Capture the Flag rendezvények igen népszerűek a különböző kiberbiztonsági körökben (a BME CrySys Lab-ból indult magyar csapat, a Spam&Hex is évről-évre elismerésre méltó eredményeket vonultat fel), Szingapúrban pedig a helyi műszaki egyetemen nemrég egy olyan CTF-et rendeztek, aminek célja teljes egészében egy vízmű folyamatvezérlő rendszereinek és az általuk vezérelt fizikai folyamatok manipulálása volt.

Most végre elérhetővé váltak olyan dokumentumok, amikből részleteket is meg lehet tudni. Az anonimizált összefoglalót itt lehet elérni, itt pedig az egyik résztvevő csapat leírása olvasható.

Az elmúlt hét ismét érdekes termést hozott ICS sérülékenységek terén.

Philips egészségügyi rendszerek sérülékenységei

A gyártó Philips két termékének egyes verzióiban talált sérülékenységet. Az érintett termékek:

- IntelliSpace Cardiovascular, 2.3.0 és korábbi verziók;
- Xcelera, R4.1L1 és korábbi verziók.

A most felfedezett sérülékenység oka, hogy az érintett rendszerek olvasható formában tárolják a felhasználói fiókok bejelentkezési adatait.

A gyártó a sérülékenységgel kapcsolatban egyes verziókhoz már elérhetővé tette a javítást, a többi verziónál jelenleg is folyik a javított verzió fejlesztése, ezek várhatóan 2017 végén lesznek elérhetőek.

A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-318-01

Sérülékenység ABB TropOS operációs rendszerekben

Az ABB nemrég jelezte az ICS-CERT-nek, hogy a TropOS operációs rendszert használó szélessávú routerei érintettek a KRACK (Key Reinstallation AttaCKs) sérülékenység által. Az ABB Mesh OS 8.5.2 és korábbi verziót használó bridge eszközei szintén érintettek.

A gyártó jelenleg is dolgozik a sérülékenység hatásait csökkentő intézkedéseken és megjelentetett egy összefoglalót a weboldalán.

A sérülékenységgel kapcsolatos további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-318-02

Siemens SICAM RTU sérülékenységek

A SEC Consult cég sérülékenységi laboratóriumának munkatársai három hibát fedeztek fel a Siemens által gyártott SICAM RTU-k SM-2556 COM moduljainak alábbi verzióiban:

- ENOS00, ERAC00, ETA2, ETLS00, MODi00, DNPi00: minden verzió.

A hibák között kritikus funkció esetén hiányzó authentikáció, az RTU webes felületének generálása során hiányzó, bevitt adat ellenőrzés és kód befecskendezést lehetővé tevő hiba is van.

A gyártó minden érintett verziót használó ügyfelének az alábbiakat javasolja:

- A csak diagnosztikai célra használható webes funkciók letiltása;
- A sérülékeny és már nem támogatott verziókat (ETA2 - 104 protokollt használó modellek, MODi00 - Modbus/TCP slave modellek, DNPi00 - DNP3/TCP protokollt használó slave modellek) használó ügyfeleik upgrade-eljenek az újabb verziókra (ETA4 - 104 protokollt használó modell, MBSiA0 - Modbus/TCP slave modell, DNPiA1 - DNP3/ TCP slave modell).

A sérülékenységgel kapcsolatban bővebb információkat az ICS-CERT és a Siemens ProductCERT bejelentéseiben lehet találni.

Sérülékenység Moxa eszközökben

Florian Adamsky három sérülékenységet azonosított az alábbi Moxa NPort eszközökben:

- NPort 5110 Version 2.2;
- NPort 5110 Version 2.4;
- NPort 5110 Version 2.6;
- NPort 5110 Version 2.7;
- NPort 5130 Version 3.7 és korábbi verziók;
- NPort 5150 Version 3.7 és korábbi verziók.

A hibák között csomag-befecskendezéses támadást lehetővé tevő, információ-szivárgást okozó és nem megfelelő erőforrás kezelési hiba található.

A gyártó a hibákat a legújabb firmware-verzióban javította.

A sérülékenységekről további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-320-01

DNSMasq sérülékenység Siemens SCALANCE eszközökben

A Siemens ProductCERT bejelentésében 4 különböző, az alábbi SCALANCE eszközökben használt DNSMasq-ot érintő sérülékenységet hozott nyilvánosságra:

- SCALANCE W1750D: minden verzió;
- SCALANCE M800 / S615: All minden verzió.

Azok a SCALANCE W1750D eszközök, amiket vezérlő módban Aruba Mobility Controllereken használnak, nem érintettek, ha az AOS verzió újabb, mint az alábbiak:

- V6.3.1.25;
- V6.4.4.16;
- V6.5.1.9;
- V6.5.3.3;
- V6.5.4.2;
- V8.1.0.4.

A gyártó jelenleg is dolgozik a sérülékenységeket javító firmware-verzión.

A sérülékenységekkel kapcsolatos részleteket a Siemens ProductCERT bejelentésében lehet megtalálni: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-689071.pdf

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az ipari környezetekbe szánt (szakszóval ruggedized) tűzfalak ma már egyáltalán nem számítanak rendkívülinek, több gyártó is specializálódott az ilyen, a szerverterminél jóval durvább fizikai körülmények között is működőképes tűzfalak gyártására. Az utóbbi néhány évben az ICS rendszerek biztonsága mellett egyre gyakrabban merült fel az egészségügyben használt rendszerekkel kapcsolatban IT biztonsági kérdés és sorban jelennek meg az ilyen rendszerek sérülékenységi információi is.

Az egészségügyben használt rendszerek rendelkezésre állási mutatóinak és a patch-elhetőség, valamint életciklus tekintetében igen sok hasonlóságot mutatnak az ICS rendszerekkel, ami hasonlóan nagy kockázatot jelentenek, azonban az emberélet ezeknél a rendszereknél még az ICS világban megszokottnál is közvetlenebb veszélyben lehet - ráadásul az egészségügyi adatok a személyes adatok között is kiemelten védendőnek számítanak, ami miatt ezekre a rendszerekre a GDPR, az EU adatvédelmi jogszabálya is sokkal közvetlenebb hatást fog gyakorolni, mint az átlagos ICS rendszerekre.

Egy izraeli startup most ebben az új szegmensben látta meg az üzleti lehetőséget és a héten bejelentette a kifejezetten egészségügyi környezetekbe, az egészségügyi elektronikus adatbázisok, orvosi eszközöket vezérlő szerverek illetve egyéb, vállalati IT rendszerek és adott esetben az Internet közé tervezett, "orvosi tűzfalnak" nevezett termékeit.

A bejelentés szerint a Medigate megoldása korlátozott számban egyes erre kiválasztott szervezetek számára már elérhető, szabadon megvásárolható pedig 2018 év közepétől lesz.

Az elmúlt kb. 3 hétben nem igazán volt időm a blogra, így elég rendesen összegyűltek az ICS rendszerekkel kapcsolatos sérülékenységi információk is, szóval a mai egy hosszú poszt lesz.

SpiderControl MicroBrowser sérülékenység

Karn Ganeshen egy DLL hijacking hibát fedezett fel a SpiderControl MicroBrowser, Windows XP, Windows Vista, Windows 7/8/10 operációs rendszerekre épülő érintő paneles operációs rendszereinek 1.6.30.144-es és ennél korábbi verzióiban.

A hibát a gyártó a MicroBrowser 1.6.30.148-as verziójában javította.

A sérülékenységről további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-292-01

Sérülékenységek Boston Scientific rendszerekben

Jonathan Butts és Billy Rios, a Whitescope munkatársai két hibát fedeztek fel a Boston Scientific ZOOM LATITUDE PRM nevű termékének Model 3120-as szériájának. A hibák a Model 3120 minden verzióját érintik. Mindkét hiba a ZOOM LATITUDE PRM Model 3120 által használt titkosításhoz kötődik, az első egy beégetett titkosítási kulcs, a második pedig érzékeny adatok titkosításának elmaradásából adódik.

A gyártó a sérülékenységekkel kapcsolatban javítást nem, csak kompenzáló kontrollokra vonatkozó javaslatokat publikált:

- Megfelelően dokumentált és ellenőrzött hozzáférés-ellenőrzés bevezetését javasolják az érintett eszközök esetén;
- A nem használt eszközöket biztonságos és/vagy zárt helyen javasolt tárolni;
- Az érintett eszközökben használt fizikai titkosító kulcs tároló eszközt javasolt eltávolítani a leállításra vagy kiszerelésre szánt eszközökből.

A sérülékenységekkel kapcsolatos részletesebb információkat az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSMA-17-292-01

Rockwell Automation sérülékenység

Mathy Vanhoef, a belgiumi Leuven-i Katolikus Egyetem munkatársa egy KRACK sérülékenységgel kapcsolatos hibát fedezett fel a Rockwell Automation Stratix 5100-as ipari vezeték nélküli access pontjainak/munkacsoport átjáróinak 15.3(3)JC1 és korábbi verziójú firmware-eiben.

A hibával kapcsolatban a gyártó későbbre ígéri a Stratix 5100-as eszközök firmware-frissítését. Addig is azt javasolja minden érintett eszközt használó ügyfelének, hogy patch-eljék a Stratix 5100-asokhoz csatlakozó klienseket, mert már a kliens oldali javítás is képes lehet az adott kliens és a sérülékeny Stratix 5100 közötti kommunikációt biztonságossá tenni. Ennek ellenére amikor publikálásra kerül a Stratix 5100-ashoz készült javított firmware-verzió, javasolt azt is mielőbb telepíteni.

A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-299-02

Korenix JetNet sérülékenységek

Mandar Jadhav két sérülékenységet azonosított a Korenix JetNet alábbi verzióiban:

- JetNet5018G, 1.4-es verzió;
- JetNet5310G, 1.4a verzió;
- JetNet5428G-2G-2FX, 1.4-es verzió;
- JetNet5628G-R, 1.4-es verzió;
- JetNet5628G, 1.4-es verzió;
- JetNet5728G-24P, 1.4-es verzió;
- JetNet5828G, 1.1d verzió;
- JetNet6710G-HVDC, 1.1e verzió;
- JetNet6710G, 1.1-es verzió.

A most publikált sérülékenységek között az érintett rendszerekbe beégetett titkosító kulcsok és és nem dokumentált, beégetett felhasználói azonosítók vannak.

A gyártó a nem dokumentált, beégetett felhasználói azonosítók problémáját a legújabb kiadott firmware-verzióban javította. A beégetett titkosító tanúsítvány cseréjéhez javasolják, hogy az érintett ügyfeleik vegyék fel a kapcsolatot a szoftvertámogató központjukkal.

A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-299-01

Trihedral VTSCADA sérülékenységek

Karn Ganeshen és Mark Cross egymástól függetlenül fedeztek fel két hibát a Trihedral Engineering Limited által gyártott VTScada 11.3.03-as és korábbi verzióiban. A sérülékenységek között nem megfelelő hozzáférés-ellenőrzés és DLL hijacking is található.

A hibákat a gyártó a VTSCADA 11.3.05-ös verziójában javította.

A sérülékenységek részletei az ICS-CERT publikációjában találhatóak meg: https://ics-cert.us-cert.gov/advisories/ICSA-17-304-02

Sérülékenység ABB FOX515T kommunikációs interfészekben

Ketan Bali egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó sérülékenységet azonosított az ABB FOX515T kommunikációs interfészeinek 1.0-ás verziójában.

A gyártó közlése szerint az érntett termékek elérték életciklusuk végét és nem várható javítás a sérülékenységgel kapcsolatban. Az ABB sérülékenységgel kapcsolatos további információit itt lehet megtalálni: http://new.abb.com/about/technology/cyber-security/alerts-and-notifications

A sérülékenységgel kapcsolatos további ICS-CERT információkat itt lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-304-01

Advantech WebAccess sérülékenységek

Steven Seeley, együttműködésben ZDI-vel két sérülékenységet talált az Advantech WebAccess V8.2_20170817-nél korábbi verzióiban.

A hibák között puffer-túlcsordulás és nem megfelelő pointer-visszahivatkozás található. A gyártó a hibákat a V8.2_20170817-es verzióban javította.

A sérülékenységekről további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-306-02

Sérülékenység Siemens SIMATIC PCS 7 eszközökben

Sergey Temnikov és Vladimir Dashchenko, a Kaspersky Lab munkatársai egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó sérülékenységet fedeztek fel a SIMATIC PCS 7 alábbi verzióiban:

- A WinCC V7.3 Upd 13-mal együtt használt V8.1 SP1-nél régebbi összes V8.1 verzió;
- Minden V8.2 verzió.

A gyártó a V8.1 verziók hibáit a V8.1 SP1-ben javította, a többi érintett verzió esetében jelenleg is dolgozik a hiba javításán.

A sérülékenység részleteiről az ICS-CERT és a Siemens ProductCERT bejelentéseiben lehet olvasni.

Sérülékenységek Schneider Electric rendszerekben

Aaron Portnoy egy puffer-túlcsordulásból adódó sérülékenységet azonosított a Schneider Electric alábbi rendszereiben:

- InduSoft Web Studio v8.0 SP2 Patch 1 és korábbi verziók;
- InTouch Machine Edition v8.0 SP2 Patch és korábbi verziók.

A sérülékenységekkel kapcsolatban a gyártó minden érintett ügyfelének azt javasolja, hogy frissítsenek, az InduSoft Web Studio esetén a v8.1-es verzióra, az InTouch Machine Edition esetén a 2017 v8.1-es verzióra, továbbá kiadtak egy, a sérülékenységekkel kapcsolatos bulletint is, ami itt érhető el: http://software.schneider-electric.com/pdf/security-bulletin/lfsec00000124/

A sérülékenységekkel kapcsolatos ICS-CERT bejelentés itt érhető el: https://ics-cert.us-cert.gov/advisories/ICSA-17-313-02

Sérülékenység AutomationDirect rendszerekben

Mark Cross, a RIoT Solutions munkatársa egy DLL hijacking sérülékenységet azonosított az AutomationDirect alábbi rendszereiben:

- CLICK Programming Software (Part Number C0-PGMSW), 2.10 és korábbi verziók;
- C-More Programming Software (Part Number EA9-PGMSW), 6.30 és korábbi verziók;
- C-More Micro (Part Number EA-PGMSW)4.20.01.0 és korábbi verziók;
- GS Drives Configuration Software (Part Number GSOFT), 4.0.6 és korábbi verziók;
- SL-SOFT SOLO Temperature Controller Configuration Software (Part Number SL-SOFT), 1.1.0.5 és korábbi verziók.

A gyártó az alábbi termékei esetén adott ki javítást a sérülékenységre:

- CLICK Programming Software: 2.11-es verzió;
- C-more Programming Software: 6.32-es verzió;
- C-more Micro Programming Software: 4.21-es verzió;
- GS Drives: 4.0.7-es verzió;
- SL-Soft SOLO Configuration software: 1.1.0.6-es verzió.

A sérülékenység további részleteit az ICS-CERT bejelentésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-313-01

KRACK sérülékenység Siemens ipari termékekben

A Siemens ProductCERT publikációja alapján a Siemens számos ipari környezetbe szánt termékét érinti a KRACK néven ismertté vált WPA/WPA2 sérülékenység. Az érintett termékek/rendszerek listája az alábbi:

SCALANCE W1750D: minden verzió;
SCALANCE WLC711: minden verzió;
SCALANCE WLC712: minden verzió;
SCALANCE W-700 (IEEE 802.11n): minden verzió;
SCALANCE W-700 (IEEE 802.11a/b/g): minden verzió;
SIMATIC IWLAN-PB/LINK: minden verzió;
RUGGEDCOM RX1400 WLAN interfésszel: minden verzió;
RUGGEDCOM RS9xxW: minden verzió;
SIMATIC Mobile Panel 277(F) IWLAN: minden verzió;
SIMATIC ET200 PRO IM154-6 PN IWLAN: minden verzió;
SINAMICS V20 Smart Access Module: minden verzió.

A hibával kapcsolatos javításokat a Siemens jelenleg is fejleszti. A SCALANCE W1750D eszközök gyári beállítások mellett nem érintettek, csak a "Mesh" vagy a "WiFi uplink" funkciókat használó ügyfelek rendszereiben jelentkezik a sérülékenység.

A sérülékenységekkel kapcsolatos bővebb információkat a Siemens ProductCERT bejelentése tartalmazza: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-901333.pdf

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A SCADA StrangeLove néven ismert, orosz biztonsági kutatókból álló csapatról már többször írtam a blogon, a legújabb előadásukban, amit a Recon 2017 brüsszeli konferencián tartottak, a villamosenergia-rendszer alállomásain használt digitális védelmek biztonsági helyzetével foglalkoznak.

Az előadás fókuszában a digitális védelmi relék és ezek termináljai állnak, de szó esik a védelmek által leggyakrabban használt ipari protokollokról (IEC 61850, IEC 104, Modbus) és a védelmek által gyakran használt, nem igazán csak ipari környezetekben előforduló protokollokról (HTTP, FTP, SSH, stb.) is.

A teljes prezentáció elérhető a Slideshare-en.

JanTek JTC-200 sérülékenységek

Karn Ganeshan két sérülékenységet jelentett az ICS-CERT-nek, amik a JanTek JTC-200 TCP/IP konverter berendezések minden verzióját érinti. A hibák között egy CSRF és egy nem megfelelő authentikációból adódó hiba található.

A gyártó a JTC-200-as sorozatú eszközökhöz nem fog hibajavítást kiadni, jelenleg a JTC-300-as sorozat 2017 végére ütemezett megjelenésén dolgoznak.

A sérülékenységekkel kapcsolatban további részleteket az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-283-02

Sérülékenység LAVA Computer MFG berendezésekben

Maxim Rupp egy authentikáció megkerülést lehetővé tevő hibát talált a LAVA Computer MFG ESL (Ether-Serial Link) berendezéseinek 6.01.00/29.03.2017 és korábbi firmware-verzióiban.

A gyártó nem reagált az ICS-CERT hibával kapcsolatos megkeresésére, így jelenleg nincs elérhető javítás a sérülékenységre.

A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-283-01

Sérülékenységek Siemens BACnet berendezésekben

A Siemens két sérülékenységet azonosított az általa gyártott, alábbi BACnet berendezésekben:

- APOGEE PXC BACnet Automation Controllers: minden, V3.5-nél korábbi verzió;
- TALON TC BACnet Automation Controllers: minden, V3.5-nél korábbi verzió.

A gyártó a hibákat a V3.5-ös firmware-verzióban javította.

A sérülékenységekkel kapcsolatban további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-05

NXP Semiconductors rendszerek sérülékenységei

Scott Gayou két hibát, egy puffer-túlcsordulást és egy memória-kezelési hibát talált az NXP Semiconductors alábbi rendszereiben:

- MQX RTOS 5.0 és korábbi verziók (puffer-túlcsordulás);
- MQX RTOS 4.1 és korábbi verziók (memória-kezelési hiba).

A gyártó 2018. januárra tervezi a fenti hibákat javító új MQX verziót.

A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-04

Sérülékenység Envitech EnviDAS Ultimate rendszerekben

Can Demirel és Deniz Çevik, a Biznet Bilisim munkatársai egy nem megfelelő authentikációból adódó hibát találtak az Envitech EnviDAS Ultimate v1.0.0.5-nél korábbi verzióiban.

A gyártó a hibát a v1.0.0.5-ös és újabb verzióiban javította.

A sérülékenységgel kapcsolatos további információkat az ICS-CERT bejelentése tartalmazza: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-03

WECON rendszerek sérülékenysége

Andrea “rgod” Micalizzi, az iDefense Labs munkatársa egy puffer-túlcsordulásból adódó hibát fedezett fel a WECON LEVI Studio HMI Editor v1.8.1 és korábbi verzióiban.

A gyártó a hibát a v1.8.2 és újabb verziókban javította.

A sérülékenységgel kapcsolatosan részletesebb információkat az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-02

Sérülékenységek Prominent MultiFLEX berendezésekben

Maxim Rupp 5 különböző sérülékenységet azonosított a ProMinen MultiFLEX M10a típusú berendezéseiben. A hibák a MultiFLEX M10a webes interfészének minden verzióját érintik.

A gyártó mostanáig nem adott hírt a sérülékenységek javításáról.

A sérülékenységek részleteiről az ICS-CERT bejelentésében lehető bővebben olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-01

Progea Movicon SCADA/HMI rendszerek sérülékenységei

Karn Ganeshen két sérülékenységet fedezett fel a Progea Movicon HMI szoftver-platformjának 11.5.1181-es és korábbi verzióiban.

A gyártó mostanáig nem tett elérhetővé javítást a hibákkal kapcsolatban, de egy tudásbázis cikk elérhető a DLL Hijacking sérülékenységről: http://www.movicon.info/Support/MoviconKB/WebHelp/Knowledgebase/kb000035.htm

A sérülékenység részleteiről az ICS-CERT weboldalán lehet bővebb információkat szerezni: https://ics-cert.us-cert.gov/advisories/ICSA-17-290-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Siemens 7KT PAC1200 data manager sérülékenység

Maxim Rupp egy authentikáció-megkerülést lehetővé tevő hibát fedezett fel a Siemens 7KT PAC1200 data manager okosmérőinek V2.03-nál korábbi verzióiban.

A gyártó a hibát a SENTRON okosmérő portfólióba tartozó 7KT PAC1200 data manager (7KT1260) V2.03-as verziójú firmware-jében javította.

A sérülékenységgel kapcsolatos részletekről az ICS-CERT és a Siemens ProductCERT bejelentéseiben lehet olvasni.

Sérülékenység a GE CIMPLICITY rendszerében

David Atch, a CyberX munkatársa egy puffer-túlcsordulási hibát talált a GE CIMPLICITY HMI/SCADA menedzsment rendszerének 9.0 és korábbi verzióiban.

A hibát a GE a 9.5-ös verziótól javította, ezért minden érintett ügyfelének azt javasolja, hogy frissítsenek erre vagy a legfrissebb verzióra.

A sérülékenységről bővebb információt az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-278-01

Sérülékenység Cisco ipari környezetbe szánt hálózatbiztonsági rendszerekben

A Cisco közleménye szerint számos egyéb terméke mellett a 3000-es sorozatú ipari biztonsági rendszerei (Industrial Security Appliance, ISR) is érintett az IPv6 extensin header csomagok nem megfelelő bevitt adat ellenőrzéséből adódó sérülékenység által. A sérülékenységet kihasználva szolgáltatás megtagadást lehet előidézni a sérülékeny berendezéseknél.

A gyártó megerősítette, hogy a Cisco FirePower System Software 5.3, 5.4.0 és 5.4.1-es verzióit a sérülékenység nem érinti. A 6.0.1, 6.1.0, 6.2.0 és 6.2.1-es verziók érintettek. A Cisco minden érintett verzió esetén ajánl nem sérülékeny verziókat.

A sérülékenységről részletesebb információkat a Cisco bejelentésében lehet olvasni.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Kaspersky Lab Control Systems Cyber Emergency Response Team-je szeptember utolsó napjaiban ismét megjelentette féléves összefoglalóját az általuk megfigyelt és elemzett ICS kiberbiztonsági fenyegetésekről.

A 20 oldalas tanulmány részletesen foglalkozik az ESET és a Dragos munkatársai által felfedezett és CrashOverride/Industroyer néven publikált, ICS rendszerek elleni támadásokhoz létrehozott malware-rel.

A Kaspersky tanulmánya szintén beszámol két amerikai szervezet biztonsági (safety) rendszerei elleni támadásról, az első még január közepén, 8 nappal Donald Trump elnöki beiktatása előtt a Washington DC rendőrségi CCTV-rendszer elleni támadás volt, amikor a köztéri megfigyelő kamerák felvételeit tároló 187 storage eszközből 123-at fertőzött meg zsaroló vírus.

A másik esetben, áprilisban a dallasi vészhelyzeti szirénarendszer vált használhatatlanná egy kibertámadás következtében. Másfél órányi időszakban 156, tornádóra figyelmeztető sziréna kezdett működni 15 alkalommal, alkalmanként 90 másodpercre. Bár részleteket nem nagyon lehet tudni az incidensről, a Bastille nevű biztonsági cég munkatársai szerint feltételezhető, hogy a támadók egy "rádió-visszajátszásos" támadást hajtottak végre, vagyis rögzítették a szirénarendszer vezérlőközpontjának rádióadásait az egyik havi tesztelés során, majd ezt a rögzített adást játszották vissza a szirénák rádiós vevőegységeinek. A dallasi hatóságoknak két napig tartott, mire helyre tudták állítani a rendszer üzemszerű működését - ez egy biztonsági (safety) rendszernél hihetetlenül hosszú idő!

A tavaly októberi, Mirai botnettel végrehajtott DDoS-támadások után 2017 áprilisában és májusában ismét IoT kamerák hibáit hozták nyilvánosságra kutatók (áprilisban Pierre Kim, májusban a TrendMicro munkatársai).

A nigériai vagy 417-es csalók tevékenysége régóta nem újdonság az IT/információbiztonsági szakemberek többségének, azonban a Kaspersky tanulmányában most először jelennek meg olyan nigériai támadók, akik ipari rendszerek mellett üzemelő üzleti levelezőrendszereket támadnak. A Kaspersky elemzése szerint több, mint 50 országban 500-nál is több szervezetet vettek célba a támadók és a célba vett szervezetek legkevesebb 80%-a ipari, közlekedési vagy logisztikai vállalat volt.

A 2017 első felében nyilvánosságra hozott (jellemzően amerikai kormányszervek által gyűjtött) sérülékenységek és a hozzájuk kapcsolódó kártékony kódok között a tanulmány a Wikileaks által közzétett CIA-s archívumot valamint a Shadow Brokers által ellopott, majd nyilvánosságra hozott NSA archívumot említi.

Ez utóbbihoz kapcsolódik az utóbbi évek legnagyobb ransomware-hulláma, a WannaCry, ami májusban, majd a Petya/Petwrap-támadás, ami június végén söpört végig számos szervezet rendszerein, nem kímélve a legkülönbözőbb, Windows operációs rendszerre épülő ICS rendszereket sem (a WannaCry-nál a Renault/Nissan/Dacia gyártósorairól tudjuk, hogy hatással volt rájuk a ransomware, Ausztráliában pedig a Cadburry gyáraira volt hatása, a Petya/Petwrap-támadás pedig főleg Ukrajnában és Oroszországban okozott komoly gondokat különböző ipari szereplőknek).

Részletesebb adatokat, grafikonokat a Kaspersky Lab ICS CERT által kiadott, 20 oldalas tanulmányban lehet olvasni: https://ics-cert.kaspersky.com/wp-content/uploads/sites/6/2017/09/KL-ICS-CERT_H1-2017_report_FINAL_EN.pdf