AzeoTech DAQFactory sérülékenységek
Karn Ganeshen két sérülékenységet jelentett az ICS-CERT-nek, amik az AzeoTech DAQFactory 17.1-nél korábbi verzióit érinti. Az első hiba a jogosultságkezelésben van és nem adminisztrátori jogosultságú felhasználóknak is lehetőséget ad az alkalmazás fájljainak módosítására. A második hiba a rendszer DLL-kezelését érinti.
A gyártó a hibákat a 17.1-es verzióban javította.
A sérülékenységekkel kapcsolatos további részletek az ICS-CERT bejelentésében olvashatóak: https://ics-cert.us-cert.gov/advisories/ICSA-17-241-01
Sérülékenységek az Advantech WebAccess rendszerében
Több különböző független biztonsági kutató és a Tenable Network Security illetve az ADLab munkatársai 9 különböző hibát találtak az Advantech WebAccess V8.2_20170817-nél korábbi verzióiban.
Az Advantech a hibák javítását a V8.2_20170817-es verzióban tette elérhetővé az ügyfelei számára.
A sérülékenységek részleteit az ICS-CERT, illetve a ZDI két bejelentésében találhatóak:
http://www.zerodayinitiative.com/advisories/ZDI-17-712/
http://www.zerodayinitiative.com/advisories/ZDI-17-713/
Abbott Laboratories egészségügyi rendszerek sérülékenységei
Az ICS-CERT bejelentése szerint 3 hibát fedeztek fel az Abbott Laboratories alább felsorolt, 2017. augusztus 28-a előtt gyártott rendszereiben:
- Accent/Anthem;
- Accent MRI;
- Assurity/Allure;
- Assurity MRI.
A hibákat a gyártó az alábbi firmware-verziókban javította:
- Accent/Anthem: F0B.0E.7E;
- Accent MRI/Accent ST: F10.08.6C;
- Assurity/Allure: F14.07.80;
- Assurity MRI: F17.01.49.
Az egészségügyi rendszerek biztonságával kapcsolatban az ICS-CERT és a Cybersecurity Medical Advisory Board az alábbi általános ajánlásokat fogalmazta meg:
- Az egészségügyi szolgáltatók és a páciensek minden esetben egyeztessék az egyes eszközök firmware-frissítésének kiberbiztonsági kockázatait és az egészségügyi előnyöket. Az egyeztetés során mindenképp figyelembe kell venni a páciensek egyedi körülményeit (a pacemaker szükségessége, az eszköz életkora, a páciens által előnyben részesített megoldás);
- Meg kell vizsgálni, hogy a firmware-frissítés megfelelő-e a páciens számára, ismerve a frissítés kockázatait - amennyiben igen, a frissítés során mindenben a gyártó előírásait kell követni;
- Amennyiben pacemaker-t igénylő pánciens eszközén kell firmware-frissítést végezni, azt olyan létesítményben kell végezni, ahol minden szükséges eszköz rendelkezésre áll akár a teljes eszköz cseréjéhez is.
A fenti hibákkal kapcsolatban bővebb információkat az ICS-CERT bejelentes tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSMA-17-241-01
Sérülékenység Automated Logic Corporation rendszerekben
Evgeny Ermakov, a Kaspersky Lab munkatársa egy XXE (XML External Entity) sérülékenységet fedezett fel az ALC alábbi, webes épületautomatizálásban használt rendszereiben:
- Liebert SiteScan Web Version 6.5 és korábbi verziói;
- ALC WebCTRL Version 6.5 és korábbi verziói;
- Carrier i-Vu Version 6.5 és korábbi verziói.
A gyártó a hibát az alábbi verziókban javította:
- WebCTRL 6.0, Cumulative Patch #11;
- WebCTRL 6.1, Cumulative Patch #4;
- WebCTRL 6.5, Cumulative Patch #5;
- i-Vu 6.0, Cumulative Patch #11;
- i-Vu 6.5, Cumulative Patch #5.
A sérülékenységgel kapcsolatban további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-150-01
Moxa SoftCMS Live Viewer sérülékenység
Ziqiang Gu, a Huawei WeiRan Labs munkatársa egy SQL Injection hibát talált a Moxa SoftCMS Live Viewer 1.6-os és korábbi verzióiban.
A gyártó a hibát a SoftCMS Live Viewer 1.7-es verziójában javította.
A sérülékenység részleteiről az ICS-CERT bejelentésében lehet további információkat találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-243-05
Sérülékenységek az OPW Fuel Management Systems rendszereiben
Semen Rozhkov, a Kaspersky Labs munkatársa két hibát fedezett fel az OPW Fuel Management Systems (OPW) SiteSentinel termékcsaládjának Integra 100-as, Integra 500-as és iSite ATG konzoljainak alábbi verzióiban:
- a V175-nél korábbi verziókban;
- a V175-V189 verziókban;
- a V191-V195 verziókban;
- a V16Q3.1-es verziók.
A hibák között kritikus funkció esetén hiányzó authentikáció és SQL Injection található.
A gyártó a hibát a 17Q2.1-es verzióban javította és mivel a hibákat kiemelten fontosnak tartja, a felhasználókat a Service Bulletin 462-ben illetve külön levélben is értesíti az esetről.
A sérülékenységekről részleteket az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-243-04
Sérülékenység egyes Siemens rendszerekben
Sergey Temnikov, Kaspersky Labs munkatársa egy XXE hibát fedezett fel azokban a Siemens rendszerekben, amik az OPC UA protokoll stack discovery service szolgáltatását használják. Az érintett termékek köre az alábbi:
- SIMATIC PCS 7
- V7.1 és korábbi verziók;
- V8.0 minden verziója;
- V8.1 minden verziója;
- SIMATIC WinCC:
- V7.0 minden verziója;
- V7.2 minden verziója;
- V7.3 minden verziója;
- V7.4: V7.4 SP1-nél régebbi verziók;
- SIMATIC WinCC Runtime Professional:
- V13 minden verziója;
- V14: V14SP1-nél régebbi verziók;
- SIMATIC NET PC Software minden verziója;
- SIMATIC IT Production Suite minden verziója.
A Siemens a hibával kapcsolatos javítást elérhetővé tette. A sérülékenység további részleteiről az ICS-CERT és a Siemens ProductCERT bejelentéseiből lehet tájékozódni.
Siemens LOGO! sérülékenységek
Maxim Rupp két sérülékenységet azonosított a Siemens LOGO!8 BM szoftverének összes verziójában. A sérülékenységek között nem megfelelően védett bejelentkezési adatok és Man-in-the-Middle támadást lehetővé tevő hiba található.
A Siemens a hibákat a LOGO!8 BM FS-05 V.1.81.2-es firmware-verziójában javította.
A sérülékenységekről további részleteket az ICS-CERT és a Siemens ProductCERT bejelentéseiből lehet megtudni.
Siemens 7KM PAC Ethernet switch sérülékenység
A Siemens munkatársai egy DoS-támadást lehetővé tevő hibát azonosítottak a 7KM PAC Ethernet switch-ek PROFINET moduljaiban. A hiba a V2.1.3-nál korábbi összes verziót érinti.
A gyártó a hibát a V2.1.3.[1]-es verzióban javította.
A sérülékenységről bővebben az ICS-CERT bejelentésében lehet megtudni: https://ics-cert.us-cert.gov/advisories/ICSA-17-243-03
Sérülékenységek Siemens ACUSON S1000/2000/3000 berendezésekben
A Siemens ProductCERT bejelentése szerint az ACUSON termékcsalád S1000/2000/3000 típusú berendezéseinek minden VC30, VC31, VD10 és VE10A verzióját érinti a most felfedezett, SMBv1-hez kapcsolódó sérülékenységek.
A hibajavítással kapcsolatban a Siemens ProductCERT bejelentése azt javasolja az érintett berendezéseket használó ügyfeleknek, hogy lépjenek kapcsolatba a Siemens Healthineers ügyfélszolgálatával.
A sérülékenységekkel kapcsolatban további részleteket a Siemens ProductCERT bejelentésében lehet olvasni: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-866217.pdf
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.