Java-sérülékenységek a Schneider Electric Trio TView szoftverében

A Schneider Electric bejelentése szerint a Trio TView szoftver TBUMPROG - TVIEW 3.27.0 és korábbi verzióiban használt Java Runtime Enviroment 1.6.0u27 számos ismert sérülékenysége miatt az érintett TView verziók is érintettek. A gyártó bejelentésében több, mint 360 különböző, 2011 és 2017 között kiadott CVE van felsorolva. A sérülékenységeket a Schneider Electric a weboldalán elérhető Trio TView Software 3.29.0 verzióban javította.

A sérülékenységekkel kapcsolatban további részleteket a Schneider Electric bejelentése tartalmaz.

Sérülékenységek Schneider Electric PowerSCADA termékekben

Az ICS-CERT publikációja szerint a gyártó több hibát is talált a PowerSCADA termékcsalád alábbi tagjaiban:

- A PowerSCADA Expert v8.1 és v8.2 verzióival forgalmazott PowerSCADA Anywhere 1.0-s verziója;
- A PowerSCADA Citect Anywhere 1.0-s verziója.

A Schneider Electric a most publikált hibákat az érintett szoftverek 1.1-es verziójában javította. A sérülékenységekről bővebb informáiót az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-201-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Cyber Security Kill Chain két posztban történt bemutatása után ma végre rátérünk az ipari rendszerek elleni kibertámadások sajátosságaira, amihez Michael J. Assante és Robert M. Lee, a SANS ICS biztonsági oktatóinak publikációját használtam fel.

Az ICS rendszerek elleni kibertámadások több szempontból is jelentős eltéréseket mutathatnak a vállalati IT rendszerek elleni támadásoktól, legyenek azok akár jelentős szakmai felkészültséget igénylő APT-támadások. Az ICS rendszerek elleni támadások esetében a támadások hatásai és összetettségük, valamint a támadók által az ipari környezetek és automatizált folyamatok ismerete mind jelentős különbséget mutat. Az ICS rendszerek elleni kibertámadások sikere nagyon nagy mértékben azon múlik, hogy a támadó mennyire jól ismeri és érti az egyes automatizált folyamatokat, az azok hátterében álló mérnöki döntéseket és a különböző biztonsági (safety) rendszerek működési elvét. Ahhoz, hogy egy támadó ennek a tudásnak a birtokába kerülhessen, két szintű támadást kell sikeresen végrehajtania a célba vett ICS rendszer ellen. Ez a több szintű támadás lehetőséget ad a védelem olyan kialakítására, hogy a támadóknak minél több erőforrást kelljen a támadásra fordítani, a célba vett szervezet biztonsági munkatársainak pedig javítja az esélyeit a támadás minél korábbi fázisban történténő észlelésére.

A két szintű támadás első szintje a támadó oldalán a tervezés, felkészülés és a támadás végrehajtása. A tervezés fázisban a CSKC felderítési feladatait hajtja végre a támadó, ahogy korábban írtam róla, bár nehéz a támadók felderítési és adatgyűjtési tevékenységét észlelni, azért korántsem lehetetlen, például különböző forgalom- és webes látogatottsági adatok elemzéséből beazonosítani azokat a támadói attribútumokat, amik adott esetben a felderítésben vesznek részt.

A támadás előkészítületi fázisában a "fegyverkezés", vagyis a támadó kódok előkészítése (weaponization) és a pontos célpontok meghatározása és kiválasztása (targeting) történik. Ehhez a támadók felhasználhatnak scripteket és különböző eszközöket, de végezhetik emberi erőforrásokkal is. Amennyiben a támadók több célpontot akarnak egyszerre támadni, ebben a fázisban dönthetik el, hogy melyik célpontot tartják fontosabbnak, mint a többit, vagy prioritást adhatnak a fontosabbnak tartott célpontnak.

Ebben a fázisban az ICS rendszereket védők szintén a CSKC bemutatásánál már ismertetett, széleskörű malware-analízist végezve készülhetnek fel a leginkább. Nagyon nagy előnye lehet a védőknek, hogy az ICS rendszerek nagyságrendekkel statikusabbak, mint a vállalati IT rendszerek, így egy, az ICS rendszerbe bejutó malware-t elvileg sokkal könnyebben észlelni lehet, hiszen a statikusság miatt sokkal könnyen alkalmazás fehérlistákat összeállítani és alkalmazni.

A következő fázis a betörés kísérlet. Ennek folyamán a támadóknak valamilyen módon be kell juttatniuk a támadáshoz használt malware-t vagy malware-eket a célba vett szervezet rendszerébe. Ehhez leggyakrabban adathalász e-maileket és/vagy e-mailekhez csatolt PDF fájlokat, vagy egyéb dokumentumokat, számolótáblákat szoktak használni az átlagos, vállalati hálózatok elleni kibertámadások esetén csakúgy, mint az ICS rendszerek elleni támadásoknál (erre a legszemléletesebb példa az ukrán áramszolgáltatók elleni, 2015. decemberi támadás volt, ahol XLS fájlokba bújtatott BlackEnergy v3 malware-t használtak a támadók a kezdeti hozzáférések megszerzéséhez.

A sikeres betörés után a támadók ebben az esetben is a hozzáféréseik biztosítását végzik el, felépítik a kommunikációs csatornáikat a különböző Command&Control (C2) szerverekhez és hozzákezdhetnek a támadás eredeti célját jelentő tevékenységekhez Itt ér véget az ICS Cyber Security Kill Chain első fázisa. A CSKC esetén megkezdődne az adatok ellopása, a bankszámlák kiürítése vagy a számos egyéb cél eléréséhez közvetlenül szükséges tevékenység.

Az ICS CSKC első szintje itt ér véget és itt fejezem be a mai posztot is, a jövő héten a második szinttel és az ICS rendszerek elleni támadás fázisaival fogom folytatni.

Microsoft szerver szolgáltatás és WebDAV sérülékenységek Siemens Healthineers rendszerekben

A Siemens ProductCERT bejelentése szerint két hibát találtak a Siemens Healthineers alábbi molekuláris képfeldolgozó termékeiben:

- Siemens PET/CT rendszerek: minden Windows XP-alapú verzió;
- Siemens SPECT/CT rendszerek: minden Windows XP-alapú verzió;
- Siemens SPECT rendszerek: minden Windows XP-alapú verzió;
- Siemens SPECT munkaállomások/Symbia.net: minden Windows XP-alapú verzió.

Az első hiba a Microsoft Windows szerver szolgáltatásoknak küldött távoli eljárás-hívásokban (RPC) távoli kódfuttatásra ad lehetőséget egy támadónak, a másik hiba pedig WebDAV szolgáltatás hibájára építve szintén távoli kódfuttatást tesz lehetővé. Mindkét hibát authentikáció nélkül is ki lehet használni.

A Siemens jelenleg is dolgozik a hibák javítását tartalmazó frissítéseken.

A sérülékenységekről további részleteket a Siemens ProductCERT bejelentésében lehet olvasni: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-814457.pdf

Rockwell Automation MicroLogix kontrollerek sérülékenysége

Az ICS-CERT publikációja szerint Mark Gondree, a Sonoma State University valamint Francisco Tacliad és Thuy Nguyen, az amerikai haditengerészet posztgraduális iskolájának munkatársai egy, a bevitt adatok nem megfelelő ellenőrzéséből adódó sérülékenységet azonosítottak a Rockwell Automation MicroLogix 1100-as kontroller-családjának alábbi tagjaiban:

- 1763-L16BWA;
- 1763-L16AWA;
- 1763-L16BBB;
- 1763-L16DWD.

A gyártó a hibát a MicroLogix 1100-as kontrollerek FRN 16.0 illetve későbbi verzióiban már javította.

A sérülékenységről bővebb információkat az ICS-CERT és a Rockwell Automation publikációiban lehet találni.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Siemens SIMATIC Sm@rtClient Android App sérülékenységek

A Siemens ProductCERT és ICS-CERT bejelentései szerint Karsten Sohr és Timo Glander, a brémai egyetemen működő TZI munkatársai két sérülékenységet találtak a Siemens SIMATIC Sm@rtClient Android-os alkalmazásaiban, egészen pontosan a SIMATIC WinCC Sm@rtClient for Android V1.0.2.2-nél korábbi verzióiban és a SIMATIC WinCC Sm@rtClient Lite for Android V1.0.2.2-nél korábbi verzióiban. Az első sérülékenység egy közbeékelődéses (Man-in-the-middle) támadást, a másik pedig authentikáció-megkerülést tesz lehetővé.

A Siemens a fenti sérülékenységeket az App V1.0.2.2-es verziójában javította, amit a felhasználók a Google Play Store-ból tölthetnek le.

Bővebb információt ezekről a sérülékenységekről az alábbi helyeken lehet találni:
https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-589378.pdf
https://ics-cert.us-cert.gov/advisories/ICSA-17-194-03

Siemens SiPass Integrated sérülékenységek

A Siemens 4 különböző hibát talált a SiPass Integrated V2.70-nél korábbi verzióiban. A hibák között nem megfelelő authentikáció, nem megfelelő jogosultság-kezelés, rendszeren kívüli eszközök számára hozzáférhető kommunikációs csatorna és visszafejthető formában tárolt jelszavak vannak.

A gyártó a hibákat a SiPass V2.70-es verziójában javította.

A sérülékenységekről további részleteket a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet olvasni.

GE Communicator sérülékenység

Az ICS-CERT bejelentése szerint Kimiya, az iDefense Labs (ami az Accenture Security egyik vállalata) egy puffer-túlcsordulási hibát talált a GE okosmérőinek programozásához és ellenőrzéséhez használt Communicator eszközeinek 3.15-ös és korábbi verzióiban.

A GE a hibát a 4.0-ás verzióban javította.

A sérülékenységről részletesebb információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-194-02

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Cisco Talos kutatócsoportja nemrég egy olyan támadás-sorozatról számolt be ahol a célpontok az amerikai kritikus infrastruktúrához tartozó szervezetek voltak, a támadási módszert pedig template-injection-ként ismeri a szakma. A hírek szerint több gyárat, nukleáris erőművet és más villamosenergia-ipari céget is érintettek a támadások az USA-n belül és azon kívül is, többek között a Wolf Creek atomerőművet Kansas államban.

A Wolf Creek-i atomerőmű és az amerikai Energiaügyi minisztérium (Department of Energy, DoE) szerint a támadók "csak" a vállalati IT rendszerekig jutottak, az ipari rendszerekhez nem szereztek hozzáférést. Az FBI és a Belbiztonsági minisztérium közös jelentése szerint a támadók legalább május óta aktívan keresték a hozzáférési lehetőségeket az érintett szervezetek rendszereihez és a vizsgálat első eredményei alapján olyan technikákat használtak, amik a Crouching Yeti, az Energetic Bear és a Dragonfly néven ismertté vált csoportokhoz köthetik őket.

Az FBI/DHS jelentés szerint a támadók kártékony kóddal preparált Office dokumentumokat küldtek e-mail csatolmányként vezető beosztású mérnököknek a célba vett szervezeteknél, ezekkel akartak felhasználói azonosítókat és jelszavakat gyűjteni, amik hozzáférést biztosítanak az adott szervezet informatikai hálózatához. A jelentés szerint a támadók egyebek mellett watering-hole és közbeékelődéses módszereket is használtak.

A Talos munkatársainak elemzése szerint a támadásokhoz használt Word dokumentumok jellemzően önéletrajzoknak illetve környezettanulmányoknak látszanak és a megszokott módszerekkel ellentétben nem VBA makrókat vagy más scripteket használnak a malware célbajuttatására. Ezek helyett, ha a csali dokumentumot megnyitják, a Word megnyitása közben letölt egy template fájlt egy, a támadók által irányított Samba szerverről. Az így végrehajtott template injection támadással lehetővé válik a támadók számára, hogy Samba felhasználói adatokat gyűjtsenek.

A malware-t vizsgáló szakértők szerint a támadók célja az adatgyűjtés lehet és a hozzáférések gyűjtése jövőbeli, kritikus infrastruktúrákat vezérlő folyamatirányító rendszerek elleni támadás előkészítéseként.

Fuji Electric V-Server sérülékenység

Az ICS-CERT publikációja szerint Ariele Caltabiano a ZDI-vel együttműködve talált memória-korrupciós sérülékenységet a Fuji Electric V-Server 3.3.22.0 és ennél korábbi verzióiban. A hibát kihasználva egy támadó távoli kódfuttatási lehetőséghez juthat.

A Fuji Electric elkészítette és publikálta a hibát javító patch-et, ami a weboldaláról tölthető le.

A sérülékenységről további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-192-02

Sérülékenységek ABB rendszerekben

Az ICS-CERT szintén tegnap (magyar idő szerint hajnalban) tette közzé azokat a sérülékenységeket, amiket Maxim Rupp fedezett fel az alábbi rendszerekben:

- VSN300 WiFi Logger Card 1.8.15 és korábbi verziói;
- VSN300 WiFi Logger Card for React 2.1.3 és korábbi verziói.

A hibák között van, ami a nem megfelelő authentikációs eljárásból ered és egy másik, ami pedig a hozzáférés és jogosultság-kezelés hibájából lehetőséget ad arra, hogy a "Guest" felhasználóval a rendszer konfigurációs fájljaihoz történő hozzáférésre.

A gyártó a hibákat a VSN300 WiFi Logger Card 1.9.0 és újabb, illetve a VSN300 WiFi Logger Card for React 2.2.5 és újabb verzióiban javította.

A sérülékenységekről bővebb információkat az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-192-03

XSRF sérülékenység az OSIsoft PI Coresight termékében

A tegnap napon az ICS-CERT két OSIsoft termékkel kapcsolatos bejelentést is közzétett, az első a PI Coresight-ban a gyártó által talált XSRF sérülékenységről szól. A hiba a PI Coresight 2016 R2 és korábbi verzióit érinti. A gyártó minden érintett terméket használó ügyfelének azt javasolja, hogy frissítsenek a PI Vision 2017 vagy újabb verziókra, amikben ez a hiba már javításra került. A sérülékenység részletei elérhetőek az ICS-CERT publikációjában: https://ics-cert.us-cert.gov/advisories/ICSA-17-192-04

Sérülékenység az OSIsoft PI ProcessBook és PI ActiveView termékekben

Szintén a gyártó jelentette az ICS-CERT-nek, hogy a PI ProcessBook 2015 R2 (3.6.0) és korábbi verziói, illetve a PI ActiveView 2015 R2 (3.6.0) és korábbi verziói olyan, harmadik féltől származó komponenseket is tartalmaznak, amikben sérülékenység található.

A gyártó az érintett termékeket használó ügyfeleinek a PI ProcessBook 2015 R2 SP1 (3.6.1)-re illetve a PI ActiveView 2015 R2 SP1 (3.6.1)-re történő frissítést javasolja.

A hibával kapcsolatos további információk az ICS-CERT bejelentésében érhetők el: https://ics-cert.us-cert.gov/advisories/ICSA-17-192-05

Sérülékenység Schweitzer Engineering rendszerekben

Az ICS-CERT bejelentése szerint Jason Holcomb, a Revolutionary Security munkatársa egy nem megfelelő hozzáférés-kontrollból származó hibát fedezett fel a Schweitzer Engineering Laboratories SEL-3620 és SEL-3622-es sorozatú, Security Gateway R202, R203, R203-V1, R203-V2, R204 és R204-V1 típusú ipari tűzfalaiban. A hiba csak akkor jelentkezik, amikor a tűzfalakon a NAT funkció be van kapcsolva. A hiba javítását a gyártó az ügyfelek kérésére CD-ROM-on adja át.

A sérülékenységgel kapcsolatos további információkat az ICS-CERT bejelntésében lehet megtalálni: https://ics-cert.us-cert.gov/advisories/ICSA-17-192-06

WannaCry ransomware-rel és Petya (NotPetya/Petwrap/ExPetr/GoldenEye/stb.) kapcsolatos hírek az ipari rendszerek világából

Az elmúlt napokban számos gyártó publikált információkat az ipari termékeikkel kapcsolatos májusi WannaCry ransomware és a június végi Petya wiper malware-ek által kihasznált sérülékenységekről és az azokkal kapcsolatos ellenintézkedésekről. Helyszűke miatt itt most csak felsorolom őket a publikációikra mutató linkekkel együtt:

- Becton, Dickinson and Company (BD)
- Emerson Automation Solutions
- Rockwell Automation
- Honeywell
- Dräger
- ABB
- Johnson & Johnson
- Schneider Electric
- Beckman Coulter
- Philips
- Smiths Medical

A fenti bejelentésekkel kapcsolatban az ICS-CERT is kiadott egy összefoglalót, ami itt érhető el: https://ics-cert.us-cert.gov/alerts/ICS-ALERT-17-181-01C

Az pedig a saját, megbízható forrásaimból származó hír, hogy a Siemens egyik SCADA-fejlesztő telephelyén az elmúlt napokban több WannaCry-fertőzés is történt. A részletek egyelőre homályosak, de az világosan látszik, hogy ez a ransomware közel másfél hónappal a WannaCry megjelenése után is jelentős kockázatokat rejthet.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Sérülékenységek Schneider Electric Ampla MES rendszerekben

Az ICS-CERT múlt heti bejelentése szerint Ilya Karpov, a Positive Technologies munkatársa két hibát is talált a Schneider Electric Ampla MES (Manufacturing Execution System - termelésirányítási rendszer) 6.4-es és korábbi verzióiban. A sérülékenységek között az érzékeny adatok titkosítás nélküli továbbítása és a nem megfelelő erősségű titkosítás található.

A gyártó a hibákat az Ampla MES 6.5-ös verziójában javította.

A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-17-187-05

Schneider Electric Wonderware ArchestrA Logger sérülékenységek

Szintén az ICS-CERT hozta nyilvánosságra, hogy Andrey Zhukov, a USSC kutatója három hibát (puffer-túlcsordulás, nem megfelelően kontrollált memóriakezelés, null-pointer hivatkozás), amik a Schneider Electric Wonderware ArchestrA Logger 2017.426.2307.1 és korábbi verzióiban találhatóak meg.

Az érintett naplózómegoldást a Schneider Electric Wonderware, Avantis, SimSci és Skelta szoftvereiben használja, a gyártó minden érintett termékét használó ügyfelének azt javasolja, hogy az ArchestrA Logger-t frissítsék a 2017.517.2328.1-es verzióra a lehető leghamarabb.

A sérülékenységekről további információkat az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-187-04

Siemens SIMATIC Logon sérülékenység

A Siemens ProductCERT bejelentése szerint a Tenable Network Security munkatársai egy DoS-támadást lehetővég tevő hibát találtak a SIMATIC Logon 1.6-osnál régebbi verzióiban.

A Siemens minden, érintett verziót használó ügyfelének azt tanácsolja, hogy frissítsék a SIMATIC Logon-t az 1.6-os verzióra.

A sérülékenységgel kapcsolatban részletesebb információkat a Siemens ProductCERT publikációjában lehet olvasni: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-804859.pdf

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az amerikai igazságügyi minisztérium (Department of Justice, DoJ) közleménye nyomán több helyen is lehozták a hírt, hogy egy Adam Flanagan nevű pennsylvaniai férfit egy év egy nap börtönbüntetésre ítéltek, mert a bíróság szerint bizonyíthatóan károkat okozott több keleti parti viziközmű szolgáltató rendszerében. Flanagan 2007 és 2013 között egy okosmérőkat gyártó cégnél dolgozott, többek között a főként viziközmű vállalatok által alkalmazott Tower Gateway Basestations (TGB) nevű eszközök telepítéséért volt felelős, majd amikor 2013 novemberében egyelőre ismeretlen okok miatt elbocsátották a munkahelyéről, úgy döntött, hogy azzal fogja büntetni a vállalatot, hogy leállít több TGB-t, ezzel megbénítva a viziközmű vállalatok hálózatait és több TGB-n megváltoztatta a jelszavakat is, trágár kifejezéseket használva új jelszónak. Az érintett közműcégeknek vissza kellett állniuk a régi megoldásra és mérőóra-leolvasókat kell kiküldeniük az ügyfelekhez.

Legjobb tudomásom szerint ez az első olyan eset, amikor egy elkövetőre rábizonyítják egy ipari rendszer elleni támadás végrehajtását és letöltendő börtönbüntetésre ítélik.

Siemens Reyrolle eszközök sérülékenységei

A Siemens Reyrolle eszközök opcionális EN100 Ethernet moduljainak V4.29.01-est megelőző firmware-verzióiban 5 hibát talált a gyártó a Siemens ProductCERT publikációja szerint. A sérülékenységek között több webes felületen keresztüli adatszivárgást lehetővé tevő hiba, authentikáció megkerülésével adminisztrátori hozzáférést lehetővé tevő hiba, és DoS-t előidéző hiba is van.

A Siemens a fenti hibákat a V4.29.01-es firmware-verzióban javította.

A sérülékenységekről bővebb információkat a Siemens ProductCERT bejelentése tartalmaz: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-452237.pdf

Sérülékenységek SIPROTEC és SIPROTEC Compact berendezésekben

A Siemens ProductCERT bejelentése szerint 6 különböző hibát fedeztek fel a SIPROTEC 4 és SIPROTEC Compact eszközök alábbi verzióiban:

- a SIPROTEC 4 és SIPROTEC Compact opcionális EN100 Ethernet moduljainak:
- a PROFINET IO firmware-változatának V1.04.01-nél korábbi verziói;
- a Modbus/TCP firmware-változatának minden verziója;
- a DNP3/TCP firmware-változatának minden verziója;
- az IEC-104 firmware-változatának minden verziója;
- a SIPROTEC Merging Unit 6MU80-as V1.02.02-nél korábbi verziói;
- a SIPROTEC 7SJ66-os, 7SD686-os, 7SJ686, 7UT686 minden verziója.

A sérülékenységek között több webes felületen keresztüli adatszivárgást lehetővé tevő hiba, authentikáció megkerülésével adminisztrátori hozzáférést lehetővé tevő hiba, és DoS-t előidéző hiba is van.

A hibák javítását a Siemens az alábbi firmware-ekben végezte el:

- a SIPROTEC 4 és SIPROTEC Compact opcionális EN100 Ethernet moduljainál:
- a PROFINET IO firmware-változat V1.04.01;
- a Modbus/TCP firmware-változat V1.10.01;
- a SIPROTEC Merging Unit 6MU80 esetében a V1.02.02-es firmware-verzióban;
- a SIPROTEC 7SJ66 V4.23-as firmware-verziójában;
- a SIPROTEC 7SJ686 V4.86-os firmware-verziójában;
- a SIPROTEC 7UT686 V4.01-es firmware-verziójában;
- a SIPROTEC 7SD686 V4.04-es firmware-verziójában.

A hibákról további részleteket a Siemens ProductCERT publikációjában lehet olvasni: https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-323211.pdf

Sérülékenységek Siemens OZW eszközökben

A Siemens ProductCERT bejelentése szerint Stefan Viehböck, a SEC Consult munkatársa két sérülékenységet azonosított az OZW672-es és OZW772-es eszközök összes firmware-verziójában. Az első hibát kihasználva egy támadó az FTP-szolgáltatáson keresztül hozzáférhet és módosíthatja a történeti adatbázisban tárolt adatokat. A második hiba Man-in-the-Middle támadásra ad lehetőséget.

A Siemens ProductCERT bejelentésében nem esik szó a fenti hibák javításáról, de a gyártó több tanácsot is megfogalmazott az érintett eszközöket használó ügyfeleinek:

- Védjék a sérülékeny eszközöket az illetéktelen hozzáférésektől;
- Tiltsák le az integrált szolgáltatásokat a 21/tcp porton;
- A web portált a termékek dokumentációjában leírt beállításokkal használják;
- Ha a web portál használata nem lehetséges, az integrált web szervert csak megbízható hálózaton használják.

A fenti hibákkal kapcsolatban további információkat a Siemens ProductCERT bejelentésében lehet találni:
https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-563539.pdf

Advantech WebOP Designer 0-day sérülékenység

A ZDI egy Ariele Caltabiano által felfedezett és mostanáig nem javított sérülékenységet tett közzé. A sérülékenység a WebOP Designer .pm3 fájljainak hibás feldolgozásából eredően egy puffer-túlcsorduláson keresztül távoli kódfuttatást tesz lehetővé.

A hibával kapcsolatban részleteket a ZDI bejelentésében lehet olvasni: http://www.zerodayinitiative.com/advisories/ZDI-17-452/

Sérülékenység Newport XPS rendszerekben

Az ICS-CERT bejelentése szerint a Newport által gyártott XPS eszközök alábbi vezióiban egy nem megfelelő authentikációból adódó sérülékenységet talált Maxim Rupp:

- az XPS-Cx vezérlők minden verziója;
- az XPS-Qx vezérlők minden verziója.

A sérülékenységet kihasználva egy támadó authentikció nélkül tudja olvasni és módosítani az érintett eszközök konfigurációját.

A gyártó közleménye szerint a hibát a vezérlők következő, XPS-Dx generációjában fogja javítani, addig is az ICS-CERT-tel közösen az alábbi kockázatcsökkentő intézkedéseket javasolja az érintett verziókat használó ügyfeleinek:

- A vezérlőket és azok hálózatait ne csatlakoztassák nyílt hálózatokra (pl. Internet vagy irodai hálózatok), ezeket az eszközöket és hálózatokat tűzfalakkal szeparálják más hálózatoktól;
- Limitálják a vezérlők fizikai és elektronikus hozzáféréseit a szükséges és arra feljogosított személyekre;
- Az üzembe helyezésnél cseréljék le az eszközök gyári jelszavait;
- Rendszeresen cseréljék le a rendszerekben használt jelszavakat;
(Bár az utóbbi két tanács általában sokat segít egy incidens megelőzésében, jelen sérülékenység ellen pont nem jelentenek védelmet, hiszen ebben az esetben a támadónak nem szükséges ismernie a jelszót a rendszerhez történő hozzáféréshez.)
- Ha szükséges a távoli hozzáférés az eszközökhöz, használjanak VPN-megoldást;
- Rendszeresen hajtsanak végre fenyegetettség-elemzések és vizsgálják, hogy az ellenintézkedések megfelelnek-e a szervezet biztonsági szabályzataiban előírtaknak;
- Alakítsanak ki mélységi védelmet a rendszerekhez történő hozzáférések szigorításához.

A sérülékenységről bővebb információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-17-178-01

Siemens Viewport sérülékenység

Az ICS-CERT és a Siemens ProductCERT bejelentései alapján a Viewport for Web Office Portal 1453-nál korábbi verzióiban egy nem megfelelő authentikációból fakadó sérülékenységet fedezett fel Hannes Trunde, a Kapsch BusinessCom AG munkatársa. A sérülékenységet kihasználva egy támadó adminisztrátori jogosultságú távoli kódfuttatást idézhet elő a sérülékeny rendszerekben.

A Siemens a hibát a Viewport for Web Office Portal 1453-as verziójában javította, a frissítés mellett az alábbi intézkedések végrehajtását javasolja az érintett rendszereket használó ügyfeleinek:

- Az érintett rendszerek 80/tcp és 443/tcp portjainak elérését csak a feltétlenül szükséges helyekről engedélyezzék;
- A 80/tcp porton történő elérést kapcsolják ki és csak a 443/tcp porton, kliens tanúsítvánnyal történő hitelesítés után engedélyezzék a hozzáférést;
- Alkalmazzanak mélységi védelmet az érintett rendszerek esetén.

A hibával kapcsolatban további részleteket az ICS-CERT és a Siemens ProductCERT bejelentései tartalmaznak.

Intel AMT sérülékenység Siemens termékekben

A nemrég közzétett, Intel AMT (Active Management Technology) sérülékenység, amely számos Core i5, Core i7 és Xeon processzort használó számítógépet érint, az ICS-CERT és a Siemens ProductCERT közleményei szerint számos Siemens terméket is érintenek:

- SIMATIC ipari PC;
- SINUMERIK Panel Control Unit (PCU);
- SIMOTION P320.

A hiba javítását a Siemens egy új firmware-verzióban tette elérhetővé ügyfelei számára. A gyártó további javaslatai az érintett termékeket használó ügyfelei számára:

- A BIOS-ban az iAMT minden esetben legyen "unconfigured" vagy "disabled";
- Kongrollálják az érintett számítógépekhez történő távoli hozzáféréseknél a 16992/tcp, 16993/tcp, 16994/tcp, 16995/tcp, 623/tcp és 664/tcp portok elérését.

A sérülékenységgel kapcsolatban további részletek az ICS-CERT és a Siemens ProductCERT bejelentéseiben olvashatóak.

Sérülékenységek Schneider Electric U.motion Builder rendszerekben

Az ICS-CERT publikációja szerint az rgod néven ismert személy a TrendMicro ZDI-vel együttműködve hét különböző hibát fedezett fel a Schneider Electric U.motion Builder 1.2.1 és korábbi verzióiban. A hibák között SQLi, könyvtárbejárást lehetővé tevő hiba, nem megfelelő authentikció, beégetett jelszó, nem megfelelő hozzáférés-vezérlés, DoS és hibaüzeneten keresztüli érzékeny információ-megjelenítés is van.

A gyártó a hibák javítását az augusztus végére tervezett firmware-upgrade-ben ígéri.

A hibákról részleteket az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-17-180-02

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltasáok hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.