Az elmúlt napokban ismét több ICS eszközzel kapcsolatos sérülékenység látott napvilágot.

Sérülékenység a Moxa EDR-810 típutsú ipari routerekben

Maxim Rupp, az ICS sérülékenységek lelkes vadásza egy jogosultság-emelést lehetővé tevő hibát azonosított a Moxa EDR-810 típusú, ipari környezetekbe szánt routereiben. A hiba a V3.13-nál korábbi firmware verziókat használó routereket érinti.

A gyártó a hibát a V3.13-as verziójú firmware-ben javította, és minden, érintett routert használó ügyfelének a mielőbbi frissítést javasolja.

A hibáról további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-16-294-01

Siemens SICAM RTU DoS-sérülékenység

A mai nap második hibáját Adam Crain, az Automak LLC munkatársa azonosította. A hiba az alábbi SICAM RTU-kat és firmware-verziókat érinti:

- SICAM AK,
- SICAM TM 1703,
- SICAM BC 1703 és
- SICAM AK 3 típusú eszközök SM-2558-as bővítőmodullal szerelt példányai, ha azok az ETA4 firmware Revision 08-nál korábbi verzióját futtatják;

- SICAM AK,
- SICAM TM és
- SICAM BC típusú eszközök SM-2556-os bővítőmodullal szerelt példányai, ha azok az ETA2 firmware Revision 11.01-nél korábbi verzióját futtatják.

A hibát kihasználva a sérülékeny szoftververziókat futtató eszközök 2404/tcp portjára küldött, megfelelően formázott TCP csomagokkal hibás állapotot lehet előidézni, amelyből az RTU csak egy leállítás-újraindítás után tud visszatérni a normál üzemmódba.

A Siemens az SM-2558-as bővítőmodulokkal szerelt RTU-khoz elérhetővé tette az ETA4 firmware Revision 08-as verzióját, ami innen tölthető le.

Az SM-2556-os bővítőmodullal szerelt RTU-kat használó ügyfelek számára a Siemens azt javasolja, vegyék fel a kapcsolatot a terméktámogatási központtal. Minden, sérülékeny RTU-t használó ügyfelüknek azt javasolják továbbá, hogy használjanak tűzfalat, illetve az SM-2558-as bővítőmodulok esetén az eszközbe épített IPSec funkciót, csak megbízható hálózatokban üzemeltessenek RTU-kat illetve csak megbízható eszközöknek engedélyezzenek hozzáférést ezekhez és alkalmazzák a SICAM RTU-khoz elérhető biztonsági kézikönyvben leírtakat.

A hibával kapcsolatban többet a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Honeywell Experion PKS sérülékenység

A Honeywell egy hibát fedezett fel az Experion PKS nevű, Series-C típusú eszközeinek firmware konfigurációjához használható kliens szoftverében, amelyet kihasználva meg lehet kerülni a bevitt adatok ellenőrzési mechanizmusát. A hiba az alábbi verziókban található meg:

- Experion PKS, Release 3xx és korábbi verziók,
- Experion PKS, Release 400,
- Experion PKS, Release 410,
- Experion PKS, Release 430 és
- Experion PKS, Release 431.

A gyártó a hibát az alábbi szoftver verziókban már javította:

- R400.8 HOTFIX1,
- R410.8 HOTFIX6,
- R430.5 HOTFIX1 és
- R431.2 HOTFIX2.

Azon ügyfeleinek, akik olyan verziót használnak az Experion PKS-ből, amihez még nem jelent meg a hibát javító verzió, a Honeywell azt javasolja, hogy a sérülékeny kliens használatakor izolálják a hálózati forgalmat a kliens és a Series-C típusú eszközök között illetve hogy amikor nem töltenek fel új firmware-t az eszközökre állítsák le az eNAP Server szolgáltatást.

A hibával kapcsolatban részletesebb információkat az ICS-CERT weboldalán található bejelentés tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-301-01

Az ICS-CERT ezúttal is a szokásos kockázatcsökkentő intézkedések alkalmazását javasolja a hibákkal kapcsolatban:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Nyilvánvaló, hogy az ICS biztonság az egyik leginkább felkapott és leggyorsabban növekvő szakterület a tágabban értelmezett IT biztonsági szakmában, azonban ha valaki anélkül próbálna ezen a területen eligazodni és mélyebb tudásra szert tenni, hogy valamilyen ipari/folyamatirányítási környezet közelében dolgozna, nagyon nehéz megszerezni az alapvető ismereteket. A mai poszt, terveim szerint az első része egy sorozatnak, ebben próbál egy kis segítséget nyújtani. Elsőként lássuk, mit is kell tudni a különböző ipari vezérlő rendszerekről, vagy ahogy gyakran rövidítve hivatkozom rájuk, az ICS rendszerekről:

A PLC Professor (újabb nevén PLC eUniversity)

A plcprofessor.com weboldal és YouTube-csatorna egy kiváló hely, ha valaki a PLC-k és más vezérlőrendszerek felépítésével, működési logikájával szeretne közelebbről megismerkedni. Az itt elérhető tudás egy része ingyenes, másokért fizetni kell és el tud jönni a tanulás során az a pont is, amikor a továbblépéshez már fizikai berendezésekre is szükség lesz.

A vezérlő rendszerek alapjai témában készült YouTube-on elérhető videó nagyon jól összefoglalja a különböző ipari vezérlőrendszerekkel kapcsolatos legfontosabb alapvető ismereteket.

Mi is az a SCADA?

Újabb YouTube videó, ami a folyamatirányító rendszerek működésének alapjait mutatja be.
 
Összefoglaló videósorozat az USA Energiaügyi Minisztériumának kiadásában az energiaszektor működéséről: https://www.youtube.com/watch?v=l4wldZsR7OY&list=PLACD8E92715335CB2

Az alábbi videók az ICS rendszerek különböző iparágakban történő felhasználásait mutatják be:

ICS rendszerek a szennyvíz-kezelésben I.

ICS rendszerek a szennyvíz-kezelésben II.

ICS rendszerek a kőolaj- és földgáz-szektorban I.

ICS rendszerek a kőolaj- és földgáz-szektorban II. (Ez egy régebbi videó, a földgáz kitermelését és szállítását ma már sokkal fejlettebb rendszerekkel irányítják, azonban ez a felvétel is kiválóan bemutatja, milyen összetett folyamatot kell ICS rendszerekkel vezérelni.)

ICS rendszerek a kőolaj- és földgáz-szektorban II. (Ez a videó pedig elsősorban a földgáz tárolásával kapcsolatos vezérlési feladatokat mutatja be.)

ICS rendszerek a vegyiparban

ICS rendszerek a kohászatban

ICS rendszerek a nukleáris szektorban I. (Hogyan működik az atomreaktor?)

ICS rendszerek a nukleáris szektorban II.

ICS rendszerek a nukleáris szektorban III. (Videó a fukushimai balesetről)

ICS rendszerek a geotermikus hőerőművekben

SCADA rendszerek alapjai (a villamosenergia-szektoron bemutatva, Rusty Williams előadásában)

Villamosenergia termelés és szállítás (szintén Rusty Williams-től)

ICS előadás-sorozat Brian Douglas-től

Ipari biztonsági (safety) rendszerekről bővebben

Az ICS-CERT nemrégiben kiadta a Cyber Security Evaluation Tool (CSET) nevű, elsősorban ipari rendszerek kiberbiztonságának kiértékeléséhez használható szoftverének legújabb (v8.0) verzióját. A CSET frissítéséhez kapcsolódóan aktualizálták a témával kapcsolatos, 2009 óta elérhető útmutatójukat is. Mindkét eszköz ingyenesen letölthető az ICS-CERT weboldaláról.

A CSET egy desktop számítógépekre telepíthető szoftver, ami segítséget nyújt az operátoroknak és az ipari eszközök gazdáinak az általuk üzemeltetett ipari rendszerek biztonsági szintjének értékelésében.

A CSET kérdéseket teszt fel rendszer komponensekre, architektúrákra, üzemeltetési szabályokra és eljárásokra és sok más egyéb részletre vonatkozóan. A kérdések attól is függnek, hogy az adott szervezet milyen kormányzati és iparági kiberbiztonsági szabványoknak kíván megfelelni. A kérdőív kitöltése után a CSET grafikus összefoglalót ad az adott szervezet ICS biztonságának erős és gyenge pontjairól, valamint priorizált listát a javasolt, biztonságot javító intézkedésekről.

A CSET regisztráció után itt tölthető le: https://ics-cert.us-cert.gov/Downloading-and-Installing-CSET
A CSET letöltéséről és telepítéséről egy rövid leírás itt érhető el: https://ics-cert.us-cert.gov/Downloading-and-Installing-CSET

További részletek az ICS-CERT által összeállított ICS kiberbiztonsági kiértékelési folyamatról és a CSET-ről itt található: https://ics-cert.us-cert.gov/Assessments

Az elmúlt napok igazán szép termést hoztak ICS sérülékenységek terén és mivel rendesen el voltam havazva, kicsit össze is torlódtak, ezért a mai poszt kicsit hosszabb lesz a szokásosnál.

Kabona AB WDC sérülékenységek

Martin Jartelius és John Stock, az Outpost 24 munkatársai több sérülékenységet is találtak a Kabona AB WebDatorCentral (WDC) nevű alkalmazásában. A hibák a WDC 3.4.0-nál korábbi összes verziójában megtalálhatóak.

A hibák között XSS, nyílt redirect és brute force támadást lehetővé tevő hiba egyaránt található. A gyártó a 3.4.0 verzióban javította a hibákat és azt javasolja minden ügyfelének, hogy frissítsen a legújabb verzióra.

További információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-287-07

Fatek Automation Designer sérülékenység

Ariele Caltabiano (kimiya) a ZDI-vel együttműködésben fedezett fel több, memóriakezeléssel kapcsolatos hibát a Fatek Automation Designer alábbi verzióiban:

- Automation PM Designer V3 Version 2.1.2.2;
- Automation FV Designer Version 1.2.8.0;

A gyártó a ZDI megkeresésére nem reagált, ezért a ZDI saját szabályai alapján nyilvánosságra hozta a hibát.

Mivel a gyártó nem egyeztetett a hibáról sem a ZDI-vel, sem az ICS-CERT-tel, ezért egyelőre nincs információ arról sem, hogy lesz-e és ha igen, mikor javítás a most felfedezett hibákra.

További részleteket a hibáról az ICS-CERT illetve a ZDI publikációja tartalmaz.

Moxa ioLogik E1200 sorozatú eszközök sérülékenységei

Legutóbb október 7-én írtam Moxa ioLogik eszközök hibáiról, most ismét ezek egy részével van probléma. Alexandru Ariciu, az Applied Risk munkatársa fedezett fel több hibát az ioLogik 1200 sorozatú eszközeiben. A hibák az alábbi típusokat és firmware verziókat érintik:
 
- ioLogik E1210, firmware V2.4 és korábbi verziók;
- ioLogik E1211, firmware V2.3 és korábbi verziók;
- ioLogik E1212, firmware V2.4 és korábbi verziók;
- ioLogik E1213, firmware V2.5 és korábbi verziók;
- ioLogik E1214, firmware V2.4 és korábbi verziók;
- ioLogik E1240, firmware V2.3 és korábbi verziók;
- ioLogik E1241, firmware V2.4 és korábbi verziók;
- ioLogik E1242, firmware V2.4 és korábbi verziók;
- ioLogik E1260, firmware V2.4 és korábbi verziók;
- ioLogik E1262, firmware V2.4 és korábbi verziók;

A hibák között XSS, gyengén védett bejelentkezési adatok, gyenge jelszószabályok és CSRF egyaránt található.

A gyártó a hibát az alábbi helyekről letölthető, új firmware verziókban javította:

- ioLogik E1210 V2.5;
- ioLogik E1211 V2.4;
- ioLogik E1212 V2.5;
- ioLogik E1213 V2.6;
- ioLogik E1214 V2.5;
- ioLogik E1240 V2.4;
- ioLogik E1241 V2.5;
- ioLogik E1242 V2.5;
- ioLogik E1260 V2.5;
- ioLogik E1262 V2.5;

A hibákkal kapcsolatos további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-16-287-05

Sérülékenységek Rockwell Automation Stratix ipari switch-ekben

Az ICS-CERT a Rockwell Automation jelzése alapján készült bejelentésében arról ír, hogy az utóbbi időkben a Cisco iOS és iOS XE szoftvereivel kapcsolatban publikált hibák egy része érintheti a Rockwell Automation Allen-Bradley Startix ipari környezetbe szánt hálózati eszközeit is. A gyártó szerint az alábbi modellek és szoftver verziók érintettek:

- Allen-Bradley Stratix 5400 Industrial Ethernet Switches 15.2(4)EA3 és korábbi verziók;
- Allen-Bradley Stratix 5410 Industrial Distribution Switches 15.2(4)EA3 és korábbi verziók;
- Allen-Bradley Stratix 5700 Industrial Managed Ethernet Switches versions 15.2(4)EA3 és korábbi verziók;
- Allen-Bradley Stratix 8000 Modular Managed Ethernet Switches versions 15.2(4)EA3 és korábbi verziók;
- Allen-Bradley ArmorStratix 5700 Industrial Managed Ethernet Switches versions 15.2(4)EA3 és korábbi verziók;

A hibák között található több is, amely a bevitt adatok nem megfelelő ellenőrzését teszi lehetővé, van nem megfelelően működő védelmi funkció és az eszköz által nem megfelelően megjelenített hibaüzenetből eredő hiba is.

A gyártó minden, sérülékeny eszközt használó ügyfelének azt javasolja, hogy frissítsen a legújabb elérhető szoftververzióra, amiben a fenti hibákat már javították, továbbá alkalmazzák a Rockwell Automation által javasolt biztonsági beállításokat (bejelentkezést igényel).

A hibákkal kapcsolatos további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-287-04

OSIsoft PI Web API sérülékenység

Az OSIsoft egy jogosultságkezelési hibát fedezett fel a PI Web API 2015 R2 1.5.1-es verziójában. A hiba kihasználásával egy támadó képes lehet megfelelő jogosultságok nélkül hozzáférni a rendszerhez.

A hiba a PI Web API 2016 (1.7.0.176) és későbbi verzióban már javításra került, az OSIsoft minden ügyfelének azt javasolja, hogy frissítsen ezen verziók valamelyikére. További intézkedésként a gyártó azt javasolja, hogy a PI Web API szervíz felhasználója a minimálisan szükséges jogosultsági szinttel futtassa az alkalmazást. Amennyiben a szervíz felhasználó tartományi felhasználói fiókként lett létrehozva, az alapértelmezett csoporttagságok (minden felhasználó, PIWorld) csak olvasási jogosultságokat biztosítanak.

Az OSIsoft továbbá javasolja a sérülékeny szoftvert futtató szerverre helyi tűzfal telepítését és ennek megfelelő beállításaival kizárólag a megbízható munkaállomások és szoftverek számára engedélyezni a PI Web API által használt 443/tcp port elérését.

További információkat a hibával kapcsolatban az ICS-CERT bejelentése és az OSIsoft publikációja tartalmaz.

Schneider Electric PowerLogic sérülékenység

He Congwen független biztonsági kutató egy nem dokumentált, beégetett jelszót fedezett fel a Schneider Electric PowerLogic PM8ECC 2.651 és korábbi szoftververzióiban. A gyártó a hibával kapcsolatban elérhetővé tette egy javítást, ami itt érhető el: http://www.schneider-electric.com/ww/en/download/document/PM8ECC%2Bv2_DOT_652

További intézkedésként a Schneider Electric azt javasolja az ügyfeleinek, hogy a támadási felület csökkentése érdekében az érintett eszközökön kapcsolják ki a webszerver funkciót.

A hibáról további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-16-292-01

Természetesen az ICS-CERT a fenti hibák esetén is hangsúlyozza az általános, kockázatcsökkentő intézekdések fontosságát:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A héten először a Reuters, majd erre a cikk alapozva a kiberbiztonsági szaksajtóban számos helyen írtak Yukiya Amano, a Nemzetközi Atomenergia Ügynökség (IAEA) igazgatójának nyilatkozatáról, ami szerint két-három évvel ezelőtt egy németországi atomerőmű rendszereit "pusztító" kibertámadás érte.

Amano nem volt hajlandó részleteket elárulni az incidensről, mindössze annyit mondott, hogy a támadás okozott bizonyos problémákat az erőműben és azt hangsúlyozta, hogy a kibertámadásokat mennyire komolyan kell venni az atomenergia-szektorban.

A Reuters cikke több részletet nem tartalmazott, azonban Pierluigi Paganini blogjában megemlíteti, hogy az elmúlt években nem ez az incidens az egyetlen, ami atomerőművet érintett, 2014-ben a japán Monju atomerőmű és a Korea Hydro and Nuclear Power plant szenvedett el kibertámadást, idén pedig a gundremmingeni atomerőmű elleni kibertámadás vált ismertté. Egyes biztonsági szakértők feltételezik, hogy Amano mostani nyilatkozatában a gundremmingeni esetre gondolhatott, ahol a szakértők a Conficker és Ramnit malware-ek nyomaira bukkantak az incidens vizsgálata során.

Egyre nyilvánvalóbbá válik, hogy a kritikus infrastruktúrák elleni kibertámadások a jövőben egyre gyakoribbak lesznek, a nukleáris létesítmények elleni támadások pedig nyilvánvalóan még a többi közműrendszer elleni támadásnál is sokkal komolyabb következményekkel járhatnak. Mikor fognak végre a döntéshozók érdemben lépni, hogy a modern társadalmak zavartalan működéséhez nélkülözhetetlen rendszerek biztonságát legalább az elfogadható szintre legyünk képesek emelni?

A Siemens ProductCERT a mai napon három termékével kapcsolatban is sérülékenységekről szóló bejelentést tett közzé, amelyeket

Siemens Automation License Manager (ALM) sérülékenységek

A bejelentés szerint az ALM V5.3 SP3 Update 1-nél korábbi verzióiban három sérülékenységet azonosítottak. Az első hiba kihasználásához megfelelően összállított TCP csomagokat kell küldeni az ALM szerver 4410/tcp portjára, ami egy DoS kiváltásához vezet. Ahhoz, hogy ebből helyre tudjon állni a rendszer, manuálisan újra kell indítani.
A második hiba szintén a 4410/tcp portot használja, ezen keresztül SQL Injection-t lehet indítani a sérülékeny ALM verziók ellen.
A harmadik hibát kihasználva egy támadó távolról jogosulatlanul lehet képes fájlokat feltölteni, módosítani vagy törölni az ALM-et futtató szerver meghajtóján. Ez utóbbi hiba az ALM V5.3 SP3-ban már nincs jelen.
A fenti hibákat Sergey Temnikov és Vladimir Dashchenko, a Kaspersky Lab Critical Infrastructure Defence csapatának tagjai fedeztek fel.
A hibákat a gyártó az ALM V5.3 SP3 Update 1 verzióban javította, kompenzáló kontrollként pedig az ALM alapértelmezett, 4410/tcp portjának szigorú szabályok szerinti elérését ajánlja.
További részleteket a Siemens ProductCERT publikácija tartalmaz: http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-284342.pdf

Az ICS-CERT közleménye a hibával kapcsolatban itt érhető el: https://ics-cert.us-cert.gov/advisories/ICSA-16-287-02

Siemens SIMATIC STEP 7 (TIA Portal) sérülékenységek

Szintén mai publikálású a SIMATIC STEP 7 (TIA Portal) információ szivárgást lehetővé tevő hibáit tartalmazó bejelentés. A hibák, amiket mitry Sklyarov és Gleb Gritsai, a Positive Technologies munkatársai fedeztek fel, a SIMATIC STEP 7 (TIA Portal) V14-nél korábbi összes verziójában jelen vannak.

A hibákat a Siemens a TIA Portal V14-es verziójában javította, továbbá minden ügyfelének azt javasolja, hogy a TIA projekt fájlokhoz csak mérnöki munkállomásokról illetve megfelelő hálózatbiztonsági intézkedésekkel védett helyekről engedélyezzék.

A hibákkal kapcsolatos további információk a Siemens ProductCERT bejelentésében lehet olvasni: http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-869766.pdf

A hibáról kiadott ICS-CERT publikáció: https://ics-cert.us-cert.gov/advisories/ICSA-16-287-03

Siemens SINEMA Server sérülékenység

rgod szokása szerint a ZDI-n keresztül jelezte a Siemens-nek, hogy jogosultsági szint emelést lehetővé tevő hibát talált a SINEMA Server V13 SP2-nél korábbi összes verziójában. A hibát egy sikeresen authentikált felhasználó képes kihasználni.

A gyártó a SINEMA Server V13 SP2 verziójában javította a hibát, a frissítés mellett ezúttal is az érintett rendszer hálózatbiztonsági védelmének fontosságát és a Siemens saját, üzemeltetési útmutatóinak használatát hangsúlyozza.

A hibával kapcsolatban további részleteket a vonatkozó bejelentés tartalmaz: http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-321174.pdf

Szerk: Az ALM és a SIMATIC STEP 7 hibáival kapcsolatban megjelentek a vonatkozó ICS-CERT advisory-k is, ezekkel frissítettem a posztot.

A tavaly decemberi ukrajnai áramszünetet okozó kibertámadás számos területen hozott jelentős változásokat, ennek egy újabb példája, hogy augusztus közepén az amerikai energiaügyi minisztérium (Department of Energy, DoE) 34 millió dolláros támogatást adott azoknak a projekteknek, amelyeknek célja, hogy javítsák az amerikai villamosenergia-rendszer kibertámadásokkal szembeni védelmét.

Az ICS-CERT statisztikái alapján az amerikai ipari szektorban a villamosenergia-ipar a kibertámadásoknak leginkább kitett iparág. A DoE várakozásai szerint a támogatásnak köszönhetően nőni fog a villamosenergia-rendszer megbízhatósága és ellenálló képessége.

A DoE biztonságfejlesztési programjának részeként a következő fő területeket határozta meg:

- A villamosenergia átviteli rendszer elemeinek ártó szándékú manipulálása. A fő feladat az átviteli hálózat norml működése mögé bújó kibertámadások észlelésének és az arra történő reagálás képességének kialakítása.
- A megújuló és hatékony energiaforrások biztonságos integrációja. A fő feladat a megújuló energiaforrások jelenleginél biztonságosabb módon történő integrálása a villamosenergia-rendszerbe.
- Az villamosenergia-átviteli hálózat támadható felületének folyamatos és önálló csökkentése. A fő cél az átviteli hálózatot érő támadások számának csökkentése, ezáltal téve a rendszert biztonságosabbá.
- Az átviteli rendszer beszállítói láncának kiberbiztonsága. Fő feladat az ártó szándékú hardver, firmware és/vagy szoftver komponensek azonosítása még azelőtt, hogy beépítésre kerülnének az átviteli rendszerbe.
- Az energiaszektor kiberbiztonságának fejlesztése innovatív technológiák használatával. Fő cél az átviteli rendszer kiberbiztonságának fejlesztésével kapcsolatban készített terv alapján a hiányosságok azonosítása és ez alapján innovatív technológiai megoldások ajánlása a kockázatok csökkentése érdekében.

A DoE által támogatott projektek között mások mellett megtalálhatóak a General Electric, a Schweitzer Engineering Laboratories és az Intel kutatásai.

Moxa ioLogik sérülékenységek

A Moxa az ICS-CERT-tel együttműködésben hozta nyilvánosságra, hogy az ioLogik termékcsalád több szériájában is sérülékenységeket találtak. A hibák az alábbi típusú eszközöket érintik:

ioLogik E2210;
ioLogik E2212;
ioLogik E2240;
ioLogik E2262;
ioLogik E1262;
ioLogik E2260;
ioLogik E2242;
ioLogik E2214;
ioLogik E1211;
ioLogik E1212;
ioLogik E1241;
ioLogik E1242;
ioLogik E1260;
ioLogik E1210;
ioLogik E1214;
ioLogik E1240;
ioLogik E1213;
ioLogik E1261W-T;
ioLogik E1261H-T;
ioLogik E1263H-T.

A hibák között több XSS, titkosítatlan HTTP kérésekben küldött jelszavak, nem kellően bonyolult alapértelmezett jelszavak és hiányzó CSRF elleni védelem is található.

A gyártó az ioLogik E1200-as sorozatú eszközökhöz a hibákat javító firmware béta verzióját 2016. augusztus 22-én, a végleges firmware-t szeptember 30-án adta ki. Az ioLogik E2200-as sorozatú eszközök béta firmware-je szeptember 2-a, a végleges verzió várhatóan október 31-étől lesz elérhető.

A Moxa számos kockázatcsökkentő intézkedést is javasol ügyfelei számára:

- Tűzfal és/vagy VPN használatával tegyék biztonságosabbá a hálózati szegmensek közötti kommunikációt (a témában kiadott Technical FAQ az "protect internet communication" kifejezést használja, szerintem ez csak tévedés, az ilyen eszközöknek nagyjából semmi keresnivalójuk nincs publikus hálózatokon);
- Szigorú hozzáférés vezérlési rendszer és szabályok alkalmazásával minimalizálni kell a hálózat biztonsági kitettségét;
- Az ICS rendszerek és távoli eszközök hálózatát tűzfalak mögé, az üzleti/vállalati hálózatoktól izoláltan kell kialakítani;
- Az ioLogik termékekben használni kell az engedélyezett eszközök IP címeit tartalmazó listát, ezzel megelőzhető, hogy nem engedélyezett eszközökről férjenek hozzá az ioLogik berendezésekhez;
- Erős jelszavakat kell használni;
- A kiadott béta vagy STD firmware-eket kell használni.

További részleteket a Moxa Technical FAQ-ja tartalmaz: http://www.moxa.com/support/faq/faq_detail.aspx?id=2703

Animas OneTouch Ping Insulin Pump sérülékenységek

A Rapid7 munkatársai több sérülékenységet találtak az Animas (Johnson&Johnson leányvállalat) OneTouch Ping nevű digitális izulin adagolójában. A hibák a termék minden verzióját érintik és többféle komoly biztonsági kockázatot jelentenek:

- Az inzulin adagoló és a távoli mérőberendezés között minden kommunikáció olvasható formában történik;
- Az inzulin adagoló és a távoli mérőberendezés közötti kezdeti társítási folyamathoz használt véletlenszerű érték az algoritmus gyengesége miatt jó eséllyel megjósolható;
- A nem megfelelő authentikáció miatt a lehetőség van a távoli parancsok (köztük akár az inzulin adagolására vonatkozó) visszajátszására/megismétlésére.

A gyártó nem tervezi a hibák javítását, mindössze értesítést küldött a pácienseknek és egészségügyi szakembereknek, ami elérhető a weboldalukon is és több kockázatcsökkentő intézkedést is publikált:
 
- Az inzulin adagoló rádiókommunikációs funkcióját ki lehet kapcsolni (erről a felhasználói kézikönyvben írnak bővebben), azonban a kikapcsolás azzal jár, hogy vércukor szint mérések értékeit manuálisan kell bevinni az adagolóba;
- Ha a felhasználó úgy dönt, hogy használni kívánja a rádiókommunikációs funkciót, lehetőség van szabályozni az inzulin adagoló által egyszerre beadható inzulin mennyiségét;
- Javasolt az eszközök Vibrating Alert funkciójának bekapcsolása. Ez a funkció, ha be van kapcsolva, jelzi a pácienseknek, hogy a távvezérlő kezdeményezte az inzulin beadását és lehetőséget biztosít ennek törlésére;
- Az inzulin beadására vonatkozó riasztás és az inulin mennyiségének szabályozása csak az adagolón konfigurálható, a távvezérlő eszközön nem.

A sérülékenységekkel kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSMA-16-279-01

GE Bently Nevada 3500/22M sérülékenység

Az ICS-CERT publikációja szerint a GE egy egy nem megfelelő jogosultságkezelésből származó hibát azonosított. A hiba az alábbi típusokat és firmware-verziókat érinti:

- GE Bently Nevada 3500/22M (USB-s verziók), Version 5.0-nál korábbi firmware-verziókkal;
- GE Bently Nevada 3500/22M (soros porttal rendelkező verziók), minden firmware-verzió.

A hiba alapvető oka, hogy az érintett eszközökön számos nyitott port található, amelyeken keresztül jogosulatlanul lehet hozzáférést szerezni.

A gyártó a hibát az 5.0-ás firmware-verzióban javította és további kockázatcsökkentő intézkedéseket javasol végrehajtani:

- A www.bntechsupport.com weboldalon elérhető, 106M9733 - 3500 Hardening Guideline című útmutatóban leírt hardening technikák alkalmazása;
- Az IEC 62443-2-4 Level 1 szerinti telepítéssel kapcsolatos információkat a GE Bently Nevada ügyfélszolgálatától lehet beszerezni;
- Az egymással kommunikáló eszközök közé kiegészítő eszközök (bump-in-the-wire) beépítése javasolt a biztonságos kommunikáció megvalósítása érdekében;
- Körültekintő hálózati szegmentálás és megfelelően konfigurált tűzfalak alkalmazásával jelentősen lehet csökkenteni a sérülékeny eszközök kockázatait.

Az ICS-CERT továbbá a szokásos kockázatcsökkentő intézkedések bevezetését is javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A hibával kapcsolatban részletes információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-252-01

INDAS Web SCADA sérülékenység

Az ICS-CERT bejelentése szerint Ehab Hussein, az IOActive munkatársa a szerb INDAS ICS-fejlesztő cég Web SCADA nevű termékében talált sérülékenységet. A hiba a Web SCADA Version 3-nál korábbi verzióját érinti. Egy támadó a hiba kihasználásával tetszőleges fájlokhoz férhet hozzá a sérülékeny rendszereken.

A gyártó a sérülékeny szoftver helyett egy új szoftvert, az InView SCADA nevű termékét ajánlja a felhasználóknak.

A sérülékenységgel kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-278-01

Beckhoff Embedded PC Images és TwinCAT sérülékenységek

A Beckhoff Embedded PC Images és TwinCAT nevű ICS rendszereiben Marko Schuba, az aacheni Tudományegyetem professzora fedezett fel sérülékenységeket. A hibák az alábbi Beckhoff termékeket és verziókat érintik:

- Minden Beckhoff Embedded PC Images verzió, ami2014. október 22-e előtt készült, valamint
- Minden TwinCAT komponens, ami Automation Device Specification (ADS) kommunikációs protokollt használ.

A fenti rendszerekben két hibát azonosítottak, az első brute force támadást tesz lehetővé az ADS protokoll hibáját kihasználva, a második a 2014. október 22-e előtt készült, beágyazott Windows CE rendszerben használt Remote Configuration Tool, CE Remote Display és telnet szolgáltatások használatából adódik.

A gyártó a sérülékeny verziókat használó felhasználóknak a 2014. október 22-e után készült image-ek használatát javasolja. Amennyiben ez nem járható út, az alábbi beállítások elvégzése javasolt:

- Tiltani kell a Windows CE Remote Configuration Tool működését a “HKEY_LOCAL_MACHINE\COMM\HTTPD\VROOTS\.” útvonal alatt található /remoteadmin ág alatt lévő Windows registry bejegyzések törlésével;
- Tiltani kell a CE Remote Display szolgáltatás automatikus indítását a "HKEY_LOCAL_MACHINE\init\Launch90" alatt található, “CeRDisp.exe” registry kulcs törlésével;
- Tiltani kell a telnet szolgáltatás elindulását a "HKEY_LOCAL_MACHINE\Services\TELNETD\Flags" alatt egy duplaszó (dword) 4 érték beállításával;
- Az ADS kommunikációt csak megbízható hálózatokból szabad engedélyezni.

A fenti hibákkal kapcsolatban az ICS-CERT a szokásos kockázatcsökkentő intézkedések végrehajtását is javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A sérülékenységekről további részleteket az ICS-CERT bejelentésében lehet olvasni: https://ics-cert.us-cert.gov/advisories/ICSA-16-278-02

Az ICS-CERT legújabb publikációja szerint Maxim Rupp független biztonsági kutató több sérülékenységet fedezett fel az American Auto-Matrix épület-automatizálási rendszereket gyártó cég termékeiben. A hibák az alábbi termékeket és verziókat érintik:

- Aspect-Nexus Building Automation Front-End Solutions application, 3.0.0-nál régebbi verziók és
- Aspect-Matrix Building Automation Front-End Solutions application minden verziója.

Az első hibát kihasználva egy támadó authentikáció nélkül lehet képes bármilyen fájl tartalmát megismerni a sérülékeny alkalmazást futtató számítógépen, a második sérülékenységet pedig a rendszerben használt jelszavak olvasható formában történő tárolása okozza.

A gyártó weboldalán már elérhetővé tette a hibákat javító szoftver verziókat.

Az ICS-CERT ezúttal is a szokásos kockázatcsökkentő intézkedéseket javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A sérülékenységgel kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz:
https://ics-cert.us-cert.gov/advisories/ICSA-16-273-01-0