Kína napi szinten szerepel a különböző kiberbiztonsággal kapcsolatos hírekben (bár az utóbbi időben az orosz és amerikai, egyes feltételezések szerint állami háttérrel rendelkező csapatok jóval komolyabb figyelmet kapnak), de többnyire inkább a támadókat feltételezik kínainak és sokkal ritkábban a célpontokat azonosítják Kínában.

Ez természetesen nem jelenti azt, hogy a kínai kritikus infrastruktúra informamatikai rendszereit nem támadnák hasonló volumennel, mint az európai vagy Észak-amerikai hasonló rendszereket, legfeljebb erről ritkán vagy szinte egyáltalán nem jutnak el hírek a Nagy Kínai Tűzfal túloldaláról.

Itt a blogon már többször hivatkoztam az orosz kutatók által alapított SCADA Strangelove csapat munkáit és publikációit, legutóbbi blogbejegyzésükben egy igen érdekes, kínai fenyegetéselemzéssel kapcsolatos prezentációjukat tették elérhetővé, aminek egy része (a 19. diától) a kínai ICS rendszerek biztonságával foglalkozik.

A prezentáció itt érhető el: http://scadastrangelove.blogspot.hu/2016/08/greater-china-cyber-threat-landscape.html

Az ICS-CERT tegnapi bejelentése szerint Maxim Rupp független biztonsági kutató a Moxa OnCell termékeiben azonosított több sérülékenységet. A hibák az alábbi típusokat és szoftververziókat érintik:

- OnCell G3100V2 sorozatú eszközök, Version 2.8-nál korábbi firmware verziók esetén és
- OnCell G3111/G3151/G3211/G3251 sorozatú eszközök, Version 1.7-nél régebbi firmware verziók alkalmazása esetén.

A sérülékenységeket az egyik konfigurációs állományban szövegesen tárolt jelszavak, illetve az authentikációs folyamat nem megfelelő brute force támadások elleni védelme okozzák.

A gyártó ügyfelei számára elérhetővé tette a hibákat javító firmware verziót.

Az ICS-CERT ezúttal is a szokásos kockázatcsökkentő intézkedéseket javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A hibával kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-236-01

Az ICS-CERT által kiadott publikáció szerint a Navis WebAccess nevű, szállítmányozási szektorban használt termékében talált SQL injection sérülékenységet egy bRpsd néven ismert személy és tette közzé a hibát, együtt, az azt kihasználó proof-of-concept (PoC) programkóddal együtt. A hiba a Navis WebAccess minden, 2016. augusztus 10-e előtti verziójában megtalálható.

A gyártó az augusztus 10-én kiadott verzióban javította a hibát és értesítette erről az érintett szoftvert használó ügyfeleket (szám szerint 13 ilyen ügyfelük van, ebből 5 az USA-ban).

Az ICS-CERT ezúttal is a szokásos kockázatcsökkentő intézkedések bevezetését javasolja:

- A sikeres SQL injection támadások hatásait csökkenteni kell a különböző adatbázis felhasználói fiókok jogosultsági szintjének a feladatvégzéshez szükséges minimumra csökkentésével;
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A hibával kapcsolatban további információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-231-01

Az IT és IT biztonsági szakterületeken hosszú ideje bevett megoldás, hogy a döntések előkészítéséhez szükséges adatokat publikus forrásokból, különböző teszteken mért referenciaértékekből szerezzük. Az ICS kiberbiztonság  területén jóval nehezebb publikus adatokat találni, a mai posztban ilyen forrásokat próbálok röviden felsorolni.

NCCIC/ICS-CERT

Az első és vitathatatlanul az egyik legfontosabb a US-CERT-en belül, a DHS által működtetett ICS-CERT, aminek a publikációiból nagyon gyakran én is idézek a blogon. A különböző ICS rendszerekre vonatkozó sérülékenységeken túl jellemzően kéthavonta jelenteti meg az ICS-CERT azokat az összefoglaló riportokat, amikben átfogó(bb) képet próbálnak nyújtani az ICS kiberbiztonság helyzetéről.

SANS

A másik általam többször hivatkozott forrás a SANS, akik éves rendszerességgel készítenek felmérést az ICS kiberbiztonság állapotáról, majd ezeket egy riportban és egy webcast-on teszik elérhetővé. A legutóbbi, SANS 2016 ICS Servey itt érhető el: https://www.sans.org/reading-room/whitepapers/analyst/2016-state-ics-security-survey-37067

RISI

A RISI rövidítés a Repository of Industrial Security Incidents, vagyis az ipari biztonsági incidensek gyűjteménye kifejezést takarja, ami a 2008-tól kb. 2014-ig tartó időszakban bekövetkezett incidenseket gyűjtötte össze. A RISI nem kizárólag az ICS kiberbiztonsági incidensekre koncentrált és szándékosan előidézett események mellett a nem szándékos, véletlenül bekövetkezett incidenseket is listázták. A RISI online incidens adatbázisa még ma is kereshető, iparágra, országra és évszámra keresve egyaránt elérhetőek a múltbeli incidensek adatai. A RISI adatbázis ezen a weboldalon található: http://www.risidata.com/Database

Egyéb, IT biztonsági források

A kifejezetten ICS biztonsággal foglalkozó források mellett számos olyan publikusan elérhető anyag érhető el, ami többek között az egyre gyakoribb ICS kiberbiztonsági incidensekkel is foglalkozik, ilyen kiadványokkal időről-időre jelentkezik többek között a Verizon Enterprise, a Kaspersky, a Mandiant vagy akár a Microsoft is.

A TippingPoint-hoz tartozó ZDI tegnap publikált egy, az ABB DataManagerPro-t érintő 0-day sérülékenységet, amit egy rgod néven ismert biztonsági szakember fedezett fel.

A sérülékenységet a DataManagerPro hibás fájlszintű jogosultságkezelése okozza, ennek következtében egy authentikált felhasználó alacsony szintű jogosultságok birtokában képes lehet a rendszer binárisait tartalmazó könyvtárban olyan fájlokat lecserélni, amiket a rendszer üzemeltetése során adminisztrátori jogosultsággal kell futtatni.

A hibát a ZDI először idén januárban jelezte az ICS-CERT-nek, a gyártó június/júliusra ígérte a javítást. A ZDI végül a standard 120 napos várakozási időszak után publikálta a hibát. Tekintettel arra, hogy jelenleg az érintett rendszerekhez nincs elérhető patch, ami a hibát javítaná valamint a hiba jellegére, a sérülékenység jelentette kockázatokat csak az érintett rendszerekhez történő hozzáférések szigorítása tudja csökkenteni.

Tvoábbi információkat a ZDI bejelentése tartalmaz: http://www.zerodayinitiative.com/advisories/ZDI-16-479/

Az ipari rendszerek és kritikus infrastruktúrák biztonságával foglalkozó cikkek és blogok ritkán foglalkoznak azzal, hogy a kínai szakértők tudása és tapasztalata hol helyezkedik el ebben a témában, a legtöbb, Európában és Észak-Amerikában megjelenő publikáció jellemzően amerikai és európai szerzőtől származik, rajtuk kívül leginkább orosz szakemberek jeleskednek a témában (ilyen pl. a SCADA Strangelove csapata és Maxim Rupp, akinek különböző ICS rendszerekben felfedezett sérülékenységeiről én is rendszeresen hírt adok a blogon). Ez persze nem jelenti azt, hogy Kínában ne foglalkoznának a témával, ennek egyik jó példája a plcsan.org blog, ahol tegnap jelent meg egy 21 oldalas tanulmány a kritikus infrastruktúrákról a kibertérben gyűjteni információk témájában (elérhető PDF és HTML formátumban egyaránt).

A téma több, mint időszerű, hiszen az elmúlt években több olyan, publikusan elérhető kereső megoldás jelent meg, amelyek vagy kifejezetten az ipari rendszerekre koncentráltak (mint pl. a Shodan Search Engine) vagy a korábban elérhetőeknél nagyságrendekkel gyorsabb scannelési lehetőséget biztosítanak (pl. ZMap), amikkel már a teljes IPv4 címtér gyors átvizsgálása is lehetséges például a kritikus infrastruktúrák működésében nélkülözhetetlen eszközök utáni keresés során.

Az Interneten elérhető ipari rendszerek meglehetősen könnyen azonosíthatóak az általuk használt egyedi portok (pl. 102/tcp - Modbus, 47808/tcp, BACNet, stb.) alapján, ugyanígy az egyes gyártók szabadalmaztatott protokolljait is könnyen és gyorsan lehet az általuk használt portok alapján azonosítani. Számos olyan, Nmap NSE script érhető el publikusan, amelyek kifejezetten a különböző ICS rendszerek scannelésére készültek. Újabban egy-egy ICS sérülékenység nyilvánosságra kerülése után gyorsan (jellemzően órák alatt) jelennek meg az új sérülékenységet kereső NSE scriptek.

A tanulmány számos kínai belföldi és nemzetközi keresőszolgáltatást és kutatási projektet sorol fel, majd ezeket a keresőket és kutatási projekteket elemzi részletesen érettségi szint és egyéb szempontok alapján.

Az ICS-CERT tegnap publikált bejelentése szerint a Cisco Talos kutatócsoportja egy nem dokumentált és magas szintű hozzáférést biztosító SNMP community string-et azonosított a MicroLogix 1400 sorozatú PLC-kben. Az érintett verziók az alábbiak:

- 1766-L32BWA,
- 1766-L32AWA,
- 1766-L32BXB,
- 1766-L32BWAA,
- 1766-L32AWAA,
- 1766-L32BXBA.

Tekintettel arra, hogy az SNMP szolgáltatás nélkülözhetetlen az érintett termék firmware-frissítési folyamatában, ezért a gyártó nem tudja eltávolítani termékből, ehelyett olyan intézkedéseket javasol, amikkel csökkenteni lehet a kockázatokat:

- Az érintett termékekbe épített *RUN* kapcsoló használatával megelőzhető az jogosulatlan és nem kívánt firmware-frissítés vagy más, kártékony célú konfiguráció-módosítás;
- Megfelelő IP hálózati kontrollok alkalmazásával (pl. tűzfalak) szűrni lehet, hogy csak megbízható forrásból érkező SNMP parancsok kerüljenek végrehajtásra;
- Az SNMP szolgáltatás kerüljön kikapcsolásra az érintett eszközöknél, amennyiben ez megoldható. Ha ez megtörténik, figyelembe kell venni, hogy az érintett PLC-k firmware-frissítéséhez az SNMP szolgáltatást engedélyezni kell, majd a frissítés után célszerű ismét letiltani. Fontos, hogy a gyári SNMP community string megváltoztatása a gyártó szerint nem elégséges intézkedés!

Az ICS-CERT mindezeken túl a szokásos kockázatcsökkentő intézkedéseket javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A hibával kapcsolatban további részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-224-01

CISA, CISSP, CEH - aki az információ/IT-biztonság világában él, ismeri ezeket a rövidítéseket és mögöttük lévő tartalmat. Ahogy az ICS rendszerek biztonsága egyre jobban a szakma érdeklődésének fókuszába került, megjelent az igény az ilyen specializációjú minősítésekre is. Elsőként a SANS GIAC (Global Information Assurance Certification) programjának keretében megszerezhető GICSP minősítésről lesz szó.

A GICSP (Global Industrial Cyber Security Professional) a SANS GIAC rendszerében az ipari rendszerek kiberbiztonsága témát fedi le. Célja, hogy az IT-, ipari és kiberbiztonsági szakterületekről származó tudás megfelelő kombinációjával olyan ismeretanyagot adjon a vizsgázóknak, amit felhasználva meg lehet felelni a legújabb, részben már kiberbiztonsági kihívásoknak is az ipari rendszerek tervezése, telepítése, üzemeltetése és karbantartása során.

A vizsga számos területet fed le, a témakörök (jelenleg) az alábbiak:

- Hozzáférés kezelés;
- Konfiguráció/változáskezelés - baseline-ok, ipari berendezések kapcsolatai, auditálás;
- Konfiguráció/változáskezelés - szoftverfrissítések;
- ICS kiberbiztonsági alapok - támadások és incidensek;
- ICS kiberbiztonsági alapok - rendelkezésre állás;
- ICS kiberbiztonsági alapok - titkosítás;
- ICS kiberbiztonsági alapok - biztonsági alapelvek;
- ICS kiberbiztonsági alapok - fenyegetések;
- Katasztrófa-elhárítás és üzletmenet-folytonosság;
- ICS rendszerek architektúrája - kommunikációs csatornák;
- ICS rendszerek architektúrája - ipari végponti berendezések architektúrája;
- ICS rendszerek architektúrája - ipari protokollok;
- ICS rendszerek architektúrája - hálózati protokollok;
- ICS rendszerek architektúrája - hálózat-szegmentálás;
- ICS rendszerek architektúrája - vezeték nélküli kommunikációs csatornák biztonsága;
- ICS modulok és elemek hardening-je - alkalmazás biztonság;
- ICS modulok és elemek hardening-je - beágyazott eszközök;
- ICS modulok és elemek hardening-je - hálózatbiztonság/hardening;
- ICS modulok és elemek hardening-je - operációs rendszerek biztonsága;
- ICS modulok és elemek hardening-je - konfiguráció és végponti eszközök hardening-je;
- ICS biztonság értékelése - biztonsági eszközök;
- ICS biztonság értékelése - értékelés és tesztelés;
- ICS biztonságirányítás és kockázatkezelés - kockázatkezelés;
- ICS biztonságirányítás és kockázatkezelés - biztonsági szabályzatok és eljárások fejlesztése;
- ICS biztonság ellenőrzése - naplózás;
- ICS biztonság ellenőrzése - monitoring;
- Incidens menedzsment;
- Ipari vezérlőrendszerek - a folyamatirányítás alapjai;
- Ipari vezérlőrendszerek - biztonsági (safety) és védelmi rendszerek;
- Fizikai biztonság.

A vizsga 115 kérdés megválaszolásából áll, amire 3 óra áll rendelkezésre. A sikeres vizsgához minimum 69%-ban helyesen kell megválaszolni a feltett kérdéseket. A sikeres vizsga után a minősítés 4 évre szól, ezután meg kell újítani a minősítést. Ehhez a www.giac.org weboldalon egy jókora infografika nyújt részletes információkat. http://www.giac.org/pdfs/cert-renewal/infographic_renewal_programv2.pdf

A poszt publikálásának pillanatában (2016.08.06) összesen 1012 fő rendelkezik GICSP minősítéssel világszerte, de az elmúlt 1-2 év tendenciáit figyelve úgy gondolom, hogy évről-évre többen fognak próbát tenni, mert egyre nagyobb igény lesz az ICS kiberbiztonság területén is az ilyen, speciális minősítésekkel rendelkező szakemberekre.

Siemens SINEMA Server privilégiumszint emelést lehetővé tevő sérülékenység

Az rgod néven ismert biztonsági kutató a ZDI-vel együttműködve talált egy privilégiumszint emelést lehetővé tevő sérülékenységet a  Siemens SINEMA Server nevű termékében. A hiba a SINEMA Server minden verzióját érinti. Ha egy támadó sikeresen használja ki a hibát, akkor egy sikeres authentikáció után képes lehet a legitimnél magasabb jogosultságokat szerezni.

A Siemens egy ideiglenes javítást tett elérhetővé a SINEMA Server-t használó ügyfeleli számára és jelenleg is dolgozik a hibát véglegesen javító új verzión.

A hibával kapcsolatban további információkat a Siemens ProductCERT és az ICS-CERT oldalaink érhetőek el.

Moxa SoftCMS SQLi sérülékenység

Zhou Yu, az Acorn Network Security munkatársa talált SQL injection sérülékenységet a Moxa SoftCMS nevű központi menedzsment megoldásában. A hiba a SoftCMS Version 1.5-nél korábbi verzióit érinti.

A gyártó már elérhetővé tette a hibát javító 1.5-ös firmware verziót.

Részletes információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-215-01

Az ICS-CERT a fenti sérülékenységekkel kapcsolatban a szokásos kockázatcsökkentő intézkedések alkalmazását javasolja:

- Ne nyissanak meg kéretlen e-mail üzenetekben érkezett csatolmányokat vagy webes hivatkozásokat!
- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Az S4x16 Europe-ról származó videók sorát kicsit megtörve ma egy 4 éves felvételt találtam, amin Ralph Langner 2012-es S4x12-n tartott előadása látható amit a Stuxnet mélyreható elemzéséről tartott.

A Stuxnet mind a mai napig viszonyítási pont és hivatkozási alap az ICS biztonság világában, ezért úgy gondolom, hogy ez a felvétel most is érdekes és időszerű lehet sokak számára.

A videó a Youtube-on érhető el: http://www.digitalbond.com/blog/2016/06/20/s4-classic-video-langners-stuxnet-deep-dive/