Bejelentés dátuma: 2025.01.14.
Gyártó: Belledonne Communications
Érintett rendszer(ek):
- Linphone-Desktop 5.2.6-os verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- NULL Pointer Dereference (CVE-2025-0430)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-014-04

Bejelentés dátuma: 2025.01.14.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Hitachi Energy FOXMAN-UN R15A-nál korábbi összes verziója;
- Hitachi Energy FOXMAN-UN R15B verziója;
- Hitachi Energy FOXMAN-UN R15B PC4 verziója;
- Hitachi Energy FOXMAN-UN R16A verziója;
- Hitachi Energy FOXMAN-UN R16B verziója;
- Hitachi Energy FOXMAN-UN R16B PC2 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2024-2013)/kritikus;
- Argument Injection (CVE-2024-2012)/kritikus;
- Heap-based Buffer Overflow (CVE-2024-2011)/súlyos;
- Incorrect User Management (CVE-2024-28020)/súlyos;
- Improper Certificate Validation (CVE-2024-28021)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2024-28022)/közepes;
- Use of Hard-coded Password (CVE-2024-28023)/közepes;
- Cleartext Storage of Sensitive Information (CVE-2024-28024)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-014-01

Bejelentés dátuma: 2025.01.16.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Hitachi Energy FOX61x R15A és korábbi verziói;
- Hitachi Energy FOX61x R15B verziói;
- Hitachi Energy FOX61x R16A verziói;
- Hitachi Energy FOX61x R16B E revíziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Relative Path Traversal (CVE-2024-2461)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-016-07

Bejelentés dátuma: 2025.01.16.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Alpha5 SMART 4.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2024-34579)/súlyos;
Javítás: A gyártó megerősítette, hogy az Alpha5 rendszerekhez nem készül javítás a sérülékenységre.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-016-05

Bejelentés dátuma: 2025.01.16.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- FOX61x R16B-nél korábbi verziói;
- FOXCST 16.2.1-nél korábbi verziói;
- FOXMAN-UN R15A és korábbi verziói;
- FOXMAN-UN R15B PC4 és korábbi verziói;
- FOXMAN-UN R16A verziója;
- FOXMAN-UN R16B PC2 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Certificate with Host Mismatch (CVE-2024-2462)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-016-06

Bejelentés dátuma: 2025.01.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-1200 CPU 1211C AC/DC/Rly (6ES7211-1BE40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1214C DC/DC/DC (6ES7214-1AG40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1214C DC/DC/Rly (6ES7214-1HG40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1214FC DC/DC/DC (6ES7214-1AF40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1214FC DC/DC/Rly (6ES7214-1HF40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1215C AC/DC/Rly (6ES7215-1BG40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1215C DC/DC/DC (6ES7215-1AG40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1215C DC/DC/Rly (6ES7215-1HG40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1215FC DC/DC/DC (6ES7215-1AF40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1215FC DC/DC/Rly (6ES7215-1HF40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1217C DC/DC/DC (6ES7217-1AG40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1211C DC/DC/DC (6ES7211-1AE40-0XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1212 AC/DC/RLY (6AG1212-1BE40-2XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1212 AC/DC/RLY (6AG1212-1BE40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1212 DC/DC/RLY (6AG1212-1HE40-2XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1212 DC/DC/RLY (6AG1212-1HE40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1212C DC/DC/DC (6AG1212-1AE40-2XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1212C DC/DC/DC (6AG1212-1AE40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1212C DC/DC/DC RAIL (6AG2212-1AE40-1XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 AC/DC/RLY (6AG1214-1BG40-2XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 AC/DC/RLY (6AG1214-1BG40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 AC/DC/RLY (6AG1214-1BG40-5XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1211C DC/DC/Rly (6ES7211-1HE40-0XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 DC/DC/DC (6AG1214-1AG40-2XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 DC/DC/DC (6AG1214-1AG40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 DC/DC/DC (6AG1214-1AG40-5XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 DC/DC/RLY (6AG1214-1HG40-2XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 DC/DC/RLY (6AG1214-1HG40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 DC/DC/RLY (6AG1214-1HG40-5XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214C DC/DC/DC RAIL (6AG2214-1AG40-1XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214FC DC/DC/DC (6AG1214-1AF40-5XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214FC DC/DC/RLY (6AG1214-1HF40-5XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215 AC/DC/RLY (6AG1215-1BG40-2XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1212C AC/DC/Rly (6ES7212-1BE40-0XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215 AC/DC/RLY (6AG1215-1BG40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215 AC/DC/RLY (6AG1215-1BG40-5XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215 DC/DC/DC (6AG1215-1AG40-2XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215 DC/DC/DC (6AG1215-1AG40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215 DC/DC/RLY (6AG1215-1HG40-2XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215 DC/DC/RLY (6AG1215-1HG40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215 DC/DC/RLY (6AG1215-1HG40-5XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215C DC/DC/DC (6AG1215-1AG40-5XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215FC DC/DC/DC (6AG1215-1AF40-5XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1212C DC/DC/DC (6ES7212-1AE40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1212C DC/DC/Rly (6ES7212-1HE40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1212FC DC/DC/DC (6ES7212-1AF40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1212FC DC/DC/Rly (6ES7212-1HF40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1214C AC/DC/Rly (6ES7214-1BG40-0XB0) V4.7-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-Site Request Forgery (CVE-2024-47100)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.01.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIPROTEC 5 6MD84 (CP300) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SA87 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SD82 (CP100) 7.80-asnál újabb verziói;
- Siemens SIPROTEC 5 7SD82 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SD86 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SD87 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SJ81 (CP100) 7.80-asnál újabb verziói;
- Siemens SIPROTEC 5 7SJ81 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SJ82 (CP100) 7.80-asnál újabb verziói;
- Siemens SIPROTEC 5 7SJ82 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SJ85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 6MD85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SJ86 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SK82 (CP100) 7.80-asnál újabb verziói;
- Siemens SIPROTEC 5 7SK82 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SK85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SL82 (CP100) 7.80-asnál újabb verziói;
- Siemens SIPROTEC 5 7SL82 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SL86 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SL87 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SS85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7ST85 (CP300) minden verziója;
- Siemens SIPROTEC 5 6MD86 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7ST86 (CP300) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SX82 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SX85 (CP300) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SY82 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7UM85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7UT82 (CP100) 7.80-asnál újabb verziói;
- Siemens SIPROTEC 5 7UT82 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7UT85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7UT86 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7UT87 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 6MD89 (CP300) 7.80-asnál újabb verziói;
- Siemens SIPROTEC 5 7VE85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7VK87 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7VU85 (CP300) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 Compact 7SX800 (CP050) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 6MU85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7KE85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SA82 (CP100) 7.80-asnál újabb verziói;
- Siemens SIPROTEC 5 7SA82 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SA86 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Files or Directories Accessible to External Parties (CVE-2024-53649)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.01.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Industrial Edge Management OS (IEM-OS) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-45385)/közepes;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.01.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Mendix LDAP minden, 1.1.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- LDAP Injection (CVE-2024-56841)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.01.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siveillance Video Device Pack V13.5-ös és korábbiverziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insertion of Sensitive Information into Log File (CVE-2024-12569)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.01.21.
Gyártó: ZF
Érintett rendszer(ek):
- RSSPlus 2M 01/08-tól 01/23-ig terjedő build verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass By Primary Weakness (CVE-2024-12054)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-021-03

Bejelentés dátuma: 2025.01.21.
Szabvány: Traffic Alert and Collision Avoidance System (TCAS) II
Érintett rendszer(ek):
- TCAS II 7.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Untrusted Inputs in a Security Decision (CVE-2024-9310)/közepes;
- External Control of System or Configuration Setting (CVE-2024-11166)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-021-01

Bejelentés dátuma: 2025.01.23.
Gyártó: mySCADA
Érintett rendszer(ek):
- myPRO Manager 1.3-asnál korábbi verziói;
- myPRO Runtime 9.2.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-20061)/kritikus;
- OS Command Injection (CVE-2025-20014)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-01

Bejelentés dátuma: 2025.01.23.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú CMU-k 13.5.1-től 13.5.3-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 13.4.1-től 13.4.4-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 13.2.1-től 13.2.7-ig terjedő firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improperly Implemented Security Check for Standard (CVE-2024-2617)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-02

Bejelentés dátuma: 2025.01.23.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EVlink Home Smart minden, 2.0.6.0.0-nál korábbi verziója;
- Schneider Charge minden, 1.13.4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2024-8070)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.01.23.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy Studio 9.3.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Privilege Management (CVE-2024-9002)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.01.23.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Power Build Rapsody v2.5.2 NL és korábbi verziói;
- EcoStruxure Power Build Rapsody v2.7.1 FR és korábbi verziói;
- EcoStruxure Power Build Rapsody v2.7.5 ES és korábbi verziói;
- EcoStruxure Power Build Rapsody v2.5.4 INT és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-11139)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.01.23.
Gyártó: HMS Networks
Érintett rendszer(ek):
- Ewon Flexy 202 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2025-0432)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-06

Bejelentés dátuma: 2025.01.10.
Gyártó: ABB
Érintett rendszer(ek):
- ASPECT®-Enterprise ASP-ENT-2CQG103201S3021 3.08.02-es és korábbi firmware-verziói;
- ASPECT®-Enterprise ASP-ENT-2CQG103202S3021 3.08.02-es és korábbi firmware-verziói;
- ASPECT®-Enterprise ASP-ENT-2CQG103203S3021 3.08.02-es és korábbi firmware-verziói;
- ASPECT®-Enterprise ASP-ENT-2CQG103204S3021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100102R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100104R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100105R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100106R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100110R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100112R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100103R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100107R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100108R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100109R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100111R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100113R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100102R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100104R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100105R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100106R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100110R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100112R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100103R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100107R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100108R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100109R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100111R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100113R2021 3.08.02-es és korábbi firmware-verziói;
- MATRIX MAT-2CQG100102R1021 3.08.02-es és korábbi firmware-verziói;
- MATRIX MAT-2CQG100103R1021 3.08.02-es és korábbi firmware-verziói;
- MATRIX MAT-2CQG100104R1021 3.08.02-es és korábbi firmware-verziói;
- MATRIX MAT-2CQG100105R1021 3.08.02-es és korábbi firmware-verziói;
- MATRIX MAT-2CQG100106R1021 3.08.02-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unauthorized Access (CVE-2024-6209)/kritikus;
- Remote Code Execution (CVE-2024-6298)/kritikus;
- Clear Text Passwords (CVE-2024-6515)/súlyos;
- Cross Site Scripting XSS (CVE-2024-6516)/súlyos;
- SSRF Server Side Request Forgery (CVE-2024-6784)/kritikus;
- SQL Injection (CVE-2024-48843)/súlyos;
- Denial of Service (CVE-2024-48844)/súlyos;
- Weak Password Rules/Strength (CVE-2024-48845)/kritikus;
- Cross Side Request Forgery (CVE-2024-48846)/súlyos;
- MD5 bypass operation (CVE-2024-48847)/súlyos;
- Remote Code Execution (CVE-2024-48839)/kritikus;
- Unauthorized Access (CVE-2024-48840)/kritikus;
- Local File Inclusion (CVE-2024-51541)/súlyos;
- Configuration Download (CVE-2024-51542)/súlyos;
- Information Disclosure (CVE-2024-51543)/súlyos;
- Service Control (CVE-2024-51544)/súlyos;
- Username Enumeration (CVE-2024-51545)/kritikus;
- Credentials Disclosure (CVE-2024-51546)/súlyos;
- Dangerous File Upload (CVE-2024-51548)/kritikus;
- Absolute Path Traversal (CVE-2024-51549)/kritikus;
- Data Validation/Sanitization (CVE-2024-51550)/kritikus;
- Default Credentials (CVE-2024-51551)/kritikus;
- Off-by-one-error (CVE-2024-51554)/súlyos;
- Force Change of Default Credentials (CVE-2024-51555)/kritikus;
- Filesize Check (CVE-2024-11316)/súlyos;
- PHP Session Fixation (CVE-2024-11317)/kritikus;
Javítás: Elérhető.
Link a publikációhoz: ABB

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A héten tartották a Pwn2Own Automotive 2025 rendezvényt, ennek aprópóján úgy gondoltom, hogy juthatna egy poszt az elmúlt hetekben elszaporodott autóipari rendszereket érintő sérülékenységeknek.

Az első cikk, ami szembejött velem, a Sony XAV-AX8500-as rendszerének, egy Android Autoval és Apple CarPlay-jel kompatibilis infotainment rendszer, amit a ZDI, a Pwn2Own-sorozat rendezőjének munkatársai egy két részes cikksorozatban szedtek darabokra és mutatták be a megismerhető támadási felületét.

Ugyanígy két részes cikket kapott az Autel MaxiCharger elektromos autó töltője, ami egy volt a Pwn2Own-ra benevezett 7 különböző töltőberendezésnek.

A következő cikk a Pwn2Own autókba épített infotainment rendszerekre szabott versenyének egyik nevezője (a négyből), a Pioneer DMH-WT7600NEX típusú megoldásának támadási felületeit ismerteti.

Magáról a Tokióban megrendezett Pwn2Own Automotive 2025-ről egy háromrészes írásban számol be a ZDI, az első nap, a második nap és a harmadik nap fontosabb eredményeivel, illetve a végeredmények részleteivel.

Az utolsó cikk a mai posztban a Wired.com írása, amiben Sam Curry az édesanyjának vett Subaru tesztelése során talált olyan webes sérülékenységet, amit kihasználva nem csak kinyitni és elindítani tudta az autót (és valószínűleg még millió másik Subarut is), hanem akár egy évre visszamenőleg hozzá tudott férni az autóval megtett útvonal-adatokhoz is. A sérülékenységhez a gyártó már elkészítette a javítást, a kérdés már csak az, vajon hány autóra telepítették a javított verziót?

Bejelentés dátuma: 2025.01.03.
Gyártó: Moxa
Érintett rendszer(ek):
- EDR-810 sorozatú eszközök 5.12.37-es és korábbi firmware-verziói;
- EDR-8010 sorozatú eszközök 3.13.1-es és korábbi firmware-verziói;
- EDR-G902 sorozatú eszközök 5.7.25-0s és korábbi firmware-verziói;
- EDR-G903 sorozatú eszközök 5.7.25-0s és korábbi firmware-verziói;
- EDR-G9004 sorozatú eszközök 3.13.1-es és korábbi firmware-verziói;
- EDR-G9010 sorozatú eszközök 3.13.1-es és korábbi firmware-verziói;
- EDF-G1002-BP sorozatú eszközök 3.13.1-es és korábbi firmware-verziói;
- NAT-102 sorozatú eszközök 1.0.5-0s és korábbi firmware-verziói;
- OnCell G4302-LTE4 sorozatú eszközök 3.13-as és korábbi firmware-verziói;
- TN-4900 sorozatú eszközök 3.13-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Security Through Obscurity (CVE-2024-9138)/súlyos;
- OS Command Injection (CVE-2024-9140)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.01.07.
Gyártó: ABB
Érintett rendszer(ek):
- ABB NEXUS sorozatú NEXUS-3-x rendszerek 3.08.02-es és korábbi verziói;
- ABB NEXUS sorozatú NEX-2x rendszerek 3.07.02-es és korábbi verziói;
- ABB NEXUS sorozatú NEX-2x rendszerek 3.08.02-es és korábbi verziói;
- ABB NEXUS sorozatú NEXUS-3-x rendszerek 3.08.01-es és korábbi verziói;
- ABB ASPECT-Enterprise: ASP-ENT-x rendszerek 3.08.02-es és korábbi verziói;
- ABB MATRIX sorozatú MAT-x rendszerek 3.08.02-es és korábbi verziói;
- ABB MATRIX sorozatú MAT-x rendszerek 3.08.01-es és korábbi verziói;
- ABB MATRIX sorozatú MAT-x rendszerek 3.07.02-es és korábbi verziói;
- ABB ASPECT-Enterprise: ASP-ENT-x rendszerek 3.08.01-es és korábbi verziói;
- ABB ASPECT-Enterprise: ASP-ENT-x rendszerek 3.07.02-es és korábbi verziói;
- ABB NEXUS sorozatú NEX-2x rendszerek 3.08.01-es és korábbi verziói;
- ABB NEXUS sorozatú NEXUS-3-x rendszerek 3.07.02-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Files or Directories Accessible to External Parties (CVE-2024-6209)/kritikus;
- Improper Validation of Specified Type of Input (CVE-2024-6298)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2024-6515)/kritikus;
- Cross-site Scripting (CVE-2024-6516)/kritikus;
- Server-Side Request Forgery (SSRF) (CVE-2024-6784)/kritikus;
- Improper Neutralization of Special Elements in Data Query Logic (CVE-2024-48843)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2024-48844)/súlyos;
- Weak Password Requirements (CVE-2024-48845)/kritikus;
- Cross-Site Request Forgery (CSRF) (CVE-2024-48846)/súlyos;
- Use of Weak Hash (CVE-2024-48847)/súlyos;();
- Code Injection (CVE-2024-48839)/kritikus;
- Code Injection (CVE-2024-48840)/kritikus;
- PHP Remote File Inclusion (CVE-2024-51541)/súlyos;
- Files or Directories Accessible to External Parties (CVE-2024-51542)/súlyos;
- External Control of System or Configuration Setting (CVE-2024-51543)/súlyos;
- External Control of System or Configuration Setting (CVE-2024-51544)/súlyos;
- Insufficiently Protected Credentials (CVE-2024-51545)/súlyos;
- Improper Validation of Specified Type of Input (CVE-2024-51546)/súlyos;
- Unrestricted Upload of File with Dangerous Type (CVE-2024-51548)/kritikus;
- Absolute Path Traversal (CVE-2024-51549)/kritikus;
- Improper Validation of Specified Type of Input (CVE-2024-51550)/kritikus;
- Use of Default Credentials (CVE-2024-51551)/kritikus;
- Off-by-one Error (CVE-2024-51554)/kritikus;
- Use of Default Password (CVE-2024-51555)/kritikus;
- Allocation of Resources Without Limits or Throttling (CVE-2024-11316)/súlyos;
- Session Fixation (CVE-2024-11317)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-007-01

Bejelentés dátuma: 2025.01.07.
Gyártó: Nedap Librix
Érintett rendszer(ek):
- Ecoreader minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2024-12757)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-007-02

Bejelentés dátuma: 2025.01.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PowerChute Serial Shutdown 1.2.0.301-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2024-10511)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.01.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Harmony HMIST6 minden verziója;
- Harmony HMISTM6 minden verziója;
- Harmony HMIG3U minden verziója;
- Harmony HMIG3X minden verziója;
- Ecostruxure Operator Terminal Expert runtime-mal használt Harmony HMISTO7 minden verziója;
- PFXST6000 minden verziója;
- PFXSTM6000 minden verziója;
- PFXSP5000 minden verziója;
- Pro-face BLUE runtime-mal használt PFXGP4100 sorozatú eszközök minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Unmaintained Third-Party Components (CVE-2024-11999)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.01.10.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DRASimuCAD robotszimulációs platform 1.02-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Type Confusion (CVE-2024-12834)/súlyos;
- Out-of-bounds Write (CVE-2024-12835)/súlyos;
- Type Confusion (CVE-2024-12836)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hibákat javító új verzión.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-010-03-0

Bejelentés dátuma: 2025.01.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric Vijeo Designer minden, 6.3 SP1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Privilege Management (CVE-2024-8306)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-014-02

Bejelentés dátuma: 2025.01.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric EcoStruxure™ Power Monitoring Expert (PME) 2021 minden, 2021 CU1-nél korábbi verziója;
- Schneider Electric EcoStruxure™ Power Monitoring Expert (PME) 2020 minden, 2020 CU3-nál korábbi verziója;
- Schneider Electric EcoStruxure™ Power Operation (EPO) 2022 minden, 2022 CU4-nél korábbi verziója;
- Schneider Electric EcoStruxure™ Power Operation (EPO) 2022 – Advanced Reporting and Dashboards Module minden, 2022 CU4-nél korábbi verziója;
- Schneider Electric EcoStruxure™ Power Operation (EPO) 2021 minden, 2021 CU3 Hotfix 2-nél korábbi verziója;
- Schneider Electric EcoStruxure™ Power Operation (EPO) 2021 – Advanced Reporting and Dashboards Module minden, 2021 CU3 Hotfix 2-nél korábbi verziója;
- Schneider Electric EcoStruxure™ Power SCADA Operation 2020 (PSO) - Advanced Reporting and Dashboards Module minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-8401)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-014-03

Bejelentés dátuma: 2025.01.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M580 kommunikációs processzorok (BMEP* és BMEH* sorozatszámú eszközök, nem beleértve az M580-as safety kommunikációs processzorokat) minden, SV4.30-nál korábbi verziója;
- Modicon M580 safety kommunikációs processzorokat (BMEP58*S és BMEH58*S sorozatszámú eszközök) SV4.21-nél korábbi verziói;
- BMENOR2200H minden verziója;
- EVLink Pro AC v1.3.10-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Calculation of Buffer Size (CVE-2024-11425)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.01.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Pro-face GP-Pro EX minden verziója;
- Pro-face Remote HMI minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Enforcement of Message Integrity During Transmission in a Communication Channel (CVE-2024-12399)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.01.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M580 kommunikációs modulok BMENOC és BMENOC0321 sorozatainak minden, SV1.10-nél korábbi verziója;
- Modicon M580 kommunikációs modulok BMECRA és BMECRA31210 sorozatainak minden verziója;
- Modicon M580/Quantum kommunikációs modulok BMXCRA, BMXCRA31200 és BMXCRA31210 sorozatainak minden verziója;
- Modicon Quantum 140CRA kommunikációs modulok 140CRA31200 és 140CRA31908 sorozatainak minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2021-29999)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.01.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 processzorok (BMXP34* sorozatszámú eszközök) minden verziója;
- BMXNOE0100 minden verziója;
- BMXNOE0110 minden verziója;
- BMXNOR0200H minden, SV1.70IR26-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2024-12142)/súlyos;
Javítás: Rérszben elérhető.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.01.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxureTM Control Expert V16.1-nél korábbi verziói;
- EcoStruxureTM Process Expert minden verziója;
- EcoStruxure™ OPC UA Server Expert minden verziója;
- EcoStruxureTM Control Expert Asset Link V4.0 SP1-nél korábbi verziói;
- EcoStruxureTM Machine SCADA Expert Asset Link minden verziója;
- EcoStruxure™ Architecture Builder V7.0.18-nál korábbi verziói;
- EcoStruxure™ Operator Terminal Expert minden verziója;
- Vijeo Designer V6.3SP1 HF1-nél korábbi verziói;
- EcoStruxure™ Machine Expert, beleértve az EcoStruxureTM Machine Expert Safety rendszereket, minden verziója;
- EcoStruxure™ Machine Expert Twin minden verziója;
- Zelio Soft 2 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Local Privilege Escalation (CVE-2024-2658)/n/a;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.01.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Build Rapsody v2.5.2 NL és korábbi verziói;
- EcoStruxure™ Power Build Rapsody v2.7.1 FR és korábbi verziói;
- EcoStruxure™ Power Build Rapsody v2.7.5 ES és korábbi verziói;
- EcoStruxure™ Power Build Rapsody v2.5.4 INT és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-11139)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.01.15.
Gyártó: Moxa
Érintett rendszer(ek):
- EDS-508A sorozatú eszközök 3.11-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Security Through Obscurity (CVE-2024-12297)/kritikus;
Javítás: A Moxa Technical Support-nál elérhető.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.01.15.
Gyártó: Moxa
Érintett rendszer(ek):
- MGate 5121 sorozatú eszközök 1.0 firmware-verziója;
- MGate 5122 sorozatú eszközök 1.0 firmware-verziója;
- MGate 5123 sorozatú eszközök 1.0 firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2025-0193)/közepes;
Javítás: Elérhető.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.01.17.
Gyártó: Moxa
Érintett rendszer(ek):
- EDS-608 sorozatú eszközök 3.12 és korábbi firmware-verziói;
- EDS-611 sorozatú eszközök 3.12 és korábbi firmware-verziói;
- EDS-616 sorozatú eszközök 3.12 és korábbi firmware-verziói;
- EDS-619 sorozatú eszközök 3.12 és korábbi firmware-verziói;
- EDS-405A sorozatú eszközök 3.14 és korábbi firmware-verziói;
- EDS-408A sorozatú eszközök 3.12 és korábbi firmware-verziói;
- EDS-505A sorozatú eszközök 3.11 és korábbi firmware-verziói;
- EDS-508A sorozatú eszközök 3.11 és korábbi firmware-verziói;
- EDS-510A sorozatú eszközök 3.12 és korábbi firmware-verziói;
- EDS-516A sorozatú eszközök 3.11 és korábbi firmware-verziói;
- EDS-518A sorozatú eszközök 3.11 és korábbi firmware-verziói;
- EDS-G509 sorozatú eszközök 3.10 és korábbi firmware-verziói;
- EDS-P510 sorozatú eszközök 3.11 és korábbi firmware-verziói;
- EDS-P510A sorozatú eszközök 3.11 és korábbi firmware-verziói;
- EDS-510E sorozatú eszközök 5.5 és korábbi firmware-verziói;
- EDS-518E sorozatú eszközök 6.3 és korábbi firmware-verziói;
- EDS-528E sorozatú eszközök 6.3 és korábbi firmware-verziói;
- EDS-G508E sorozatú eszközök 6.4 és korábbi firmware-verziói;
- EDS-G512E sorozatú eszközök 6.4 és korábbi firmware-verziói;
- EDS-G516E sorozatú eszközök 6.4 és korábbi firmware-verziói;
- EDS-P506E sorozatú eszközök 5.8 és korábbi firmware-verziói;
- ICS-G7526A sorozatú eszközök 5.10 és korábbi firmware-verziói;
- ICS-G7528A sorozatú eszközök 5.10 és korábbi firmware-verziói;
- ICS-G7748A sorozatú eszközök 5.9 és korábbi firmware-verziói;
- ICS-G7750A sorozatú eszközök 5.9 és korábbi firmware-verziói;
- ICS-G7752A sorozatú eszközök 5.9 és korábbi firmware-verziói;
- ICS-G7826A sorozatú eszközök 5.10 és korábbi firmware-verziói;
- ICS-G7828A sorozatú eszközök 5.10 és korábbi firmware-verziói;
- ICS-G7848A sorozatú eszközök 5.9 és korábbi firmware-verziói;
- ICS-G7850A sorozatú eszközök 5.9 és korábbi firmware-verziói;
- ICS-G7852A sorozatú eszközök 5.9 és korábbi firmware-verziói;
- IKS-G6524A sorozatú eszközök 5.10 és korábbi firmware-verziói;
- IKS-6726A sorozatú eszközök 5.9 és korábbi firmware-verziói;
- IKS-6728A sorozatú eszközök 5.9 és korábbi firmware-verziói;
- IKS-6728A-8POE sorozatú eszközök 5.9 és korábbi firmware-verziói;
- IKS-G6824A sorozatú eszközök 5.10 és korábbi firmware-verziói;
- SDS-3006 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- SDS-3008 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- SDS-3010 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- SDS-3016 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- SDS-G3006 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- SDS-G3008 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- SDS-G3010 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- SDS-G3016 sorozatú eszközök 3.0 és korábbi firmware-verziói;
- PT-7728 sorozatú eszközök 3.9 és korábbi firmware-verziói;
- PT-7828 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- PT-G503 sorozatú eszközök 5.3 és korábbi firmware-verziói;
- PT-G510 sorozatú eszközök 6.5 és korábbi firmware-verziói;
- PT-G7728 sorozatú eszközök 6.4 és korábbi firmware-verziói;
- PT-G7828 sorozatú eszközök 6.4 és korábbi firmware-verziói;
- TN-4500A sorozatú eszközök 3.13 és korábbi firmware-verziói;
- TN-5500A sorozatú eszközök 3.13 és korábbi firmware-verziói;
- TN-G4500 sorozatú eszközök 5.5 és korábbi firmware-verziói;
- TN-G6500 sorozatú eszközök 5.5 és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2024-9137)/kritikus;
Javítás: A Moxa Technical Support-nál elérhető.
Link a publikációhoz: Moxa

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nyáron már hoztam egy egészen jó írást az Ukatemi weboldaláról, most pedig egy újabb Ukatemi publikáció jelent meg Schulcz Ferenc tollából: https://blog.ukatemi.com/blog/2024-10-04-pwning-a-nuclear-grade-door-acs/

A mostani írás az atomerőművek fizikai biztonsági (beléptető) rendszereinek kiberbiztonsági problémáit vizsgálja. Kifejezetten érdekesnek találtam, hogy a szóban forgó létesítmény fizikai biztonsági szakemberei egy még tesztkörnyezetben működő, új beszerzésű (és az EN 50131-1 szabvány szerint 3. szintű, vagyis nukleáris létesítményekben is használható) rendszer esetén már a kiberbiztonsági tesztelést is betervezték - és a cikk végére nyilvánvalóvá is válik, mennyire helyesen tették ezt (lelövöm a poént, a tesztelők root szintű hozzáférést tudtak szerezni a beléptető rendszerhez).

A műszaki részletekért javaslom elolvasni a fent hivatkozott Ukatemi blogbejegyzést.

Bejelentés dátuma: 2024.12.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Opcenter Execution Foundation minden verziója;
- Opcenter Intelligence minden verziója;
- Opcenter Quality minden verziója;
- Opcenter RDL minden verziója;
- SIMATIC PCS neo V4.0 minden verziója;
- SIMATIC PCS neo V4.1 minden verziója;
- SIMATIC PCS neo V5.0 minden, V5.0 Update 1-nél korábbi verziója;
- SINEC NMS minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V16 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V17 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V18 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V19 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2024-49775)/kritikus;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.19.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú CMU-k 12.0.1-től 12.0.14-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 12.2.1-től 12.2.11-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 12.4.1-től 12.4.11-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 12.6.1-től 12.6.9-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 12.7.1-től 12.7.6-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 13.2.1-től 13.2.6-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 13.4.1-től 13.4.3-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 13.5.1 firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-6711)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-354-01

Bejelentés dátuma: 2024.12.19.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Hitachi Energy SDM600 1.3.4-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Origin Validation Error (CVE-2024-2377)/súlyos;
- Incorrect Authorization (CVE-2024-2378)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-354-02

Bejelentés dátuma: 2024.12.19.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DTM Soft 1.30-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2024-12677)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-354-03

Bejelentés dátuma: 2024.12.19.
Gyártó: Tibbo
Érintett rendszer(ek):
- Aggregate Network Manager 6.34.02-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unrestricted Upload of File with Dangerous Type (CVE-2024-12700)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-354-05

Bejelentés dátuma: 2024.12.19.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric Accutech Managers 2.08.01-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2024-6918)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-354-06

Bejelentés dátuma: 2024.12.19.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric Modicon M258/LMC058 vezérlők minden verziója;
- Schneider Electric Modicon M262 vezérlők minden, 5.2.8.26-nál korábbi verziója;
- Schneider Electric Modicon M251 vezérlők minden, 5.2.11.24-nél korábbi verziója;
- Schneider Electric Modicon M241 vezérlők minden, 5.2.11.24-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-6528)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-354-07

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentõ intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történõ csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tûzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem elõtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhetõ verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erõn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerû alkalmazni;
- Erõs jelszavak alkalmazását kikényszerítõ szabályokat kell alkalmazni;
- Harmadik féltõl származó alkalmazással célszerû monitorozni az adminisztrátori szintû jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerû elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerû (valamilyen szinten tûzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetõleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális mûködéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelõ riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerû tesztelni, mielõtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A tengerparti (offshore) szélerőművek több szempontból is népszerűek a hosszabb tengerparttal rendelkező országokban. Részben, mert így nem mezőgazdaságilag is hasznosítható területekre kell telepíteni a szélkerekek tartóoszlopait, részben mert a tenger felett sokkal ritkább a szélcsend, mint akár a legszelesebb szárazföldi területeken (elég csak a tavaly november közepén megtapasztalt, több napos sötét szélcsend, Dunkelflaute idejére gondolni, amikor sem naperőművi, sem szélerőművi termelés nem volt értelmezhető teljesítményben Magyarországon). Szóval a tengerparti szélerőművek Észak- és Nyugat-Európában meglehetősen elterjedtek és komoly hányaddal veszik ki a részüket a villamosenergia-termelésből. Emiatt viszont egyre fontosabb szemponttá válik a szélerőművek kiberbiztonsága is, hiszen a tengerre telepített szélerőmű-farmoknál fokozottan szükséges a távkezelés zavartalansága.

Erről a témáról találtam egy cikket, amiben a brit tengerparti szélerőművek kiberbiztonsági és kommunikációs kihívásait tárgyalják, néhány megoldási lehetőséggel. Alapvetően a kihívások szerintem reálisabban vannak ismertetve, mint például az AI-alapú anomália-detekciós IDS megoldások vagy az AI-alapú prediktív karbantartó-megoldások a sérülékenységek azonosítására.

Ugyanakkor a támadók motivációinak ismertetése (bár sok újdonságok nem tartalmaz ez a rész, legalább is azok számára, akik igyekeznek követni az energetikai kritikus infrastruktúrák kiberbiztonsági eseményeit) szerintem már egészen pontos. Arra mindenképp jó, hogy ha az ember eddig nem foglalkozott szélerőművek kiberbiztonsági kihívásaival és most szeretne belevágni, kiindulásnak jó lehet.

Az én utolsó posztjaként még egy podcast-ajánlót hoztam. A mai műsort egy ausztrál oldalon találtam, ahol Lesley Carhart-tal, a Dragos egyik veterán incidenskezelő szakemberével.

A podcast-ben szóba kerülnek a jelenleg gyakori fenyegetések, az IT és OT csapatok közötti együttműködés fejlesztése, mint az egyik legfontosabb eleme az ICS/OT rendszerek biztonsági fejlesztésének. Ezek mellett beszélnek arról is, miért van még mindig viszonylag alacsony érettségi szinten az ICS/OT kiberbiztonság, hogyan lehet ezen fejleszteni és mit tehetnek az ipari szervezetek, hogy hatékonyabb incidenskezelési terveket tudjanak kidolgozni.

A podcast felvétele itt érhető el.

Az S4x főszervező Dale Peterson Rob Lee-vel beszélgetett az idei S4x konferencia nagyszínpadán. A beszélgetés során szóba került egyebek mellett:

- a Pipedream ICS malware (nekem például újdonság volt, hogy a Pipedream-et amerikai kritikus infrastruktúra szervezeteknél találták);
- az incidensek és malware-ek elemzésének néhány érdekesebb aspektusa;
- az ipari rendszereket támadó ransomware-ek terén tapasztalt fejlemények;

A teljes (33 perces) beszélgetés visszanézhető itt: https://www.youtube.com/watch?v=l4c0nY5vk08&ab_channel=S4Events

Bejelentés dátuma: 2024.12.10.
Gyártó: MOBATIME
Érintett rendszer(ek):
- Network Master Clock - DTS 4801 00020419.01.02020154-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Default Credentials (CVE-2024-12286)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-01

Bejelentés dátuma: 2024.12.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Harmony (korábbi nevén Magelis) HMIST6, HMISTM6, HMIG3U, HMIG3X, HMISTO7 sorozatainak EcoStruxureTM Operator Terminal Expert runtime-mal használt változatainak minden verziója;
- PFXST6000, PFXSTM6000, PFXSP5000, PFXGP4100 sorozatainak Pro-face BLUE runtime-mal használt változatainak minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Unmaintained Third-Party Components (CVE-2024-11999)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.12.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- FoxRTU Station 9.3.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2024-2602)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2024.12.10.
Gyártó: National Instruments
Érintett rendszer(ek):
- LabVIEW 2024 Q3 (24.3f0) és korábbi verziói;
- LabVIEW 2023 minden verziója;
- LabVIEW 2022 minden verziója;
- LabVIEW 2021 (EOL) és korábbi kiadások minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-10494)/súlyos;
- Out-of-bounds Read (CVE-2024-10495)/súlyos;
- Out-of-bounds Read (CVE-2024-10496)/súlyos;
Javítás: Elérhető (az életciklusukat elért verziókhoz nincs javítás).
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-04

Bejelentés dátuma: 2024.12.10.
Gyártó: Horner Automation
Érintett rendszer(ek):
- Cscape 10.0.363.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-9508)/súlyos;
- Out-of-bounds Read (CVE-2024-12212)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-05

Bejelentés dátuma: 2024.12.10.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Arena V16.20.06-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use After Free (CVE-2024-11155)/súlyos;
- Out-of-bounds Write (CVE-2024-11156)/súlyos;
- Improper Initialization (CVE-2024-11158)/súlyos;
- Out-of-bounds Read (CVE-2024-12130)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-06

Bejelentés dátuma: 2024.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SENTRON Powercenter 1000 (7KN1110-0MC00) minden verziója;
- SENTRON Powercenter 1100 (7KN1111-0MC00) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Synchronization (CVE-2024-6657)/közepes;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Teamcenter Visualization V2406 V2406.0005-nél korábbi verziói;
- Teamcenter Visualization V14.2 V14.2.0.14-nél korábbi verziói;
- Teamcenter Visualization V14.3 V14.3.0.12-nél korábbi verziói;
- Teamcenter Visualization V2312 V2312.0008-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-45463)/súlyos;
- Out-of-bounds Read (CVE-2024-45464)/súlyos;
- Out-of-bounds Read (CVE-2024-45465)/súlyos;
- Out-of-bounds Read (CVE-2024-45466)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45467)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45468)/súlyos;
- Out-of-bounds Write (CVE-2024-45469)/súlyos;
- Out-of-bounds Write (CVE-2024-45470)/súlyos;
- Out-of-bounds Write (CVE-2024-45471)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45472)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45473)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45474)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45475)/súlyos;
- NULL Pointer Dereference (CVE-2024-45476)/alacsony;
- Out-of-bounds Write (CVE-2024-52565)/súlyos;
- Out-of-bounds Write (CVE-2024-52566)/súlyos;
- Out-of-bounds Read (CVE-2024-52567)/súlyos;
- Use After Free (CVE-2024-52568)/súlyos;
- Out-of-bounds Write (CVE-2024-52569)/súlyos;
- Out-of-bounds Write (CVE-2024-52570)/súlyos;
- Out-of-bounds Write (CVE-2024-52571)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-52572)/súlyos;
- Out-of-bounds Write (CVE-2024-52573)/súlyos;
- Out-of-bounds Read (CVE-2024-52574)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-53041)/súlyos;
- Out-of-bounds Read (CVE-2024-53242)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- COMOS V10.4.0 minden verziója;
- COMOS V10.4.1 minden verziója;
- COMOS V10.4.2 minden verziója;
- COMOS V10.4.3 minden, V10.4.3.0.47-nél korábbi verzió;
- COMOS V10.4.4 minden, V10.4.4.2-nél korábbi verzió;
- COMOS V10.4.4.1 minden, V10.4.4.1.21-nél korábbi verzió;
- COMOS V10.3 minden, V10.3.3.5.8-nál korábbi verzió;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2024-49704)/közepes;
- Improper Restriction of XML External Entity Reference (CVE-2024-54005)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge SE2024 minden, V224.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2024-54093)/súlyos;
- Heap-based Buffer Overflow (CVE-2024-54094)/súlyos;
- Integer Underflow (Wrap or Wraparound) (CVE-2024-54095)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap V2306 minden verziója;
- Simcenter Femap V2401 minden verziója;
- Simcenter Femap V2406 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2024-41981)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-47046)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC STEP 7 Safety V17 minden verziója;
- SIMATIC STEP 7 Safety V18 minden verziója;
- SIMATIC S7-PLCSIM V17 minden verziója;
- SIMATIC WinCC V19 minden verziója;
- SIMATIC WinCC Unified V16 minden verziója;
- SIMOTION SCOUT TIA V5.4 SP3 minden verziója;
- SIMATIC STEP 7 Safety V19 minden verziója;
- SIMATIC WinCC V17 minden verziója;
- SIMOTION SCOUT TIA V5.6 SP1 minden verziója;
- SIRIUS Soft Starter ES V17 (TIA Portal) minden verziója;
- SIRIUS Soft Starter ES V18 (TIA Portal) minden verziója;
- SINAMICS Startdrive V16 minden verziója;
- SIMATIC STEP 7 V17 minden verziója;
- SINAMICS Startdrive V19 minden verziója;
- SINAMICS Startdrive V17 minden verziója;
- SIMOCODE ES V17 minden verziója;
- SIMOCODE ES V18 minden verziója;
- TIA Portal Cloud V19 minden verziója;
- SIMOTION SCOUT TIA V5.4 SP1 minden verziója;
- SIRIUS Safety ES V18 (TIA Portal) minden verziója;
- TIA Portal Cloud V16 minden verziója;
- SIMATIC WinCC V18 minden verziója;
- SIMATIC STEP 7 Safety V16 minden verziója;
- SIRIUS Safety ES V17 (TIA Portal) minden verziója;
- SIRIUS Soft Starter ES V19 (TIA Portal) minden verziója;
- TIA Portal Cloud V18 minden verziója;
- SIMATIC STEP 7 V19 minden verziója;
- SIMATIC WinCC V16 minden verziója;
- SIMATIC STEP 7 V18 minden verziója;
- SIMOTION SCOUT TIA V5.5 SP1 minden verziója;
- SINAMICS Startdrive V18 minden verziója;
- SIMOCODE ES V19 minden verziója;
- SIMATIC WinCC Unified V17 minden verziója;
- SIMATIC WinCC Unified V19 minden verziója;
- TIA Portal Cloud V17 minden verziója;
- SIRIUS Safety ES V19 (TIA Portal) minden verziója;
- SIMATIC STEP 7 V16 minden verziója;
- SIMATIC WinCC Unified V18 minden verziója;
- SIMOCODE ES V16 minden verziója;
- SIMATIC S7-PLCSIM V16 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2024-49849)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid V36.1 minden, V36.1.225-nél korábbi verziója;
- Parasolid V37.0 minden, V37.0.173-nál korábbi verziója;
- Parasolid V37.1 minden, V37.1.109-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-54091)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM ROX RX1500 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX RX1512 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX RX1501 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX MX5000RE minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX RX1400 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX RX5000 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX RX1536 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX RX1524 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX RX1510 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX RX1511 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX MX5000 minden, V2.16.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-Site Request Forgery (CVE-2020-28398)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC STEP 7 Safety V18 minden verziója;
- Siemens SIMATIC STEP 7 Safety V19 minden verziója;
- Siemens SIMATIC S7-PLCSIM V18 minden verziója;
- Siemens SIMOCODE ES V18 minden verziója;
- Siemens SIMATIC WinCC Unified V17 minden verziója;
- Siemens SINAMICS Startdrive V18 minden verziója;
- Siemens SIMATIC STEP 7 V17 minden verziója;
- Siemens SIMATIC WinCC V19 minden verziója;
- Siemens SIRIUS Safety ES V17 (TIA Portal) minden verziója;
- Siemens TIA Portal Cloud V19 minden verziója;
- Siemens SIRIUS Safety ES V18 (TIA Portal) minden verziója;
- Siemens SIMATIC STEP 7 V19 minden verziója;
- Siemens SIRIUS Soft Starter ES V18 (TIA Portal) minden verziója;
- Siemens SIRIUS Safety ES V19 (TIA Portal) minden verziója;
- Siemens SIMOTION SCOUT TIA V5.4 SP3 minden verziója;
- Siemens SIMOTION SCOUT TIA V5.5 SP1 minden verziója;
- Siemens SINAMICS Startdrive V17 minden verziója;
- Siemens TIA Portal Cloud V17 minden verziója;
- Siemens SIMOCODE ES V17 minden verziója;
- Siemens SIMATIC STEP 7 Safety V17 minden verziója;
- Siemens SIRIUS Soft Starter ES V19 (TIA Portal) minden verziója;
- Siemens SIMATIC WinCC Unified PC Runtime V19 minden verziója;
- Siemens SIMATIC WinCC V18 minden verziója;
- Siemens SIMATIC WinCC Unified PC Runtime V18 minden verziója;
- Siemens SINAMICS Startdrive V19 minden verziója;
- Siemens SIRIUS Soft Starter ES V17 (TIA Portal) minden verziója;
- Siemens SIMOTION SCOUT TIA V5.6 SP1 minden verziója;
- Siemens SIMATIC WinCC Unified V18 minden verziója;
- Siemens SIMATIC WinCC V17 minden verziója;
- Siemens TIA Portal Cloud V18 minden verziója;
- Siemens SIMATIC STEP 7 V18 minden verziója;
- Siemens SIMATIC WinCC Unified V19 minden verziója;
- Siemens SIMOCODE ES V19 minden verziója;
- Siemens SIMATIC S7-PLCSIM V17 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-52051)/súlyos;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens CPCI85 Central Processing/Communication minden, V05.30-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2024-53832)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Opcenter Execution Foundation minden verziója;
- Opcenter Intelligence minden verziója;
- Opcenter Quality minden verziója;
- Opcenter RDL minden verziója;
- SIMATIC PCS neo;
- SINEC NMS minden, UMC-vel együtt üzemeltetett példány V2.15-nél korábbi verziója;
- Totally Integrated Automation Portal (TIA Portal);
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2024-49775)/kritikus;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.12.17.
Gyártó: ThreatQuotient
Érintett rendszer(ek):
- ThreatQ Platform 5.29.3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2024-39703)/súlyos;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-352-01

Bejelentés dátuma: 2024.12.17.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- TropOS eszközök 1400/2400/6400-as sorozatainak minden, 8.9.6-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2013-5211)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-352-02

Bejelentés dátuma: 2024.12.17.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
PowerMonitor 1000 Remote PM1k 1408-BC3A-485 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-BC3A-ENT 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-TS3A-485 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-TS3A-ENT 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-EM3A-485 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-EM3A-ENT 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-TR1A-485 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-TR2A-485 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-EM1A-485 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-EM2A-485 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-TR1A-ENT 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-TR2A-ENT 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-EM1A-ENT 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-EM2A-ENT 4.020-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unprotected Alternate Channel (CVE-2024-12371)/kritikus;
- Heap-based Buffer Overflow (CVE-2024-12372)/kritikus;
- Classic Buffer Overflow (CVE-2024-12373)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-352-03

Bejelentés dátuma: 2024.12.17.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M241-es vezérlők minden verziója;
- Modicon M251-es vezérlők minden verziója;
- Modicon M258-as vezérlők minden verziója;
- Modicon LMC058-as vezérlők minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-11737)/kritikus;
Javítás: Nincs, a gyártó jelenleg is dolgozik rajta.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-352-04

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A mai poszt témája a SANS által Active Cyber Defense Cycle-nek nevezett rendszer, ami alapvetően 4 részből áll (ahogy ezt ennek a sorozatnak az előző posztjában), de kezdésnek nézzük még kicsit részletesebben azt, mit is értünk aktív kiberbiztonság alatt. Ahogy oly sok más esetben, az egyes szervezeteknél kisebb-nagyobb különbségek lehetnek abban, mit is értenek bele az aktív kiberbiztonságba, egy dolog azonban biztos: a hack-back vagy visszahackelés, a támadók megtámadása nem azonos az aktív kiberbiztonság fogalmával és tevékenységével.

Visszatérve az aktív kiberbiztonság 4 általános területére:

1. Fenyegetéselemzés és információgyűjtés (threat intelligence)

Ez a tevékenység lényegében azt célozza, hogy a lehető legtöbb információval rendelkezzen a szervezet az őt és az általa használt IT és ICS/OT rendszereket célzó kiberbiztonsági fenyegetésekről és ezek ismeretében a preventív, detektív és incidenskezelési intézkedéseit a lehető leghatékonyabbra tudja alakítani. Az ehhez szükséges információgyűjtés életciklusát a Tripwire oldalán

https://www.tripwire.com/state-of-security/security-data-protection/introduction-cyber-intelligence/

lehet legjobban megismerni. Alapesetben ez a tevékenység csak annyiban tér el az IT biztonsági területen végzett fenyegetéselemzéstől, hogy OT területen az IT fenyegetések mellett a kifejezetten OT fenyegetésekre vonatkozó információkat is érdemes gyűjteni.

2. Eszközleltár és hálózatbiztonsági monitoring

Nehéz (ha nem lehetetlen) megvédeni olyan dolgokat, amikről nem is tudjuk, hogy léteznek és meg kell(ene) védenünk őket, így azt hiszem érthető, hogy miért kritikus fontosságú egy naprakész és pontos, részletes eszközleltárral rendelkeznie minden szervezetnek. Ez ugyanúgy igaz az IT rendszerekre, mint az ICS/OT rendszerekre. Ebben a nyilvántartásban célszerű nem csak a hardver- és szoftverkomponenseket nyilvántartani, hanem az egyes rendszerelemek (kiemelten a vezérlők, PLC-k és RTU-k illetve egyéb L1 és L0 eszközök) konfigurációit is tárolni és az egyes komponensek közötti hálózati kommunikáció adatait is célszerű az eszközleltárban feljegyezni.

A hálózatbiztonsági monitoring a biztonsági tevékenység detekciós részének kulcsa. Ez a tevékenység OT rendszerek esetén szintén nem tér el nagyon az IT rendszereknél megszokottaktól, azonban arra mindenképp érdemes felkészülni, hogy az ICS/OT rendszerek gyártói gyakran kizárólag a saját, bevett módszereik szerint és a saját eszközeiket felhasználva támogatják például a rendszerlogok átadását egy központi loggyűjtő vagy SIEM-megoldásnak.

A rendszerek működésének alapvető karakterisztikáitól való eltéréseket illetve a fenyegetéselemzés során a szervezet birtokába jutott kompromittálást jelző információkat, jeleket keresve lehet biztonsági eseményeket észlelni, amiknek vizsgálata során lehet eldönteni, hogy az adott esemény a szervezet számára nem érdekes vagy a vizsgált esemény valójában egy incidens.

3. Incidenskezelés

Az első két fejezet IT és OT rendszerek esetén nem térnek el jelentősen (ahol mégis, azt ugye már jeleztem), az incidenskezelés viszont már nem ilyen.

Ha egy biztonsági eseményről a vizsgálat/kiértékelés (triage) során kiderül, hogy valójában incidens, akkor indul az incidenskezelés folyamata, ami az ICS/OT környezetekben meglehetősen különböző lehet attól, mint amit a hozzám hasonló, IT irányból érkező szakik korábban megszokhattak. Mert mi is a legfontosabb feladat egy IT rendszert megfertőző malware esetében? Egyértelmű: mielőbb megszűntetni magát a fertőzést, ha kell, ehhez eltávolítjuk a fertőzött rendszereket a hálózatról és csak a sikeres malware-eltávolítás után engedjük őket újra csatlakozni. Ezzel szemben OT hálózatok esetében egy malware-fertőzött rendszer esetén az első kérdés, amit tisztázni kell, az az, hogy a kártékony kód okoz-e bármilyen problémát az adott rendszer alapvető funkcióinak működésében és okoz-e bármilyen performancia-csökkenést? Ha pedig mindkét kérdésre nemleges a válasz, akkor teljes mértékben elfogadható az, hogy a komolyabb problémát nem okozó malware-t a következő karbantartásig ott hagyjuk az OT rendszerünk adott komponensén és majd csak az érintett üzem leállásával járó karbantartás során távolítjuk el.

Ez az egyetlen példa remekül mutatja, hogy mennyire sokrétű tudással kell rendelkeznie az ICS/OT rendszerek incidenskezelését végző csapatnak és miért kulcsfontosságú, hogy ne csak forensics szakértőket, hanem folyamatirányítási mérnököket is bevonjunk ezekbe a tevékenységekbe.

4. Fenyegetés és környezet kezelése

Ha az incidenskezelés során sikerült beazonosítani a támadók által használt eszközöket (malware-eket és egyéb, általában nem feltétlenül kártékony, de a célpont szervezet számára ártó szándékúnak számító szoftvereket), akkor következhet ezek vizsgálata és elemzése. Fontos különbséget tenni a már ismert kártékony kódok és a még nem ismert, de gyanús kódok között a további vizsgálat szempontjából. Különösen fontos, hogy ha találunk egy gyanús kódot, akkor hogyan vizsgáljuk ki és bizonyosodjunk meg arról, hogy az általunk talált szoftver vajon valóban kártékony-e. Egyes nézetek szerint a gyanús kódokat nem célszerű publikusan elérhető sandbox alkalmazásokba (mint például a VirusTotal) feltölteni, mert a legtöbb ilyen szolgáltatásnál az előfizetők értesülhetnek arról, ha új fájlt töltenek fel ellenőrzésre és a komolyabb, állami/titkosszolgálati háttérrel rendelkező APT-csoportok hajlamosak monitorozni az ilyen szolgáltatásokat, hogy értesüljenek arról, ha valamelyik általuk fejlesztett/használt kártékony kódot felfedeznék. Emiatt célszerű lehet saját (vrituális és bare-metal) sandbox környezetekben vizsgálni a gyanússá vált szoftvereket.

Az elemzések során kinyert információk dokumentálása szintén fontos feladat, mert ezek később hasznos bemenetként szolgálhatnak az 1. pontban ismertetett fenyegetéselemzéshez (és nem csak a saját szervezetünkön belül, de ha a szervezetünknek vannak kapcsolatai különböző információmegosztást végző közösségekben, akkor akár a partnerek számára is).