A Schneider Electric patinás névnek számít az ICS fejlesztők mezőnyében, a DigitalBond tegnap megjelent blogbejegyzése szerint az új Modicon M580 típusú termékük fejlesztése során már bizonyos (vállalati szintű informatikai rendszerek esetében alapvetőnek tekintett) biztonsági fejlesztéseket és teszteléseket is alkalmaztak. Ilyenek például a fuzzing, a biztonságos programozási technikák, biztonságos fejlesztési gyakorlatok, fenyegetés-modellezés, stb. Ezek eredményeképpen a Modicon M580-asok új generációjában az FTP, a TFTP, HTTP, EtherNet/IP, SNMP és DHCP/BOOTP protokollok alapértelmezetten tiltva vannak és a Modbus/TCP protokoltt is ki lehet kapcsolni. Ezzel együtt még mindig vannak régóta ismert problémák az eszközzel, ilyen például a Faulty Device Replacement (FDR) szolgáltatás FTP felhasználója esetén a felhasználónév/jelszó párosának használata. Az FDR felhasználó jogait a gyártó ugyan limitálta a konfigurációs fájlokra, de ez ilyen módon még mindig egy igen súlyos biztonsági probléma forrása lehet.

További újdonság, hogy az M580 kapott egy alapszintű ACL-képességet. Ez leginkább a különböző Layer-3 hálózati eszközök ACL-jeinek megfelelő funkcionalitást jelent, ami azonban mégis előrelépés a korábbi állapothoz képest (különösen, ha már a tűzfallal védett hálózaton belül szeretnénk egyes eszközök további leválasztását megvalósítani).

Ugyancsak elvégezték a nem használt Ethernet portok letiltását, ami ugyan nem világmegváltó újdonság, de jól mutatja, hogy végre hangsúly került az ipari eszközök gyári biztonsági fejlesztésére is. Az eszközbe épített USB port letilthatóságáról egyelőre nincs információ.

Az M580-asokban megvalósították végre a régóta várt biztonsági célú naplózást és az eszköz kézikönyvében segítséget is nyújtanak az M580-asokat is használó ICS rendszerek biztonságával foglalkozó szakembereknek. Lehetőség van továbbá syslog protokollon keresztül távoli logszerverekre (SIEM rendszerekre) továbbítani az M580-asokon keletkező naplóbejegyzéseket.

Tudom, hogy egy fecske nem csinál nyarat, mégis bízom benne, hogy minél több ICS fejlesztő cég fogja követni a Schneider Electric példáját és az ilyen és hasonló fejlesztésekkel legalább egy kicsit könnyebbé fogják tenni az ipari környezetekben működő rendszerek biztonságos működésének megteremtését és fenntartását.

Nem újdonság, hogy a különböző ICS rendszerek biztonsági szempontból meglehetősen gyengén teljesítenek, számos ismert hiba található publikusan is szinte minden ipari rendszerhez és ezek javítása időnként nagyon lassan készül el (a legjobb és igen friss példa erre a Moxa NPort termékcsaládjának több típusát érintő súlyos sérülékenységek, amikre a gyártó néhány hete augusztusra ígért javításokat).

Ezt ismerte fel a Kaspersky is, amely még 2012-ben egy biztonságos(abb) ICS/SCADA rendszerekhez szánt operációs rendszer fejlesztéséről beszélt nemrég pedig kifejezetten ICS rendszerekhez fejlesztett antivirus megoldást jelentett be a Softpedian megjelent hír szerint. A Kaspersky új megoldása, bár nulláról kezdték fejleszteni, konvencionális technológiai megoldásokból építkezik (malware-ek elleni védelem, alkalmazás-kontroll, sérülékenység-elemzés, fájl integritás-ellenőrzés) és kifejezetten ICS/SCADA szerverek, HMI-k, mérnöki munkaállomások, PLC-k és hasonló berendezések számára készült. Az ipari rendszerek sajátos üzemeltetési követelményeinek engedve a rendszer képes un. megfigyelő módban működni, amikor csak detektálja a különböző fenyegetéseket, de az ooperátorokra bízza a döntést, hogy be kell-e avatkozni az adott esetben.

Érdekes kérdés, hogy lesz-e igény egy ilyen termékre az ICS rendszereket üzemeltető vállalatoknál. A Stuxnet nyilvánosságra kerülése után több helyen a hagyományos antivirus/endpoint protection megoldásokat kezdték alkalmazni ICS rendszerek esetében is, hogy ezek milyen hatásfokkal működnek, arról csak elképzeléseink lehetnek (bár azzal kapcsolatban, hogy pl. a PLC-k hány százalékán futhat bármilyen AV-megoldás, nincsenek illúzióim), viszont a Kaspersky Industrial CyberSecurity nevű termékével kapcsolatban máris láttam olyan megjegyzést, hogy "Az én eszközeimen ugyan nem lesz ilyen szoftver, bocs Kaspersky..."

A Siemens ProductCERT által ma publikált bejelentés alapján frissítések érhetőek el a SIMATIC CP termékcsalád alábbi modelljeihez:

- SIMATIC CP 343-1 Advanced: V3.0.44-nél régebbi firmware-verziók;
- SIMATIC CP 343-1 Lean / CP 343-1: V3.1.1-nél régebbi firmware-verziók;
- SIMATIC TIM 3V-IE / TIM 3V-IE Advanced: V2.6.0-nál régebbi firmware-verziók;
- SIMATIC TIM 3V-IE DNP3: V3.1.0-nál régebbi firmware-verziók;
- SIMATIC TIM 4R-IE: V2.6.0-nál régebbi firmware-verziók;
- SIMATIC TIM 4R-IE DNP3: V3.1.0-nál régebbi firmware-verziók;
- SIMATIC CP 443-1 / CP 443-1 Advanced: V3.2.9-nál régebbi firmware-verziók.

A hibával kapcsolatban az első hírek 2015.11.27-én jelentek meg a Siemens ProductCERT oldalán, ezt december 1-jén követte az ICS-CERT publikációja, a mostani bejelentés a hiba javításáról szól.

A hiba kihasználásával egy támadónak lehetősége nyílhat authentikáció nélkül adminisztratív szintű hozzáférést szerezni a sérülékeny eszközökhöz. A hiba kihasználása hálózaton keresztül távolról is lehetséges (a 102/tcp porton keresztül), de ehhez arra is szükség van, hogy a kommunikációs processzor konfigurációját a megfelelő CPU-n tárolják. A hiba CVSSv2 szerint 7,6 pontot kapott.

A Siemens a hiba javításaként az egyes eszköztípusokon a most elérhetővé tett legújabb firmware-verzióra történő frissítést javasolja.

A mai posztot már korábban előkészítettem, aztán a napi rohanásban simán meg is feledkeztem róla, de most rátaláltam és elég érdekesnek tartom, hogy közre is adjam.

A SANS ICS security blog-járól ezúttal Mark Bristow írása ér meg szerintem  több figyelmet. A különböző ICS rendszerek, bár egyre gyakrabban használnak IP-alapú hálózati kommunikációt, mind a mai napig nagyban építenek a soros porton keresztüli adatátvitelre, különösen a különböző (ipari) végponti berendezések környékén. Mostanáig a támadók (ahogy az az utóbbi évek jelentősen ICS kiberbiztonsági incidensei, mint például a BlackEnergy, Havex esetén is látható volt) az esetek döntő többségében az ICS rendszer általános informatikai elemeit vették célba és azok kompromittálásával érték el céljaikat. Ahogy az újabb incidensek után a biztonsági szakemberek ezekre a területekre kezdenek koncentrálni, eljöhet a pillanat, amikor a támadóknak már könnyebb lesz a fizikailag jobban védett és nehezebben hozzáférhető, de egyéb szempontokból könnyebb célpontot jelentő soros porti kommunikációt célba venni.

Mark Bristow blogposztja bemutatja a soros porti kommunikáció monitorozásának nehézségeit és lehetőségeit, majd egy Raspberry PI és egy Y soros porti kábel segítségével be is mutatja, hogyan lehet a soros porti kommunikáció csomagjait egy IP alapú hálózatba kitükrözni, hogy már meglévő eszközökkel integrálva el lehessen végezni a szükséges elemzéseket.

További részleteket a SANS ICS Security Blog-ján lehet olvasni.

Valamivel több, mint egy hete írtam én is az ICS-CERT bejelentése nyomán a Moxa NPort egyes típusait érintő súlyos hibákról (a jelszó nélküli firmware update szerintem az év eddig legjobbja). A Digital Bond laborjában dolgozó, az NPort hibáját felfedező kutatók április 12-én jelentettek meg részleteket arról, hogy milyen úton jutottak el az általuk felfedezett hibák publikálásáig.

A cikk elérhető a digitalbond.com-on.

A SANS ICS Security blog-ján megjelent az ICS Cross-Industry Learning sorozat harmadik része (a második részről már én is írtam röviden). Ezúttal Jake Brodsky ír hosszabban víziközmű rendszerekben használt ICS/SCADA-król, és ezek sajátosságairól. ICS biztonsági vonatkozásban azokról az esetekről ír, amikor támadók az operátorok által végrehajtott legitim tevékenységeket hajtják végre a rendszerben (replay) és olyan biztonsági intézkedéseket is megemlít, amelyek fejlesztése előremozdíthatja a víziközmű vállalatok ICS/SCADA rendszereinek biztonságát.

Részleteket a SANS ICS Security Blog-jában lehet olvasni.

Április 14-én ismét mozgalmas napja volt az ICS-CERT-nek, egyetlen nap alatt három, ICS rendszerek sérülékenységeivel kapcsolatos publikációjuk jelent meg, ezek közül kettőt ismét a korábban már többször hivatkozott Maxim Rupp, független kutató fedezett fel.

Sierra Wireless ACEmanager információ-szivárgást lehetővé tevő sérülékenység

A Sierra Wireless ACEmanager egy gateway-berendezés, ami az ipari és vállalati hálózatok között szoktak használni. A hiba az alábbi típusú termékeket és szoftververziókat érinti:

- LS300,
- GX400,
- GX440,
- ES440,
- GX450 és
- ES450, mindegyik esetén a ALEOS 4.4.2 és korábbi verziókkal használva.

A sérülékenységet az érintett eszközökön filteredlogs.txt fájlhoz történő, authentikációt nem igénylő hozzáférés okozza. Mivel ezekat a fájlokat a rendszer-diagnosztikához használják, a támadók ezekhez hozzáférve megismerhetik a gateway-ek karakterisztikáját.

A gyártó weboldalán már elérhető a hibát javító frissítés: http://source.sierrawireless.com/resources/airlink/software_downloads/updating-form-older-version-aleos/

További információkat az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-105-01

Accuenergy Acuvim II Series AXM-NET Module sérülékenységek

14-én két másik, Maxim Rupp által felfedezett sérülékenységet is publikált az ICS-CERT, amik az Accuenergy Acuvim II sorozatú AXM-NET Module-okat érinti. Ezek az eszközök multifunkciós mérőberendezések, amelyek az Acuvim II modul által előállított adatokat webes felületen jelenítik meg. A hibák (az egyik a beépített authentikációs folyamat megkerülését teszi lehetővé, a másik a jelszavak szöveges formában történő tárolásából adódik) az Accuenergy alábbi verzióit érinti:

- Acuvim II, NET Firmware, 3.08-as verzió,
- Acuvim IIR, NET Firmware, 3.08-as verzió.

A gyártó egy (szokásosnak) mondható, kockázatokat csökkentő tanácsokat tartalmazó listát tett elérhetővé a Modbus TCP/IP protokollt használó mérőivel kapcsolatban. kapcsolatban. Ennek főbb pontjai:

- Használjunk tűzfalakat a mérők más rendszerektől történő szeparálására;
- Használjunk authentikációt a mérőkhöz történő hozzáférések esetén (ez mondjuk érdekes tanács egy olyan hiba esetén, ami éppen a beépített authentikációs eljárás megkerülését teszi lehetővé...)
- Használjunk VPN-t a mérők távoli elérése során.

A hibák javításáról az ICS-CERT bejelentésében nincs szó.

Ecava IntegraXor sérülékenységek

A nap utolsó ICS sérülékenységét Marcus Richerson független biztonsági kutató és Steven Seeley, a Source Incite munkatársa találták az Ecava IntegraXor egy olyan programcsomag, amivel webes alapú HMI-ket lehet készíteni ICS/SCADA rendszerekhez. A hibák (amik között bizalmas információk nyílt szöveges továbbítása, Cross-site scripting, nem megfelelő beviteli adat ellenőrzésből származó hibák, nem megfelelő jogosultság-kiosztás és SQL injection egyaránt található) az IntegraXor 5.0 build 4522-nél korábbi verzióit érinti. Súlyosbítja a helyzetet, hogy a hibákat távolról is ki lehet használni és az ICS-CERT információi szerint a hibákra írt exploitok nyilvánosan elérhetőek.

A gyártó a hibákat (egy kivételével) javította az 5.0 build 4522-es verzióban, amit ezen linken keresztül lehet elérni: http://www.integraxor.com/download/beta.msi?5.0.4525.2

Bővebb információt az ICS-CERT illetve az Ecava bejelentéseiben lehet találni.

Az ICS-CERT mindhárom fenti rendszer sérülékenységeivel kapcsolatban a szokásos kockázatcsökkentő intézkedéseket javasolja:

- Minimalizálni kell az ICS rendszerek adminisztratív hozzáférési jogosultságait;
- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Az ICS-CERT tegnap hozta nyilvánosságra a Honeywell Uniformance Process History Database (PHD) nevű termékének az US-CERT által március 10-e óta ismert, szolgáltatás-megtagadást lehetővé tevő sérülékenységét. A hiba, ami a Uniformance PHD R310-es, R320-as és R321-es verzióit értinti, az RDISERVER komponens egy puffer-túlcsordulás kihasználására építve teszi lehetővé a sérülékeny eszközök elleni DoS-támadást.

A Honeywell már publikálta a hibát javító patch-et, amit az alkalmazásához készített leírással együtt az SN 2016-01-27-es számú Honeywell’s Security Notification tartalmaz.

Az ICS-CERT ezúttal is a már szokásosnak tekinthető kockázat-csökkentő intézkedések elvégzését is javasolja minden, a sérülékenység által érintett eszközt használó szervezetnek:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

További részletek az ICS-CERT bejelentésében találhatóak: https://ics-cert.us-cert.gov/advisories/ICSA-16-070-02

Az ICS-CERT április 8-án publikált bejegyzése szerint a Moxa NPort termékcsaládjának több modelljét érintő sérülékenységek kerültek nyilvánosságra.

A bejelentésben öt különböző hiba szerepel:

 - Authentikáció nélkül megszerezhető érzékeny adathozzáférés;
 - Authentikáció nélkül végrehajtott firmware-update-en(!);
 - Puffer-túlcsordulás;
 - Cross-site scripting;
 - Cross-site request forgery.

A felsorolt hibák közül a gyártó három létezését már megerősítette, a puffer-túlcsordulást és az XSS-t még vizsgálják.
 
A hibák Moxa NPort 6110-es, 5100 és 6000 sorozatú eszközeit érintik, amennyiben azokon az alábbi firmware-verziókat használják:

 - Moxa NPort model 6110, 1.13-as firmware verzió;
 - Moxa NPort model 5110, 2.5-ös firmware verzió;
 - Moxa NPort models 5130 és 5150, 3.5-ös firmware verzió, valamint
 - Moxa NPort models 6150, 6250, 6450, 6610, és 6650, a 1.13-as verziójú firmware esetén.

Az ICS-CERT bejelentésében több olyan portot is felsorolnak, amelyeken keresztül támadók megkísérelhetik kompromittálni a sérülékeny eszközöket, ezek a következők:

 - TCP/22
 - TCP/23
 - TCP/80
 - TCP/443
 - TCP/4900
 - UDP/161
 - UDP/4800

A gyártó az eddig megerősített hibák javítását 2016 augusztusára ígéri az NPort 5100-as 6000-es sorozatú eszközöknél. A 6110-es típusú NPort berendezésekhez nem fog hibajavítás készülni, a Moxa az ilyen típusú eszközöket használóknak azt javasolja, hogy frissítsenek újabb modellre. Amíg a Moxa javítja a most felfedezett (és általuk már elismert) hibákat, az ICS-CERT az alábbi kockázatcsökkentő intézkedéseket javasolja az érintett felhasználóknak:

 - Az NPort 5100-as 6000-es sorozatú eszközöknél javasolt jelszóval védeni a konfigurációs fájlokat, hogy megelőzzék a nem engedélyezett binárisok feltöltését;
 - Az érintett rendszereket javasolt izolálni az Internettől és általában minden, nem megbízhatónak tekintett hálózattól;
 - Az ipari/folyamatirányító rendszerek hálózatát tűzfalakkal javasolt leválasztani az üzleti/vállalati hálózatoktól;
 - Amennyiben távoli hozzáférést kell biztosítani az ipari/folyamatirányító rendszerekhez (pl. support számára), minden esetben javasolt biztonságos megoldásokat (pl. VPN) használni, azonban figyelembe kell venni, hogy a biztonságos távoli elérést biztosító megoldásoknak is lehetnek ismert hibáik és ezeket minden esetben naprakészre patch-elve célszerű használni. Ugyancsak szem előtt kell tartani, hogy bármilyen VPN-kapcsolat csak annyira lehet biztonságos, mint az azon keresztül csatlakoztatott eszközök.

További részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/alerts/ICS-ALERT-16-099-01

A biztonsági felügyeleti szolgáltatások egyáltalán nem számítanak új dolognak, számos nagy szolgáltatóközpont kínálja itthon is ilyen termékét, azonban ipari rendszerekre vonatkozó biztonsági felügyeletet jellemzően ezek a szolgáltatók nem kínálnak. Ez nem is csoda, hiszen ipari rendszerek esetén az átlagos IT biztonsági képesség mellett elengedhetetlen az ipari rendszerek sajátosságainak mély ismerete. Ezt ismeri fel egyre több szolgáltató a tengerentúlon (elsősorban az USA-ban). Jellemzően különböző ipari rendszereket és berendezéseket gyártó cég vagy cégcsoporthoz tartozó vállalat kezdett terjeszkedni ezen az új, de annál fontosabb területen, a Honeywell után most a GE tulajdonában álló Wurldtech jelentette be, hogy ipari biztonságfelügyeleti szolgáltatásokat (Industrial Managed Security Services, iMSS) kínál ügyfeleinek. Részleteket szolgáltatásokról a Wurldtech és a Honeywell weboldalain lehet találni.

Akérdés már csak az, hogy itthon mikor ébrednek a különböző IT szolgáltatóközpontok? Jó IT biztonsági szakembereik vannak, a BME-n már kezdődik az ipari/automatizálási biztonsági szakirányon a képzés és úgy vélem, a hazai ipari/kritikus infrastruktúra részéről is előbb-utóbb meg fog jelenni az igény az ilyen szolgáltatásokra.