A NIST 800-82-es szabványáról korábban már írtam, de időközben megjelent az akkori változat (rev2) frissítése (rev3), ezért indokoltnak gondolom, hogy röviden átnézzük, mi változott.

A jelentősebb változások:

- Kibővült a szabvány scope-ja, az ICS rendszerek mellett most már az OT rendszerekre és hálózatokra is kiterjednek a 800-82-ben leírtak;
- Frissült az OT fenyegetésekről és sérülékenységekről szóló fejezet (melléklet);
- Frissült az OT kockázatkezelés és az ehhez kapcsolódó ajánlott jó gyakorlatok, architektúrák;
- Szintén frissült az OT biztonsággal kapcsolatos aktuális tevékenységek listája;
- Frissült az OT biztonsági képességek és eszközök listája;
- Megjelentek a más (NIST) szabványokkal és keretrendszerekkel (pl. Cyber Security Framework és 800-53rev5) történő összekapcsolásokat lehetővé tevő fejezetek, így most már lehetséges az ICS/OT rendszereket a 800-53rev5 szerinti alacsony, közepes és magas hatású rendszerek kategóriáiba sorolni;
- A 800-82-es szabvány scope-jának bővülésével megjelentek a különböző IIoT rendszerek és a kapcsolódó biztonsági kérdések is.

A 800-82rev3 jelenleg (2024.01.xx-én) érvényes változata itt található: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3.pdf

Bejelentés dátuma: 2024.02.29.
Gyártó: MicroDicom
Érintett rendszer(ek):
- MicroDicom DICOM Viewer 2023.3 (Build 9342) és korábbi verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2024-22100)/súlyos;
- Out-of-Bounds Write (CVE-2024-25578)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-24-060-01

Bejelentés dátuma: 2024.03.05.
Gyártó: Santesoft
Érintett rendszer(ek):
- Sante FFT Imaging 1.4.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Out-of-Bounds Write (CVE-2024-1696)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-24-065-01

Bejelentés dátuma: 2024.03.05.
Gyártó: Nice
Érintett rendszer(ek):
- Linear eMerge E3 sorozatú eszközök 1.00-06-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Path traversal (CVE-2019-7253)/kritikus;
- Path traversal (CVE-2019-7254)/súlyos;
- Cross-site scripting (CVE-2019-7255)/közepes;
- OS command injection (CVE-2019-7256)/kritikus;
- Unrestricted Upload of File with Dangerous Type (CVE-2019-7257)/kritikus;
- Incorrect Authorization (CVE-2019-7258)/súlyos;
- Exposure of Sensitive Information to an Authorized Actor (CVE-2019-7259)/súlyos;
- Insufficiently Protected Credentials (CVE-2019-7260)/kritikus;
- Use of Hard-coded Credentials (CVE-2019-7261)/kritikus;
- Use of Hard-coded Credentials (CVE-2019-7265)/kritikus;
- Cross-site Request Forgery (CVE-2019-7262)/súlyos;
- Out-of-bounds Write (CVE-2019-7264)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-065-01

Bejelentés dátuma: 2024.03.07.
Gyártó: Chirp Systems
Érintett rendszer(ek):
- Chirp Access minden verziója;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2024-2197)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-067-01

Bejelentés dátuma: 2024.03.07.
Gyártó: Sciener
Érintett rendszer(ek):
- Kontrol Lux zárak 6.5.07-nél korábbi 6.5.x verziói;
- Gateway G2 6.0.0 firmware-verziója;
- TTLock App 6.4.5-ös verziója;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Brute-force of challenge requests (CVE-2023-7006)/n/a;
- Downgradable encryption (CVE-2023-7005)/n/a;
- Key-reuse for pairing (CVE-2023-7003)/n/a;
- Improper deletion of authentication information (CVE-2023-6960)/n/a;
- Incorrect verification (CVE-2023-7004)/n/a;
- Incorrect connection validation (CVE-2023-7007)/n/a;
- Unencrypted Bluetooth communication (CVE-2023-7009)/n/a;
- Unsecure firmware-upgrade mechanism (CVE-2023-7017)/n/a;
Javítás: Nincs, a hibák kockázataiat kompenzáló kontrollokkal lehet csökkenteni.
Link a publikációhoz: https://kb.cert.org/vuls/id/949046

Bejelentés dátuma: 2024.03.07.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort W2150A/W2250A sorozatú eszközök v2.3-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2024-1220)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.03.01.
Gyártó: Hikvision
Érintett rendszer(ek):
- HikCentral Professional V2.5.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Insufficient Server-side Validation (CVE-2024-25063)/súlyos;
- Insufficient Server-side Validation (CVE-2024-25064)/közepes;
Javítás: Elérhető
Link a publikációhoz: HikVision

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Volt Typhoon (a Microsoft által adott név)/Voltzite (Dragos névadási szokások szerinti elnevezeés) csoporttal kapcsolatban elég erős a konszenzus a biztonsági kutatók között, hogy egy kínai állami hátterű APT csoport. A csoport kifejezetten erős érdeklődést mutat a kritikus infrastruktúrák, kifejezetten az USA kritikus infrastruktúrái iránt. Egyes hírek szerint a Guam szigetén működő villamosenergia-szolgáltató rendszereit is ez a csoport támadta, amit egyes amerikai források rögtön a Tajvanhoz kapcsolódó kínai-amerikai feszültségekhez kapcsolták, mondván egy Tajvan elleni kínai támadás esetén kiemelten fontos szerepe lesz a Guam-i amerikai katonai támaszpontnak, ami azt is jelenti, hogy a Guam-i kritikus infrastruktúrák elleni kibertámadások már-már nélkülözhetetlennek tekintik egy, a Kínai Népköztársaságból induló, Tajvan elleni invázió szempontjából.

Az elemzések szerint a Volt Typhoon/Voltzite csoport erőteljesen támaszkodik a Living-off-the-Land támadási formára (amiről nemrég az orosz Sandworm-csoport ukrán kritikus infrastruktúrák elleni támadásai során is írtam).

A Dragos elemzése szerint a Volt Typhoon/Voltzite csoport elsősorban az információgyűjtés céljával végzi a kritikus infrastruktúrák elleni támadásait és a kritikus szolgáltatásokban okozott zavarok nem szándékos mellékhatásai lehettek a támadásaiknak. A Dragos ezen kívül olyan feltételezéssel is élt, hogy az általuk Voltzite-nak nevezett csoport a Volt Typhoon egyik részlege lehet, ami kifejezetten a kritikus infrastruktúrák OT rendszereiről történő információgyűjtésre specializálódott.

A Volt Typhoon/Voltzite csoportról a MITRE és a Dragos weboldalain lehet olvasni.

Ahogy az elmúlt években egyre több és több incidens történt ICS/OT rendszerekkel illetve ilyen rendszereket használó ipari szervezetekkel és egyre több hír lát napvilágot az ICS/OT kiberbiztonság témájában, úgy próbáltam újra és újra valamilyen általánosabb poszt-sorozatot kitalálni és elindítani, amiben röviden, csak 1-2-3 mondatban összefoglalni az adott hír vagy esemény lényegét és kvázi link-gyűjteményként kezelni ezeket a posztokat. Aztán mindig odáig fajultak a dolgaim, hogy ezeket nem tudtam értelmesen fenntartani. Most újabb próbát teszek, havonta egy posztot tervezek, amiben összegyűjtöm az adott hónap kevésbé fajsúlyos eseményeit, incidenseit és híreit.

Incidensek

Hyundai Motor Europe ransomware-támadás

A Black Basta ransomware-csoport támadása még januárban történt a Hyundai Motor európai rendszerei ellen. Azzal kapcsolatban, hogy a támadás érintette volna az autógyártó folyamatirányító rendszereit, nem áll rendelkezésre információ. Források:

SecurityAffairs.com
DarkReading.com

Varta gyárleállások kibertámadás után

Február 13-án 5 Varta üzem állt (Németországban, Romániában és Indonéziában) le egy 12-én történt kibertámadás után. A Vartától származó információk szerint az IT rendszereiket érintette a támadás és jelenleg nincs arra vonatkozó információ, hogy az ICS/OT rendszereket érintette volna az incidens. Források:

SecurityAffairs
DarkReading

Cactus ransomware-támadás a Schneider Electric rendszerei ellen

Még január 17-én a Cactus ransomware-csoport támadást intézett a Schneider Electric fenntarthatósági üzleti részlegének rendszerei ellen, majd februárban vállalták is a felelősséget a támadásért. A rendelkezésre álló információk alapján nem lehet tudni arról, hogy a Schneider Electric által gyártott ICS/OT megoldásokhoz kapcsolódó adatokat érintette-e az incidens. Források:

SecurityAffairs
SecurityWeek
DarkReading

PSI ransomware-incidens

A németországi PSI ICS/OT-gyártó rendszereit ért támadásról február 15-én adtak hírt először. A PSI állítása szerint az ügyfeleik rendszereihez rendelkezésükre bocsátott távoli eléréseket az incidens nem érintette. Forrás:

SecurityWeek

Helyreállás a Johnson Controls ransomware-támadás után

A Johnson Controls még 2023 szeptemberében szenvedett el ransomware-támadást, az abból történő helyreállítás DarkReading-en megjelent cikk szerint 27 millió amerikai dollárba került a cégnek.

 Fulton megye (Georiga állam, USA) áramkimaradás

Georgia állam az elmúlt időszakban kibertámadások egész sorozatát élte át, ez január végén már áramkimaradásokat is okozott. Egy cikk szerint ez akár azzal is összefüggésben lehet, hogy egy Georgia-i kerületi ügyész az, aki a 2020-as amerikai elnökválasztás során vádat emelt Donald Trump és 18 másik ember ellen, bár erre vonatkozó bizonyítékokat eddig nem publikáltak. Forrás:

DarkReading

Southern Water kibertámadás

A brit Southern Water nevű viziközmű cég elismerte, hogy még januárban ügyfeleik 5-10%-át érintő kibertámadás érte a rendszereiket. A támadásért a hírek szerint a Black Basta ransomware-csoport lehet a felelős, bár a Southern Water még mindig nem hozott nyilvánosságra részleteket az incidenssel kapcsolatban. Forrás:

The Register

Hírek

Volt Typhoon

Február első felében a kiberbiztonsági hírek egy jelentős része a Volt Typhoon néven emlegetett, feltételezhetően kínai hátterű APT csoport amerikai kritikus infrastruktúra-rendszerek elleni támadásairól szóltak. Először WiFi-routereket kompromittáltak, majd ezekből továbblépve villamosenergia cégeket, viziközmű vállalatokat, katasztrófavédelmi rendszert más kritikus infrastruktúrák rendszereit támadták, egyebek mellett Guam szigetén. A támadások súlyát jól jelzi, hogy a DHS CISA, az NSA és a FBI közös figyelmeztetést adtak ki február 7-én. Ráadásul február végén érkezett a hír, hogy a Volt Typhoon APT csoportnak van (lehet) egy olyan részlege, ami kifejezetten OT rendszerekre specializálódott (ezt nevezi a Dragos Voltzite-nak).

Források:

Cyber Security Intelligence
eSecurityPlanet
SecurityWeek
The Hacker News
Graham Cluley blogja
CyberScoop
Még egy CyberScoop
DarkReading
Még egy DarkReading
DarkReading (Voltzite)
The Register 

Orosz áramszolgáltató hack

Egy 49 éves orosz állampolgárt készülnek vád alá helyezni egy oroszországi erőmű elleni kibertámadás vádjával, ami 38 faluban okozott áramkimaradásokat Vologda körzetében még 2023 elején. Forrás:

SecurityAffairs

Karbantartás OT biztonsági kockázatai

A tajvani TXOne Networks nevű cég az OT kiberbiztonság egyik feltörekvől megoldás-szállítója. Február eleji publikációjukban az OT cégek karbantartási feladataival kapcsolatos OT biztonsági kockázatokról írnak. Forrás:

TXOne

Kaspersky ICS biztonsági előrejelzések 2024-re

A Kaspersky január legvégén publikálta a már szokásosnak tekinthető ICS/OT biztonsági előrejelzését az idei évre. A riportban a növekvő számú ransomware-támadásokról, a világpolitikai eseményekre reflektáló hactivista-támadásokról és a logisztikai/szállítmányozási szektor elleni támadások természetében megfigyelhető változásokról is írnak. Forrás:

Kaspersky ICS-CERT

Bejelentés dátuma: 2024.01.31.
Gyártó: Open Automation Software
Érintett rendszer(ek):
- Open Automation Software OAS Platform v18.00.0072-es verziója;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Improper Access Control (CVE-2023-31242)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-34998)/súlyos;
- External Control of File Name or Path (CVE-2023-32615)/közepes;
- Improper Input Validation (CVE-2023-34317)/közepes;
- Information Exposure (CVE-2023-32271)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://blog.talosintelligence.com/oas-engine-deep-dive/

Bejelentés dátuma: 2024.02.26.
Gyártó: Moxa
Érintett rendszer(ek):
- EDS-4008 sorozatú eszközök v3.2-es és korábbi firmware-verziói;
- EDS-4009 sorozatú eszközök v3.2-es és korábbi firmware-verziói;
- EDS-4012 sorozatú eszközök v3.2-es és korábbi firmware-verziói;
- EDS-4014 sorozatú eszközök v3.2-es és korábbi firmware-verziói;
- EDS-G4008 sorozatú eszközök v3.2-es és korábbi firmware-verziói;
- EDS-G4012 sorozatú eszközök v3.2-es és korábbi firmware-verziói;
- EDS-G4014 sorozatú eszközök v3.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Confused Deputy (CVE-2024-0387)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.02.26.
Gyártó: CODESYS
Érintett rendszer(ek):
- BeagleBone SL-hez használt CODESYS Control minden, 4.11.0.0-nál korábbi verziója;
- emPC-A/iMX6 SL SL-hez használt CODESYS Control minden, 4.11.0.0-nál korábbi verziója;
- IOT2000 SL SL-hez használt CODESYS Control minden, 4.11.0.0-nál korábbi verziója;
- Linux ARM SL SL-hez használt CODESYS Control minden, 4.11.0.0-nál korábbi verziója;
- Linux SL SL-hez használt CODESYS Control minden, 4.11.0.0-nál korábbi verziója;
- PFC100 SL SL-hez használt CODESYS Control minden, 4.11.0.0-nál korábbi verziója;
- PFC200 SL SL-hez használt CODESYS Control minden, 4.11.0.0-nál korábbi verziója;
- PLCnext SL SL-hez használt CODESYS Control minden, 4.11.0.0-nál korábbi verziója;
- Raspberry Pi SL SL-hez használt CODESYS Control minden, 4.11.0.0-nál korábbi verziója;
- WAGO Touch Panels 600 SL SL-hez használt CODESYS Control minden, 4.11.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Improper Neutralization of Special Elements used in an OS Command (CVE-2023-6357)/súlyos;
Javítás: Elérhető
Link a publikációhoz: CODESYS

Bejelentés dátuma: 2024.02.27.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-F FX5U-32MT/ES minden verziója;
- MELSEC iQ-F FX5U-32MT/DS minden verziója;
- MELSEC iQ-F FX5U-32MT/ESS minden verziója;
- MELSEC iQ-F FX5U-32MT/DSS minden verziója;
- MELSEC iQ-F FX5U-32MR/ES minden verziója;
- MELSEC iQ-F FX5U-32MR/DS minden verziója;
- MELSEC iQ-F FX5U-64MT/ES minden verziója;
- MELSEC iQ-F FX5U-64MT/ESS minden verziója;
- MELSEC iQ-F FX5U-64MT/DS minden verziója;
- MELSEC iQ-F FX5U-64MT/DSS minden verziója;
- MELSEC iQ-F FX5U-64MR/ES minden verziója;
- MELSEC iQ-F FX5U-64MR/DS minden verziója;
- MELSEC iQ-F FX5U-80MT/ES minden verziója;
- MELSEC iQ-F FX5U-80MT/DS minden verziója;
- MELSEC iQ-F FX5U-80MT/ESS minden verziója;
- MELSEC iQ-F FX5U-80MT/DSS minden verziója;
- MELSEC iQ-F FX5U-80MR/ES minden verziója;
- MELSEC iQ-F FX5U-80MR/DS minden verziója;
- MELSEC iQ-F FX5UC-32MT/D minden verziója;
- MELSEC iQ-F FX5UC-32MT/DSS minden verziója;
- MELSEC iQ-F FX5UC-64MT/D minden verziója;
- MELSEC iQ-F FX5UC-64MT/DSS minden verziója;
- MELSEC iQ-F FX5UC-96MT/D minden verziója;
- MELSEC iQ-F FX5UC-96MT/DSS minden verziója;
- MELSEC iQ-F FX5UC-32MT/DS-TS minden verziója;
- MELSEC iQ-F FX5UC-32MT/DSS-TS minden verziója;
- MELSEC iQ-F FX5UC-32MR/DS-TS minden verziója;
- MELSEC iQ-F FX5UJ-24MT/ES minden verziója;
- MELSEC iQ-F FX5UJ-24MT/DS minden verziója;
- MELSEC iQ-F FX5UJ-24MT/ESS minden verziója;
- MELSEC iQ-F FX5UJ-24MT/DSS minden verziója;
- MELSEC iQ-F FX5UJ-24MR/ES minden verziója;
- MELSEC iQ-F FX5UJ-24MR/DS minden verziója;
- MELSEC iQ-F FX5UJ-40MT/ES minden verziója;
- MELSEC iQ-F FX5UJ-40MT/DS minden verziója;
- MELSEC iQ-F FX5UJ-40MT/ESS minden verziója;
- MELSEC iQ-F FX5UJ-40MT/DSS minden verziója;
- MELSEC iQ-F FX5UJ-40MR/ES minden verziója;
- MELSEC iQ-F FX5UJ-40MR/DS minden verziója;
- MELSEC iQ-F FX5UJ-60MT/ES minden verziója;
- MELSEC iQ-F FX5UJ-60MT/DS minden verziója;
- MELSEC iQ-F FX5UJ-60MT/ESS minden verziója;
- MELSEC iQ-F FX5UJ-60MT/DSS minden verziója;
- MELSEC iQ-F FX5UJ-60MR/ES minden verziója;
- MELSEC iQ-F FX5UJ-60MR/DS minden verziója;
- MELSEC iQ-F FX5UJ-24MT/ES-A* minden verziója;
- MELSEC iQ-F FX5UJ-24MR/ES-A* minden verziója;
- MELSEC iQ-F FX5UJ-40MT/ES-A* minden verziója;
- MELSEC iQ-F FX5UJ-40MR/ES-A* minden verziója;
- MELSEC iQ-F FX5UJ-60MT/ES-A* minden verziója;
- MELSEC iQ-F FX5UJ-60MR/ES-A* minden verziója;
- MELSEC iQ-F FX5S-30MT/ES minden verziója;
- MELSEC iQ-F FX5S-30MT/ESS minden verziója;
- MELSEC iQ-F FX5S-30MR/ES minden verziója;
- MELSEC iQ-F FX5S-40MT/ES minden verziója;
- MELSEC iQ-F FX5S-40MT/ESS minden verziója;
- MELSEC iQ-F FX5S-40MR/ES minden verziója;
- MELSEC iQ-F FX5S-60MT/ES minden verziója;
- MELSEC iQ-F FX5S-60MT/ESS minden verziója;
- MELSEC iQ-F FX5S-60MR/ES minden verziója;
- MELSEC iQ-F FX5S-80*MT/ES minden verziója;
- MELSEC iQ-F FX5S-80*MT/ESS minden verziója;
- MELSEC iQ-F FX5S-80*MR/ES minden verziója;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Insufficient Resource Pool (CVE-2023-7033)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-058-01

Bejelentés dátuma: 2024.02.27.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500-as sorozatú CMU-k 12.0.1–től 12.0.14-ig terjedő firmware-verziói;
- RTU500-as sorozatú CMU-k 12.2.1–től 12.2.11-ig terjedő firmware-verziói;
- RTU500-as sorozatú CMU-k 12.4.1–től 12.4.11-ig terjedő firmware-verziói;
- RTU500-as sorozatú CMU-k 12.6.1–től 12.6.9-ig terjedő firmware-verziói;
- RTU500-as sorozatú CMU-k 12.7.1–től 12.7.6-ig terjedő firmware-verziói;
- RTU500-as sorozatú CMU-k 13.2.1–től 13.2.6-ig terjedő firmware-verziói;
- RTU500-as sorozatú CMU-k 13.4.1–től 13.4.3-ig terjedő firmware-verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Cross-site Scripting (CVE-2023-5767)/közepes;
- Cross-site Scripting (CVE-2023-5769)/közepes;
- Denial-of-Service (CVE-2023-5768)/közepes;
Javítás: Elérhető
Link a publikációhoz: Hitachi Energy

Bejelentés dátuma: 2024.02.29.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft-B 1.0.0.4-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2024-1941)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-060-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az NSA és a DHS CISA közös projektje tavaly októberben publikálta a 10 (szerintük) legsúlyosabb, kiberbiztonsági kockázatot jelentő konfigurációs hibát.

A lista az alábbi tételekből áll össze:

1. Default configurations of software and applications
2. Improper separation of user/administrator privilege
3. Insufficient internal network monitoring
4. Lack of network segmentation
5. Poor patch management
6. Bypass of system access controls
7. Weak or misconfigured multifactor authentication (MFA) methods
8. Insufficient access control lists (ACLs) on network shares and services
9. Poor credential hygiene
10. Unrestricted code execution

A publikált dokumentum nem csak a problémákra hívja fel a figyelmet, hanem részletesen be is mutatja az egyes problémás konfigurációs beállítások hátterét és MITRE ATT&CK-összerendelést is tartalmaz. Ugyanakkor nekem hiányzik az, hogy tanácsokat tartalmazzon az anyag a felsorolt konfigurációs hibák preventív megszűntetésére. Függően attól, hogy mennyi időm lesz az elkövetkező hetekben, tervezem egy olyan poszt megírását, ahol minden egyes tételre írjak egy-egy rövid tanácsot, hogy szerintem hogyan kellene és lehetne az ilyen konfigurációs hibákat ICS/OT környezetekben megszüntetni vagy legalább csökkenteni az ilyen kockázatok súlyát.

Ma reggel egy nyílt levél jelent meg a kiberblogon, amit szerzője egy, még 2023. novemberében, az IT Business "Negyedik műszak" nevű konferenciáján Csinos Tamástól (Clico Hungary) elhangzott előadására válaszul írta (a blogposztban az előadás YouTube-ra feltöltött videófelvétele is elérhető).

Amit pedig én gondolok a témáról a konkrét eset kapcsán, az ugyanaz, amit már korábban is írtam: az OT kiberbiztonság feladatait senki nem lesz képes egyedül megoldani. Sem az OT mérnökök, sem a kiberbiztonsági mérnökök, utóbbiak különösen akkor nem, ha előzőleg nem találkoztak OT rendszerekkel. Ideális esetben (amiről tudjuk, hogy nem létezik) az ICS/OT rendszereket használó szervezetekben rendelkezésre állna egy képzett, OT mérnöki múlttal rendelkező, de a modern kiberbiztonsági eszközöket és eljárásokat készség szinten ismerő és dedikáltan csak az ICS/OT rendszerek kiberbiztonságával foglalkozó csapat. Mivel ilyen azonban szinte sehol nincs (bár a helyzet a világ egyes részein már változik, de túl lassan és gyakran túl későn), ezért én nem látok más lehetőséget, mint az OT mérnökök és a kiberbiztonsági szakemberek szoros együttműködésével megvalósítani azokat az ICS/OT biztonsági programokat, amikhez ma már egyre több információt (egyebek mellett tanfolyamokat, szabványokat, keretrendszereket és jogszabályi követelményeket) lehet elérni. Ehhez azonban a kölcsönös tiszteleten alapuló őszinte kommunikáció elengedhetetlen. Bízom benne, hogy a fenti nyílt levél a jó irányba fogja elmozdítani a párbeszédet a hazai OT kiberbiztonságról.

Bejelentés dátuma: 2024.02.20.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- Wire-cut EDM MV sorozat MV1200S D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MV sorozat MV2400S D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MV sorozat MV4800S D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MV sorozat MV1200R D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MV sorozat MV2400R D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MV sorozat MV4800R D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MV sorozat MV1200S D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MV sorozat MV2400S D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MV sorozat MV4800S D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MV sorozat MV1200R D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MV sorozat MV2400R D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MV sorozat MV4800R D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MP sorozat MP1200 D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MP sorozat MP2400 D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MP sorozat MP4800 D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MP sorozat MP1200 D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MP sorozat MP2400 D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MP sorozat MP4800 D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MX sorozat MX900 D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MX sorozat MX2400 D-CUBES sorozatú Standard system BRD-B60W000-** minden verziója;
- Wire-cut EDM MX sorozat MX900 D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Wire-cut EDM MX sorozat MX2400 D-CUBES sorozatú Special system BRD-B63W+++-** minden verziója;
- Sinker EDM SV-P sorozat SV8P D-CUBES sorozatú Standard system BRD-M60W000-** minden verziója;
- Sinker EDM SV-P sorozat SV12 D-CUBES sorozatú Standard system BRD-M60W000-** minden verziója;
- Sinker EDM SV-P sorozat SV8P D-CUBES sorozatú Special system BRD-M63W+++-** minden verziója;
- Sinker EDM SV-P sorozat SV12 D-CUBES sorozatú Special system BRD-M63W+++-** minden verziója;
- Sinker EDM SG sorozat SG8 D-CUBES sorozatú Standard system BRD-M60W000-** minden verziója;
- Sinker EDM SG sorozat SG12 D-CUBES sorozatú Standard system BRD-M60W000-** minden verziója;
- Sinker EDM SG sorozat SG28 D-CUBES sorozatú Standard system BRD-M60W000-** minden verziója;
- Sinker EDM SG sorozat SG8 D-CUBES sorozatú Special system BRD-M63W+++-** minden verziója;
- Sinker EDM SG sorozat SG12 D-CUBES sorozatú Special system BRD-M63W+++-** minden verziója;
- Sinker EDM SG sorozat SG28 D-CUBES sorozatú Special system BRD-M63W+++-** minden verziója;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Improper Input Validation (CVE-2023-21554)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-051-03

Bejelentés dátuma: 2024.02.20.
Gyártó: CISA
Érintett rendszer(ek):
- Industrial Control Systems Network Protocol Parsers (ICSNPP) - Ethercat Zeek Plugin: d78dda6-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-7244)/kritikus;
- Out-of-bounds Write (CVE-2023-7243)/kritikus;
- Out-of-bounds Read (CVE-2023-7242)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-051-02

Bejelentés dátuma: 2024.02.20.
Gyártó: Commend
Érintett rendszer(ek):
- WS203VICM video door station 1.7-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Argument Injection (CVE-2024-22182)/súlyos;
- Improper Access Control (CVE-2024-21767)/kritikus;
- Weak Encoding for Password (CVE-2024-23492)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-051-01

Bejelentés dátuma: 2024.02.22.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft-B v1.0.0.4 DOPSoft v4.0.0.82-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2024-1595)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-053-01

Bejelentés dátuma: 2024.02.22.
Gyártó: WAGO
Érintett rendszer(ek):
- WAGO 750-810x típusú eszközök 22 Patch 2-nél korábbi firmware-verziói;
- WAGO 750-811x típusú eszközök 27-nél korábbi firmware-verziói;
- WAGO 750-820x típusú eszközök 22 Patch 2-nél korábbi firmware-verziói;
- WAGO 750-820x típusú eszközök 03.03.08 (80)-nál korábbi verziói;
- WAGO 750-821x típusú eszközök 27-nél korábbi firmware-verziói;
- WAGO 750-821x típusú eszközök 04.03.03 (70)-nél korábbi verziói;
- WAGO 750-821x típusú eszközök 22 Patch 2-nél korábbi firmware-verziói;
- WAGO 751-9301 típusú eszközök 27-nél korábbi firmware-verziói;
- WAGO 751-9301 típusú eszközök 04.03.03 (72)-nél korábbi verziói;
- WAGO 751-9401 típusú eszközök 27-nél korábbi firmware-verziói;
- WAGO 751-9401 típusú eszközök 04.03.03 (72)-nél korábbi verziói;
- WAGO 752-8303 típusú eszközök 27-nél korábbi firmware-verziói;
- WAGO 752-8303 típusú eszközök 22 Patch 2-nél korábbi firmware-verziói;
- WAGO 762-4x0x típusú eszközök 27-nél korábbi firmware-verziói;
- WAGO 762-4x0x típusú eszközök 22 Patch 2-nél korábbi firmware-verziói;
- WAGO 762-5x0x típusú eszközök 22 Patch 2-nél korábbi firmware-verziói;
- WAGO 762-5x0x típusú eszközök 27-nél korábbi firmware-verziói;
- WAGO 762-6x0x típusú eszközök 27-nél korábbi firmware-verziói;
- WAGO 762-6x0x típusú eszközök 22 Patch 2-nél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Improper Validation of Integrity Check Value (CVE-2023-48795)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2024-014/

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A múlt heti, 5G hálózatok biztonságát boncolgató poszt után egy kicsit még mélyebbre megyünk, továbbra is a TrendMicro munkatársainak munkáját követve.

Az Open Radio Access Network egy nem szabadalmaztatott (mondhatjuk úgy is, hogy open source) változata a Radio Access Network rendszernek, ami interoperabilitást tesz lehetővé különböző gyártók mobil kommunikációs hálózatai eszközei között.

Figyelembe véve, hogy egyre több ipari eszköz és site támaszkodik a különböző mobil távközlési szolgáltatók privát és nyilvános APN-jeire (már akár ez is megérne egy külön posztot, hogy vajon mennyire jó gondolat ipari folyamatirányító rendszerek kommunikációját nyilvános APN-ekre bízni), nem tűnik feleslegesnek foglalkozni az Open RAN hálózatok kiberbiztonsági kérdéseivel. A TrendMicro kutatói még egy tavaly december elején publikált cikkükben foglalkoznak a témával.

A cikket az 5G távközlési hálózatok felépítésének bemutatásával kezdik, majd röviden érintik az 5G bázisállomások architektúrális felépítését, a RAN-Open RAN különbségeket, egy alap Open RAN architektúra rövid vázlatát is ismertetik és az O-RAN Allience-nek is szentelnek két bekezdést. A bevezetőből ezután már csak a near-RT RIC Platform ismertetése van hátra, ami egy szoftver-alapú, közel valósidejű, mikro-szervíz platform, ami az Open RAN mikro-szervíz alapú alkalmazásait, (az ún. xApp-okat) futtatja.

Az Open RAN alapjainak áttekintése után a TrendMicro kutatói ismertetik az Open RAN-nal kapcsolatos, eddig megismert támadási vektorokat és sérülékenységeket, ezek lehetséges hatásait és a kockázatcsökkentés lehetséges módjait.

A jelek szerint az 5G hálózatok ICS/OT rendszerekkel kapcsolatos egyre gyorsabban terjedő használata miatt az ipari folyamatirányító rendszerek biztonságáért felelős szakembereknek ajánlott mielőbb legalább alapvető ismereteket szerezni a RAN és Open RAN rendszerek biztonságával kapcsolatban is.

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC RTLS Gateway RTLS4030G, CMIIT (6GT2701-5DB23) minden verziója;
- SIMATIC RTLS Gateway RTLS4030G, ETSI (6GT2701-5DB03) minden verziója;
- SIMATIC RTLS Gateway RTLS4030G, FCC (6GT2701-5DB13) minden verziója;
- SIMATIC RTLS Gateway RTLS4030G, ISED (6GT2701-5DB33) minden verziója;
- SIMATIC RTLS Gateway RTLS4430G, Chirp, ETSI, FCC, ISED, IP65 (6GT2701-5CB03) minden verziója;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Improper Handling of Length Parameter Inconsistency (CVE-2020-11896)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Unicam FX minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Use of Privileged APIs (CVE-2024-22042)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) minden verziója;
- SCALANCE SC626-2C (6GK5626-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC626-2C (6GK5626-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC626-2C (6GK5626-2GS00-2AC2) minden verziója;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) minden verziója;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) minden verziója;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) minden verziója;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Acceptance of Extraneous Untrusted Data With Trusted Data (CVE-2023-44317)/súlyos;
- Use of Weak Hash (CVE-2023-44319)/közepes;
- Forced Browsing (CVE-2023-44320)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44321)/alacsony;
- Unchecked Return Value (CVE-2023-44322)/alacsony;
- Injection (CVE-2023-44373)/kritikus;
- OS Command Injection (CVE-2023-49691)/súlyos;
- OS Command Injection (CVE-2023-49692)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) minden verziója;
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) minden verziója;
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-45614)/kritikus
- Classic Buffer Overflow (CVE-2023-45615)/kritikus
- Classic Buffer Overflow (CVE-2023-45616)/kritikus
- Improper Input Validation (CVE-2023-45617)/súlyos;
- Improper Input Validation (CVE-2023-45618)/súlyos;
- Improper Input Validation (CVE-2023-45619)/súlyos;
- Improper Input Validation (CVE-2023-45620)/súlyos;
- Improper Input Validation (CVE-2023-45621)/súlyos;
- Improper Input Validation (CVE-2023-45622)/súlyos;
- Improper Input Validation (CVE-2023-45623)/súlyos;
- Improper Input Validation (CVE-2023-45624)/súlyos;
- Command Injection (CVE-2023-45625)/súlyos;
- Improper Input Validation (CVE-2023-45626)/súlyos;
- Improper Input Validation (CVE-2023-45627)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS minden, V2.0 SP1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-4203)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Use After Free (CVE-2023-0215)/közepes;
- NULL Pointer Dereference (CVE-2023-0216)/súlyos;
- NULL Pointer Dereference (CVE-2023-0217)/súlyos;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- NULL Pointer Dereference (CVE-2023-0401)/súlyos;
- Out-of-bounds Read (CVE-2023-1255)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-2454)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-2455)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2023-2650)/közepes;
- Improper Authentication (CVE-2023-2975)/közepes;
- Inefficient Regular Expression Complexity (CVE-2023-3446)/közepes;
- Excessive Iteration (CVE-2023-3817)/közepes;
- HTTP Request/Response Smuggling (CVE-2023-25690)/kritikus;
- HTTP Request/Response Smuggling (CVE-2023-27522)/súlyos;
- Injection (CVE-2023-27533)/súlyos;
- Path Traversal (CVE-2023-27534)/súlyos;
- Improper Authentication (CVE-2023-27535)/közepes;
- Improper Authentication (CVE-2023-27536)/közepes;
- Double Free (CVE-2023-27537)/közepes;
- Improper Input Validation (CVE-2023-27538)/súlyos;
- Use After Free (CVE-2023-28319)/súlyos;
- Race Condition (CVE-2023-28320)/közepes;
- Improper Certificate Validation (CVE-2023-28321)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-28322)/alacsony;
- Off-by-one Error (CVE-2023-28709)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-30581)/súlyos;
- Improper Input Validation (CVE-2023-30582)/súlyos;
- Improper Input Validation (CVE-2023-30583)/közepes;
- Improper Input Validation (CVE-2023-30584)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-30585)/súlyos;
- Missing Authorization (CVE-2023-30586)/súlyos;
- Improper Input Validation (CVE-2023-30587)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-30588)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-30589)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-30590)/súlyos;
- Use of Insufficiently Random Values (CVE-2023-31124)/alacsony;
- Buffer Underflow (CVE-2023-31130)/közepes;
- Use of Insufficiently Random Values (CVE-2023-31147)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-32002)/közepes;
- Path Traversal (CVE-2023-32003)/közepes;
- Path Traversal (CVE-2023-32004)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2023-32005)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-32006)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-32067)/súlyos;
- Path Traversal (CVE-2023-32558)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-32559)/súlyos;
- Incorrect Authorization (CVE-2023-34035)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-35945)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2023-38039)/súlyos;
- Type Confusion (CVE-2023-38199)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38545)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2023-38546)/súlyos;
- SQL Injection (CVE-2023-39417)/alacsony;
- Missing Encryption of Sensitive Data (CVE-2023-39418)/súlyos;
- Open Redirect (CVE-2023-41080)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-46120)/közepes;
- SQL Injection (CVE-2024-23810)/közepes;
- Unrestricted Upload of File with Dangerous Type (CVE-2024-23811)/súlyos;
- OS Command Injection (CVE-2024-23812)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Polarion ALM minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Default Permissions (CVE-2023-50236)/súlyos;
- Improper Authentication (CVE-2024-23813)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT 

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE XCH328 (6GK5328-4TS01-2EC2) minden V2.4-nél korábbi verziója;
- SCALANCE XCM324 (6GK5324-8TS01-2AC2) minden V2.4-nél korábbi verziója;
- SCALANCE XCM328 (6GK5328-4TS01-2AC2) minden V2.4-nél korábbi verziója;
- SCALANCE XCM332 (6GK5332-0GA01-2AC2) minden V2.4-nél korábbi verziója;
- SCALANCE XRH334 (24 V DC, 8xFO, CC) (6GK5334-2TS01-2ER3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (2x230 V AC, 8xFO) (6GK5334-2TS01-4AR3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (2x230 V AC, 12xFO) (6GK5334-3TS01-4AR3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (24 V DC, 8xFO) (6GK5334-2TS01-2AR3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (24 V DC, 12xFO) (6GK5334-3TS01-2AR3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (230 V AC, 8xFO) (6GK5334-2TS01-3AR3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (230 V AC, 12xFO) (6GK5334-3TS01-3AR3) minden V2.4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write CVE-2006-20001)/súlyos;
- Incorrect Type Conversion or Cast (CVE-2020-10735)/súlyos;
- Improper Verification of Cryptographic Signature (CVE-2021-3445)/súlyos;
- Out-of-bounds Write (CVE-2021-3638)/közepes;
- Improper Access Control (CVE-2021-4037)/súlyos;
- Improper Authentication (CVE-2021-36369)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-43666)/súlyos;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2021-45451)/súlyos;
- Out-of-bounds Write (CVE-2022-1015)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2022-1348)/közepes;
- Use After Free (CVE-2022-2586)/közepes;
- HTTP Request/Response Smuggling (CVE-2022-2880)/súlyos;
- Improper Input Validation (CVE-2022-3294)/közepes;
- Heap-based Buffer Overflow (CVE-2022-3437)/közepes;
- Integer Overflow or Wraparound (CVE-2022-3515)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2022-4415)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2022-4743)/súlyos;
- Double Free (CVE-2022-4744)/súlyos;
- Out-of-bounds Write (CVE-2022-4900)/közepes;
- Improper Validation of Specified Quantity in Input (CVE-2022-4904)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-23471)/közepes;
- Integer Overflow or Wraparound (CVE-2022-23521)/kritikus;
- Heap-based Buffer Overflow (CVE-2022-24834)/súlyos;
- Incorrect Comparison (CVE-2022-26691)/közepes;
- Out-of-bounds Write (CVE-2022-28737)/súlyos;
- Double Free (CVE-2022-28738)/kritikus;
- Out-of-bounds Read (CVE-2022-28739)/súlyos;
- Improper Input Validation (CVE-2022-29154)/súlyos;
- Incorrect Default Permissions (CVE-2022-29162)/közepes;
- Improper Ownership Management (CVE-2022-29187)/súlyos;
- Out-of-bounds Write (CVE-2022-29536)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-32148)/közepes;
- Injection (CVE-2022-34903)/közepes;
- Type Confusion (CVE-2022-34918)/súlyos;
- Inefficient Algorithmic Complexity (CVE-2022-36021)/közepes;
- NULL Pointer Dereference (CVE-2022-36227)/kritikus;
- HTTP Request/Response Smuggling (CVE-2022-36760)/kritikus;
- HTTP Request/Response Splitting (CVE-2022-37436)/közepes;
- Integer Overflow or Wraparound (CVE-2022-37454)/kritikus;
- NULL Pointer Dereference (CVE-2022-37797)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-38725)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-39189)/súlyos;
- Out-of-bounds Write (CVE-2022-39260)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-41409)/súlyos;
- Missing Release of Memory after Effective Lifetime (CVE-2022-41556)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-41715)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2022-41717)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-41723)/súlyos;
- NULL Pointer Dereference (CVE-2022-41860)/súlyos;
- Improper Input Validation (CVE-2022-41861)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-41862)/alacsony;
- Integer Overflow or Wraparound (CVE-2022-41903)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2022-42919)/súlyos;
- Out-of-bounds Write (CVE-2022-44370)/súlyos;
- Inefficient Algorithmic Complexity (CVE-2022-45061)/súlyos;
- Improper Validation of Integrity Check Value (CVE-2022-45142)/súlyos;
- Use After Free (CVE-2022-45919)/súlyos;
- Observable Discrepancy (CVE-2022-46392)/közepes;
- Out-of-bounds Read (CVE-2022-46393)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-47629)/kritikus;
- Out-of-bounds Read (CVE-2022-48303)/közepes;
- Use After Free (CVE-2022-48434)/súlyos;
- Improper Locking (CVE-2023-0160)/közepes;
- Out-of-bounds Write (CVE-2023-0330)/közepes;
- Observable Discrepancy (CVE-2023-0361)/súlyos;
- Use After Free (CVE-2023-0494)/súlyos;
- Improper Input Validation (CVE-2023-0567)/súlyos;
- Incorrect Calculation of Buffer Size (CVE-2023-0568)/súlyos;
- Use After Free (CVE-2023-0590)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-0662)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-1206)/közepes;
- Out-of-bounds Read (CVE-2023-1380)/súlyos;
- Use After Free (CVE-2023-1393)/súlyos;
- Use After Free (CVE-2023-1611)/közepes;
- Use After Free (CVE-2023-1670)/súlyos;
- Use After Free (CVE-2023-1838)/súlyos;
- Use After Free (CVE-2023-1855)/közepes;
- Use After Free (CVE-2023-1859)/közepes;
- Use After Free (CVE-2023-1989)/közepes;
- Use After Free (CVE-2023-1990)/közepes;
- Incorrect Authorization (CVE-2023-2002)/közepes;
- Out-of-bounds Write (CVE-2023-2124)/súlyos;
- Out-of-bounds Write (CVE-2023-2194)/közepes;
- Improper Locking (CVE-2023-2269)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-2861)/súlyos;
- NULL Pointer Dereference (CVE-2023-2953)/súlyos;
- Improper Removal of Sensitive Information Before Storage or Transfer (CVE-2023-3006)/közepes;
- Out-of-bounds Write (CVE-2023-3090)/súlyos;
- Use After Free (CVE-2023-3111)/súlyos;
- Use After Free (CVE-2023-3141)/súlyos;
- NULL Pointer Dereference (CVE-2023-3212)/közepes;
- Unchecked Return Value (CVE-2023-3247)/alacsony;
- Out-of-bounds Read (CVE-2023-3268)/súlyos;
- Race Condition (CVE-2023-3301)/közepes;
- NULL Pointer Dereference (CVE-2023-3316)/közepes;
- Use After Free (CVE-2023-3390)/súlyos;
- Out-of-bounds Write (CVE-2023-3611)/súlyos;
- Use After Free (CVE-2023-3776)/súlyos;
- Use After Free (CVE-2023-3863)/közepes;
- Use After Free (CVE-2023-4128)/súlyos;
- Incorrect Authorization (CVE-2023-4194)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-20593)/közepes;
- Out-of-bounds Write (CVE-2023-21255)/súlyos;
- Link Following (CVE-2023-22490)/közepes;
- Improper Verification of Cryptographic Signature (CVE-2023-22742)/közepes;
- Classic Buffer Overflow (CVE-2023-22745)/közepes;
- Type Confusion (CVE-2023-23454)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-23931)/közepes;
- Improper Input Validation (CVE-2023-23934)/alacsony;
- Path Traversal (CVE-2023-23946)/közepes;
- Code Injection (CVE-2023-24538)/kritikus;
- Allocation of Resources Without Limits or Throttling (CVE-2023-25153)/közepes;
- Integer Overflow or Wraparound (CVE-2023-25155)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2023-25193)/súlyos;
- Use of Uninitialized Resource (CVE-2023-25588)/közepes;
- HTTP Request/Response Smuggling (CVE-2023-25690)/kritikus;
- Cross-site Scripting (CVE-2023-25727)/közepes;
- Exposure of Resource to Wrong Sphere (CVE-2023-26081)/súlyos;
- Out-of-bounds Write (CVE-2023-26965)/közepes;
- HTTP Request/Response Smuggling (CVE-2023-27522)/súlyos;
- Path Traversal (CVE-2023-27534)/súlyos;
- Improper Authentication (CVE-2023-27535)/közepes;
- Improper Authentication (CVE-2023-27536)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-28450)/súlyos;
- NULL Pointer Dereference (CVE-2023-28466)/súlyos;
- Improper Encoding or Escaping of Output (CVE-2023-28486)/közepes;
- Improper Encoding or Escaping of Output (CVE-2023-28487)/közepes;
- Code Injection (CVE-2023-29402)/kritikus;
- Code Injection (CVE-2023-29404)/kritikus;
- Injection (CVE-2023-29405)/kritikus;
- Interpretation Conflict (CVE-2023-29406)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-29409)/közepes;
- Out-of-bounds Write (CVE-2023-30086)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-30456)/közepes;
- Use After Free (CVE-2023-30772)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-31084)/közepes;
- Use of Insufficiently Random Values (CVE-2023-31124)/alacsony;
- Buffer Underflow (CVE-2023-31130)/közepes;
- Use of Insufficiently Random Values (CVE-2023-31147)/közepes;
- Improper Input Validation (CVE-2023-31436)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-31489)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-32067)/súlyos;
- Improper Input Validation (CVE-2023-32233)/súlyos;
- Divide By Zero (CVE-2023-32573)/közepes;
- Race Condition (CVE-2023-33203)/közepes;
- Improper Input Validation (CVE-2023-34256)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-34872)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-34969)/közepes;
- Out-of-bounds Write (CVE-2023-35001)/súlyos;
- Out-of-bounds Write (CVE-2023-35788)/súlyos;
- Insufficiently Protected Credentials (CVE-2023-35789)/közepes;
- Race Condition (CVE-2023-35823)/súlyos;
- Race Condition (CVE-2023-35824)/súlyos;
- Race Condition (CVE-2023-35828)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-36054)/közepes;
- Inefficient Regular Expression Complexity (CVE-2023-36617)/közepes;
- OS Command Injection (CVE-2023-36664)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2023-37920)/súlyos;
- Classic Buffer Overflow (CVE-2023-38559)/közepes;
- Use After Free (CVE-2023-40283)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- OpenPCS 7 V9.1 minden verziója;
- SIMATIC BATCH V9.1 minden verziója;
- SIMATIC PCS 7 V9.1 minden verziója;
- SIMATIC Route Control V9.1 minden verziója;
- SIMATIC WinCC Runtime Professional V18 minden verziója;
- SIMATIC WinCC Runtime Professional V19 minden verziója;
- SIMATIC WinCC V7.4 minden verziója;
- SIMATIC WinCC V7.5 minden, V7.5 SP2 Update 15-nél korábbi verziója;
- SIMATIC WinCC V8.0 minden, V8.0 SP4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2023-48363)/közepes;
- NULL Pointer Dereference (CVE-2023-48364)/közepes;vítás:
Javítás: Részbenlérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 minden, Nozomi Guardian/CMC-vel használt, 23.3.0-nál korábbi verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-5253)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Location Intelligence Perpetual Large (9DE5110-8CA13-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Medium (9DE5110-8CA12-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Non-Prod (9DE5110-8CA10-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Small (9DE5110-8CA11-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Large (9DE5110-8CA13-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Medium (9DE5110-8CA12-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Non-Prod (9DE5110-8CA10-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Small (9DE5110-8CA11-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Large (9DE5110-8CA13-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Medium (9DE5110-8CA12-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Non-Prod (9DE5110-8CA10-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Small (9DE5110-8CA11-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Large (9DE5110-8CA13-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Medium (9DE5110-8CA12-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Non-Prod (9DE5110-8CA10-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Small (9DE5110-8CA11-1BX0) minden V4.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2024-23816)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIDIS Prime minden, V4.0.400-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Insufficiently Random Values (CVE-2019-19135)/súlyos;
- NULL Pointer Dereference (CVE-2020-1967)/súlyos;
- NULL Pointer Dereference (CVE-2020-1971)/közepes;
- Infinite Loop (CVE-2022-0778)/súlyos;
- Infinite Loop (CVE-2022-29862)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2201 minden, V2201.0012-nél korábbi verziója;
- Tecnomatix Plant Simulation V2201 minden verziója;
- Tecnomatix Plant Simulation V2302 minden, V2302.0006-nál korábbi verziója;
- Tecnomatix Plant Simulation V2302 minden, V2302.0007-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-23795)/súlyos;
- Heap-based Buffer Overflow (CVE-2024-23796)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-23797)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-23798)/súlyos;
- NULL Pointer Dereference (CVE-2024-23799)/alacsony;
- NULL Pointer Dereference (CVE-2024-23800)/alacsony;
- NULL Pointer Dereference (CVE-2024-23801)/alacsony;
- Out-of-bounds Read (CVE-2024-23802)/súlyos;
- Out-of-bounds Write (CVE-2024-23803)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-23804)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, V2401.0000-nál korábbi verziója;
- Simcenter Femap minden, V2306.0001-nél korábbi verziója;
- Simcenter Femap minden, V2306.0000-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-24920)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-24921)/súlyos;
- Out-of-bounds Write (CVE-2024-24922)/súlyos;
- Out-of-bounds Read (CVE-2024-24923)/súlyos;
- Out-of-bounds Write (CVE-2024-24924)/súlyos;
- Access of Uninitialized Pointer (CVE-2024-24925)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid V35.0 minden, V35.0.263-nál korábbi verziója;
- Parasolid V35.0 minden, V35.0.251-nél korábbi verziója;
- Parasolid V35.1 minden, V35.1.252-nél korábbi verziója;
- Parasolid V35.1 minden, V35.1.170-nél korábbi verziója;
- Parasolid V36.0 minden, V36.0.198-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-49125)/súlyos;
- NULL Pointer Dereference (CVE-2024-22043)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CP 343-1 (6GK7343-1EX30-0XE0) minden verziója;
- SIMATIC CP 343-1 Lean (6GK7343-1CX10-0XE0) minden verziója;
- SIPLUS NET CP 343-1 (6AG1343-1EX30-7XE0) minden verziója;
- SIPLUS NET CP 343-1 Lean (6AG1343-1CX10-2XE0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Verification of Source of a Communication Channel (CVE-2023-51440)/súlyos;
Javítás:
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 CPU (BMXP34*) sv3.60-nál korábbi verziói;
- Modicon M580 CPU (BMEP* és BMEH*, az M580 safety CPU-k nem érintettek) sv4.20-nál korábbi verziói;
- Modicon M580 CPU Safety (BMEP58*S és BMEH58*S) minden verziója;
- EcoStruxure™ Control Expert v16.0-nál korábbi verziói;
- EcoStruxure™ Process Expert v2023-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Enforcement of Message Integrity During Transmission in a
Communication Channel (CVE-2023-6408)/súlyos;
- Use of Hard-coded Credentials (CVE-2023-6409)/súlyos;
- Insufficiently Protected Credentials (CVE-2023-27975)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.02.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Harmony Control Relay (RMNF22TB30) minden verziója;
- Harmony Timer Relay (RENF22R2MMW) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2024-0568)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.02.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure IT Gateway 1.20.x és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of hard-coded credentials (CVE-2024-0865)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.02.15.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Service Platform v2.74-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Execution-Assigned Permissions (CVE-2024-21915)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-046-16

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.