Ezt a könyvet valamivel több, mint egy éve, az S4x25-ön kaptam a szerzőtől, Andrew Ginter-től. Aztán amikor elkezdtem olvasni, rögtön az elején rá kellett jönnöm, hogy van a polcomon egy másik Andrew Ginter-könyv is (a tavaly december végén, ennek a poszt-sorozatnak az előző részében ismertetett, "SCADA Security - What's broken and how to fix it" című kötet), így aztán az időrendiség megtartása miatt ezt kicsit félretettem, hogy előbb azzal végezzek. Utána pedig jöhetett ez a könyv.

Bár az Engineering Grade OT security nem közvetlen folytatása a SCADA Security-nek, de nagyon sok szempontól nem változott a szerző véleménye, így amit leírtam a korábbi posztban a Waterfall (Andrew Ginter munkahelye) főbb termékeivel kapcsolatos véleményekről, az igaz erre a könyvre is. Nem azt mondom, hogy a szerzőnek ne lenne igaza, de azért érezhető, hogy ezeknek a megoldásoknak központi szerep jut a leírt biztonsági kontroll-rendszerekben.

Egy másik érzés, ami egyre erősebb lett bennem a könyv olvastán, hogy Andrew egy tökéletes vagy optimális biztonsági környzetet vázol fel a folyamatirányító rendszerek számára, azonban az én (nyilván a szerzőéhez nem mérhető, de azért így is) közel másfél évtizedes tapasztalataim alapján azt kell mondjam, hogy tökéletes vagy optimális biztonsági kontroll-környezetet folyamatirányító rendszerek számára a gyakorlatban nem lehet felépíteni.

A könyv az alábbi fejezetekből áll:

Acknowledgements
Prologue - How Much is Enough?
Chapter 1 - Introduction
Government Intervention?
Threat
Security Engineering
Network Engineering
This Book
Summary

Chapter 2 - OT/Industrial Control Systems
Field Devices
Device Communications
Purdue Model
Engineering Change Control
IT/OT Integration
Summary

Chapter 3 - Cyber Attacks
Three Ways Ransomware Impacts Operations
Safety and Protection System Attacks
Supply Chain Attacks
Stuxnet
How Worried Should We Be?
Summary

Chapter 4 - Security Engineering Approaches
IT-Centric Security
NIST Framework
Engineering-Centric Security
Security Engineering
Security PHA Review
Consequence-Driven, Cyber Informed Engineering
Manual Operations and Resilience
Secure Operations Technology
Cyber Informed Engineering
Summary

Chapter 5 - Network Engineering
Monitoring vs. Control
Firewalls Are Not Network Engineering
EPRI Industrial Internet
Consequence Boundaries
Optimizing Criticality Boundaries
Hardware I/O Interfaces
Air Gaps
Unidirectional Gateways
Opposing Gateways
Abstraction
Dependencies and Resilience
Summary

Chapter 6 - Cyber Design Basis Threat
Standard Terminology
The Nature of Cyber Risk
Governance
Modelling Risk - Classic Formula
Modern Cyber Risk
Consequence
Intent
Capabilities
Opportunities
Cyber Design Basis Threat
cDBT and Risk Assessments
Insurance
Summary

Chapter 7 - Due Care
Network and Attack Connectivity
Connected Networks
Network Criticality
Every CPU Compromised
What is Acceptable?
What is Reasonable?
Table-Top Excercise
Determining Criticality
Defining Networks
Responsibility
Risk Tolerance Directives
OT Cyber Risk Audits
Squirrels, Hurricanes and Earthquakes
When to Start Thinking About Cyber Risk
Summary

Chapter 8 - Residual Risk
Offline Attacks
Autonomouts vs. Remote Controlled Attacks
Residual cDBT Directives
Physical Perimeter
Unstaffed Sites
Transient Devices
Disgruntled Insiders
Supply Chain
Wireless Hardware and Malware
Engineering Discipline
IT Tools for Residual Risk
Detect, Respond and Recover
Government Programs
Summary

Chapter 9 - Objection Handling
Rigidity
Confusing Windows with Doors
False Economies
Zero Trust and Encryption
Summary

Chapter 10 - Conclusion

Appendix A - Hacking Everything
Allow-Listing Systems
Anti-Virus Systems
Data Diodes
Firewalls
Host Firewalls
Host Intrusion Detection Systems
Host Intrusion Prevention Systems
Identity and Access Management
Intrusion Detection Systems
Intrusion Prevention Systems
Network Encryption and Authentication
Network Intrusion Detection Systems
Network Intrusion Prevention Sysems
Secure Remote Access
Security Updates/Patches
Software Defined Networks
Unidirection Gateways
Virtual Local Area Networks
Virtual Private Networks
Summary

Appendix B - Secure Operations Technology
SEC-OT Principles
Prepare for SEC-OT
Defeat Offline Attacks
Defeat Online Attacks
Unidirectional Architectures
#1 Database Replication
#2 Device Emulation
#3 Application Replication
#4 Remote Diagnostics and Maintenance
#5 Emergency Maintenance
#6 Continuous Remote Operation
#7 Device Data Sniffing
#8 Central or Cloud SOC
#9 Network Intrusion Detection Systems
#10 Convenient File Transfer
#11 IIoT and Cloud Communications
#12 Electronic Mail and Web Browsing
#13 Partial Replication Protecting Trade Secrets
#14 Scheduled Updates
#15 Safety Systems
#16 Continuous High-Level Control
#17 SCADA WAN
#18 Protective Relays
#19 Replicas DMZ
#20 Wireless Networks
Summary

Appendix C - Acronyms
About the Author

Bejelentés dátuma: 2026.02.24.
Gyártó: InSAT
Érintett rendszer(ek):
- InSAT MasterSCADA BUK-TS minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SQL Injection (CVE-2026-21410)/kritikus;
- OS Command Injection (CVE-2026-22553)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-055-01

Bejelentés dátuma: 2026.02.24.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Building Operation Workstation minden, 7.0.3.2000 (CP1)-nél korábbi 7.0.x verziója;
- EcoStruxure Building Operation Workstation minden, 6.0.4.14001 (CP10)-nél korábbi 6.0.x verziója;
- EcoStruxure Building Operation WebStation minden, 7.0.3.2000 (CP1)-nél korábbi 7.0.x verziója;
- EcoStruxure Building Operation WebStation minden, 6.0.4.14001 (CP10)-nél korábbi 6.0.x verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2026-1227)/súlyos;
- Code Injection (CVE-2026-1226)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-055-02

Bejelentés dátuma: 2026.02.24.
Gyártó: Gardyn
Érintett rendszer(ek):
- Gardyn Home Kit master.619-nél korábbi firmware-verziói;
- Gardyn Gardyn Home Kit Mobile Application 2.11.0-nál korábbi verziói;
- Gardyn Gardyn Home Kit Cloud API 2.12.2026-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2025-29628)/súlyos;
- Use of Default Credentials (CVE-2025-29629)/súlyos;
- OS Command Injection (CVE-2025-29631)/kritikus;
- Use of Hard-coded Credentials (CVE-2025-1242)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-055-03

Bejelentés dátuma: 2026.02.26.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- ohnson Controls, Inc. Frick Controls Quantum HD 10.22-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2026-21654)/kritikus;
- Code Injection (CVE-2026-21656)/kritikus;
- Code Injection (CVE-2026-21657)/kritikus;
- Code Injection (CVE-2026-21658)/kritikus;
- Relative Path Traversal (CVE-2026-21659)/súlyos;
- Plaintext Storage of a Password (CVE-2026-21660)/közepes;
Javítás: Nincs, az érintett termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-01

Bejelentés dátuma: 2026.02.26.
Gyártó: Pelco
Érintett rendszer(ek):
- Sarix Professional IMP 3 sorozat 02.52-es és korábbi verziói;
- Sarix Professional IXP 3 sorozat 02.52-es és korábbi verziói;
- Sarix Professional IBP 3 sorozat 02.52-es és korábbi verziói;
- Sarix Professional IWP 3 sorozat 02.52-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2026-1241)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-02

Bejelentés dátuma: 2026.02.26.
Gyártó: CloudCharge
Érintett rendszer(ek):
- CloudCharge cloudcharge.se minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-20781)/kritikus;
- Improper Restriction of Excessive Authentication Attempts (CVE-2026-25114)/súlyos;
- Insufficient Session Expiration (CVE-2026-27652)/súlyos;
- Insufficiently Protected Credentials (CVE-2026-20733)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-03

Bejelentés dátuma: 2026.02.26.
Gyártó: EV2GO
Érintett rendszer(ek):
- EV2GO ev2go.io minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-24731)/kritikus;
- Improper Restriction of Excessive Authentication Attempts (CVE-2026-25945)/súlyos;
- Insufficient Session Expiration (CVE-2026-20895)/súlyos;
- Insufficiently Protected Credentials (CVE-2026-22890)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-04

Bejelentés dátuma: 2026.02.26.
Gyártó: SWITCH EV
Érintett rendszer(ek):
- SWITCH EV swtchenergy.com minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-27767)/kritikus;
- Improper Restriction of Excessive Authentication Attempts (CVE-2026-25113)/súlyos;
- Insufficient Session Expiration (CVE-2026-25778)/súlyos;
- Insufficiently Protected Credentials (CVE-2026-27773)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-06

Bejelentés dátuma: 2026.02.26.
Gyártó: EV Energy
Érintett rendszer(ek):
- EV Energy ev.energy minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-27772)/kritikus;
- Improper Restriction of Excessive Authentication Attempts (CVE-2026-24445)/súlyos;
- Insufficient Session Expiration (CVE-2026-26290)/súlyos;
- Insufficiently Protected Credentials (CVE-2026-25774)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-07

Bejelentés dátuma: 2026.02.26.
Gyártó: Mobility46
Érintett rendszer(ek):
- Mobility46 mobility46.se minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-27028)/kritikus;
- Improper Restriction of Excessive Authentication Attempts (CVE-2026-26305)/súlyos;
- Insufficient Session Expiration (CVE-2026-27647)/súlyos;
- Insufficiently Protected Credentials (CVE-2026-22878)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-08

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A tegnapi napon jött szembe velem a hwsw.hu-n csütörtökön élesített írás Koi Tamás tollából "A Nagyi titka: SD-WAN" címmel, benne pedig egy rövid Yettel reklámfilmmel. A kisfilmben azt mutatják be, hogy használja egy malomipari cég a távközlési vállalat vonalaira épített SD-WAN megoldást a liszt előállítási folyamatában. Maga a hwsw.hu-s cikk és a reklámfilm sem tartalmaz elsőre észrevehető hibát - már ha az ember nem ICS/OT biztonsági szemmel nézi. Mert nekem azért van némi hiányérzetem. A cikk hívószavai jók (adathálózat, valós idejű minőségellenőrzés, prediktív karbantartás), ott igazán csak a jelzést hiányolom, hogy ez egy fizetett cikk (ha tévednék és ott van a megszokott (x), szóljatok, aki ismer, tudja, hogy készséggel el szoktam ismerni, ha tévedtem, de most sehol sem láttam ezt a jelet). Azonban a videó már elsőre megnézve is komoly hiányérzet fogott le. Szóba kerül az információbiztonság általános alapelv-hármasa (bizalmasság, sértetlenség, rendelkezésre állás), de sajnos szóba sem kerülnek a folyamatirányítási területen a CIA hármast messze überelő safety és reliability. Pedig pont a malomiparban a safety-nek két aspektusát is fontos lenne kiemelni, a malomipari dolgozók életének és testi épségének védelmét valamint a magával a termék biztonságát.

Az már csak a sors furcsa fintora, hogy egy ipari környezetekbe reklámozott SD-WAN megoldásról szóló reklámcikk alig 24 órával azután jelenik meg, hogy a szaksajtót elárasztották a Cisco Catalyst SD-WAN megoldásának sérülékenységéről szóló cikkek, amik szerint egy támadói csoport a két, most emlegetett sérülékenységből az egyiket (ami a CVSS szerint súlyos besorolást kapott, másik kritikusnak lett minősítve, a CVSS-szerint adható maximális 10.0 pontszámmal) 2023 óta aktívan használja ki. Félreértés ne essék, most nem a Cisco-t ekézem, hiszen az ő megoldásuk is csak egy ugyanolyan szoftver, mint bármelyik másik és ma már nincs nagy hálózati vagy hálózatbiztonsági megoldásokat gyártó cég, akiknek a termékeit ne érintenék gyakran (ha engem kérdez valaki, túl gyakran) súlyos sérülékenységek. Azonban arra mindenképp szeretném felhívni a figyelmet, hogy ha valaki a Yettel reklámjában említett módon szeretné digitalizálni az ipari folyamatirányítással támogatott folyamatait, azt lehetőség szerint tegye zárt, privát hálózatokon és ne publikus távközlési hálózatok használatával.

Bejelentés dátuma: 2026.02.09.
Gyártó: WAGO
Érintett rendszer(ek):
- WAGO 0852-1322-es eszközök 2.64-es és korábbi firmware-verziói;
- WAGO 0852-1328-as eszközök 2.64-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Cryptographic Key (CVE-2026-22906)/kritikus;
- Stack-based Buffer Overflow (CVE-2026-22904)/kritikus;
- Stack-based Buffer Overflow (CVE-2026-22903)/kritikus;
- Path Traversal (CVE-2026-22905)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2026-004/

Bejelentés dátuma: 2026.02.17.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- ASDA-Soft 7.2.0.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2026-1361)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-048-02

Bejelentés dátuma: 2026.02.17.
Gyártó: GE Vernova
Érintett rendszer(ek):
- Enervista UR Setup 8.70-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2026-1762)/súlyos;
- Path Traversal (CVE-2026-1763)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-048-03

Bejelentés dátuma: 2026.02.17.
Gyártó: Honeywell
Érintett rendszer(ek):
- Honeywell I-HIB2PI-UL 2MP IP CCTV rendszer 6.1.22.1216-os verziója;
- Honeywell SMB NDAA MVO-3 CCTV rendszer WDR_2MP_32M_PTZ_v2.0 verziója;
- Honeywell PTZ WDR 2MP 32M CCTV rendszer WDR_2MP_32M_PTZ_v2.0 verziója;
- Honeywell 25M IPC CCTV rendszer WDR_2MP_32M_PTZ_v2.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-1670)/kritikus;
Javítás: A gyártó a support weboldalának felkeresését javasolja a patch-elési lehetőségekkel kapcsolatban.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-048-04

Bejelentés dátuma: 2026.02.19.
Gyártó: EnOcean
Érintett rendszer(ek):
- EnOcean Edge Inc SmartServer IoT 4.60.009-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2026-20761)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-050-01

Bejelentés dátuma: 2026.02.19.
Gyártó: Valmet
Érintett rendszer(ek):
- Valmet DNA Engineering Web Tools C2022-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-15577)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-050-02

Bejelentés dátuma: 2026.02.19.
Gyártó: Jinan USR IOT Technology Limited
Érintett rendszer(ek):
- USR-W610 3.1.1.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Password Requirements (CVE-2026-25715)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2026-24455)/súlyos;
- Insufficiently Protected Credentials (CVE-2026-26049)/közepes;
- Missing Authentication for Critical Function (CVE-2026-26048)/súlyos;
Javítás: Nincs, a termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-050-03

Bejelentés dátuma: 2026.02.19.
Gyártó: Welker
Érintett rendszer(ek):
- Welker OdorEyes EcoSystem Pulse Bypass System with XL4 Controller minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-24790)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-050-04

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szerdán láttam a bejelentést, hogy a Virginia állami Nemzeti Gárda szervezésében idén július 25-e és augusztus 8-a között egy két hetes kiberbiztonsági gyakorlatot fognak tartani az USA villamosenergia- viziközmű és gázhálózati közműcégei számára. Az első héten számos (FERC, SANS és egyéb) bevezető szintű ICS/OT kiberbiztonsági képzést fognak tartani a résztvevő cégek munkatársai számára, a második hét pedig klasszikus Red Team-Blue Team gyakorlat lesz. Ráadásul a gyakorlat költségeit közpénzből finanszírozzák, így a résztvevőknek az utazási és szállásköltségeket kell fizetniük. Részleteket az esemény weboldalán lehet találni: https://va.ng.mil/Cyber-Fortress/

Erősen kíváncsi lennék, hogy a hazai döntéshozók mikor fognak végre felébredni és aktívan tenni a hazai kritikus infrastruktúrák védelméért (már azon túl, hogy auditorok járják az érintett cégeket és mindenféle ellenőrző listákat töltögetnek...)? A jó példákból lassan több is van, ahogy mind több olyan incidensről is tudunk, amik indokolnák, hogy végre magasabb sebességi fokozatba kapcsoljon a magyar állam és végre minőségi kiberbiztonsági programot indítson.

Bejelentés dátuma: 2026.02.04.
Gyártó: Moxa
Érintett rendszer(ek):
- TN-4500A sorozatú eszközök v4.1-es és korábbi firmware-verziói;
- TN-5500A sorozatú eszközök v4.1-es és korábbi firmware-verziói;
- TN-G4500 sorozatú eszközök v5.5-ös és korábbi firmware-verziói;
- TN-G6500 sorozatú eszközök v5.5-ös és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Security Through Obscurity (CVE-2024-12297)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2026.02.06.
Gyártó: Moxa
Érintett rendszer(ek):
- UC-1200A sorozatú eszközök v1.4-es és korábbi verziói;
- UC-2200A sorozatú eszközök v1.4-es és korábbi verziói;
- UC-3400A sorozatú eszközök v1.2-es és korábbi verziói;
- UC-4400A sorozatú eszközök v1.3-as és korábbi verziói;
- UC-8200 sorozatú eszközök v1.5-ös és korábbi verziói;
- V1200 sorozatú eszközök v1.2.0 és korábbi verziói;
- V2406C WL modellek v1.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2026-0714)/súlyos;
- Insufficiently Protected Credentials (CVE-2026-0715)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2026.02.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxureTM Building Operation Workstation minden, 7.0.3.2000 (CP1)-nél korábbi 7.0.x verziója;
- EcoStruxureTM Building Operation WebStation minden, 6.0.4.14001 (CP10)-nél korábbi 6.0.x verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2026-1227)/súlyos;
- Improper Control of Generation of Code (CVE-2026-1226)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2026.02.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS minden verziója;
- User Management Component (UMC) minden, V2.15.2.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2026-25655)/súlyos;
- Uncontrolled Search Path Element (CVE-2026-25656)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.02.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Polarion V2404 minden, V2404.5-nél korábbi verziója;
- Polarion V2410 minden, V2410.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2025-40587)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.02.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Desigo CC termékcsalád V6 minden verziója;
- Desigo CC termékcsalád V7 minden verziója;
- Desigo CC termékcsalád V8 minden, V8.0 QU2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-38545)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.02.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge mindne, V226.00 Update 03-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2025-40936)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.02.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Siveillance Video V2023 R1 minden, V23.1 HotfixRev18-nál korábbi verziója;
- Siveillance Video V2023 R2 minden, V23.2 HotfixRev18-nál korábbi verziója;
- Siveillance Video V2023 R3 minden, V23.3 HotfixRev23-nál korábbi verziója;
- Siveillance Video V2024 R1 minden, V24.1 HotfixRev14-nél korábbi verziója;
- Siveillance Video V2025 minden, V25.1 HotfixRev8-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authorization (CVE-2025-0836)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.02.10.
Gyártó: Siemens
Érintett rendszer(ek):
- NX minden, V2512-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2026-22923)/súlyos;
- Out-of-bounds Read (CVE-2026-22923)/súlyos;
- Out-of-bounds Read (CVE-2026-22925)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.02.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, V2512-nél korábbi verziói;
- Simcenter Nastran minden, V2512-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2026-23715)/súlyos;
- Out-of-bounds Read (CVE-2026-23716)/súlyos;
- Out-of-bounds Read (CVE-2026-23717)/súlyos;
- Out-of-bounds Read (CVE-2026-23718)/súlyos;
- Heap-based Buffer Overflow (CVE-2026-23719)/súlyos;
- Out-of-bounds Read (CVE-2026-23720)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2026.02.12.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- SuprOS 9.2.1 és korábbi verziói;
- SuprOS 9.2.2.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Default Credentials (CVE-2025-7740)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-043-09

Bejelentés dátuma: 2026.02.12.
Gyártó: Airleader
Érintett rendszer(ek):
- Airleader Master 6.381-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unrestricted Upload of File with Dangerous Type (CVE-2026-1358)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-043-10

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Oren Niskin még tavaly októberben publikálta a Webs of Deception című munkáját a SANS Reading Room-ban. Célja, ahogy a kutatási eredményeit bejelentő LinkedIn posztjában írja, az volt, hogy az ICS Cyber Kill Chain-re és a SANS ICS 515 (2., frissített változat) tanfolyamán elérhető labor ICS környezetre építve olyan detekciós módszertant és megoldást dolgozott ki, aminek alkalmazásával az ICS/OT rendszereket célzó támadókat még az előtt észlelni lehet, mielőtt elérnék a folyamatirányító rendszereket. Különösen fontos, hogy a Oren célja egy olyan megoldás kidolgozása volt, amit a kisméretű, ezért erősen korlátozott biztonsági erőforrásokkal rendelkező helyi közüzemi szolgáltatók is képesek lehetnek alkalmazni.

A Webs of Deception tanulmány SANS white paper-ök között érhető el: https://www.sans.org/white-papers/webs-deception-using-sans-ics-kill-chain-flip-advantage-defender

Bejelentés dátuma: 2026.01.27.
Gyártó: Festo
Érintett rendszer(ek):
- Windows 10-zel szállított Festo Didactic SE MES PC;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Buffer Over-read (CVE-2019-11036)/kritikus;
- Cross-site Scripting (CVE-2023-25727)/közepes;
- Improper Input Validation (CVE-2021-2011)/közepes;
- Improper Handling of Values (CVE-2022-32083)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-46668)/közepes;
- Argument Injection (CVE-2018-19518)/súlyos;
- Improper Input Validation (CVE-2021-2194)/közepes;
- Double Free (CVE-2019-11049)/kritikus;
- Classic Buffer Overflow (CVE-2022-31626)/súlyos;
- Improper Handling of Values (CVE-2022-32084)/súlyos;
- Improper Handling of Values (CVE-2022-32088)/súlyos;
- Use After Free (CVE-2022-27377)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2020-2922)/alacsony;
- Out-of-bounds Read (CVE-2019-9638)/súlyos;
- Improper Null Termination (CVE-2019-11044)/súlyos;
- Use After Free (CVE-2020-7068)/alacsony;
- Improper Input Validation (CVE-2020-7069)/közepes;
- Use After Free (CVE-2015-2301)/kritikus;
- Incorrect Calculation of Buffer Size (CVE-2023-0568)/súlyos;
- Use After Free (CVE-2022-27458)/súlyos;
- Path Traversal (CVE-2021-21706)/közepes;
- Reachable Assertion (CVE-2022-27452)/súlyos;
- Improper Input Validation (CVE-2020-7071)/közepes;
- Classic Buffer Overflow (CVE-2022-27387)/súlyos;
- Use After Free (CVE-2022-27376)/súlyos;
- Classic Buffer Overflow (CVE-2019-11043)/kritikus;
- Improper Input Validation (CVE-2021-2032/közepes;
- Improper Input Validation (CVE-2021-2007/alacsony;
- Improper Null Termination (CVE-2019-11045)/közepes;
- Improper Input Validation (CVE-2022-27445)/súlyos;
- Use After Free (CVE-2022-27457)/súlyos;
- SQL Injection (CVE-2022-27384)/súlyos;
- Cross-site Scripting (CVE-2022-23808)/közepes;
- Use of Password Hash With Insufficient Computational Effort (CVE-2023-0567)/közepes;
- Out-of-bounds Write (CVE-2019-9025)/kritikus;
- SQL Injection (CVE-2022-27379)/súlyos;
- Incorrect Privilege Assignment (CVE-2019-9637)/súlyos;
- Code Injection (CVE-2021-27928)/súlyos;
- Out-of-bounds Write (CVE-2021-21703)/súlyos;
- Improper Input Validation (CVE-2020-2760)/közepes;
- Improper Input Validation (CVE-2021-2166)/közepes;
- Use After Free (CVE-2015-2787)/kritikus;
- Improper Authentication (CVE-2022-23807)/közepes;
- Improper Input Validation (CVE-2020-2752)/közepes;
- Reachable Assertion (CVE-2021-46666)/közepes;
- Improper Input Validation (CVE-2020-2814)/közepes;
- Stack-based Buffer Overflow (CVE-2020-7065)/súlyos;
- Improper Input Validation (CVE-2021-21705)/közepes;
- NULL Pointer Dereference (CVE-2020-7062)/súlyos;
- Out-of-bounds Read (CVE-2019-11039)/kritikus;
- Out-of-bounds Read (CVE-2019-11035)/kritikus;
- Use After Free (CVE-2022-27447)/súlyos;
- Out-of-bounds Read (CVE-2019-11046)/közepes;
- Reachable Assertion (CVE-2022-27446)/súlyos;
- SQL Injection (CVE-2022-27386)/súlyos;
- Missing Initialization of Resource (CVE-2019-9639)/súlyos;
- Out-of-bounds Read (CVE-2019-11042)/súlyos;
- SQL Injection (CVE-2022-27385)/súlyos;
- Out-of-bounds Read (CVE-2020-7059)/kritikus;
- Improper Input Validation (CVE-2020-7070)/közepes;
- Use After Free (CVE-2022-32091)/súlyos;
- Null Byte Interaction Error (Poison Null Byte) (CVE-2015-2348)/kritikus;
- Out-of-bounds Read (CVE-2019-9020)/kritikus;
- Improper Input Validation (CVE-2021-35604)/közepes;
- SQL Injection (CVE-2022-27444)/súlyos;
- Out-of-bounds Read (CVE-2018-14883)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2014-9705)/kritikus;
- Out-of-bounds Read (CVE-2020-7064)/közepes;
- Reachable Assertion (CVE-2022-27382)/súlyos;
- Improper Preservation of Permissions (CVE-2020-7063)/közepes;
- Improper Input Validation (CVE-2021-2372)/közepes;
- Out-of-bounds Read (CVE-2019-9021)/kritikus;
- Out-of-bounds Read (CVE-2018-14851)/közepes;
- Reachable Assertion (CVE-2022-27448)/súlyos;
- Improper Input Validation (CVE-2021-46663)/közepes;
- Improper Input Validation (CVE-2021-2180)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2014-9709)/kritikus;
- HTTP Request/Response Smuggling (CVE-2023-25690)/kritikus;
- Reachable Assertion (CVE-2022-32082)/súlyos;
- Improper Input Validation (CVE-2022-31629)/közepes;
- Out-of-bounds Read (CVE-2019-9022)/súlyos;
- Integer Overflow or Wraparound (CVE-2016-3078)/kritikus;
- Uncontrolled Resource Consumption (CVE-2023-0662)/súlyos;
- Improper Input Validation (CVE-2021-2022)/közepes;
- Improper Handling of Values (CVE-2022-32089)/súlyos;
- Uncontrolled Resource Consumption (CVE-2019-11048)/közepes;
- Use After Free (CVE-2021-46669)/súlyos;
- Out-of-bounds Read (CVE-2019-11047)/közepes;
- Use After Free (CVE-2022-27383)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-46667)/közepes;
- Improper Handling of Values (CVE-2022-32087)/súlyos;
- HTTP Request/Response Smuggling (CVE-2022-36760)/kritikus;
- Out-of-bounds Read (CVE-2020-7060)/kritikus;
- Cross-site Scripting (CVE-2018-17082)/közepes;
- Out-of-bounds Read (CVE-2019-9640)/súlyos;
- Improper Input Validation (CVE-2021-46661)/közepes;
- Out-of-bounds Read (CVE-2019-11034)/kritikus;
- Use After Free (CVE-2022-27456)/súlyos;
- Out-of-bounds Read (CVE-2020-7061)/kritikus;
- Use After Free (CVE-2022-27455)/súlyos;
- Improper Input Validation (CVE-2021-2144)/súlyos;
- Improper Input Validation (CVE-2021-2154)/közepes;
- Improper Input Validation (CVE-2022-21595)/közepes;
- Out-of-bounds Read (CVE-2019-11040)/kritikus;
- Improper Input Validation (CVE-2021-2389)/közepes;
- HTTP Request/Response Smuggling (CVE-2023-27522)/súlyos;
- Improper Input Validation (CVE-2020-2812)/közepes;
- Improper Input Validation (CVE-2021-46665)/közepes;
- Improper Handling of Values (CVE-2022-32086)/súlyos;
- Improper Handling of Values (CVE-2022-32085)/súlyos;
- Out-of-bounds Read (CVE-2021-21704)/közepes;
- Improper Null Termination (CVE-2020-7066)/közepes;
- Uncontrolled Recursion (CVE-2022-31628)/közepes;
- Improper Input Validation (CVE-2021-46662)/közepes;
- Open Redirect (CVE-2016-5385)/súlyos;
- HTTP Request/Response Splitting (CVE-2022-37436)/közepes;
- Injection (CVE-2013-6501)/súlyos;
- NULL Pointer Dereference (CVE-2021-21702)/súlyos;
- Out-of-bounds Read (CVE-2019-9024)/súlyos;
- Out-of-bounds Read (CVE-2019-9023)/kritikus;
- Reachable Assertion (CVE-2022-27449)/súlyos;
- NULL Pointer Dereference (CVE-2021-46664)/közepes;
- Out-of-bounds Read (CVE-2019-11050)/közepes;
- Use After Free (CVE-2021-21708)/kritikus;
- Free of Memory not on the Heap (CVE-2022-31625)/súlyos;
- Use After Free (CVE-2022-32081)/súlyos;
- SQL Injection (CVE-2022-27378)/súlyos;
- Out-of-bounds Write (CVE-2006-20001)/súlyos;
- NULL Pointer Dereference (CVE-2018-19935)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-4900)/közepes;
- Use After Free (CVE-2018-12882)/kritikus;
- Use of Uninitialized Resource (CVE-2019-9641)/kritikus;
- SQL Injection (CVE-2022-27380)/súlyos;
- SQL Injection (CVE-2022-27381)/súlyos;
- Improper Handling of Invalid Use of Special Elements (CVE-2021-21707)/közepes;
- Improper Use of Validation Framework (CVE-2022-27451)/súlyos;
- Uncontrolled Resource Consumption (CVE-2020-2780)/közepes;
- Out-of-bounds Read (CVE-2019-11041)/súlyos;
- Improper Input Validation (CVE-2021-2174)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-02

Bejelentés dátuma: 2026.02.03.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- FREQSHIP-mini for Windows 8.0.0 és újabb, de 8.0.2 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Default Permissions (CVE-2025-10314)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-034-01

Bejelentés dátuma: 2026.02.03.
Gyártó: Avation
Érintett rendszer(ek):
- Avation Light Engine Pro minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-1341)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-034-02

Bejelentés dátuma: 2026.02.03.
Gyártó: RISS SRL
Érintett rendszer(ek):
- RISS SRL MOMA Seismic Station v2.4.2520-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-1632)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-034-03

Bejelentés dátuma: 2026.02.03.
Gyártó: Synectix
Érintett rendszer(ek):
- Synectix LAN 232 TRIO minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-1633)/kritikus;
Javítás: Nincs, a termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-034-04

Bejelentés dátuma: 2026.02.05.
Gyártó: TP-Link
Érintett rendszer(ek):
- TP-Link Systems Inc. VIGI Cx45 C345 és C445 modellek 3.1.0_Build_250820_Rel.57668n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx55 C355 és C455 modellek 3.1.0_Build_250820_Rel.57668n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx85 C385 és C485 modellek 3.0.2_Build_250630_Rel.71279n és korábbi verziói;
- TP-Link Systems Inc. VIGI C340S sorozatú eszközök 3.1.0_Build_250625_Rel.65381n és korábbi verziói;
- TP-Link Systems Inc. VIGI C540S C540S és EasyCam C540S modellek 3.1.0_Build_250625_Rel.66601n és korábbi verziói;
- TP-Link Systems Inc. VIGI C540V sorozatú eszközök 2.1.0_Build_250702_Rel.54300n és korábbi verziói;
- TP-Link Systems Inc. VIGI C250 sorozatú eszközök 2.1.0_Build_250702_Rel.54301n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx50 C350 és C450 modellek 2.1.0_Build_250702_Rel.54294n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx20I (1.0) C220I 1.0, C320I 1.0 és C420I 1.0 2.1.0_Build_251014_Rel.58331n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx20I (1.20) C220I 1.20, C320I 1.20, C420I 1.20 2.1.0_Build_250701_Rel.44071n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx30I (1.0) C230I 1.0, C330I 1.0, C430I 1.0 2.1.0_Build_250701_Rel.45506n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx30I (1.20) C230I 1.20, C330I 1.20, C430I 1.20 2.1.0_Build_250701_Rel.44555n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx30 (1.0) C230 1.0, C330 1.0, C430 1.0 2.1.0_Build_250701_Rel.46796n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx30 (1.20) C230 1.20, C330 1.20, C430 1.20 2.1.0_Build_250701_Rel.46796n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx40I (1.0) C240I 1.0, C340I 1.0, C440I 1.0 2.1.0_Build_250701_Rel.46003n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx40I (1.20) C240I 1.20, C340I 1.20, C440I 1.20 2.1.0_Build_250701_Rel.45041n és korábbi verziói;
- TP-Link Systems Inc. VIGI C230I Mini 2.1.0_Build_250701_Rel.47570n és korábbi verziói;
- TP-Link Systems Inc. VIGI C240 1.0 2.1.0_Build_250701_Rel.48425n és korábbi verziói;
- TP-Link Systems Inc. VIGI C340 2.0 2.1.0_Build_250701_Rel.49304n és korábbi verziói;
- TP-Link Systems Inc. VIGI C440 2.0 2.1.0_Build_250701_Rel.49778n és korábbi verziói;
- TP-Link Systems Inc. VIGI C540 2.0 2.1.0_Build_250701_Rel.50397n és korábbi verziói;
- TP-Link Systems Inc. VIGI C540-4G 2.2.0_Build_250826_Rel.56808n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx40-W C340‑W 2.0/2.20, C440‑W 2.0, C540‑W 2.0 2.1.1_Build_250717 és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx20 C320, C420 2.1.0_Build_250701_Rel.39597n és korábbi verziói;
- TP-Link Systems Inc. VIGI InSight Sx45 S245, S345, S445 3.1.0_Build_250820_Rel.57668n és korábbi verziói;
- TP-Link Systems Inc. VIGI InSight Sx55 S355, S455 3.1.0_Build_250820_Rel.58873n és korábbi verziói;
- TP-Link Systems Inc. VIGI InSight Sx85 S285, S385 3.0.2_Build_250630_Rel.71279n és korábbi verziói;
- TP-Link Systems Inc. VIGI InSight Sx45ZI S245ZI, S345ZI, S445ZI 1.2.0_Build_250820_Rel.60930n és korábbi verziói;
- TP-Link Systems Inc. VIGI InSight Sx85PI S385PI, S485PI 1.2.0_Build_250827_Rel.66817n és korábbi verziói;
- TP-Link Systems Inc. VIGI InSight S655I 1.1.1_Build_250625_Rel.64224n és korábbi verziói;
- TP-Link Systems Inc. VIGI InSight S345-4G 2.1.0_Build_250725_Rel.36867n és korábbi verziói;
- TP-Link Systems Inc. VIGI InSight Sx25 S225, S325, S425 1.1.0_Build_250630_Rel.39597n és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2026-0629)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-036-01

Bejelentés dátuma: 2026.02.05.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- Mitsubishi Electric MELSEC iQ-R sorozatú R08/16/32/120PCPU eszközök 48-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Specified Quantity in Input (CVE-2025-15080)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-036-02

Bejelentés dátuma: 2026.02.05.
Gyártó: o6 Automation GmbH
Érintett rendszer(ek):
- Open62541 1.5-rc1-nél újabb ,de 1.5-rc2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2026-1301)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-036-03

Bejelentés dátuma: 2026.02.05.
Gyártó: Ilevia
Érintett rendszer(ek):
- Ilevia EVE X1 Server 4.7.18.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-34185)/súlyos;
- OS Command Injection (CVE-2025-34184)/kritikus;
- Insertion of Sensitive Information into Log File (CVE-2025-34183)/kritikus;
- OS Command Injection (CVE-2025-34186)/kritikus;
- OS Command Injection (CVE-2025-34187)/kritikus;
- Path Traversal (CVE-2025-34517)/súlyos;
- Path Traversal (CVE-2025-34518)/súlyos;
- Cross-site Scripting (CVE-2025-34512)/közepes;
- OS Command Injection (CVE-2025-34513)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-036-04

Bejelentés dátuma: 2026.02.05.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- XMC20 R18-as, R17A és korábbi verziói;
- FOX61x R18-as, R17A és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Enforcement of Message Integrity During Transmission in a Communication Channel (CVE-2024-3596)/kritikus;
Javítás: Elérhető
Linkek a publikációkhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-036-05, https://www.cisa.gov/news-events/ics-advisories/icsa-26-036-06

Bejelentés dátuma: 2026.02.10.
Gyártó: Yokogawa
Érintett rendszer(ek):
- Yokogawa FAST/TOOLS R9.01 és újabb, R10.04-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Generation of Error Message Containing Sensitive Information (CVE-2025-66594)/közepes;
- Cross-Site Request Forgery (CSRF) (CVE-2025-66595)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2025-66597)/súlyos;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2025-66598)/súlyos;
- Exposure of Sensitive System Information to an Unauthorized Control Sphere (CVE-2025-66599)/közepes;
- Improperly Implemented Security Check for Standard (CVE-2025-66600)/súlyos;
- Improperly Implemented Security Check for Standard (CVE-2025-66601)/közepes;
- Reliance on IP Address for Authentication (CVE-2025-66602)/közepes;
- Improperly Implemented Security Check for Standard (CVE-2025-66603)/alacsony;
- Cleartext Transmission of Sensitive Information (CVE-2025-66604)/alacsony;
- Exposure of Private Personal Information to an Unauthorized Actor (CVE-2025-66605)/alacsony;
- Improper Neutralization of Invalid Characters in Identifiers in Web Pages (CVE-2025-66606)/alacsony;
- Improperly Implemented Security Check for Standard (CVE-2025-66607)/alacsony;
- Path Traversal (CVE-2025-66608)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-041-01

Bejelentés dátuma: 2026.02.10.
Gyártó: ZLAN Information Technology Co.
Érintett rendszer(ek):
- ZLAN5143D v1.600 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-25084)/kritikus;
- Missing Authentication for Critical Function (CVE-2026-24789)/kritikus;
Javítás: Nincs információ.
Linkek a publikációkhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-041-02

Bejelentés dátuma: 2026.02.10.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA PI Data Archive PI Server 2018_SP3_Patch_7-es és korábbi verziói;
- AVEVA PI Data Archive PI Server 2023 verziója;
- AVEVA PI Data Archive PI Server 2023_Patch_1 verziója;
- AVEVA PI Data Archive PI Server 2024 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncaught Exception (CVE-2026-1507)/súlyos;
Javítás: Elérhető
Linkek a publikációkhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-041-03

Bejelentés dátuma: 2026.02.10.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA PI to CONNECT Agent v2.4.2520-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insertion of Sensitive Information into Log File (CVE-2026-1495)/közepes;
Javítás: Elérhető
Linkek a publikációkhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-041-04

Bejelentés dátuma: 2026.02.10.
Gyártó: ZOLL
Érintett rendszer(ek):
- ZOLL ePCR IOS mobil alkalmazás 2.6.7-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insertion of Sensitive Information into Externally-Accessible File or Directory (CVE-2025-12699)/közepes;
Javítás: Nincs, a termék támogatása megszűnt.
Linkek a publikációkhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-26-041-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Dragos által Bauxite-nak nevezett APT-csoport az elemzők szerint legalább is részleges átfedésben lehet az iráni kötődésű CyberAv3ngers csoporttal. A Bauxite jellemzően publikusan elérhető exploitokat és a Kali Linux-ban is elérhető eszközöket használja, ezeket felhasználva azonban képesek az ICS Cyber Kill Chain második szintjéhez tartozó tevékenységeket végrehajtani és sikeres támadásokat végrehajtani PLC-k ellen valamint egyedi backdoor-okat telepíteni különböző OT eszközökben. A Bauxite csoportról további részleteket a Dragos cikkében lehet olvasni: https://www.dragos.com/threat/bauxite/

Bejelentés dátuma: 2026.01.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Process Expert minden, 2025-nélk korábbi verziója;
- EcoStruxure™ Process Expert for AVEVA System Platform minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Default Permissions (CVE-2025-13905)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2026.01.20.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- HMISCU vezérlők;
- Modicon LMC078vezérlők;
- Modicon M241 vezérlők;
- Modicon M251 vezérlők;
- Modicon M262 vezérlők;
- Modicon M258 vezérlők;
- Modicon LMC058 vezérlők;
- Modicon M218 vezérlők;
- PacDrive 3 vezérlők;
- EcoStruxure Machine Expert-be beágyazott SoftSPS;
- EcoStruxure Machine Expert-be beágyazott Vijeo Designer;
- Harmony (korábban Magelis) HMIGK/HMIGTO/HMIGTU/HMIGTUX/HMISTU sorozatok;
- Easy Harmony HMIET6/HMIFT6 Magelis HMIGXU sorozatok;
- HMISCU vezérlők;
- Modicon M241 vezérlők;
- Modicon M251 vezérlők;
- Modicon M262 vezérlők;
- PacDrive 3 vezérlők: LMC Eco/Pro/Pro2;
- Harmony (korábban Magelis) HMIGK/HMIGTO/HMIGTU/HMIGTUX/HMISTU sorozatú eszközök Vijeo Designer runtime-mal használt iPC sorozatai;
- Vijeo Designer Basic;
- Harmony iPC sorozatok;
- Magelis XBT sorozatok;
- Easy Modicon M310;
- Harmony P6 sorozatok;
- Vijeo Designer runtime;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-4046)/súlyos;
- Improper Validation of Integrity Check Value (CVE-2023-28355)/közepes;
- Improper Validation of Consistency within Input (CVE-2022-47378)/közepes;
- Out-of-bounds Write (CVE-2022-47379)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47380)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47381)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47382)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47383)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47384)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47386)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47387)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47388)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47389)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47390)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47385)/súlyos;
- Improper Validation of Consistency within Input (CVE-2022-47392)/közepes;
- Untrusted Pointer Dereference (CVE-2022-47393)/közepes;
- Improper Validation of Consistency within Input (CVE-2022-47391)/súlyos;
- Improper Input Validation (CVE-2023-37545)/közepes;
- Improper Input Validation (CVE-2023-37546)/közepes;
- Improper Input Validation (CVE-2023-37547)/közepes;
- Improper Input Validation (CVE-2023-37548)/közepes;
- Improper Input Validation (CVE-2023-37549)/közepes;
- Improper Input Validation (CVE-2023-37550)/közepes;
- Files or Directories Accessible to External Parties (CVE-2023-37551)/közepes;
- Improper Input Validation (CVE-2023-37552)/közepes;
- Improper Input Validation (CVE-2023-37553)/közepes;
- Improper Input Validation (CVE-2023-37554)/közepes;
- Improper Input Validation (CVE-2023-37555)/közepes;
- Improper Input Validation (CVE-2023-37556)/közepes;
- Out-of-bounds Write (CVE-2023-37557)/közepes;
- Improper Input Validation (CVE-2023-37558)/közepes;
- Improper Input Validation (CVE-2023-37559)/közepes;
- Uncontrolled Search Path Element (CVE-2023-3662)/közepes;
- Improper Enforcement of Message Integrity During Transmission in a Communication Channel (CVE-2023-3663)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2023-3669)/alacsony;
- Exposure of Resource to Wrong Sphere (CVE-2023-3670)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-020-02

Bejelentés dátuma: 2026.01.20.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Rockwell Automation Verve Asset Manager 1.33-as verziója;
- Rockwell Automation Verve Asset Manager 1.34-es verziója;
- Rockwell Automation Verve Asset Manager 1.35-ös verziója;
- Rockwell Automation Verve Asset Manager 1.36-os verziója;
- Rockwell Automation Verve Asset Manager 1.37-es verziója;
- Rockwell Automation Verve Asset Manager 1.38-as verziója;
- Rockwell Automation Verve Asset Manager 1.39-es verziója;
- Rockwell Automation Verve Asset Manager 1.40-es verziója;
- Rockwell Automation Verve Asset Manager 1.41-es verziója;
- Rockwell Automation Verve Asset Manager 1.41.1-es verziója;
- Rockwell Automation Verve Asset Manager 1.41.2-es verziója;
- Rockwell Automation Verve Asset Manager 1.41.3-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insecure Storage of Sensitive Information (CVE-2025-14376)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2025-14377)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-020-03

Bejelentés dátuma: 2026.01.21.
Gyártó: Belden
Érintett rendszer(ek):
- NetModule Connectivity Suite 3.7.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Information Exposure (CVE-2025-14847)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Belden

Bejelentés dátuma: 2026.01.22.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- AutomationDirect CLICK Programmable Logic Controller C0-0x verziója;
- AutomationDirect CLICK Programmable Logic Controller C0-1x verziója;
- AutomationDirect CLICK Programmable Logic Controller C2-x verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Encoding for Password (CVE-2025-67652)/közepes;
- Plaintext Storage of a Password (CVE-2025-25051)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-02

Bejelentés dátuma: 2026.01.22.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Rockwell Automation CompactLogix 5370 34.013-as és korábbi verziói;
- Rockwell Automation CompactLogix 5370 35.012-es és korábbi verziói;
- Rockwell Automation CompactLogix 5370 36.011-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Specified Quantity in Input (CVE-2025-11743)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-03

Bejelentés dátuma: 2026.01.22.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Johnson Controls Inc. iSTAR Configuration Utility (ICU) tool 6.9.7-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2025-26386)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-04

Bejelentés dátuma: 2026.01.22.
Gyártó: Weintek
Érintett rendszer(ek):
- Weintek cMT3072XH 20200630-nál újabb, de 20241112-nél korábbi verziói;
- Weintek cMT3072XH(T) 20200630-nál újabb, de 20241112-nél korábbi verziói;
- Weintek cMT-SVRX-820 20220413-nál újabb, de 20240919-nél korábbi verziói;
- Weintek cMT-CTRL01 20230308-nál újabb, de 20250827-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- External Control of Assumed-Immutable Web Parameter (CVE-2025-14750)/súlyos;
- Unverified Password Change (CVE-2025-14751)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-05

Bejelentés dátuma: 2026.01.22.
Gyártó: Hubitat
Érintett rendszer(ek):
- Hubitat Elevation C3 2.4.2.157-nél korábbi firmware-verziói;
- Hubitat Elevation C4 2.4.2.157-nél korábbi firmware-verziói;
- Hubitat Elevation C5 2.4.2.157-nél korábbi firmware-verziói;
- Hubitat Elevation C7 2.4.2.157-nél korábbi firmware-verziói;
- Hubitat Elevation C8 2.4.2.157-nél korábbi firmware-verziói;
- Hubitat Elevation C8 pro 2.4.2.157-nél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authorization Bypass Through User-Controlled Key (CVE-2026-1201)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-06

Bejelentés dátuma: 2026.01.22.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- Delta Electronics DIAView 4.2.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2026-0975)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-07

Bejelentés dátuma: 2026.01.22.
Gyártó: EVMAPA
Érintett rendszer(ek):
- EVMAPA töltőállomások minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-54816)/kritikus;
- Improper Restriction of Excessive Authentication Attempts (CVE-2025-53968)/súlyos;
- Insufficient Session Expiration (CVE-2025-55705)/súlyos;
Javítás: Részben javításra került.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-08

Bejelentés dátuma: 2026.01.27.
Gyártó: iba Systems
Érintett rendszer(ek):
- iba Systems ibaPDA 8.12.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2025-14988)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-01

Bejelentés dátuma: 2026.01.27.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric Zigbee termékek Wiser iTRV2 verziója;
- Schneider Electric Zigbee termékek Wiser iTRV3 verziója;
- Schneider Electric Zigbee termékek Wiser RTR2 verziója;
- Schneider Electric Zigbee termékek Wiser UFH verziója;
- Schneider Electric Zigbee termékek Wiser 16A Electrical Heat Switch verziója;
- Schneider Electric Zigbee termékek Wiser Boiler Relay verziója;
- Schneider Electric Zigbee termékek Exxact cFMT 16a verziója;
- Schneider Electric Zigbee termékek Elko cFMT 16a verziója;
- Schneider Electric Zigbee termékek Odace cFMT 2a verziója;
- Schneider Electric Zigbee termékek Merten cFMT 16a verziója;
- Schneider Electric Zigbee termékek Merten cFMT 2a verziója;
- Schneider Electric Zigbee termékek Wiser Power Micromodule verziója;
- Schneider Electric Zigbee termékek Wiser FIP Micromodule verziója;
- Schneider Electric Zigbee termékek Iconic, Wiser Connected Smart Dimmer verziója;
- Schneider Electric Zigbee termékek Iconic, Wiser Connected Smart Switch, 2AX verziója;
- Schneider Electric Zigbee termékek Iconic, Wiser Connected Smart Switch, 10AX verziója;
- Schneider Electric Zigbee termékek Iconic, Connected AC Fan Controller verziója;
- Schneider Electric Zigbee termékek Iconic, Connected Smart Socket verziója;
- Schneider Electric Zigbee termékek Wiser Connected Application Module 1-Gang verziója;
- Schneider Electric Zigbee termékek Wiser Connected Application Module 2-Gang verziója;
- Schneider Electric Zigbee termékek Wiser Connected Push Button Dimmer verziója;
- Schneider Electric Zigbee termékek Wiser Connected Push Button Switch verziója;
- Schneider Electric Zigbee termékek Wiser Connected Push Button Shutter verziója;
- Schneider Electric Zigbee termékek Wiser Connected Motion Dimmer verziója;
- Schneider Electric Zigbee termékek Wiser Connected Motion Switch verziója;
- Schneider Electric Zigbee termékek Wiser Connected Rotary Dimmer verziója;
- Schneider Electric Zigbee termékek Connected Wireless Switch verziója;
- Schneider Electric Zigbee termékek Micromodule Switch verziója;
- Schneider Electric Zigbee termékek Micromodule Dimmer verziója;
- Schneider Electric Zigbee termékek Micromodule Shutter verziója;
- Schneider Electric Zigbee termékek Connected Single Socket Outlet verziója;
- Schneider Electric Zigbee termékek Connected Double Socket Outlet verziója;
- Schneider Electric Zigbee termékek Fuga Connected Socket Outlet verziója;
- Schneider Electric Zigbee termékek Mureva EV Link verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2024-6350)/közepes;
- Classic Buffer Overflow (CVE-2024-6351)/közepes;
- Classic Buffer Overflow (CVE-2024-6352)/közepes;
- Classic Buffer Overflow (CVE-2024-10106)/alacsony;
- Uncontrolled Resource Consumption (CVE-2024-7322)/közepes;
Javítás: Nincs a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-03

Bejelentés dátuma: 2026.01.27.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Metasys Application and Data Server (ADS) 14.1-es és korábbi verziói;
- Metasys Extended Application and Data Server (ADX) 14.1-es verziója;
- Metasys LCS8500 12.0 és újabb verziói, 14.1-el bezárólag;
- Metasys NAE8500 12.0 és újabb verziói, 14.1-el bezárólag;
- Metasys System Configuration Tool (SCT) 17.1-es és korábbi verziói;
- Metasys Controller Configuration Tool (CCT) 17.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2025-26385)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-04

Bejelentés dátuma: 2026.01.28.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM RST2428P (6GK6242-6PA00) minden, V3.3-nál korábbi verziója;
- SCALANCE XCH328 (6GK5328-4TS01-2EC2) minden, V3.3-nál korábbi verziója;
- SCALANCE XCM324 (6GK5324-8TS01-2AC2) minden, V3.3-nál korábbi verziója;
- SCALANCE XCM328 (6GK5328-4TS01-2AC2) minden, V3.3-nál korábbi verziója;
- SCALANCE XCM332 (6GK5332-0GA01-2AC2) minden, V3.3-nál korábbi verziója;
- SCALANCE XRH334 (24 V DC, 8xFO, CC) (6GK5334-2TS01-2ER3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (2x230 V AC, 8xFO) (6GK5334-2TS01-4AR3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (2x230 V AC, 12xFO) (6GK5334-3TS01-4AR3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (2x230V AC, 2x10G, 24xSFP, 8xSFP+) (6GK5334-5TS01-4AR3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (24 V DC, 8xFO) (6GK5334-2TS01-2AR3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (24 V DC, 12xFO) (6GK5334-3TS01-2AR3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (24V DC, 2x10G, 24xSFP, 8xSFP+) (6GK5334-5TS01-2AR3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (230 V AC, 8xFO) (6GK5334-2TS01-3AR3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (230 V AC, 12xFO) (6GK5334-3TS01-3AR3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (230V AC, 2x10G, 24xSFP, 8xSFP+) (6GK5334-5TS01-3AR3) minden, V3.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-48174)/súlyos;
- Double Free (CVE-2023-7256)/közepes;
- Improper Input Validation (CVE-2023-39810)/közepes;
- Use After Free (CVE-2023-42363)/közepes;
- Use After Free (CVE-2023-42364)/közepes;
- Use After Free (CVE-2023-42365)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-42366)/közepes;
- Free of Memory not on the Heap (CVE-2024-6197)/súlyos;
- Buffer Over-read (CVE-2024-6874)/alacsony;
- Out-of-bounds Read (CVE-2024-7264)/alacsony;
- NULL Pointer Dereference (CVE-2024-8006)/közepes;
- Improper Certificate Validation (CVE-2024-8096)/közepes;
- Incorrect Comparison (CVE-2024-9681)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2024-11053)/alacsony;
- Path Traversal (CVE-2024-12718)/közepes;
- Improper Certificate Validation (CVE-2024-41996)/súlyos;
- Improper Certificate Validation (CVE-2024-47619)/súlyos;
- Out-of-bounds Write (CVE-2024-52533)/kritikus;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2025-0167)/alacsony;
- Multiple Releases of Same Resource or Handle (CVE-2025-0665)/súlyos;
- Integer Overflow to Buffer Overflow (CVE-2025-0725)/súlyos;
- Improper Access Control (CVE-2025-1390)/közepes;
- Integer Overflow or Wraparound (CVE-2025-3360)/alacsony;
- Path Traversal (CVE-2025-4138)/súlyos;
- Path Traversal (CVE-2025-4330)/súlyos;
- Buffer Underflow (CVE-2025-4373)/közepes;
- Incorrect Calculation (CVE-2025-4435)/súlyos;
- Use After Free (CVE-2025-4516)/közepes;
- Path Traversal (CVE-2025-4517)/kritikus;
- Stack-based Buffer Overflow (CVE-2025-6141)/alacsony;
- Out-of-bounds Read (CVE-2025-9086)/súlyos;
- Out-of-bounds Write (CVE-2025-9230)/közepes;
- Covert Timing Channel (CVE-2025-9231)/közepes;
- Out-of-bounds Read (CVE-2025-9232)/közepes;
- Generation of Predictable Numbers or Identifiers (CVE-2025-10148)/közepes;
- Covert Timing Channel (CVE-2025-27587)/közepes;
- Missing Authentication for Critical Function (CVE-2025-32433)/kritikus;
- Improper Input Validation (CVE-2025-38084)/súlyos;
- Improper Input Validation (CVE-2025-38085)/közepes;
- Improper Input Validation (CVE-2025-38086)/súlyos;
- Improper Input Validation (CVE-2025-38345)/közepes;
- Improper Input Validation (CVE-2025-38350)/súlyos;
- Improper Input Validation (CVE-2025-38498)/súlyos;
- Improper Input Validation (CVE-2025-39839)/közepes;
- Improper Input Validation (CVE-2025-39841)/súlyos;
- Improper Input Validation (CVE-2025-39846)/közepes;
- Improper Input Validation (CVE-2025-39853)/közepes;
- Improper Input Validation (CVE-2025-39860)/súlyos;
- Improper Input Validation (CVE-2025-39864)/súlyos;
- Improper Input Validation (CVE-2025-39865)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2025-59375)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2026.01.29.
Gyártó: KiloView
Érintett rendszer(ek):
- KiloView Encoder Series E1 hardware Version 1.4 4.7.2516-os verziója;
- KiloView Encoder Series E1 hardware Version 1.6.20 4.7.2511-es, 4.8.2523-as, 4.8.2611-es, 4.6.2400-as, 4.7.2512-es, 4.8.2561-es, 4.8.2554-es, 4.3.2029-es, 4.8.2555-ös és 4.6.2408-as verziói;
- KiloView Encoder Series E1-s hardware Version 1.4 4.7.2516-os, 4.8.2519-es, 4.8.2525-ös, 4.8.2611-es, 4.8.2561-es, 4.8.2554-es és 4.8.2523-as verziói;
- KiloView Encoder Series E2 hardware Version 1.7.20 4.8.2611-es és 4.8.2561-es verziói;
- KiloView Encoder Series E2 hardware Version 1.8.20 4.8.2523-as, 4.8.2611-es és 4.8.2554-es verziói;
- KiloView Encoder Series G1 hardware Version 1.6.20 4.8.2561-es verziója;
- KiloView Encoder Series P1 hardware Version 1.3.20 4.8.2633-as és 4.8.2608-as verziói;
- KiloView Encoder Series P2 hardware Version 1.8.20 4.8.2633-as verziója;
- KiloView Encoder Series RE1 hardware Version 2.0.00 4.7.2513-as verziója;
- KiloView Encoder Series RE1 hardware Version 3.0.00 4.8.2519-es, 4.8.2561-es, 4.8.2611-es és 4.8.2525-ös verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-1453)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-029-01

Bejelentés dátuma: 2026.01.29.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Rockwell Automation ArmorStart LT 290D V2.002-es és korábbi verziói;
- Rockwell Automation ArmorStart LT 291D V2.002-es és korábbi verziói;
- Rockwell Automation ArmorStart LT 294D V2.002-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2025-9464)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-9465)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-9466)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-9278)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-9279)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-9280)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-9281)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-9282)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-9283)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-029-02

Bejelentés dátuma: 2026.01.29.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Rockwell Automation ControlLogix Redundancy Enhanced Module Catalog 1756-RM2 minden firmware-verziója;
- Rockwell Automation ControlLogix Redundancy Enhanced Module Catalog 1756-RM2XT minden firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Release of Memory after Effective Lifetime (CVE-2025-14027)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-029-03

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.