Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Proaktív OT incidenskezelés

2024. május 25. - icscybersec

Nemrég találkoztam Chris Sistrunk egy 2023-as előadásával, ami a proaktív OT incidenskezelés megközelítését mutatta be a tavalyi Houston Security Conference-en (HOUSSECCON).

Az előadásban Chris érinti az IT és OT környezetekben végzett incidenskezelés hasonlóságait és különbségeit, az OT környezeteknél szükséges egyedi megközelítéseket és azokat a proaktív lépéseket, amik segítenek hatékonyabbá tenni az incidensek elhárítását.

Ami igazán érdekes volt ebben az előadásban, az a 99(%)-os elmélet, ami arról szól, hogy:

- Az OT környezetekben kompromittált rendszerek 99 %-a tulajdonképpen IT rendszer;
- Az OT környezetekben talált malware-ek 99 %-a IT malware ("hagyományos" ransomware vagy más, IT rendszerekre tervezett és írt malware);
- Az OT környezetekben végzett forensics vizsgálatok 99 %-a IT rendszereken végzett tevékenység lesz;
- Az incidens észlelésének lehetősége 99 %-ban az IT komponenseken fog rendelkezésre állni;
- A kompromittálástól az észlelési eltelt idő 99 %-át a támadók az OT környezetben üzemelő IT komponenseken fogják tölteni;

Chris Sistrunk szerint ebből következik, hogy a valóban ICS rendszerek elleni támadások (vagyis azok, ahol PLC-ket, RTU-kat, más, Purdue-modell szerint L1 és L0 eszközöket célzó támadások) csak az incidensek 1 %-át teszik ki.

Mit jelent ez azok számára, akiknek ICS/OT incidenskezelési tervet kell készíteniük?

Elsőként én azt javaslom, hogy tanulmányozzák Chris előadásának diáit, amik a SlideShare-en érhetőek el.

Az pedig már az én véleményem, hogy tessék szépen egy vegyes, OT és IT vagy kiberbiztonsági mérnökökből álló csapatot létrehozni, mert az már ennyiből is látszik, hogy egyedül egyik szakterület sem lesz képes egy minőségi és egy OT kiberbiztonsági incidens kitörésekor jelentkező, stresszel telített órákban, napokban terv alapján cselekedni. Ennek elsődleges oka, hogy az IT/kiberbiztonsági szakemberek érthetően nem illetve nem teljeskörűen ismerik az OT és különösen az ICS rendszerek sajátosságait, a működésük IT rendszerekétől eltérő specialitásait illetve az incidenskezelés közben elvégezhető és el nem végezhető műveleteket. Ugyanígy pedig az OT mérnökök, akik naprakészek azoknak a folyamatoknak a fizikájából/kémiájából, amiket a folyamatirányító rendszerek vezényelnek, általában nem ismerik az elérhető és hatékony forensics eszközöket és eljárásokat. Nincs más megoldás, együttműködésre lesz szükség, még akkor is, ha ez az első pillanatokban vélhetően senkinek nem fog tetszeni az érintett csapatokból.

ICS sérülékenységek CDXIX

Sérülékenységek Belden, PHOENIX CONTACT, Johnson Controls, Subnet Solutions, Mitsubishi Electric, Rockwell Automation és Siemens rendszerekben

Bejelentés dátuma: 2024.05.13.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann BAT-C2 08.08.01.01R08 or lower
- Hirschmann OWL 3G 6.2.9 or lower
- Hirschmann OWL LTE 6.2.9 or lower
- Hirschmann OWL LTE M12 6.2.9 or lower
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Pointer Segmentation Fault (CVE-2021-28831)/súlyos;
- Remote Code Execution (CVE-2022-28391)/súlyos;
- Denial-of-Service (CVE-2022-30065)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Belden-Hirschmann

Bejelentés dátuma: 2024.05.14.
Gyártó: PHOENIX CONTACT
Érintett rendszer(ek):
- CHARX SEC-3000 1.5.1-es és korábbi verziói;
- CHARX SEC-3050 1.5.1-es és korábbi verziói;
- CHARX SEC-3100 1.5.1-es és korábbi verziói;
- CHARX SEC-3150 1.5.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Untrusted Search Path (CVE-2024-28133)/súlyos;
- Improper Input Validation (CVE-2024-28136)/súlyos;
- Time-of-check Time-of-use (TOCTOU) Race Condition (CVE-2024-28137)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2024-28134)/súlyos;
- Improper Input Validation (CVE-2024-28135)/közepes;
Javítás: Elérhető
Link a publikációhoz:https://cert.vde.com/en/advisories/VDE-2024-019/

Bejelentés dátuma: 2024.05.14.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Software House C-CURE 9000 v3.00.2-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insertion of Sensitive Information into Log File (CVE-2024-0912)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-03

Bejelentés dátuma: 2024.05.14.
Gyártó: Subnet Solutions
Érintett rendszer(ek):
- PowerSYSTEM Center Update 19 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Insufficiently Trustworthy Component (CVE-2024-28042)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-02

Bejelentés dátuma: 2024.05.14.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek) az FA Engineering szoftver termékek alábbi verziói:
- CPU Module Logging Configuration Tool minden verziója;
- CSGL (GX Works2 connection configuration) minden verziója;
- CW Configurator minden verziója;
- Data Transfer minden verziója;
- Data Transfer Classic minden verziója;
- EZSocket (communication middleware product for Mitsubishi Electric partner companies) minden verziója;
- FR Configurator SW3 minden verziója;
- FR Configurator2 minden verziója;
- GENESIS64 minden verziója;
- GT Designer3 Version1 (GOT1000) minden verziója;
- GT Designer3 Version1 (GOT2000) minden verziója;
- GT SoftGOT1000 Version3 minden verziója;
- GT SoftGOT2000 Version1 minden verziója;
- GX Developer minden verziója;
- GX LogViewer minden verziója;
- GX Works2 minden verziója;
- GX Works3 minden verziója;
- iQ Works (MELSOFT Navigator) minden verziója;
- MI Configurator minden verziója;
- Mitsubishi Electric Numerical Control Device Communication Software (FCSB1224) minden verziója;
- MR Configurator (SETUP221) minden verziója;
- MR Configurator2 minden verziója;
- MRZJW3-MC2-UTL minden verziója;
- MX Component minden verziója;
- MX OPC Server DA/UA (Software packaged with MC Works64) minden verziója;
- PX Developer/Monitor Tool minden verziója;
- RT ToolBox3 minden verziója;
- RT VisualBox minden verziója;
- Setting/monitoring tools for the C Controller module (SW4PVC-CCPU) minden verziója;
- SW0DNC-MNETH-B minden verziója;
- SW1DNC-CCBD2-B minden verziója;
- SW1DNC-CCIEF-J minden verziója;
- SW1DNC-CCIEF-B minden verziója;
- SW1DNC-MNETG-B minden verziója;
- SW1DNC-QSCCF-B minden verziója;
- SW1DND-EMSDK-B minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Privilege Management (CVE-2023-51776)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-51777)/közepes;
- Out-of-bounds Write (CVE-2023-51778)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-22102)/közepes;
- Out-of-bounds Write (CVE-2024-22103)/közepes;
- Out-of-bounds Write (CVE-2024-22104)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-22105)/közepes;
- Improper Privilege Management (CVE-2024-22106)/közepes;
- Improper Privilege Management (CVE-2024-25086)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-25087)/közepes;
- Improper Privilege Management (CVE-2024-25088)/közepes;
- Improper Privilege Management (CVE-2024-26314)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-04

Bejelentés dátuma: 2024.05.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Remote Access v13.5.0.174-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unquoted Search Path or Element (CVE-2024-3640)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-01

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CN 4100 minden, V3.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2024-32740)/kritikus;
- Use of Hard-coded Password (CVE-2024-32741)/kritikus;
- Missing Immutable Root of Trust in Hardware (CVE-2024-32742)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge minden, V224.0 Update 5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2024-33489)/súlyos;
- Out-of-bounds Read (CVE-2024-33490)/súlyos;
- Out-of-bounds Read (CVE-2024-33491)/súlyos;
- Out-of-bounds Read (CVE-2024-33492)/súlyos;
- Out-of-bounds Read (CVE-2024-33493)/súlyos;
- Heap-based Buffer Overflow (CVE-2024-34771)/súlyos;
- Out-of-bounds Read (CVE-2024-34772)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-34773)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Polarion ALM minden, V2404.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Access Control (CVE-2024-33647)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Parasolid V35.1 minden, V35.1.256-nál korábbi verziója;
- Siemens Parasolid V36.0 minden, V36.0.208-nál korábbi verziója;
- Siemens Parasolid V36.1 minden, V36.1.173-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-32635)/súlyos;
- Out-of-bounds Read (CVE-2024-32636)/súlyos;
- NULL Pointer Dereference (CVE-2024-32637)/alacsony;
Javítás:
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC RTLS Locating Manager (6GT2780-0DA00) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-0DA10) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-0DA20) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-0DA30) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-1EA10) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-1EA20) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-1EA30) V3.0.1.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2023-4807)/súlyos;
- Improper Input Validation (CVE-2023-5363)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-29409)/közepes;
- Excessive Iteration (CVE-2023-33953)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2023-38039)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38545)/súlyos;
- External Control of File Name or Path (CVE-2023-38546)/alacsony;
- Improper Input Validation (CVE-2023-46218)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-46219)/közepes;
- Download of Code Without Integrity Check (CVE-2024-30206)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2024-30207)/kritikus;
- Incorrect Permission Assignment for Critical Resource (CVE-2024-30208)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2024-30209)/kritikus;
- Insufficient Verification of Data Authenticity (CVE-2024-33494)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2024-33495)/közepes;
- Insufficiently Protected Credentials (CVE-2024-33496)/közepes;
- Insufficiently Protected Credentials (CVE-2024-33497)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-33498)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2024-33499)/kritikus;
- Hidden Functionality (CVE-2024-33583)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2024.05.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View SE 14.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-4609)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-14

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

IEC 104-es protokoll elleni támadási lehetőségek

Még tavaly ősszel találtam egy LinkedIn poszton keresztül egy egészen jó, 11 oldalas tanulmányt az IEC 104-es (IEC 60870-5-104) protokoll elleni támadási lehetőségekről - ráadásul két magyar kutató tollából, György Péter és Holczer Tamás, a BME CrySys Lab munkatársai publikálták a mai poszt tárgyát képező dokumentumot.

Ahogy a tanulmány elején is olvasható, a 104-es protokoll az európai villamosenergia-rendszerben mind a mai napig az egyik alapvető ICS protokollnak számít, így biztonsági vizsgálata és a protokoll elleni támadási lehetőségek minél alaposabb ismerete kulcsfontosságú az európai villamosenergia-ellátás biztonsága szempontjából - különösen igaz ez egy olyan háború idején, ami az európai kontinentális villamosenergia-rendszert is közvetlenül érinti (immár lassan két éve, hogy az ukrán rendszert szinkronizálták a kontinentális rendszerre). Vagy legalább is ismerni kéne...

A tanulmány a 104-es protokoll bemutatása után a protokoll által használt két üzenettípus (Application Protocol Control Information, APCI és Application Service Data Unit) felépítését tárgyalja, majd a protokoll hibáit és a tanulmányhoz épített tesztkörnyezetet mutatja be.

Első támadási formaként egy Man-in-the-Middle támadást teszteltek, majd áttértek magának a 104-es protokoll hibáinak a kihasználására, amihez építettek egy kis méretű, szimulált villamosenergia-rendszert, alállomásokkal. Az alábbi négy, 104-es protokoll elleni támadási módot tesztelték:

- Illetéktelen hozzáférés: kézenfekvőnek tűnt, hiszen számos más ICS protokollhoz hasonlóan a 104-es protokoll sem biztosít authentikációt a kommunikáció során;
- Az APCI szekvencia-szám módosítása: ha a 104-es protokoll egy nem várt szekvencia-számot lát az APCI mezőben a felépült kapcsolat megszakadásához vezet;
- TCP adatfolyam mérgezése: A 104-es protokollt használó szerver-kliens kapcsolatok egyetlen TCP adatfolyamban történnek, amit folyamatosan életben tartanak a kommunikáló felek. A támadó egy helytelen TCP szekvencia-számmal rendelkező vagy FIN csomagot küld a kommunikációban részt vevő egyik félnek, a kapcsolat megszakad.
- TCP csomag befecskendezés: egy sikeres TCP csomag-befecskendezéses támadáshoz a támadónak képesnek kell lennie a megfelelő szekvencia-számot megadni, mind a TCP, mind az APCI szekvenciák tekintetében. Ha azonban ezt sikerül megoldani, akkor gyakorlatilag bármilyen változtatást képes lehet a támadó végrehajtani a kliens-szerver kommunikációban.

Nem igazán tudok elmenni amellett a tény mellett, hogy magyar kutatók ICS/OT biztonsági témájú publikációjáról egy német kolléga LI-oldaláról kellett tudomást szereznem. Azt hiszem mindaddig, amíg a hazai színtéren az ilyen munkákról nem vagy alig lehet tudni, nem sok esélyünk lesz arra, hogy a magyar kritikus infrastruktúrák folyamatirányító rendszereinek biztonságát érdemben javítani tudjuk.

ICS sérülékenységek CDXVIII

Sérülékenységek CODESYS, Delta Electronics, alpitronic és Rockwell Automation rendszerekben

Bejelentés dátuma: 2024.05.06.
Gyártó: CODESYS
Érintett rendszer(ek):
- CODESYS Development System V2.3 2.3.9.73-asnál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-49675)/súlyos;
- Use After Free (CVE-2023-49676)/közepes;
Javítás: Elérhető
Link a publikációhoz: CODESYS

Bejelentés dátuma: 2024.05.09.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- InfraSuite Device Master 1.0.10 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-46604)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-130-03

Bejelentés dátuma: 2024.05.09.
Gyártó: alpitronic
Érintett rendszer(ek):
- Hypercharger elektromos autó töltő minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Default Credentials (CVE-2024-4622)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-130-02

Bejelentés dátuma: 2024.05.09.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Historian SE v9.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Release of Resource after Effective Lifetime (CVE-2023-31274)/súlyos;
- Improper Check or Handling of Exceptional Conditions (CVE-2023-34348)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-130-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

ICS podcast-ek XIII

SecurityWeek podcast - a Palo Alto gondolatai az IT/OT konvergenciáról

Az ICS podcast-eket listázó poszt-sorozat mai részében a SecurityWeek szerkesztője, Ryan Naraine beszélget a Palo Alto Networks egyik vezetőjével arról, hogy az IT (hálózat)biztonságban egyre elismertebb cég hogyan is látja a mind fontosabb IT-OT konvergencia kérdését. A beszélgetés, ami kb. 20 perces, itt hallgatható meg.

ICS sérülékenységek CDXVII

Sérülékenységek Delta Electronics, CyberPower, Subnet Solutions, PTC és Moxa rendszerekben

Bejelentés dátuma: 2024.04.30.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft-G2 HMI-k (DOPSoft v5.0.0.93-mal együtt használt) 2.0.0.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2024-4192)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-121-01

Bejelentés dátuma: 2024.05.02.
Gyártó: CyberPower
Érintett rendszer(ek):
- PowerPanel business 4.9.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Password (CVE-2024-34025)/kritikus;
- Use of Hard-coded Password (CVE-2024-34025)/kritikus;
- Relative Path Traversal (CVE-2024-33615)/súlyos;
- Use of Hard-coded Credentials (CVE-2024-32053)/kritikus;
- Active Debug Code (CVE-2024-32047)/kritikus;
- Storing Passwords in a Recoverable Format (CVE-2024-32042)/közepes;
- SQL Injection (CVE-2024-31856)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2024-31410)/közepes;
- Improper Authorization (CVE-2024-31409)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-01

Bejelentés dátuma: 2024.05.02.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DIAEnergie v1.10.00.005-ös verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SQL Injection (CVE-2024-34031)/súlyos;
- SQL Injection (CVE-2024-34032)/súlyos;
- Path Traversal (CVE-2024-34033)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-02

Bejelentés dátuma: 2024.05.07.
Gyártó: Subnet Solutions
Érintett rendszer(ek):
- Substation Server 2.23.10-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Insufficiently Trustworthy Component (CVE-2024-26024)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-128-02

Bejelentés dátuma: 2024.05.07.
Gyártó: PTC
Érintett rendszer(ek):
- Codebeamer 22.10 SP9-es és korábbi verziói;
- Codebeamer 2.0.0.3-as és korábbi verziói;
- Codebeamer 2.1.0.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-3951)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-128-01

Bejelentés dátuma: 2024.05.07.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort 5100A sorozatú eszközök v1.6-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-3576)/súlyos;
Javítás: Elérhető a Moxa Technical Support-nál.
Link a publikációhoz: Moxa

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Behatolás-tesztelési útmutató Shodan-hoz

Ha valaki Internetről elérhető ICS/OT rendszereket szeretne kiberbiztonsági szempontból tesztelni, a Shodan az egyik, talán legismertebb szolgáltatás, ami ehhez a vizsgálathoz elérhető - 7 éve én is írtam róla itt a blogon, azóta is ez az egyik legolvasottabb posztom. Nemrég egy egészen jó és részletes útmutatót találtam a Shodan-hoz, ami 80 oldalon, egészen a parancssori használat és az API-integráció szintjéig mutatja be a Shodan használatát. Az útmutatót itt lehet elérni.

ICS incidensek és hírek III

2024. április

Incidensek

Kibertámadás a Hoya ellen

A japán Hoya (szemüveg- és egyéb, orvosi lencséket gyártó cég) rendszereit ért kibertámadás után több üzemben leállt a termelés és problémáik vannak a megrendeléseket kezelő rendszereikkel is. Az eset még március 30-án történet, az utolsó hírek az incidensről április 23-án kerültek publikálásra.

Források:

Hoya publikáció

DarkReading.com

The Register

Fuxnet

A Claroty által Fuxnet-nek nevezett malware a feltételezések szerint ukrán-párti, Blackjack nevű támadók eszköze, amivel Moscollector nevű orosz szervezet elleni támadást hajtották végre. A támadás során a jelenlegi feltételezések szerint hozzáférést szereztek az orosz segélyhívó rendszerhez (112), kompromittáltak és használhatatlanná tettek számos, kritikus infrastruktúrákban használt szenzort (beleértve repülőtereken, metrókban és gázvezetékeknél használt szenzorokat), használhatatlanná tettek hálózati eszközöket és tűzfalakat, töröltek számos szervert, munkaállomást és adatbázis (mintegy 30 TB-nyi adatról szólnak a hírek), tönkretették a Moscollector irodaépületében a belépő kártyák leolvasóit.

Források:

Claroty

SecurityAffairs.com

SecurityWeek.com

HelpNetSecurity.com

Nexperia ransomware-incidens

A Dark Angels (másik nevükön Dunghill) ransomware-csoport állítása szerint kompromittálta a holland Nexperia chip-gyártó egyes rendszereit és mintegy 1 TB-nyi adatot loptak el a cégtől.

Forrás:

SecurityAffairs.com

Fin7 támadások amerikai autógyárak ellen

A BlackBerry (egykor szebb napokat megért telefongyártó cég, gyakorlatilag ők voltak az első okostelefonok gyártói, csak aztán az Apple és a Google platformjainak elterjedésével a BlackBerry gyakorlatilag eltűnt a telefon-piacról és már évek óta a kiberbiztonsági piacon próbálnak tevékenykedni) szerint a FIN7 nevű, orosz hátterű kiberbűnözői csoport támadást hajtott végre az USA egyik autógyártójának IT rendszerei ellen.

Források:

SecurityAffairs.com

TheHackerNews.com

DarkReading.com

Synlab Olaszország elleni kibertámadás

Április 18-án kibertámadás érte a Synlab nevű, orvosdiagnosztikai szolgáltatásokat nyújtó cég olasz leányvállalatát (a cégnek egyébként Magyarországon is van leányvállalata, ami szintén labordiagnosztikai szolgáltatásokat nyújt egyes szakrendelőknek). Az olasz Synlab a támadás következményeként minden számítógépes rendszerét leállította - mint írják "elővigyázatosságból".

Forrás:

SecurityAffairs.com

Amerikai viziközmű incidensek

Texas-i vízművek

Még januárban kibertámadás érte három Texas-i kisváros viziközmű cégét is. Legalább az egyik esetben a támadás végül nem ért célt, de ehhez a vízmű rendszereit lecsatlakoztatták ("unplugged") és átálltak manuális üzemeltetésre. Muleshoe városában a támadók már képesek voltak hozzáférni a folyamatirányító rendszerhez, mielőtt ki tudták volna zárni őket. A Mandiant (újabban a Google Cloud biztonsági kutatócsapata) szerint legalább az egyik támadásért a Sandworm (APT44) nevű, orosz katonai titkosszolgálathoz köthető csoport lehet a felelős.

Források:

SecurityWeek.com

CyberScoop.com

TheRegister.com

Indiana állambeli szennyvíztisztító

Az "Oroszország kiber-néphadserege" (People's Cyber Army of Russia) néven hivatkozott csoport felelősséget vállalt egy április két hete történt, az Indiana állambeli Tipton West szennyvíztisztító rendszerei ellen.

Forrás:

StateScoop.com

Ransomware-támadás érte a svéd állami alkohol-ellátó vállalat rendszereit

Kibertámadás érte a Skanlog nevű, svéd alkohol-ellátó logisztikai vállalat rendszereit, ami a pénzügyi és logisztikai rendszereket tette használhatatlanná.

Forrás:

SecurityAffairs.com

Hírek

Miért nem tekintik a világűrt kritikus infrastruktúrának?

Az USA-ban bevezetett kategorizálás szerint 16 kritikus infrastruktúra-szektor van, de a világűr nem tartozik ezek köré. A CyberScoop-on megjelent cikkében Christian Vasquez amellett érvel, hogy miért kéne a világűrre is a jelenlegi besorolásánál fontosabbként tekinteni: https://cyberscoop.com/space-critical-infrastructure/

A gyártásautomatizálási rendszerek elleni ransomware-támadásoknál pusztítóbb incidensekre lehet számítani 2024-ben

Nate Nelson DarkReading-en megjelent cikkében arról ír, hogy ha 2023 a különböző termelésirányítási rendszerek elleni ransomware-támadások éve volt (és érve szerint legalább 68 ilyen incidens és az általuk okozott 8 vagy 9 számjegyű veszteség - amerikai dollárban számolva - ezt az állítást támasztják alá), akkor (szerinte) 2024-ben várható incidensek még komolyabb hatással lesznek a fizikai világra: https://www.darkreading.com/ics-ot-security/cyberattacks-wreaking-physical-disruption-on-the-rise

Iráni kibertámadás izraeli radarrendszerek ellen

A tavaly október 7-i terrortámadások óta nem csak a fegyveres katonai (és terrorista) műveletek kapcsoltak (sokkal) magasabb fokozatba, hanem a kibertámadások is. Ennek egy újabb epizódját jelenthetik azok a támadások, amikről a CyberSecurityIntelligence.com-on egy Handala nevű iráni hacker-csoport saját állításaira hivatkozva írnak, hogy bejutottak egyes izraeli légvédelmi rakétarendszerek radarvezérlésébe: https://www.cybersecurityintelligence.com/blog/iranian-hackers-targeted-israels-radar-systems-7594.html

Oroszország szabotálni próbálja a cseh vasutak működését - állítja a cseh szakminiszter

Martin Kupka, cseh közlekedési miniszter arra figyelmeztetett április közepén, hogy Oroszországhoz köthető támadói csoportok kibertámadásokra készülhetnek a cseh vasúti jelző- és biztosítóberendezései ellen annak érdekében, hogy megzavarják a vasúti szállításokat: https://securityaffairs.com/161899/cyber-warfare-2/russia-sabotage-european-railways-czech.html

Amerikai kritikus infrastruktúrák elleni kínai kibertámadásokra figyelmeztet az FBI igazgatója

Christopher Wray, az FBI igazgatója a Reuter április 18-i cikke szerint a Volt Typhoon néven ismert, kínai hátterűnek tartott APT-csoporttal kapcsolatos figyelmeztetések kapcsán arról beszélt, hogy kínai hacker-csoportok már évek óta hajtanak végre (leginkább információszerzési céllal) támadásokat az USA kritikus infrastruktúrái ellen.

Források:

SecurityAffairs.com

CyberScoop.com

ICS sérülékenységek CDXVI

Sérülékenységek Belden, Honeywell és Hitachi Energy rendszerekben

Bejelentés dátuma: 2024.04.25.
Gyártó: Honeywell
Érintett rendszer(ek):
- Experion PKS minden, R510.2 HF14-nél korábbi verziója;
- Experion PKS minden, R511.5 TCU4 HF4-nél korábbi verziója;
- Experion PKS minden, R520.1 TCU5-nél korábbi verziója;
- Experion PKS minden, R520.2 TCU4 HF2-nél korábbi verziója;
- Experion LX minden, R511.5 TCU4 HF4-nél korábbi verziója;
- Experion LX minden, R520.1 TCU5-nél korábbi verziója;
- Experion LX minden, R520.2 TCU4 HF2-nél korábbi verziója;
- PlantCruise by Experion minden, R511.5 TCU4 HF4-nél korábbi verziója;
- PlantCruise by Experion minden, R520.1 TCU5-nél korábbi verziója;
- PlantCruise by Experion minden, R520.2 TCU4 HF2-nél korábbi verziója;
- Safety Manager R15x és R16x verziói a R162.10-zel bezárólag;
- Safety Manager SC R210.X, R211.1, R211.2, R212.1 verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposed Dangerous Method or Function (CVE-2023-5389)/kritikus;
- Absolute Path Traversal (CVE-2023-5390)/közepes;
- Stack-based Buffer Overflow (CVE-2023-5407)/súlyos;
- Debug Messages Revealing Unnecessary Information (CVE-2023-5392)/súlyos;
- Out-of-bounds Write (CVE-2023-5406)/közepes;
- Out-of-bounds Write (CVE-2023-5405)/közepes;
- Heap-based Buffer Overflow (CVE-2023-5400)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-5404)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-5395)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-5401)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-5403)/súlyos;
- Binding to an Unrestricted IP Address (CVE-2023-5398)/közepes;
- Improper Input Validation (CVE-2023-5397)/kritikus;
- Buffer Access with Incorrect Length Value (CVE-2023-5396)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-5394)/súlyos;
- Improper Handling of Length Parameter Inconsistency (CVE-2023-5393)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-116-04

Bejelentés dátuma: 2024.04.25.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MACH SCM 4.0-tól 4.5.x-ig terjedő verziói;
- MACH SCM 4.6-tól 4.38-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Control of Generation of Code (CVE-2024-0400)/súlyos;
- Improper Neutralization of Directives in Dynamically Evaluated Code (CVE-2024-2097)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-116-02

Bejelentés dátuma: 2024.04.25.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú CMU-k 12.0.1-től 12.0.14-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 12.2.1-től 12.2.11-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 12.4.1-től 12.4.11-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 12.6.1-től 12.6.9-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 12.7.1-től 12.7.6-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 13.2.1-től 13.2.6-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 13.4.1-től 13.4.4-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 13.5.1-től 13.5.3-ig terjedő firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unrestricted Upload of File with Dangerous Type (CVE-2024-1531)/súlyos;
- Unrestricted Upload of File with Dangerous Type (CVE-2024-1532)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-116-01

Bejelentés dátuma: 2024.04.26.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann HiEOS LRS11 01.1.00-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (BSECV-2024-02)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Belden

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Növekszik az Interneten elérhető ICS/OT rendszerek száma?

Az ICS/OT kiberbiztonság formálisan soha le nem írt parancsolatai közül az első számú minden bizonnyal az lenne, hogy soha, de SOHA ne tegyünk elérhetővé folyamatvezérlő rendszereket publikus hálózatokon. Persze ezt a szabályt igen gyakran megszegik, erről készült még 2019-ben egy tanulmány (amit 2020 elején publikáltak), ami az Intrneten elérhető magyar folyamatirányító rendszereket és berendezéseket vizsgálta. Sajnos maga a tanulmány már nem érhető el a BlackCell publikációi között, viszont az erről írt cikk a régi Indexen még olvasható (és ha valakinek csillapíthatatlan vágya lenne elolvasni a teljes tanulmányt, azt is meg lehet azért oldani).

A héten pedig egy újabb felmérést találtam a SANS Internet Storm Center nevű oldalán Jan Kopriva tollából. Jan kutatásai szerint (amihez Shodan-t, Censys-t és Shadowserver-t használt), 2021 és 2024 között ismét nőtt a publikusan elérhető ICS/OT rendszerek száma és már meghaladja a 30.000-et. A cikk igen érdekes részleteket világít meg például az elérhető rendszerek által használt ICS protokollokról, az egyes országokban publikusan elérhető rendszerek számáról és arról, hogy mennyire eltérő eredményeket mutatnak a felméréshez használt eszközök ugyanazokat a keresési feltételeket alkalmazva. Jan Kopriva írása itt olvasható: https://isc.sans.edu/diary/rss/30860

süti beállítások módosítása