Még 2011 végén, egy, az akkori munkahelyemen kapott feladattal kerültem egy ICS/SCADA rendszer kiberbiztonságának a közelébe. Utána éveken át azon gondolkodtam, hogy mi lenne a legjobb formája ezzel a témával foglalkoznom, talán előadást kéne tartani? Végül a 2015-ös ICS Cybersecurity Conference (és Joe Weiss-szel illetve Robert M. Lee-vel folytatott beszélgetések) után jutottam arra a felismerésre, hogy talán a blog lehet a legjobb formája annak, hogy rendszeresen megnyilvánuljak a témában - ezt a gondolatot végül tett követte és végül 2015. december 6-án (vagyis napra pontosan 10 éve) publikáltam az első (Bevezetés) posztot.

Ahogy nemrég Keleti Arthurral szóba került, a blogot végül az Önkéntes Kibervédelmi Összefogás mögé bújva kezdtem el írni, mert az akkori főnököm, amikor nem részletekbe menően elejtettem neki olyan megjegyzéseket, hogy én írnék ICS/OT kiberbiztonság témában, azonnal azt kérte, hogy inkább ne tegyem, ne vonjam az akkori munkahelyemre a figyelmet - végül is, a 2015-ös és 2016-os ukrán villamosenergia-rendszer elleni kibertámadások, majd az azóta egyre nagyobb számban bekövetkezett incidensek alapján, nem bizonyult teljesen alaptalannak ez a kérés. Viszont ennek volt egyenes következménye az is, hogy amikor a blog alig 4 évvel az indulása után ITBN díjat kapott Ismeretterjesztés kategóriában, nem én mentem ki átvenni azt, hanem Arató Gyurit kértem meg, hogy "a KIBEV nevében" vegye azt át - viszont azóta is itt van a polcomon a díj, még ha úgy is éreztem (és érzem ma is), hogy nem kicsit megelőlegezett volt ez az elismerés.

Az elmúlt 10 évben végül 1078 poszt született, ezekből 491 poszt szólt az ICS/OT rendszerek sérülékenységeiről, a többi pedig cikkajánlók, szakkönyvek, incidens-beszámolók, ICS/OT-specifikus tanfolyamokról, minősítésekről, konferenciákról szóltak, az ICS/OT rendszerek biztonsága terén még csak az első, bátortalan lépéseiket próbálgató kollégáknak szóltak vagy épp az én gondolataimnak adtak teret - és volt 5 vendégposzt is, mindegyik GéPé tollából.

Sok minden történt ez alatt a 10 év alatt. Egyfelől nem sikerült elérnem a 2015-ben még csak bizonytalanul fogalmazódó célomat, hogy az ICS/OT rendszerek kiberbiztonsága legalább a szakmán belül legyen egy napi-heti szinten rendszeresen tárgyalt téma/terület (ezt jól mutatja, hogy a blognak jelenleg - 10 év után - összesen van 18 feliratkozója). Másrészt viszont szépen, lassan, hosszú évek után csak lett egy olyan, nagyon szűk szakmai mag, akikkel lehet ilyen témákról beszélgetni - és vannak még terveim a közeli jövőre vonatkozóan is.

Egy biztos, amíg érzek magamban erőt, addig a blog aktív marad - aztán meg majd meglátjuk.

Bejelentés dátuma: 2025.11.17.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix RichText V4.0.0 és újabb, de V4.6.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2025-40834)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2025.11.17.
Gyártó: Siemens
Érintett rendszer(ek):
- PS/IGES Parasolid Translator Component minden, V29.0.258-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2025-40936)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2025.11.27.
Gyártó: Moxa
Érintett rendszer(ek):
- ioLogik E1210/E1210-T v4.0 firmware minden verziója;
- ioLogik E1211/E1211-T v4.0 firmware minden verziója;
- ioLogik E1212/E1212-T v4.0 firmware minden verziója;
- ioLogik E1213/E1213-T v4.0 firmware minden verziója;
- ioLogik E1214/E1214-T v4.0 firmware minden verziója;
- ioLogik E1240/E1240-T v4.0 firmware minden verziója;
- ioLogik E1241/E1241-T v4.0 firmware minden verziója;
- ioLogik E1242/E1242-T v4.0 firmware minden verziója;
- ioLogik E1260/E1260-T v4.0 firmware minden verziója;
- ioLogik E1262/E1262-T v4.0 firmware minden verziója;
- ioLogik E2210 v3.13 firmware minden verziója;
- ioLogik E2212 v3.14 firmware minden verziója;
- ioLogik E2214 v3.12 firmware minden verziója;
- ioLogik E2240 v3.12 firmware minden verziója;
- ioLogik E2242 v3.12 firmware minden verziója;
- ioLogik E2260 v3.13 firmware minden verziója;
- ioLogik E2262 v3.12 firmware minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Web Server Transmits Cleartext Credentials (n/a)/alacsony;
Javítás: Nincs a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.11.27.
Gyártó: Moxa
Érintett rendszer(ek):
- ioLogik E1210/E1210-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1211/E1211-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1212/E1212-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1213/E1213-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1214/E1214-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1240/E1240-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1241/E1241-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1242/E1242-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1260/E1260-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1262/E1262-T v3.4-es és korábbi firmware-verziója;
- ioLogik E2210 v3.13 firmware minden verziója;
- ioLogik E2212 v3.14 firmware minden verziója;
- ioLogik E2214 v3.12 firmware minden verziója;
- ioLogik E2240 v3.12 firmware minden verziója;
- ioLogik E2242 v3.12 firmware minden verziója;
- ioLogik E2260 v3.13 firmware minden verziója;
- ioLogik E2262 v3.12 firmware minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Web Server Allows Password Auto-Completion (n/a)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.11.27.
Gyártó: Moxa
Érintett rendszer(ek):
- ioLogik E1210/E1210-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1211/E1211-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1212/E1212-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1213/E1213-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1214/E1214-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1240/E1240-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1241/E1241-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1242/E1242-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1260/E1260-T v3.4-es és korábbi firmware-verziója;
- ioLogik E1262/E1262-T v3.4-es és korábbi firmware-verziója;
- ioLogik E2210 v3.13 firmware minden verziója;
- ioLogik E2212 v3.14 firmware minden verziója;
- ioLogik E2214 v3.12 firmware minden verziója;
- ioLogik E2240 v3.12 firmware minden verziója;
- ioLogik E2242 v3.12 firmware minden verziója;
- ioLogik E2260 v3.13 firmware minden verziója;
- ioLogik E2262 v3.12 firmware minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Web Application Potentially Vulnerable to Clickjacking (n/a)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.12.02.
Gyártó: Industrial Video & Control
Érintett rendszer(ek):
- Longwatch 6.309-től 6.334-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Code injection (CVE-2025-13658)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-336-01

Bejelentés dátuma: 2025.12.02.
Gyártó: Iskra
Érintett rendszer(ek):
- iHUB és iHUB Lite minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-13510)/kritikus;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-336-02

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az elmúlt időszakban megszaporodó, európai közlekedési infrastruktúrát ért incidensek (repülőtéri drónberepülések miatt leállások, vasúti rendszereket ért támadások) után kifejezetten időszerűnek tűnik az az előadás, amit David Melendez és Gabriela Garcia, a Techfrontiers alapítói fognak tartani az idei, londoni Black Hat Europe konferencián. Az előadás témája "Breaking The Rails: Taking Control Over Legacy And ERTMS/ETCS Railroad Signaling Systems" volt már napirenden a blogon korábbi posztokban, de éppen az előbbiekben említett friss incidensek tükrében megint aktuálisnak látszik a téma.

A kutatók - lévén spanyolok - elsősorban a spanyol hálózat vasútbiztonsági rendszereinek (Anuncio de Señales y Frenado Automático, röviden ASFA, egy még az 1960-as években kiépített rendszer) állapotát vizsgálták. A bőven több, mint 60 éves rendszert értelemszerűen nem úgy tervezték, hogy bármilyen védelemmel rendelkezzenek, mert akkoriban még nem ilyen jellegű támadásokkal számoltak a tervezők.

Kíváncsian várom, hogy az előadás után lehet-e majd többet tudni a kutatás ereményeiről.

Bejelentés dátuma: 2025.11.18.
Gyártó: Shelly
Érintett rendszer(ek):
- Pro 3EM minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-Bounds Read (CVE-2025-12056)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-322-03

Bejelentés dátuma: 2025.11.18.
Gyártó: Shelly
Érintett rendszer(ek):
- Pro 4PM v1.6-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2025-11243)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-322-02

Bejelentés dátuma: 2025.11.18.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric PowerChute Serial Shutdown 1.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-11565)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2025-11566)/súlyos;
- Incorrect Default Permissions (CVE-2025-11567)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.11.18.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Machine SCADA Expert 2023.1 Patch 1-nél korábbi verziói;
- Pro-face BLUE Open Studio 2023.1 Patch 1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2025-9317)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.11.18.
Gyártó: METZ CONNECT
Érintett rendszer(ek):
- EWIO2-M METZ CONNECT hardverre telepített METZ CONNECT Firmware minden verziója;
- EWIO2-M-BM METZ CONNECT hardverre telepített METZ CONNECT Firmware minden verziója;
- EWIO2-BM METZ CONNECT hardverre telepített METZ CONNECT Firmware minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass by Primary Weakness (CVE-2025-41733)/kritikus;
- PHP Remote File Inclusion (CVE-2025-41734)/kritikus;
- Unrestricted Upload of File with Dangerous Type (CVE-2025-41735)/súlyos;
- Path Traversal (CVE-2025-41736)/súlyos;
- Improper Access Control (CVE-2025-41737)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-322-05

Bejelentés dátuma: 2025.11.20.
Gyártó: iCam365
Érintett rendszer(ek):
- ROBOT PT Camera P201 43.4.0.0 és korábbi verziói;
- Night Vision Camera QC021 43.4.0.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-64770)/közepes;
- Missing Authentication for Critical Function (CVE-2025-62674)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-02

Bejelentés dátuma: 2025.11.20.
Gyártó: Automated Logic
Érintett rendszer(ek):
- Automated Logic WebCTRL Server 6.1-es verziója;
- Automated Logic WebCTRL Server 7.0 verziója;
- Automated Logic WebCTRL Server 8.0 verziója;
- Automated Logic WebCTRL Server 8.5-ös verziója;
- Carrier i-Vu 6.1-es verziója;
- Carrier i-Vu 7.0 verziója;
- Carrier i-Vu 8.0 verziója;
- Carrier i-Vu 8.5-ös verziója;
- Automated Logic SiteScan Web 6.1-es verziója;
- Automated Logic SiteScan Web 7.0 verziója;
- Automated Logic SiteScan Web 8.0 verziója;
- Automated Logic SiteScan Web 8.5-ös verziója;
- Automated Logic WebCTRL for OEMs 6.1-es verziója;
- Automated Logic WebCTRL for OEMs 7.0 verziója;
- Automated Logic WebCTRL for OEMs 8.0 verziója;
- Automated Logic WebCTRL for OEMs 8.5-ös verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Open Redirect (CVE-2024-8527)/kritikus;
- Cross-site Scripting (CVE-2024-8528)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-01

Bejelentés dátuma: 2025.11.20.
Gyártó: Festo
Érintett rendszer(ek):
- MES PC Festo hardverre telepített Siemens TIA-Portal V15 minden, V17 Update 6-nál korábbi verziója;
- MES PC Festo hardverre telepített Siemens TIA-Portal V18 minden, V18 Update 1-nél korábbi verziója;
- TP260-as Festo hardver June2023-nál korábbi változataira telepített Siemens TIA-Portal V15 minden, V17 Update 6-nál korábbi verziója;
- TP260-as Festo hardver June2023-nál korábbi változataira telepített Siemens TIA-Portal V18 minden, V18 Update 1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2023-26293)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-05

Bejelentés dátuma: 2025.11.20.
Gyártó: Festo
Érintett rendszer(ek):
- MSE6-C2M-5000-FB36-D-M-RG-BAR-M12L4-AGD minden verziója;
- MSE6-C2M-5000-FB36-D-M-RG-BAR-M12L5-AGD minden verziója;
- MSE6-C2M-5000-FB43-D-M-RG-BAR-M12L4-MQ1-AGD minden verziója;
- MSE6-C2M-5000-FB43-D-M-RG-BAR-M12L5-MQ1-AGD minden verziója;
- MSE6-C2M-5000-FB44-D-M-RG-BAR-AMI-AGD minden verziója;
- MSE6-C2M-5000-FB44-D-RG-BAR-AMI-AGD minden verziója;
- MSE6-D2M-5000-CBUS-S-RG-BAR-VCB-AGD minden verziója;
- MSE6-E2M-5000-FB13-AGD minden verziója;
- MSE6-E2M-5000-FB36-AGD minden verziója;
- MSE6-E2M-5000-FB37-AGD minden verziója;
- MSE6-E2M-5000-FB43-AGD minden verziója;
- MSE6-E2M-5000-FB44-AGD minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Hidden Functionality (CVE-2023-3634)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-04

Bejelentés dátuma: 2025.11.20.
Gyártó: Opto 22
Érintett rendszer(ek):
- GRV-EPIC-PR1 4.0.3-nál korábbi firmware-verziói;
- GRV-EPIC-PR2 4.0.3-nál korábbi firmware-verziói;
- groov RIO GRV-R7-MM1001-10 4.0.3-nál korábbi firmware-verziói;
- groov RIO GRV-R7-MM2001-10 4.0.3-nál korábbi firmware-verziói;
- groov RIO GRV-R7-I1VAPM-3 4.0.3-nál korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-13087)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-03

Bejelentés dátuma: 2025.11.20.
Gyártó: Emerson
Érintett rendszer(ek):
- Appleton UPSMON-PRO 2.6-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2024-3871)/kritikus;
Javítás: Nincs, az érintett termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-06

Bejelentés dátuma: 2025.11.25.
Gyártó: Ashlar-Vellum
Érintett rendszer(ek):
- Cobalt 12.6.1204.207-es és korábbi verziói;
- Xenon 12.6.1204.207-es és korábbi verziói;
- Argon 12.6.1204.207-es és korábbi verziói;
- Lithium 12.6.1204.207-es és korábbi verziói;
- Cobalt Share 12.6.1204.207-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-Bounds Write (CVE-2025-65084)/súlyos;
- Heap-based Buffer Overflow (CVE-2025-65085)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-01

Bejelentés dátuma: 2025.11.25.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Arena Simulation 16.20.10-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2025-11918)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-02

Bejelentés dátuma: 2025.11.25.
Gyártó: Zenitel
Érintett rendszer(ek):
- TCIV-3+ minden, 9.3.3.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-64126)/kritikus;
- OS Command Injection (CVE-2025-64127)/kritikus;
- OS Command Injection (CVE-2025-64128)/kritikus;
- Out-of-bounds Write (CVE-2025-64129)/súlyos;
- Cross-site Scripting (CVE-2025-64130)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-03

Bejelentés dátuma: 2025.11.
Gyártó: Opto 22
Érintett rendszer(ek):
- groov View Server for Windows R1.0a-tól R4.5d-ig terjedő verziói;
- GRV-EPIC-PR1 4.0.3-nál korábbi firmware-verziói;
- GRV-EPIC-PR2 4.0.3-nál korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Sensitive Information Through Metadata (CVE-2025-13084)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-04

Bejelentés dátuma: 2025.11.25.
Gyártó: Festo
Érintett rendszer(ek):
- Festo Software Compact Vision System SBO-Q- minden verziója;
- Festo Software Control block CPX-CEC-C1 Codesys V2 minden verziója;
- Festo Software Control block CPX-CEC-C1-V3 Codesys V3 minden verziója;
- Festo Software Control block CPX-CEC Codesys V2 minden verziója;
- Festo Software Control block CPX-CEC-M1 Codesys V2 minden verziója;
- Festo Software Control block CPX-CEC-M1-V3 Codesys V3 minden verziója;
- Festo Software Control block CPX-CEC-S1-V3 Codesys V3 minden verziója;
- Festo Software Control block CPX-CMXX minden verziója;
- Festo Software Controller CECC-D minden verziója;
- Festo Software Controller CECC-D-BA minden verziója;
- Festo Software Controller CECC-D-CS minden verziója;
- Festo Software Controller CECC-LK minden verziója;
- Festo Software Controller CECC-S minden verziója;
- Festo Software Controller CECC-X-M1 minden verziója;
- Festo Software Controller CECC-X-M1-MV minden verziója;
- Festo Software Controller CECC-X-M1-S1 minden verziója;
- Festo Software Controller CECX-X-C1 minden verziója;
- Festo Software Controller CECX-X-M1 minden verziója;
- Festo Software Controller CPX-E-CEC-C1 minden verziója;
- Festo Software Controller CPX-E-CEC-C1-EP minden verziója;
- Festo Software Controller CPX-E-CEC-C1-PN minden verziója;
- Festo Software Controller CPX-E-CEC-M1 minden verziója;
- Festo Software Controller CPX-E-CEC-M1-EP minden verziója;
- Festo Software Controller CPX-E-CEC-M1-PN minden verziója;
- Festo Software Controller FED-CEC minden verziója;
- Festo Software Operator unit CDPX-X-A-S-10 minden verziója;
- Festo Software Operator unit CDPX-X-A-W-13 minden verziója;
- Festo Software Operator unit CDPX-X-A-W-4 minden verziója;
- Festo Software Operator unit CDPX-X-A-W-7 minden verziója;
- Festo Software Operator unit CDPX-X-E1-W-10 minden verziója;
- Festo Software Operator unit CDPX-X-E1-W-15 minden verziója;
- Festo Software Operator unit CDPX-X-E1-W-7 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2022-22515)/súlyos;
- Initialization of a Resource with an Insecure Default (CVE-2022-31806)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-05

Bejelentés dátuma: 2025.11.25.
Gyártó: SiRcom
Érintett rendszer(ek):
- SMART Alert (SiSA) 3.0.48-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-13483)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-06

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Modern civilizációnk alapjait olyan kritikus infrastruktúrái egyre bonyolultabb, egyre nehezebben érthető módon épülnek fel (elég csak arra gondolni, hogy egy, a magyar villamosenergia-rendszerben központi SCADA rendszerben hány adatpont van vagy hogy hány, egymással összefüggő üzemből épül fel egy olajfinomító), ráadásul miközben a egyre nagyobb mértékben digitalizálódnak (elég csak a mind jobban terjedő, IT-OT konvergenciára gondolni), közben egyre nő azoknak a rendszerelemeknek a hányada, amik már több évtizedes kort értek el, mégis napi szintű használatban vannak - és ez nem csak a transzformátorokra, védelmekre vagy a saválló acélból készült berendezésekre igaz, hanem a digitális komponensekre is, egyáltalán nem ritkák a Windows XP-n, Windows 7-en futó rendszerek, de láttam már Windows 2000-et és hallottam (igaz nem mostanában) olyan gépet, amin DOS-t kellett futtatni ahhoz, hogy egy konfigurációhoz használni szükséges szoftvert használni tudjanak. Ezek pedig csak a szoftveres kompatibilitási (és persze sérülékenységi) kérdések és kihívások, a hardveres kihívásokat még nem is említettük - márpedig manapság olyan hardvert találni, amihez még vannak Windows XP vagy 2000 meghajtó programok, nem éppen a legegyszerűbb feladat.

Erről a témáról szól az Arthur D. Little nevű tanácsadó cég nemrég kiadott, "Built to last?" című publikációja.

Bejelentés dátuma: 2025.11.03.
Gyártó: WAGO
Érintett rendszer(ek):
- Basic Controller 0750-800x 01.05.01-nél korábbi firmware-verziói;
- CC100 0751-9x01 04.08.01 (70)-nél korábbi Custom Firmware-verziói és 04.08.01 (FW30)-nál korábbi Firmware-verziói;
- Edge Controller 0752-8303/8000-0002 04.08.01 (70)-nél korábbi Custom Firmware-verziói és 04.08.01 (FW30)-nál korábbi Firmware-verziói;
- PFC100 G1 0750-810x/xxxx-xxxx 3.10.11 (FW22 Patch 2)-nél korábbi firmware-verziói;
- PFC100 G2 0750-811x-xxxx-xxxx 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- PFC200 G1 750-820x-xxx-xxx 3.10.11 (FW22 Patch 2)-nél korábbi firmare-verziói;
- PFC200 G2 750-821x-xxx-xxx 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-420x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-430x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-520x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-530x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-620x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-630x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Observable Discrepancy (CVE-2025-1468)/súlyos;
- Path Traversal (CVE-2025-0694)/közepes;
- Forced Browsing (CVE-2025-2595)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2025-062/

Bejelentés dátuma: 2025.11.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxureTM Machine SCADA Expert 2023.1 Patch 1-nél korábbi verziói;
- Pro-face BLUE Open Studio 2023.1 Patch 1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2025-9317)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens COMOS Web-bel telepített COMOS 10.4.5-nél korábbi verziói;
- Siemens COMOS Snapshots komponenst használó COMOS 10.4.5-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incomplete List of Disallowed Inputs (CVE-2023-45133)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2024-0056)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM P850 (7KG8500-0AA00-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA02-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA11-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA11-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA12-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA12-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA31-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA31-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA32-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA32-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA00-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8500-0AA00-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA00-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA10-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA10-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA30-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA30-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA01-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA01-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA02-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA02-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA11-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8500-0AA10-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA11-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA12-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA12-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA31-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA31-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA32-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA32-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8500-0AA10-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8500-0AA30-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8500-0AA30-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA01-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA01-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA02-0AA0) 3.11-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-Site Request Forgery (CSRF) (CVE-2023-30901)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2023-31238)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- LOGO! 12/24RCE (6ED1052-1MD08-0BA2) minden verziója;
- SIPLUS LOGO! 12/24RCEo (6AG1052-2MD08-7BA2) minden verziója;
- SIPLUS LOGO! 230RCE (6AG1052-1FB08-7BA2) minden verziója;
- SIPLUS LOGO! 230RCEo (6AG1052-2FB08-7BA2) minden verziója;
- SIPLUS LOGO! 24CE (6AG1052-1CC08-7BA2) minden verziója;
- SIPLUS LOGO! 24CEo (6AG1052-2CC08-7BA2) minden verziója;
- SIPLUS LOGO! 24RCE (6AG1052-1HB08-7BA2) minden verziója;
- SIPLUS LOGO! 24RCEo (6AG1052-2HB08-7BA2) minden verziója;
- LOGO! 12/24RCEo (6ED1052-2MD08-0BA2) minden verziója;
- LOGO! 230RCE (6ED1052-1FB08-0BA2) minden verziója;
- LOGO! 230RCEo (6ED1052-2FB08-0BA2) minden verziója;
- LOGO! 24CE (6ED1052-1CC08-0BA2) minden verziója;
- LOGO! 24CEo (6ED1052-2CC08-0BA2) minden verziója;
- LOGO! 24RCE (6ED1052-1HB08-0BA2) minden verziója;
- LOGO! 24RCEo (6ED1052-2HB08-0BA2) minden verziója;
- SIPLUS LOGO! 12/24RCE (6AG1052-1MD08-7BA2) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2025-40815)/súlyos;
- Missing Authentication for Critical Function (CVE-2025-40816)/súlyos;
- Missing Authentication for Critical Function (CVE-2025-40817)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hibák javításán.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Spectrum Power 4 V4.70 SP12 Update 2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Use of Privileged APIs (CVE-2024-32008)/súlyos;
- Incorrect Privilege Assignment (CVE-2024-32009)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2024-32010)/súlyos;
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2024-32011)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2024-32014)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Solid Edge SE2025 minden, V225.0 Update 11-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Certificate Validation (CVE-2025-40744)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Altair Grid Engine minden, V2026.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Generation of Error Message Containing Sensitive Information (CVE-2025-40760)/közepes;
- Uncontrolled Search Path Element (CVE-2025-40763)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Software Center minden, 3.5-nél korábbi verziója;
- Solid Edge SE2025 minden, V225.0 Update 10-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2025-40827)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.13.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- FX5U-32MT/ES minden verziója;
- FX5U-32MT/DS minden verziója;
- FX5U-32MT/ESS minden verziója;
- FX5U-32MT/DSS minden verziója;
- FX5U-64MT/ES minden verziója;
- FX5U-64MT/DS minden verziója;
- FX5U-64MT/ESS minden verziója;
- FX5U-64MT/DSS minden verziója;
- FX5U-80MT/ES minden verziója;
- FX5U-80MT/DS minden verziója;
- FX5U-80MT/ESS minden verziója;
- FX5U-80MT/DSS minden verziója;
- FX5U-32MR/ES minden verziója;
- FX5U-32MR/DS minden verziója;
- FX5U-64MR/ES minden verziója;
- FX5U-64MR/DS minden verziója;
- FX5U-80MR/ES minden verziója;
- FX5U-80MR/DS minden verziója;
- FX5UC-32MT/D minden verziója;
- FX5UC-32MT/DSS minden verziója;
- FX5UC-64MT/D minden verziója;
- FX5UC-64MT/DSS minden verziója;
- FX5UC-96MT/D minden verziója;
- FX5UC-96MT/DSS minden verziója;
- FX5UC-32MT/DS-TS minden verziója;
- FX5UC-32MT/DSS-TS minden verziója;
- FX5UC-32MR/DS-TS minden verziója;
- FX5UJ-24MT/ES minden verziója;
- FX5UJ-24MT/DS minden verziója;
- FX5UJ-24MT/ESS minden verziója;
- FX5UJ-24MT/DSS minden verziója;
- FX5UJ-40MT/ES minden verziója;
- FX5UJ-40MT/DS minden verziója;
- FX5UJ-40MT/ESS minden verziója;
- FX5UJ-40MT/DSS minden verziója;
- FX5UJ-60MT/ES minden verziója;
- FX5UJ-60MT/DS minden verziója;
- FX5UJ-60MT/ESS minden verziója;
- FX5UJ-60MT/DSS minden verziója;
- FX5UJ-24MR/ES minden verziója;
- FX5UJ-24MR/DS minden verziója;
- FX5UJ-40MR/ES minden verziója;
- FX5UJ-40MR/DS minden verziója;
- FX5UJ-60MR/ES minden verziója;
- FX5UJ-60MR/DS minden verziója;
- FX5UJ-24MR/ES-A minden verziója;
- FX5UJ-24MT/ES-A minden verziója;
- FX5UJ-40MR/ES-A minden verziója;
- FX5UJ-40MT/ES-A minden verziója;
- FX5UJ-60MR/ES-A minden verziója;
- FX5UJ-60MT/ES-A minden verziója;
- FX5S-30MT/ES minden verziója;
- FX5S-30MT/DS minden verziója;
- FX5S-30MT/ESS minden verziója;
- FX5S-30MT/DSS minden verziója;
- FX5S-40MT/ES minden verziója;
- FX5S-40MT/DS minden verziója;
- FX5S-40MT/ESS minden verziója;
- FX5S-40MT/DSS minden verziója;
- FX5S-60MT/ES minden verziója;
- FX5S-60MT/DS minden verziója;
- FX5S-60MT/ESS minden verziója;
- FX5S-60MT/DSS minden verziója;
- FX5S-80MT/ES minden verziója;
- FX5S-80MT/DS minden verziója;
- FX5S-80MT/ESS minden verziója;
- FX5S-80MT/DSS minden verziója;
- FX5S-30MR/ES minden verziója;
- FX5S-30MR/DS minden verziója;
- FX5S-40MR/ES minden verziója;
- FX5S-40MR/DS minden verziója;
- FX5S-60MR/ES minden verziója;
- FX5S-60MR/DS minden verziója;
- FX5S-80MR/ES minden verziója;
- FX5S-80MR/DS minden verziója;
- FX5S-30MR/ES-A minden verziója;
- FX5S-30MT/ES-A minden verziója;
- FX5S-40MR/ES-A minden verziója;
- FX5S-40MT/ES-A minden verziója;
- FX5S-60MR/ES-A minden verziója;
- FX5S-60MT/ES-A minden verziója;
- FX5S-80MR/ES-A minden verziója;
- FX5S-80MT/ES-A minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Specified Quantity in Input (CVE-2025-10259)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-01

Bejelentés dátuma: 2025.11.13.
Gyártó: AVEVA
Érintett rendszer(ek):
- Application Server 2023 R2 SP1 P02 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) (CVE-2025-8386)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-02

Bejelentés dátuma: 2025.11.13.
Gyártó: AVEVA
Érintett rendszer(ek):
- Edge 2023 R2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2025-9317)/súlyos;;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-03

Bejelentés dátuma: 2025.11.13.
Gyártó: Brightpick AI
Érintett rendszer(ek):
- Brightpick Mission Control/Internal Logic Control minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-64307)/közepes;
- Unprotected Transport of Credentials (CVE-2025-64308)/súlyos;
- Unprotected Transport of Credentials (CVE-2025-64309)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-04

Bejelentés dátuma: 2025.11.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Verve Asset Manager 1.33-as verziója;
- Verve Asset Manager 1.34-es verziója;
- Verve Asset Manager 1.35-ös verziója;
- Verve Asset Manager 1.36-os verziója;
- Verve Asset Manager 1.37-es verziója;
- Verve Asset Manager 1.38-as verziója;
- Verve Asset Manager 1.39-es verziója;
- Verve Asset Manager 1.40-es verziója;
- Verve Asset Manager 1.41-es verziója;
- Verve Asset Manager 1.41.1-es verziója;
- Verve Asset Manager 1.41.2-es verziója;
- Verve Asset Manager 1.41.3-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Authorization (CVE-2025-11862)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-05

Bejelentés dátuma: 2025.11.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Studio 5000 Simulation Interface 2.02-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-11696)/súlyos;
- Server-Side Request Forgery (SSRF) (CVE-2025-11697)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-06

Bejelentés dátuma: 2025.11.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk DataMosaix Private Cloud 7.11-es, 8.00 és 8.01-es verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Authentication (CVE-2025-11084)/közepes;
- Improper Encoding or Escaping of Output (CVE-2025-11085)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-07

Bejelentés dátuma: 2025.11.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Policy Manager 6.51.00 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Resource Shutdown or Release (CVE-2024-22019)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-09

Bejelentés dátuma: 2025.11.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- AADvance-Trusted SIS Workstation 2.00.00-tól 2.00.04-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2024-48510)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-10

Bejelentés dátuma: 2025.11.13.
Gyártó: General Industrial Controls
Érintett rendszer(ek):
- Lynx+ Gateway R08-as verziója;
- Lynx+ Gateway V03-as verziója;
- Lynx+ Gateway V05-ös verziója;
- Lynx+ Gateway V18-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Password Requirements (CVE-2025-55034)/súlyos;
- Missing Authentication for Critical Function (CVE-2025-58083)/kritikus;
- Missing Authentication for Critical Function (CVE-2025-59780)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2025-62765)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-08

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az utóbbi néhány évben a kisméretű és olcsó műholdak száma robbanásszerűen megnőtt. Elég csak a StarLink műholdjainak nagy számára gondolni vagy a magyar műholdakat (a 2010-es években készült és fellőtt Masat-1, SMOG-P után a 2020-as években a VIREO, az MRC-100 és a GRBAlpha is kijutott a világűrbe) említeni.

Nemrég egy Jack Vanlyssel nevű kutató publikációja került elém, amiben a szerző azt vizsgálja, hogy az ilyen, kis költségvetésű műholdakban használt, kereskedelmi forgalomban kapható (Commercial Off The Shelf, COTS) alkatrészeket kihasználva hogyan lehet támadást indítani a műholdak ellen. A COTS alkatrészek esetén jellemzően elmarad az átfogó és alapos ellenőrzés, viszont ezek a komponensek továbbra is rendszer-szintű hozzáféréssel működnek a műholdakban. A kísérletekhez Jack a NASA NOS3-as szimulátorát használta és 5 különböző tesztesetet vizsgált. A kísérlet eredményeként bizonyította, hogy a műholdak építésénél a "trust by design" megközelítést fontos minél előbb és minél inkább az alapértelmezett ellenőrzés, authentikáció és monioring irányába elvinni annak érdekében, hogy a kisméretű műholdak ne vagy csak jóval nehezebben eshessenek áldozatául ilyen támadásoknak.

Bejelentés dátuma: 2025.10.30.
Gyártó: International Standards Organization
Érintett rendszer(ek):
- ISO 15118 szabvány 15118-2-es fejezete: Network and Application Protocol Requirements - elektromos autótöltő berendezések esetén;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Communication Channel to Intended Endpoints (CVE-2025-12357)/súlyos;
Javítás: Az ISO a TLS titkosítás alkalmazását javasolja minden érintett kommunikáció esetén.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-303-01

Bejelentés dátuma: 2025.10.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- TropOS 4. generációs firmware-ek 8.9.6.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-1036)/súlyos;
- Improper Privilege Management (CVE-2025-1037)/súlyos;
- OS Command Injection (CVE-2025-1038)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-303-02

Bejelentés dátuma: 2025.11.04.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Fuji Electric Monitouch V-SFT-6 6.2.7.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2025-54496)/súlyos;
- Stack-based Buffer Overflow (CVE-2025-54526)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-01

Bejelentés dátuma: 2025.11.04.
Gyártó: Survision
Érintett rendszer(ek):
- License Plate Recognition LPR Camera minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-12108)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-02

Bejelentés dátuma: 2025.11.04.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft-G2 2.1.0.27-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2025-58317)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-03

Bejelentés dátuma: 2025.11.04.
Gyártó: Radiometrics
Érintett rendszer(ek):
- VizAir minden, 08/2025-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-61945)/kritikus;
- Insufficiently Protected Credentials (CVE-2025-54863)/kritikus;
- Missing Authentication for Critical Function (CVE-2025-61956)/kritikus;
Javítás: A gyártó elvégezte a sérülékeny rendszerek frissítését.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-04

Bejelentés dátuma: 2025.11.04.
Gyártó: IDIS
Érintett rendszer(ek):
- ICM Viewer v1.6.0.10-es verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Argument Injection (CVE-2025-12556)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-05

Bejelentés dátuma: 2025.11.06.
Gyártó: Advantech
Érintett rendszer(ek):
- DeviceOn/iEdge 2.0.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2025-64302)/közepes;
- Path Traversal (CVE-2025-62630)/súlyos;
- Path Traversal (CVE-2025-59171)/súlyos;
- Path Traversal (CVE-2025-58423)/súlyos;
Javítás: Nincs, az érintett rendszerek életciklusuk végére értek.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-01

Bejelentés dátuma: 2025.1
Gyártó: Ubia
Érintett rendszer(ek):
- Ubox v1.1.124-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2025-12636)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-02

Bejelentés dátuma: 2025.11.06.
Gyártó: ABB
Érintett rendszer(ek):
- FBXi-8R8-X96 (2CQG201028R1011) 9.3.5-ös és korábbi verziói;
- FBXi-8R8-H-X96 (2CQG201029R1011) 9.3.5-ös és korábbi verziói;
- FBXi-X256 (2CQG201014R1021) 9.3.5-ös és korábbi verziói;
- FBXi-X48 (2CQG201018R1021) 9.3.5-ös és korábbi verziói;
- FBXi-8R8-X96-S (2CQG201606R1011) 9.3.5-ös és korábbi verziói;
- FBVi-2U4-4T (2CQG201015R1021 ) 9.3.5-ös és korábbi verziói;
- FBVi-2U4-4T-IMP (2CQG201016R1021) 9.3.5-ös és korábbi verziói;
- FBVi-2U4-4T-SI 9.3.5-ös és korábbi verziói;
- FBTi-7T7-1U1R (2CQG201022R1011) 9.3.5-ös és korábbi verziói;
- FBTi-6T1-1U1R (2CQG201022R1011) 9.3.5-ös és korábbi verziói;
- CBXi-8R8 (2CQG201001R1021) 9.3.5-ös és korábbi verziói;
- CBXi-8R8-H (2CQG201001R1021) 9.3.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2024-48842)/súlyos;
- Improper Validation of Specified Type of Input (CVE-2024-48851)/súlyos;
- Use of a One-Way Hash without a Salt (CVE-2025-10205)/súlyos;
- Improper Validation of Specified Type of Input (CVE-2025-10207)/súlyos;
Javítás: Egyes érintett verziókhoz a gyártó tervezi a hibákat javító újabb verziót.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-03

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A mai poszt viszonylag rövid lesz, Bob Radvanovsky folyamatbiztonsági modelljéről fog szólni, amit nemrég publikált. Íme:

Bob szerint a modell még bőven kidolgozás alatt van és igazából egy 3D-s változat lenne ideális, de kezdetnek megteszi és nagyon jól mutatja, hogy az adatok biztonságával kapcslatos megközelítés mennyire nehezen összeegyeztethető az ICS/OT rendszerek által vezérelt folyamatok biztonságának szempontjaival.

Nem tartott sokáig, hogy kakukktojás könyvet hozzak ebben a sorozatban - viszont Andy Greenberg könyve, a Sandworm (A new era of cyberwar and the hunt for the Kremlin's most dangerous hackers) olyan részletekről is ír a GRU-hoz (az orosz katonai titkosszolgálathoz) tartozónak tartott APT-csoport bemutatása során, amiket szerintem kár lenne kihagyni.

A teljesség igénye nélkül csak két, ICS/OT biztonsági szempontból meghatározó esemény, amiket részletesen bemutat a szerző, az első az Aurora teszt, amit az Idaho National Laboratory-ban hajtottak végre és amiben több olyan szakértő is aktívan közreműködött, akikre a blogon én is szoktam hivatkozni (Mike Assante és Joe Weiss). A másik pedig az Industroyer/CrashOverride nevű ICS malware-támadás a Kijev-északi Ukrenergo-alállomás ellen, amiben a második ismert autonóm ICS-malware-t fedezték fel.

A könyv fejezetei:

Part I - Emergence
1. The Zero Day
2. BlackEnergy
3. Arrakis 02
4. Force Multiplier
5. StarLightMedia
6. Holodomor to Chernobyl
7. Maidan to Donbas
8. Blackout
9. The Delegation

Part II - Origins
10. Flashback: Aurora
11. Flashback: Moonlight Maze
12. Flashback: Estonia
13. Flashback: Georgia
14. Flashback: Stuxnet

Part III - Evolution
15. Warnings
16. Fancy Bear
17. FSociety
18. Polygon
19. Industroyer/CrashOverride

Part IV - Apotheosis
20. Maersk
21. Shadow Brokers
22. EternalBlue
23. Mimikatz
24. NotPetya
25. National Disaster
26. Breakdown
27. The Cost
28. Aftermath
29. Distance

Part V - Identity
30. GRU
31. Defectors
32. Informatsionnoye Protivoborstvo
33. The Penalty
34. Bad Rabbit, Olympic Destroyer
35. False Flags
36. 74455
37. The Tower
38. Russia
39. The Elephant and the Insurgent

Part VI - Lessons
40. Geneva
41. Black Start
42. Resilience

Appendix: Sandworm's Connection to French Election Hacking