Modern civilizációnk alapjait olyan kritikus infrastruktúrái egyre bonyolultabb, egyre nehezebben érthető módon épülnek fel (elég csak arra gondolni, hogy egy, a magyar villamosenergia-rendszerben központi SCADA rendszerben hány adatpont van vagy hogy hány, egymással összefüggő üzemből épül fel egy olajfinomító), ráadásul miközben a egyre nagyobb mértékben digitalizálódnak (elég csak a mind jobban terjedő, IT-OT konvergenciára gondolni), közben egyre nő azoknak a rendszerelemeknek a hányada, amik már több évtizedes kort értek el, mégis napi szintű használatban vannak - és ez nem csak a transzformátorokra, védelmekre vagy a saválló acélból készült berendezésekre igaz, hanem a digitális komponensekre is, egyáltalán nem ritkák a Windows XP-n, Windows 7-en futó rendszerek, de láttam már Windows 2000-et és hallottam (igaz nem mostanában) olyan gépet, amin DOS-t kellett futtatni ahhoz, hogy egy konfigurációhoz használni szükséges szoftvert használni tudjanak. Ezek pedig csak a szoftveres kompatibilitási (és persze sérülékenységi) kérdések és kihívások, a hardveres kihívásokat még nem is említettük - márpedig manapság olyan hardvert találni, amihez még vannak Windows XP vagy 2000 meghajtó programok, nem éppen a legegyszerűbb feladat.

Erről a témáról szól az Arthur D. Little nevű tanácsadó cég nemrég kiadott, "Built to last?" című publikációja.

Bejelentés dátuma: 2025.11.03.
Gyártó: WAGO
Érintett rendszer(ek):
- Basic Controller 0750-800x 01.05.01-nél korábbi firmware-verziói;
- CC100 0751-9x01 04.08.01 (70)-nél korábbi Custom Firmware-verziói és 04.08.01 (FW30)-nál korábbi Firmware-verziói;
- Edge Controller 0752-8303/8000-0002 04.08.01 (70)-nél korábbi Custom Firmware-verziói és 04.08.01 (FW30)-nál korábbi Firmware-verziói;
- PFC100 G1 0750-810x/xxxx-xxxx 3.10.11 (FW22 Patch 2)-nél korábbi firmware-verziói;
- PFC100 G2 0750-811x-xxxx-xxxx 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- PFC200 G1 750-820x-xxx-xxx 3.10.11 (FW22 Patch 2)-nél korábbi firmare-verziói;
- PFC200 G2 750-821x-xxx-xxx 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-420x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-430x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-520x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-530x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-620x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-630x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Observable Discrepancy (CVE-2025-1468)/súlyos;
- Path Traversal (CVE-2025-0694)/közepes;
- Forced Browsing (CVE-2025-2595)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2025-062/

Bejelentés dátuma: 2025.11.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxureTM Machine SCADA Expert 2023.1 Patch 1-nél korábbi verziói;
- Pro-face BLUE Open Studio 2023.1 Patch 1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2025-9317)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens COMOS Web-bel telepített COMOS 10.4.5-nél korábbi verziói;
- Siemens COMOS Snapshots komponenst használó COMOS 10.4.5-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incomplete List of Disallowed Inputs (CVE-2023-45133)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2024-0056)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM P850 (7KG8500-0AA00-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA02-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA11-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA11-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA12-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA12-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA31-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA31-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA32-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA32-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA00-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8500-0AA00-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA00-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA10-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA10-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA30-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA30-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA01-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA01-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA02-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA02-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA11-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8500-0AA10-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA11-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA12-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA12-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA31-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA31-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA32-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA32-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8500-0AA10-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8500-0AA30-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8500-0AA30-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA01-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA01-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA02-0AA0) 3.11-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-Site Request Forgery (CSRF) (CVE-2023-30901)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2023-31238)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- LOGO! 12/24RCE (6ED1052-1MD08-0BA2) minden verziója;
- SIPLUS LOGO! 12/24RCEo (6AG1052-2MD08-7BA2) minden verziója;
- SIPLUS LOGO! 230RCE (6AG1052-1FB08-7BA2) minden verziója;
- SIPLUS LOGO! 230RCEo (6AG1052-2FB08-7BA2) minden verziója;
- SIPLUS LOGO! 24CE (6AG1052-1CC08-7BA2) minden verziója;
- SIPLUS LOGO! 24CEo (6AG1052-2CC08-7BA2) minden verziója;
- SIPLUS LOGO! 24RCE (6AG1052-1HB08-7BA2) minden verziója;
- SIPLUS LOGO! 24RCEo (6AG1052-2HB08-7BA2) minden verziója;
- LOGO! 12/24RCEo (6ED1052-2MD08-0BA2) minden verziója;
- LOGO! 230RCE (6ED1052-1FB08-0BA2) minden verziója;
- LOGO! 230RCEo (6ED1052-2FB08-0BA2) minden verziója;
- LOGO! 24CE (6ED1052-1CC08-0BA2) minden verziója;
- LOGO! 24CEo (6ED1052-2CC08-0BA2) minden verziója;
- LOGO! 24RCE (6ED1052-1HB08-0BA2) minden verziója;
- LOGO! 24RCEo (6ED1052-2HB08-0BA2) minden verziója;
- SIPLUS LOGO! 12/24RCE (6AG1052-1MD08-7BA2) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2025-40815)/súlyos;
- Missing Authentication for Critical Function (CVE-2025-40816)/súlyos;
- Missing Authentication for Critical Function (CVE-2025-40817)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hibák javításán.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Spectrum Power 4 V4.70 SP12 Update 2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Use of Privileged APIs (CVE-2024-32008)/súlyos;
- Incorrect Privilege Assignment (CVE-2024-32009)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2024-32010)/súlyos;
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2024-32011)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2024-32014)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Solid Edge SE2025 minden, V225.0 Update 11-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Certificate Validation (CVE-2025-40744)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Altair Grid Engine minden, V2026.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Generation of Error Message Containing Sensitive Information (CVE-2025-40760)/közepes;
- Uncontrolled Search Path Element (CVE-2025-40763)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Software Center minden, 3.5-nél korábbi verziója;
- Solid Edge SE2025 minden, V225.0 Update 10-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2025-40827)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.13.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- FX5U-32MT/ES minden verziója;
- FX5U-32MT/DS minden verziója;
- FX5U-32MT/ESS minden verziója;
- FX5U-32MT/DSS minden verziója;
- FX5U-64MT/ES minden verziója;
- FX5U-64MT/DS minden verziója;
- FX5U-64MT/ESS minden verziója;
- FX5U-64MT/DSS minden verziója;
- FX5U-80MT/ES minden verziója;
- FX5U-80MT/DS minden verziója;
- FX5U-80MT/ESS minden verziója;
- FX5U-80MT/DSS minden verziója;
- FX5U-32MR/ES minden verziója;
- FX5U-32MR/DS minden verziója;
- FX5U-64MR/ES minden verziója;
- FX5U-64MR/DS minden verziója;
- FX5U-80MR/ES minden verziója;
- FX5U-80MR/DS minden verziója;
- FX5UC-32MT/D minden verziója;
- FX5UC-32MT/DSS minden verziója;
- FX5UC-64MT/D minden verziója;
- FX5UC-64MT/DSS minden verziója;
- FX5UC-96MT/D minden verziója;
- FX5UC-96MT/DSS minden verziója;
- FX5UC-32MT/DS-TS minden verziója;
- FX5UC-32MT/DSS-TS minden verziója;
- FX5UC-32MR/DS-TS minden verziója;
- FX5UJ-24MT/ES minden verziója;
- FX5UJ-24MT/DS minden verziója;
- FX5UJ-24MT/ESS minden verziója;
- FX5UJ-24MT/DSS minden verziója;
- FX5UJ-40MT/ES minden verziója;
- FX5UJ-40MT/DS minden verziója;
- FX5UJ-40MT/ESS minden verziója;
- FX5UJ-40MT/DSS minden verziója;
- FX5UJ-60MT/ES minden verziója;
- FX5UJ-60MT/DS minden verziója;
- FX5UJ-60MT/ESS minden verziója;
- FX5UJ-60MT/DSS minden verziója;
- FX5UJ-24MR/ES minden verziója;
- FX5UJ-24MR/DS minden verziója;
- FX5UJ-40MR/ES minden verziója;
- FX5UJ-40MR/DS minden verziója;
- FX5UJ-60MR/ES minden verziója;
- FX5UJ-60MR/DS minden verziója;
- FX5UJ-24MR/ES-A minden verziója;
- FX5UJ-24MT/ES-A minden verziója;
- FX5UJ-40MR/ES-A minden verziója;
- FX5UJ-40MT/ES-A minden verziója;
- FX5UJ-60MR/ES-A minden verziója;
- FX5UJ-60MT/ES-A minden verziója;
- FX5S-30MT/ES minden verziója;
- FX5S-30MT/DS minden verziója;
- FX5S-30MT/ESS minden verziója;
- FX5S-30MT/DSS minden verziója;
- FX5S-40MT/ES minden verziója;
- FX5S-40MT/DS minden verziója;
- FX5S-40MT/ESS minden verziója;
- FX5S-40MT/DSS minden verziója;
- FX5S-60MT/ES minden verziója;
- FX5S-60MT/DS minden verziója;
- FX5S-60MT/ESS minden verziója;
- FX5S-60MT/DSS minden verziója;
- FX5S-80MT/ES minden verziója;
- FX5S-80MT/DS minden verziója;
- FX5S-80MT/ESS minden verziója;
- FX5S-80MT/DSS minden verziója;
- FX5S-30MR/ES minden verziója;
- FX5S-30MR/DS minden verziója;
- FX5S-40MR/ES minden verziója;
- FX5S-40MR/DS minden verziója;
- FX5S-60MR/ES minden verziója;
- FX5S-60MR/DS minden verziója;
- FX5S-80MR/ES minden verziója;
- FX5S-80MR/DS minden verziója;
- FX5S-30MR/ES-A minden verziója;
- FX5S-30MT/ES-A minden verziója;
- FX5S-40MR/ES-A minden verziója;
- FX5S-40MT/ES-A minden verziója;
- FX5S-60MR/ES-A minden verziója;
- FX5S-60MT/ES-A minden verziója;
- FX5S-80MR/ES-A minden verziója;
- FX5S-80MT/ES-A minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Specified Quantity in Input (CVE-2025-10259)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-01

Bejelentés dátuma: 2025.11.13.
Gyártó: AVEVA
Érintett rendszer(ek):
- Application Server 2023 R2 SP1 P02 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) (CVE-2025-8386)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-02

Bejelentés dátuma: 2025.11.13.
Gyártó: AVEVA
Érintett rendszer(ek):
- Edge 2023 R2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2025-9317)/súlyos;;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-03

Bejelentés dátuma: 2025.11.13.
Gyártó: Brightpick AI
Érintett rendszer(ek):
- Brightpick Mission Control/Internal Logic Control minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-64307)/közepes;
- Unprotected Transport of Credentials (CVE-2025-64308)/súlyos;
- Unprotected Transport of Credentials (CVE-2025-64309)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-04

Bejelentés dátuma: 2025.11.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Verve Asset Manager 1.33-as verziója;
- Verve Asset Manager 1.34-es verziója;
- Verve Asset Manager 1.35-ös verziója;
- Verve Asset Manager 1.36-os verziója;
- Verve Asset Manager 1.37-es verziója;
- Verve Asset Manager 1.38-as verziója;
- Verve Asset Manager 1.39-es verziója;
- Verve Asset Manager 1.40-es verziója;
- Verve Asset Manager 1.41-es verziója;
- Verve Asset Manager 1.41.1-es verziója;
- Verve Asset Manager 1.41.2-es verziója;
- Verve Asset Manager 1.41.3-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Authorization (CVE-2025-11862)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-05

Bejelentés dátuma: 2025.11.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Studio 5000 Simulation Interface 2.02-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-11696)/súlyos;
- Server-Side Request Forgery (SSRF) (CVE-2025-11697)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-06

Bejelentés dátuma: 2025.11.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk DataMosaix Private Cloud 7.11-es, 8.00 és 8.01-es verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Authentication (CVE-2025-11084)/közepes;
- Improper Encoding or Escaping of Output (CVE-2025-11085)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-07

Bejelentés dátuma: 2025.11.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Policy Manager 6.51.00 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Resource Shutdown or Release (CVE-2024-22019)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-09

Bejelentés dátuma: 2025.11.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- AADvance-Trusted SIS Workstation 2.00.00-tól 2.00.04-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2024-48510)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-10

Bejelentés dátuma: 2025.11.13.
Gyártó: General Industrial Controls
Érintett rendszer(ek):
- Lynx+ Gateway R08-as verziója;
- Lynx+ Gateway V03-as verziója;
- Lynx+ Gateway V05-ös verziója;
- Lynx+ Gateway V18-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Password Requirements (CVE-2025-55034)/súlyos;
- Missing Authentication for Critical Function (CVE-2025-58083)/kritikus;
- Missing Authentication for Critical Function (CVE-2025-59780)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2025-62765)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-08

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az utóbbi néhány évben a kisméretű és olcsó műholdak száma robbanásszerűen megnőtt. Elég csak a StarLink műholdjainak nagy számára gondolni vagy a magyar műholdakat (a 2010-es években készült és fellőtt Masat-1, SMOG-P után a 2020-as években a VIREO, az MRC-100 és a GRBAlpha is kijutott a világűrbe) említeni.

Nemrég egy Jack Vanlyssel nevű kutató publikációja került elém, amiben a szerző azt vizsgálja, hogy az ilyen, kis költségvetésű műholdakban használt, kereskedelmi forgalomban kapható (Commercial Off The Shelf, COTS) alkatrészeket kihasználva hogyan lehet támadást indítani a műholdak ellen. A COTS alkatrészek esetén jellemzően elmarad az átfogó és alapos ellenőrzés, viszont ezek a komponensek továbbra is rendszer-szintű hozzáféréssel működnek a műholdakban. A kísérletekhez Jack a NASA NOS3-as szimulátorát használta és 5 különböző tesztesetet vizsgált. A kísérlet eredményeként bizonyította, hogy a műholdak építésénél a "trust by design" megközelítést fontos minél előbb és minél inkább az alapértelmezett ellenőrzés, authentikáció és monioring irányába elvinni annak érdekében, hogy a kisméretű műholdak ne vagy csak jóval nehezebben eshessenek áldozatául ilyen támadásoknak.

Bejelentés dátuma: 2025.10.30.
Gyártó: International Standards Organization
Érintett rendszer(ek):
- ISO 15118 szabvány 15118-2-es fejezete: Network and Application Protocol Requirements - elektromos autótöltő berendezések esetén;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Communication Channel to Intended Endpoints (CVE-2025-12357)/súlyos;
Javítás: Az ISO a TLS titkosítás alkalmazását javasolja minden érintett kommunikáció esetén.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-303-01

Bejelentés dátuma: 2025.10.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- TropOS 4. generációs firmware-ek 8.9.6.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-1036)/súlyos;
- Improper Privilege Management (CVE-2025-1037)/súlyos;
- OS Command Injection (CVE-2025-1038)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-303-02

Bejelentés dátuma: 2025.11.04.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Fuji Electric Monitouch V-SFT-6 6.2.7.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2025-54496)/súlyos;
- Stack-based Buffer Overflow (CVE-2025-54526)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-01

Bejelentés dátuma: 2025.11.04.
Gyártó: Survision
Érintett rendszer(ek):
- License Plate Recognition LPR Camera minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-12108)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-02

Bejelentés dátuma: 2025.11.04.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft-G2 2.1.0.27-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2025-58317)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-03

Bejelentés dátuma: 2025.11.04.
Gyártó: Radiometrics
Érintett rendszer(ek):
- VizAir minden, 08/2025-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-61945)/kritikus;
- Insufficiently Protected Credentials (CVE-2025-54863)/kritikus;
- Missing Authentication for Critical Function (CVE-2025-61956)/kritikus;
Javítás: A gyártó elvégezte a sérülékeny rendszerek frissítését.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-04

Bejelentés dátuma: 2025.11.04.
Gyártó: IDIS
Érintett rendszer(ek):
- ICM Viewer v1.6.0.10-es verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Argument Injection (CVE-2025-12556)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-05

Bejelentés dátuma: 2025.11.06.
Gyártó: Advantech
Érintett rendszer(ek):
- DeviceOn/iEdge 2.0.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2025-64302)/közepes;
- Path Traversal (CVE-2025-62630)/súlyos;
- Path Traversal (CVE-2025-59171)/súlyos;
- Path Traversal (CVE-2025-58423)/súlyos;
Javítás: Nincs, az érintett rendszerek életciklusuk végére értek.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-01

Bejelentés dátuma: 2025.1
Gyártó: Ubia
Érintett rendszer(ek):
- Ubox v1.1.124-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2025-12636)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-02

Bejelentés dátuma: 2025.11.06.
Gyártó: ABB
Érintett rendszer(ek):
- FBXi-8R8-X96 (2CQG201028R1011) 9.3.5-ös és korábbi verziói;
- FBXi-8R8-H-X96 (2CQG201029R1011) 9.3.5-ös és korábbi verziói;
- FBXi-X256 (2CQG201014R1021) 9.3.5-ös és korábbi verziói;
- FBXi-X48 (2CQG201018R1021) 9.3.5-ös és korábbi verziói;
- FBXi-8R8-X96-S (2CQG201606R1011) 9.3.5-ös és korábbi verziói;
- FBVi-2U4-4T (2CQG201015R1021 ) 9.3.5-ös és korábbi verziói;
- FBVi-2U4-4T-IMP (2CQG201016R1021) 9.3.5-ös és korábbi verziói;
- FBVi-2U4-4T-SI 9.3.5-ös és korábbi verziói;
- FBTi-7T7-1U1R (2CQG201022R1011) 9.3.5-ös és korábbi verziói;
- FBTi-6T1-1U1R (2CQG201022R1011) 9.3.5-ös és korábbi verziói;
- CBXi-8R8 (2CQG201001R1021) 9.3.5-ös és korábbi verziói;
- CBXi-8R8-H (2CQG201001R1021) 9.3.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2024-48842)/súlyos;
- Improper Validation of Specified Type of Input (CVE-2024-48851)/súlyos;
- Use of a One-Way Hash without a Salt (CVE-2025-10205)/súlyos;
- Improper Validation of Specified Type of Input (CVE-2025-10207)/súlyos;
Javítás: Egyes érintett verziókhoz a gyártó tervezi a hibákat javító újabb verziót.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-03

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A mai poszt viszonylag rövid lesz, Bob Radvanovsky folyamatbiztonsági modelljéről fog szólni, amit nemrég publikált. Íme:

Bob szerint a modell még bőven kidolgozás alatt van és igazából egy 3D-s változat lenne ideális, de kezdetnek megteszi és nagyon jól mutatja, hogy az adatok biztonságával kapcslatos megközelítés mennyire nehezen összeegyeztethető az ICS/OT rendszerek által vezérelt folyamatok biztonságának szempontjaival.

Nem tartott sokáig, hogy kakukktojás könyvet hozzak ebben a sorozatban - viszont Andy Greenberg könyve, a Sandworm (A new era of cyberwar and the hunt for the Kremlin's most dangerous hackers) olyan részletekről is ír a GRU-hoz (az orosz katonai titkosszolgálathoz) tartozónak tartott APT-csoport bemutatása során, amiket szerintem kár lenne kihagyni.

A teljesség igénye nélkül csak két, ICS/OT biztonsági szempontból meghatározó esemény, amiket részletesen bemutat a szerző, az első az Aurora teszt, amit az Idaho National Laboratory-ban hajtottak végre és amiben több olyan szakértő is aktívan közreműködött, akikre a blogon én is szoktam hivatkozni (Mike Assante és Joe Weiss). A másik pedig az Industroyer/CrashOverride nevű ICS malware-támadás a Kijev-északi Ukrenergo-alállomás ellen, amiben a második ismert autonóm ICS-malware-t fedezték fel.

A könyv fejezetei:

Part I - Emergence
1. The Zero Day
2. BlackEnergy
3. Arrakis 02
4. Force Multiplier
5. StarLightMedia
6. Holodomor to Chernobyl
7. Maidan to Donbas
8. Blackout
9. The Delegation

Part II - Origins
10. Flashback: Aurora
11. Flashback: Moonlight Maze
12. Flashback: Estonia
13. Flashback: Georgia
14. Flashback: Stuxnet

Part III - Evolution
15. Warnings
16. Fancy Bear
17. FSociety
18. Polygon
19. Industroyer/CrashOverride

Part IV - Apotheosis
20. Maersk
21. Shadow Brokers
22. EternalBlue
23. Mimikatz
24. NotPetya
25. National Disaster
26. Breakdown
27. The Cost
28. Aftermath
29. Distance

Part V - Identity
30. GRU
31. Defectors
32. Informatsionnoye Protivoborstvo
33. The Penalty
34. Bad Rabbit, Olympic Destroyer
35. False Flags
36. 74455
37. The Tower
38. Russia
39. The Elephant and the Insurgent

Part VI - Lessons
40. Geneva
41. Black Start
42. Resilience

Appendix: Sandworm's Connection to French Election Hacking

Bejelentés dátuma: 2025.10.07.
Gyártó: B&R Automation
Érintett rendszer(ek):
- Automation Runtime 6.3-nál és Q4.93-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Resource Locking (CVE-2025-3450)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.br-automation.com/fileadmin/SA25P002-f6a69e61.pdf

Bejelentés dátuma: 2025.10.08.
Gyártó: ABB
Érintett rendszer(ek):
- MConfig V1.4.9.21-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Application credential stored in clear text in memory (CVE-2025-9970)/súlyos;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2025.10.08.
Gyártó: ABB
Érintett rendszer(ek):
- Terra AC wallbox (JP) 1.8.33-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap Memory Corruption (CVE-2025-10504)/közepes;
- Heap-based Buffer Overflow (CVE-2025-10504)/közepes;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2025.10.14.
Gyártó: B&R Automation
Érintett rendszer(ek):
- Automation Runtime 6.4-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Session Token (CVE-2025-3449)/közepes;
- Cross-Site Scripting (CVE-2025-3448)/közepes;
- CSV formula injection (CVE-2025-11498)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.br-automation.com/fileadmin/SA25P003-178b6a20.pdf

Bejelentés dátuma: 2025.10.14.
Gyártó: Phoenix Contact
Érintett rendszer(ek):
- 1139022 modellszámú CHARX SEC-3000 FW 1.7.4-nél korábbi firmware-verziói;
- 1139018 modellszámú CHARX SEC-3050 FW 1.7.4-nél korábbi firmware-verziói;
- 1139012 modellszámú CHARX SEC-3100 FW 1.7.4-nél korábbi firmware-verziói;
- 1138965 modellszámú CHARX SEC-3150 FW 1.7.4-nél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Code Injection (CVE-2025-41699)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2025-074/

Bejelentés dátuma: 2025.10.14.
Gyártó: Eaton
Érintett rendszer(ek):
- Eaton IPP szoftver minden, 1.76-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insecure library loading (CVE-2025-59889)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Eaton Vulnerability Advisory

Bejelentés dátuma: 2025.10.20.
Gyártó: ABB
Érintett rendszer(ek):
- CoreSense™ HM 2.3.1-es és korábbi verziói;
- CoreSense™ M10 1.4.1.12-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-3465)/súlyos;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2025.10.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1783-NATR minden, 1.006-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-7328)/kritikus;
- Cross-site Scripting (CVE-2025-7329)/súlyos;
- Cross-Site Request Forgery (CSRF) (CVE-2025-7330)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-01

Bejelentés dátuma: 2025.10.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Compact GuardLogix 5370 minden, 30.012-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncaught Exception (CVE-2025-9124)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-02

Bejelentés dátuma: 2025.10.21.
Gyártó: CloudEdge
Érintett rendszer(ek):
- CloudEdge App 4.4.2-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Neutralization of Wildcards or Matching Symbols (CVE-2025-11757)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-05

Bejelentés dátuma: 2025.10.21.
Gyártó: Raisecomm
Érintett rendszer(ek):
- RAX701-GC-WP-01 P200R002C52 5.5.27_20190111-es firmware-verziója;
- RAX701-GC-WP-01 P200R002C53 5.5.13_20180720 és 5.5.36_20190709-es firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2025-11534)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-06

Bejelentés dátuma: 2025.10.23.
Gyártó: Moxa
Érintett rendszer(ek):
- TN-4500A sorozatú eszközök v3.13-as és korábbi firmware-verziói;
- TN-5500A sorozatú eszközök v3.13-as és korábbi firmware-verziói;
- TN-G4500 sorozatú eszközök v5.5-ös és korábbi firmware-verziói;
- TN-G6500 sorozatú eszközök v5.5-ös és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-Site Scripting (CVE-2025-1679)/közepes;
- Resource Location Spoofing (CVE-2025-1680)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.10.23.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- Productivity Suite v4.4.1.19-es és korábbi verziója;
- Productivity 3000 P3-622 CPU v4.4.1.19-es és korábbi verziója;
- Productivity 3000 P3-550E CPU v4.4.1.19-es és korábbi verziója;
- Productivity 3000 P3-530 CPU v4.4.1.19-es és korábbi verziója;
- Productivity 2000 P2-622 CPU v4.4.1.19-es és korábbi verziója;
- Productivity 2000 P2-550 CPU v4.4.1.19-es és korábbi verziója;
- Productivity 1000 P1-550 CPU v4.4.1.19-es és korábbi verziója;
- Productivity 1000 P1-540 CPU v4.4.1.19-es és korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Relative Path Traversal (CVE-2025-62498)/súlyos;
- Weak Password Recovery Mechanism for Forgotten Password (CVE-2025-61977)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2025-62688)/súlyos;
- Binding to an Unrestricted IP Address (CVE-2025-61934)/kritikus;
- Relative Path Traversal (CVE-2025-58456)/közepes;
- Relative Path Traversal (CVE-2025-58078)/súlyos;
- Relative Path Traversal (CVE-2025-58429)/súlyos;
- Relative Path Traversal (CVE-2025-59776)/közepes;
- Relative Path Traversal (CVE-2025-60023)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-01

Bejelentés dátuma: 2025.10.23.
Gyártó: ASKI Energy
Érintett rendszer(ek):
- ALS-maini-s4 IP (2000-től 5166-ig terjedő sorozatszámainak) minden verziója;
- ALS-maini-s8 IP (2000-től 5166-ig terjedő sorozatszámainak) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-9574)/kritikus;
Javítás: Nincs az érintett termékcsalád elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-02

Bejelentés dátuma: 2025.10.23.
Gyártó: Veeder-Root
Érintett rendszer(ek):
- TLS4B 11.A-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2025-58428)/kritikus;
- Integer Overflow or Wraparound (CVE-2025-55067)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-03

Bejelentés dátuma: 2025.10.23.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- ASDA-Soft 7.0.2.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2025-62579)/súlyos;
- Stack-based Buffer Overflow (CVE-2025-62580)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-04

Bejelentés dátuma: 2025.10.24.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann HiOS Switch Platform minden verziója;
- Hirschmann Classic Switch Platform minden verziója;
- Hirschmann HiLCOS Wireless Platform 10.34-RU7-es és korábbi verziói;
- Hirschmann HiSecOS Firewall Platform minden verziója;
- macmon-NAC minden verziója;
- Hirschmann IT Enterprise Managed Switches minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- RADIUS Protocol sérülékenység (CVE-2024-3596)/kritikus;
Javítás: Részben elérhető.
Link a publikációhoz: Belden

Bejelentés dátuma: 2025.10.28.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure OPC UA Server Expert SV2.01 SP3-nál korábbi verziói;
- EcoStruxure Modicon Communication Server minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2024-10085)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-301-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Alig két hete jelent meg a Forescout-hoz tartozó Verdere labor munkatársainak tanulmánya arról, hogyan támadta meg a TwoNet néven ismert, a feltételezések szerint oroszpárti hacktivista csoport az egyik, viziközmű ICS/OT rendszernek felépített honeypot-jukat.

A riport szerint a támadók képesek voltak nemcsak a bejelentkezési felületet megváltoztatni (deface-elni), hanem módosították a PLC-k beállításait, majd megzavarták a vezérelt folyamatokat és lehetetlenné tették a mérések valósidejű frissítéseit, valamint kikapcsolták a rendszerből az operátor felé küldött riasztásokat és naplózást.

A jelentés kitér arra is, hogy a megtámadott rendszer HMI-jének élő Internet-kapcsolata volt és a gyári, alapértelmezett jelszóval lehetett rá bejelentkezni, ami két olyan biztonsági hiányosság (nevezhetném hanyagságnak is valódi folyamatirányító rendszerek esetén), amiről legalább 10-15 éve beszél a szakma, hogy ez az egyik alapvető dolog, amit soha ne tegyenek az ICS/OT rendszereket tervező és építő mérnök kollégák. Ennek ellenére mind a mai napig ezrével lehet ilyen rendszereket találni az Interneten (elég csak a Sector16 által "meglátogatott" magyar rendszerekre gondolni).

Az is egyértelműen látszik, hogy az elmúlt 15 évben az ICS/OT rendszerek elleni sikeres támadáshoz szükséges szakértelem belépő szintje nagyon sokat csökkent, a Stuxnet-nél vagy az ukrán áramszolgáltatók elleni támadásoknál még komoly titkosszolgálati háttérrel kellett rendelkezni egy sikeres támadáshoz, ma pedig már hacktivisták is képesek lehet gyengén védett ipari folyamatirányító rendszerekben sikeres beavatkozást végigvinni.

A konkrét, Vedere Labs által ismertetett eset meglehetősen kettős, mert egyrészt a támadók sikeresek voltak még a fizikai folyamatvezérlés módosításában is, ugyanakkor azt nem vették észre, hogy nem egy valódi viziközmű ICS/OT rendszerben garázdálkodnak, hanem egy honeypot rendszerben. Ez a tény azért kétségeket ébreszt a felkészültségük valódi mélységeit illetően (ugyanakkor nem győzöm eléggé hangsúlyozni, hogy a tény, hogy a célba vett rendszert teljes mélységében képesek voltak irányítani, éppen elég ijesztő, függetlenül attól, hogy a mostani áldozatuk egy honeypot volt - ugyanilyen könnyen találhatnak maguknak más fontos, Interneten elérhető rendszert, ami viszont már éles lesz)

Bejelentés dátuma: 2025.10.09.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann HiOS Switch Platform 09.1.00-nál újabb verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect HTTP request handling (n/a)/critical;
Javítás: Elérhető
Link a publikációhoz: Belden

Bejelentés dátuma: 2025.10.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1715 EtherNet/IP 3.003-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2025-9177)/súlyos;
- Out-of-bounds Write (CVE-2025-9178)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-287-01

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SiPass integrated V3.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-35002)/súlyos;
- Cross-site Scripting (CVE-2025-40772)/súlyos;
- Authorization Bypass Through User-Controlled Key (CVE-2025-40773)/alacsony;
- Storing Passwords in a Recoverable Format (CVE-2025-40774)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS V4.0 SP1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SQL Injection (CVE-2025-40755)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC CP 1542SP-1 (6GK7542-6UX00-0XE0) 2.4.24-nél korábbi verziói;
- Siemens SIMATIC CP 1542SP-1 IRC (6GK7542-6VX00-0XE0) 2.4.24-nél korábbi verziói;
- Siemens SIMATIC CP 1543SP-1 (6GK7543-6WX00-0XE0) 2.4.24-nél korábbi verziói;
- Siemens SIPLUS ET 200SP CP 1542SP-1 IRC TX RAIL (6AG2542-6VX00-4XE0) 2.4.24-nél korábbi verziói;
- Siemens SIPLUS ET 200SP CP 1543SP-1 ISEC (6AG1543-6WX00-7XE0) 2.4.24-nél korábbi verziói;
- Siemens SIPLUS ET 200SP CP 1543SP-1 ISEC TX RAIL (6AG2543-6WX00-4XE0) 2.4.24-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-40771)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Solid Edge SE2024 V224.0 Update 14-nél korábbi verziói;
- Siemens Solid Edge SE2025 V225.0 Update 6-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2025-40809)/súlyos;
- Out-of-bounds Write (CVE-2025-40810)/súlyos;
- Out-of-bounds Read (CVE-2025-40811)/súlyos;
- Out-of-bounds Read (CVE-2025-40812)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens HyperLynx minden verziója;
- Siemens Industrial Edge App Publisher 1.23.5-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Type Confusion
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- TeleControl Server Basic V3.1 V3.1.2.2 és újabb, de V3.1.2.3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-40765)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ OPC UA Server Expert SV2.01 SP3-nál korábbi verziói;
- EcoStruxure™ Modicon Communication Server minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2024-10085)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.10.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- PanelView Plus 7 Terminal 14-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2025-9066)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-03

Bejelentés dátuma: 2025.10.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ArmorStart AOP V2.05.07-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncaught Exception (CVE-2025-9437)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-04

Bejelentés dátuma: 2025.10.16.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MACH GWS 3.0.0.0-tól 3.4.0.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Default Permissions (CVE-2025-39201)/közepes;
- Improper Validation of Integrity Check Value (CVE-2025-39203)/közepes;
- Improper Certificate Validation (CVE-2025-39205)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-11

Bejelentés dátuma: 2025.10.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Linx 6.40-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Privilege Chaining (CVE-2025-9067)/súlyos;
- Privilege Chaining (CVE-2025-9068)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-02

Bejelentés dátuma: 2025.10.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View Machine Edition V15.00 verziója;
- PanelView Plus 7 V14.100 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-9064)/súlyos;
- Improper Authorization (CVE-2025-9063)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-01

Bejelentés dátuma: 2025.10.17.
Gyártó: Moxa
Érintett rendszer(ek):
- EDR-G9010 sorozatú eszközök v3.14-es és korábbi verziói;
- EDR-8010 sorozatú eszközök v3.17-es és korábbi verziói;
- EDF-G1002-BP sorozatú eszközök v3.17-es és korábbi verziói;
- TN-4900 sorozatú eszközök v3.14-es és korábbi verziói;
- NAT-102 sorozatú eszközök v3.17-es és korábbi verziói;
- NAT-108 sorozatú eszközök v3.16-os és korábbi verziói;
- OnCell G4302-LTE4 sorozatú eszközök v3.13-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Authorization (CVE-2025-6892)/súlyos;
- Execution with Unnecessary Privileges (CVE-2025-6893)/kritikus;
- Execution with Unnecessary Privileges (CVE-2025-6894)/közepes;
- Execution with Unnecessary Privileges (CVE-2025-6949)/kritikus;
- Use of Hard-coded Credentials (CVE-2025-6950)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Moxa

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Még az október 6-i héten találkoztam azokkal a hírekkel, hogy a kaliforniai el Segundo és az oroszországi Jaroslavl finomítóiben is komoly tűzek csaptak fel. Ahogy az elmúlt bő 3,5 évben megszokhattuk, az orosz incidensről nincs sok információnk, de a kaliforniai tűzről, aminek a lángjai az el Segundo finomító Isomax-7-es üzemében, egy kerozin-előállító egységben csaptak fel, több forrásból is láttam információkat. Ezek végül arra késztettek, hogy néhány gondolatomat megosszam arról a (látni vélt) tendenciáról, ami szerintem nagyon nem pozitív irányba mutat. Ez pedig az, hogy mind gyakrabban lehet látni, hogy emberek egy-egy ipari létesítményben történt incidens után a megfelelően szilárd bizonyítékok nélkül kezdik emlegetni azt, hogy az adott incidensnek volt kiberbiztonsági kiváltó oka.

Erre kiváló példa ez a LinkedIn poszt. Miről van itt szó? Volt egy tűz egy amerikai olajfinomító egyik üzemében (ami bár komoly incidens, de korántsem szokatlan - hallottam én olyat, hogy "volt egy kis tűz Százhalombattán, égett úgy 60 m2, de az üzemben dolgozók eloltották, mire a létesítményi tűzoltók odaértek...") és ebben a posztban elég gyorsan (és bármilyen komolyan vehető bizonyíték nélkül) szinte azonnal összekapcsolja a szerző a kb. egy héttel korábban publikált, Cisco ASA/FTD tűzfalakat érintő sérülékenységgel.

Nyilván nem tudom 100%-os biztonsággal állítani, hogy az el Segundo-i incidensnek nem volt semmilyen kiberbiztonsági kiváltó oka, de pont ugyanennyire nincs arra vonatkozó bizonyíték sem, hogy volt - és ez csak az első olyan poszt volt LinkedIn-en, amiben a szerzők ezt a tűzesetet hozták indoknak az ICS/OT kiberbiztonság melletti érvelésük során (pl. ez). 

A Jaroslavl-i olajfinomítóban (ami egyes információk szerint a legnagyobb ilyen orosz létesítmény) pusztító tűz okáról még ennél is kevesebb biztos införmációnk van, hiszen az utóbbi hónapokban ismét megszaporodtak az orosz olajinfrastruktúra elleni ukrán dróntámadások, így annak én jelenleg nagyobb esélyét látom, hogy ezt a tüzet egy (vagy több) drón okozta, mint hogy kibertámás lett volna a hátterében - ugyanakkor megint ki kell emelni, bizonyítékkal én sem rendelkezem, ez csak egy feltételezés.

Jól látható tehát: az egyes ipari és/vagy kritikus infrastruktúrákat érintő incidensek továbbra is számos kiváltó ok miatt bekövetkezhetnek. A kiberbiztonsági incidenseket, mint ezek egyik, de korántsem egyetlen kiváltó okát a saját súlyuknak megfelelően kell kezelni és sem alá, sem túlbecsülni nem szabad a fontosságukat. Minden esetben törekedni kell arra, hogy több forrásból alátámasztott, szilárd bizonyítékok mentén tegyünk kijelentéseket azzal kapcsolatban, hogy egy incidens kiváltó oka kiberbiztonsági volt-e vagy sem. Ez, ahogy egyre kevesebb incidens esetén lehet megbízható és ellenőrizhető információkhoz jutni, mind nehezebb lesz, a bizonytalanság várhatóan még nőni fog.

Ami viszont biztos: a drónhadviselés és az ipari kritikus infrastruktúrákat fenyegető kibertámadások korában két olyan, korábban nem túl komolyan vett fenyegetéssel is reálisan számolni kell, amelyeket csak jól átgondolt és felépített, komplex és hosszútávú (10+ éves) programok mentén lehet elfogadható szintű kockázattá mérsékelni. Ehhez pedig jó szakemberek és pénz egyaránt kelleni fognak, márpedig ez az a két dolog, amit a céges felsővezetés a legkevésbé szeret hallani.

Ez a dillema azonban nem csak a kritikus infrastruktúrák védelmével foglalkozó szakembereket foglalkoztatja. Ebben a cikkben arról olvastam, hogy a Trump adminisztráció által irányított Pentagonban a kiberbiztonsági képzések kárára tervezik növelni a hagyományos hadgyakorlatok számát.

Tartok tőle, hogy ez a döntés csak az első a sorban, a (túlságosan) konzervatívan gondolkodó politikusok (közülük is főleg a digitálisan maximum annyira képzettek, hogy a közösségi médiában világgá tudják kürtölni a véleményüket) még jó néhány esetben ezt fogják csinálni. Aztán azt a rombolást, amit a kiberbiztonság terén a védelmi képességekben okoztak, évek, ha nem évtizedek munkája lesz helyrehozni - miközben a kritikus infrastruktúráinkra a kibertérből leselkedő fenyegetések egyre kifinomultabbak lesznek.