Nem tartott sokáig, hogy kakukktojás könyvet hozzak ebben a sorozatban - viszont Andy Greenberg könyve, a Sandworm (A new era of cyberwar and the hunt for the Kremlin's most dangerous hackers) olyan részletekről is ír a GRU-hoz (az orosz katonai titkosszolgálathoz) tartozónak tartott APT-csoport bemutatása során, amiket szerintem kár lenne kihagyni.

A teljesség igénye nélkül csak két, ICS/OT biztonsági szempontból meghatározó esemény, amiket részletesen bemutat a szerző, az első az Aurora teszt, amit az Idaho National Laboratory-ban hajtottak végre és amiben több olyan szakértő is aktívan közreműködött, akikre a blogon én is szoktam hivatkozni (Mike Assante és Joe Weiss). A másik pedig az Industroyer/CrashOverride nevű ICS malware-támadás a Kijev-északi Ukrenergo-alállomás ellen, amiben a második ismert autonóm ICS-malware-t fedezték fel.

A könyv fejezetei:

Part I - Emergence
1. The Zero Day
2. BlackEnergy
3. Arrakis 02
4. Force Multiplier
5. StarLightMedia
6. Holodomor to Chernobyl
7. Maidan to Donbas
8. Blackout
9. The Delegation

Part II - Origins
10. Flashback: Aurora
11. Flashback: Moonlight Maze
12. Flashback: Estonia
13. Flashback: Georgia
14. Flashback: Stuxnet

Part III - Evolution
15. Warnings
16. Fancy Bear
17. FSociety
18. Polygon
19. Industroyer/CrashOverride

Part IV - Apotheosis
20. Maersk
21. Shadow Brokers
22. EternalBlue
23. Mimikatz
24. NotPetya
25. National Disaster
26. Breakdown
27. The Cost
28. Aftermath
29. Distance

Part V - Identity
30. GRU
31. Defectors
32. Informatsionnoye Protivoborstvo
33. The Penalty
34. Bad Rabbit, Olympic Destroyer
35. False Flags
36. 74455
37. The Tower
38. Russia
39. The Elephant and the Insurgent

Part VI - Lessons
40. Geneva
41. Black Start
42. Resilience

Appendix: Sandworm's Connection to French Election Hacking

Bejelentés dátuma: 2025.10.07.
Gyártó: B&R Automation
Érintett rendszer(ek):
- Automation Runtime 6.3-nál és Q4.93-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Resource Locking (CVE-2025-3450)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.br-automation.com/fileadmin/SA25P002-f6a69e61.pdf

Bejelentés dátuma: 2025.10.08.
Gyártó: ABB
Érintett rendszer(ek):
- MConfig V1.4.9.21-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Application credential stored in clear text in memory (CVE-2025-9970)/súlyos;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2025.10.08.
Gyártó: ABB
Érintett rendszer(ek):
- Terra AC wallbox (JP) 1.8.33-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap Memory Corruption (CVE-2025-10504)/közepes;
- Heap-based Buffer Overflow (CVE-2025-10504)/közepes;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2025.10.14.
Gyártó: B&R Automation
Érintett rendszer(ek):
- Automation Runtime 6.4-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Session Token (CVE-2025-3449)/közepes;
- Cross-Site Scripting (CVE-2025-3448)/közepes;
- CSV formula injection (CVE-2025-11498)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.br-automation.com/fileadmin/SA25P003-178b6a20.pdf

Bejelentés dátuma: 2025.10.14.
Gyártó: Phoenix Contact
Érintett rendszer(ek):
- 1139022 modellszámú CHARX SEC-3000 FW 1.7.4-nél korábbi firmware-verziói;
- 1139018 modellszámú CHARX SEC-3050 FW 1.7.4-nél korábbi firmware-verziói;
- 1139012 modellszámú CHARX SEC-3100 FW 1.7.4-nél korábbi firmware-verziói;
- 1138965 modellszámú CHARX SEC-3150 FW 1.7.4-nél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Code Injection (CVE-2025-41699)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2025-074/

Bejelentés dátuma: 2025.10.14.
Gyártó: Eaton
Érintett rendszer(ek):
- Eaton IPP szoftver minden, 1.76-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insecure library loading (CVE-2025-59889)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Eaton Vulnerability Advisory

Bejelentés dátuma: 2025.10.20.
Gyártó: ABB
Érintett rendszer(ek):
- CoreSense™ HM 2.3.1-es és korábbi verziói;
- CoreSense™ M10 1.4.1.12-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-3465)/súlyos;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2025.10.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1783-NATR minden, 1.006-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-7328)/kritikus;
- Cross-site Scripting (CVE-2025-7329)/súlyos;
- Cross-Site Request Forgery (CSRF) (CVE-2025-7330)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-01

Bejelentés dátuma: 2025.10.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Compact GuardLogix 5370 minden, 30.012-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncaught Exception (CVE-2025-9124)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-02

Bejelentés dátuma: 2025.10.21.
Gyártó: CloudEdge
Érintett rendszer(ek):
- CloudEdge App 4.4.2-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Neutralization of Wildcards or Matching Symbols (CVE-2025-11757)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-05

Bejelentés dátuma: 2025.10.21.
Gyártó: Raisecomm
Érintett rendszer(ek):
- RAX701-GC-WP-01 P200R002C52 5.5.27_20190111-es firmware-verziója;
- RAX701-GC-WP-01 P200R002C53 5.5.13_20180720 és 5.5.36_20190709-es firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2025-11534)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-06

Bejelentés dátuma: 2025.10.23.
Gyártó: Moxa
Érintett rendszer(ek):
- TN-4500A sorozatú eszközök v3.13-as és korábbi firmware-verziói;
- TN-5500A sorozatú eszközök v3.13-as és korábbi firmware-verziói;
- TN-G4500 sorozatú eszközök v5.5-ös és korábbi firmware-verziói;
- TN-G6500 sorozatú eszközök v5.5-ös és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-Site Scripting (CVE-2025-1679)/közepes;
- Resource Location Spoofing (CVE-2025-1680)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.10.23.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- Productivity Suite v4.4.1.19-es és korábbi verziója;
- Productivity 3000 P3-622 CPU v4.4.1.19-es és korábbi verziója;
- Productivity 3000 P3-550E CPU v4.4.1.19-es és korábbi verziója;
- Productivity 3000 P3-530 CPU v4.4.1.19-es és korábbi verziója;
- Productivity 2000 P2-622 CPU v4.4.1.19-es és korábbi verziója;
- Productivity 2000 P2-550 CPU v4.4.1.19-es és korábbi verziója;
- Productivity 1000 P1-550 CPU v4.4.1.19-es és korábbi verziója;
- Productivity 1000 P1-540 CPU v4.4.1.19-es és korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Relative Path Traversal (CVE-2025-62498)/súlyos;
- Weak Password Recovery Mechanism for Forgotten Password (CVE-2025-61977)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2025-62688)/súlyos;
- Binding to an Unrestricted IP Address (CVE-2025-61934)/kritikus;
- Relative Path Traversal (CVE-2025-58456)/közepes;
- Relative Path Traversal (CVE-2025-58078)/súlyos;
- Relative Path Traversal (CVE-2025-58429)/súlyos;
- Relative Path Traversal (CVE-2025-59776)/közepes;
- Relative Path Traversal (CVE-2025-60023)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-01

Bejelentés dátuma: 2025.10.23.
Gyártó: ASKI Energy
Érintett rendszer(ek):
- ALS-maini-s4 IP (2000-től 5166-ig terjedő sorozatszámainak) minden verziója;
- ALS-maini-s8 IP (2000-től 5166-ig terjedő sorozatszámainak) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-9574)/kritikus;
Javítás: Nincs az érintett termékcsalád elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-02

Bejelentés dátuma: 2025.10.23.
Gyártó: Veeder-Root
Érintett rendszer(ek):
- TLS4B 11.A-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2025-58428)/kritikus;
- Integer Overflow or Wraparound (CVE-2025-55067)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-03

Bejelentés dátuma: 2025.10.23.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- ASDA-Soft 7.0.2.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2025-62579)/súlyos;
- Stack-based Buffer Overflow (CVE-2025-62580)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-04

Bejelentés dátuma: 2025.10.24.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann HiOS Switch Platform minden verziója;
- Hirschmann Classic Switch Platform minden verziója;
- Hirschmann HiLCOS Wireless Platform 10.34-RU7-es és korábbi verziói;
- Hirschmann HiSecOS Firewall Platform minden verziója;
- macmon-NAC minden verziója;
- Hirschmann IT Enterprise Managed Switches minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- RADIUS Protocol sérülékenység (CVE-2024-3596)/kritikus;
Javítás: Részben elérhető.
Link a publikációhoz: Belden

Bejelentés dátuma: 2025.10.28.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure OPC UA Server Expert SV2.01 SP3-nál korábbi verziói;
- EcoStruxure Modicon Communication Server minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2024-10085)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-301-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Alig két hete jelent meg a Forescout-hoz tartozó Verdere labor munkatársainak tanulmánya arról, hogyan támadta meg a TwoNet néven ismert, a feltételezések szerint oroszpárti hacktivista csoport az egyik, viziközmű ICS/OT rendszernek felépített honeypot-jukat.

A riport szerint a támadók képesek voltak nemcsak a bejelentkezési felületet megváltoztatni (deface-elni), hanem módosították a PLC-k beállításait, majd megzavarták a vezérelt folyamatokat és lehetetlenné tették a mérések valósidejű frissítéseit, valamint kikapcsolták a rendszerből az operátor felé küldött riasztásokat és naplózást.

A jelentés kitér arra is, hogy a megtámadott rendszer HMI-jének élő Internet-kapcsolata volt és a gyári, alapértelmezett jelszóval lehetett rá bejelentkezni, ami két olyan biztonsági hiányosság (nevezhetném hanyagságnak is valódi folyamatirányító rendszerek esetén), amiről legalább 10-15 éve beszél a szakma, hogy ez az egyik alapvető dolog, amit soha ne tegyenek az ICS/OT rendszereket tervező és építő mérnök kollégák. Ennek ellenére mind a mai napig ezrével lehet ilyen rendszereket találni az Interneten (elég csak a Sector16 által "meglátogatott" magyar rendszerekre gondolni).

Az is egyértelműen látszik, hogy az elmúlt 15 évben az ICS/OT rendszerek elleni sikeres támadáshoz szükséges szakértelem belépő szintje nagyon sokat csökkent, a Stuxnet-nél vagy az ukrán áramszolgáltatók elleni támadásoknál még komoly titkosszolgálati háttérrel kellett rendelkezni egy sikeres támadáshoz, ma pedig már hacktivisták is képesek lehet gyengén védett ipari folyamatirányító rendszerekben sikeres beavatkozást végigvinni.

A konkrét, Vedere Labs által ismertetett eset meglehetősen kettős, mert egyrészt a támadók sikeresek voltak még a fizikai folyamatvezérlés módosításában is, ugyanakkor azt nem vették észre, hogy nem egy valódi viziközmű ICS/OT rendszerben garázdálkodnak, hanem egy honeypot rendszerben. Ez a tény azért kétségeket ébreszt a felkészültségük valódi mélységeit illetően (ugyanakkor nem győzöm eléggé hangsúlyozni, hogy a tény, hogy a célba vett rendszert teljes mélységében képesek voltak irányítani, éppen elég ijesztő, függetlenül attól, hogy a mostani áldozatuk egy honeypot volt - ugyanilyen könnyen találhatnak maguknak más fontos, Interneten elérhető rendszert, ami viszont már éles lesz)

Bejelentés dátuma: 2025.10.09.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann HiOS Switch Platform 09.1.00-nál újabb verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect HTTP request handling (n/a)/critical;
Javítás: Elérhető
Link a publikációhoz: Belden

Bejelentés dátuma: 2025.10.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1715 EtherNet/IP 3.003-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2025-9177)/súlyos;
- Out-of-bounds Write (CVE-2025-9178)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-287-01

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SiPass integrated V3.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-35002)/súlyos;
- Cross-site Scripting (CVE-2025-40772)/súlyos;
- Authorization Bypass Through User-Controlled Key (CVE-2025-40773)/alacsony;
- Storing Passwords in a Recoverable Format (CVE-2025-40774)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS V4.0 SP1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SQL Injection (CVE-2025-40755)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC CP 1542SP-1 (6GK7542-6UX00-0XE0) 2.4.24-nél korábbi verziói;
- Siemens SIMATIC CP 1542SP-1 IRC (6GK7542-6VX00-0XE0) 2.4.24-nél korábbi verziói;
- Siemens SIMATIC CP 1543SP-1 (6GK7543-6WX00-0XE0) 2.4.24-nél korábbi verziói;
- Siemens SIPLUS ET 200SP CP 1542SP-1 IRC TX RAIL (6AG2542-6VX00-4XE0) 2.4.24-nél korábbi verziói;
- Siemens SIPLUS ET 200SP CP 1543SP-1 ISEC (6AG1543-6WX00-7XE0) 2.4.24-nél korábbi verziói;
- Siemens SIPLUS ET 200SP CP 1543SP-1 ISEC TX RAIL (6AG2543-6WX00-4XE0) 2.4.24-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-40771)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Solid Edge SE2024 V224.0 Update 14-nél korábbi verziói;
- Siemens Solid Edge SE2025 V225.0 Update 6-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2025-40809)/súlyos;
- Out-of-bounds Write (CVE-2025-40810)/súlyos;
- Out-of-bounds Read (CVE-2025-40811)/súlyos;
- Out-of-bounds Read (CVE-2025-40812)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens HyperLynx minden verziója;
- Siemens Industrial Edge App Publisher 1.23.5-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Type Confusion
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- TeleControl Server Basic V3.1 V3.1.2.2 és újabb, de V3.1.2.3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-40765)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ OPC UA Server Expert SV2.01 SP3-nál korábbi verziói;
- EcoStruxure™ Modicon Communication Server minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2024-10085)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.10.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- PanelView Plus 7 Terminal 14-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2025-9066)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-03

Bejelentés dátuma: 2025.10.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ArmorStart AOP V2.05.07-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncaught Exception (CVE-2025-9437)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-04

Bejelentés dátuma: 2025.10.16.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MACH GWS 3.0.0.0-tól 3.4.0.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Default Permissions (CVE-2025-39201)/közepes;
- Improper Validation of Integrity Check Value (CVE-2025-39203)/közepes;
- Improper Certificate Validation (CVE-2025-39205)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-11

Bejelentés dátuma: 2025.10.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Linx 6.40-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Privilege Chaining (CVE-2025-9067)/súlyos;
- Privilege Chaining (CVE-2025-9068)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-02

Bejelentés dátuma: 2025.10.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View Machine Edition V15.00 verziója;
- PanelView Plus 7 V14.100 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-9064)/súlyos;
- Improper Authorization (CVE-2025-9063)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-01

Bejelentés dátuma: 2025.10.17.
Gyártó: Moxa
Érintett rendszer(ek):
- EDR-G9010 sorozatú eszközök v3.14-es és korábbi verziói;
- EDR-8010 sorozatú eszközök v3.17-es és korábbi verziói;
- EDF-G1002-BP sorozatú eszközök v3.17-es és korábbi verziói;
- TN-4900 sorozatú eszközök v3.14-es és korábbi verziói;
- NAT-102 sorozatú eszközök v3.17-es és korábbi verziói;
- NAT-108 sorozatú eszközök v3.16-os és korábbi verziói;
- OnCell G4302-LTE4 sorozatú eszközök v3.13-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Authorization (CVE-2025-6892)/súlyos;
- Execution with Unnecessary Privileges (CVE-2025-6893)/kritikus;
- Execution with Unnecessary Privileges (CVE-2025-6894)/közepes;
- Execution with Unnecessary Privileges (CVE-2025-6949)/kritikus;
- Use of Hard-coded Credentials (CVE-2025-6950)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Moxa

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Még az október 6-i héten találkoztam azokkal a hírekkel, hogy a kaliforniai el Segundo és az oroszországi Jaroslavl finomítóiben is komoly tűzek csaptak fel. Ahogy az elmúlt bő 3,5 évben megszokhattuk, az orosz incidensről nincs sok információnk, de a kaliforniai tűzről, aminek a lángjai az el Segundo finomító Isomax-7-es üzemében, egy kerozin-előállító egységben csaptak fel, több forrásból is láttam információkat. Ezek végül arra késztettek, hogy néhány gondolatomat megosszam arról a (látni vélt) tendenciáról, ami szerintem nagyon nem pozitív irányba mutat. Ez pedig az, hogy mind gyakrabban lehet látni, hogy emberek egy-egy ipari létesítményben történt incidens után a megfelelően szilárd bizonyítékok nélkül kezdik emlegetni azt, hogy az adott incidensnek volt kiberbiztonsági kiváltó oka.

Erre kiváló példa ez a LinkedIn poszt. Miről van itt szó? Volt egy tűz egy amerikai olajfinomító egyik üzemében (ami bár komoly incidens, de korántsem szokatlan - hallottam én olyat, hogy "volt egy kis tűz Százhalombattán, égett úgy 60 m2, de az üzemben dolgozók eloltották, mire a létesítményi tűzoltók odaértek...") és ebben a posztban elég gyorsan (és bármilyen komolyan vehető bizonyíték nélkül) szinte azonnal összekapcsolja a szerző a kb. egy héttel korábban publikált, Cisco ASA/FTD tűzfalakat érintő sérülékenységgel.

Nyilván nem tudom 100%-os biztonsággal állítani, hogy az el Segundo-i incidensnek nem volt semmilyen kiberbiztonsági kiváltó oka, de pont ugyanennyire nincs arra vonatkozó bizonyíték sem, hogy volt - és ez csak az első olyan poszt volt LinkedIn-en, amiben a szerzők ezt a tűzesetet hozták indoknak az ICS/OT kiberbiztonság melletti érvelésük során (pl. ez). 

A Jaroslavl-i olajfinomítóban (ami egyes információk szerint a legnagyobb ilyen orosz létesítmény) pusztító tűz okáról még ennél is kevesebb biztos införmációnk van, hiszen az utóbbi hónapokban ismét megszaporodtak az orosz olajinfrastruktúra elleni ukrán dróntámadások, így annak én jelenleg nagyobb esélyét látom, hogy ezt a tüzet egy (vagy több) drón okozta, mint hogy kibertámás lett volna a hátterében - ugyanakkor megint ki kell emelni, bizonyítékkal én sem rendelkezem, ez csak egy feltételezés.

Jól látható tehát: az egyes ipari és/vagy kritikus infrastruktúrákat érintő incidensek továbbra is számos kiváltó ok miatt bekövetkezhetnek. A kiberbiztonsági incidenseket, mint ezek egyik, de korántsem egyetlen kiváltó okát a saját súlyuknak megfelelően kell kezelni és sem alá, sem túlbecsülni nem szabad a fontosságukat. Minden esetben törekedni kell arra, hogy több forrásból alátámasztott, szilárd bizonyítékok mentén tegyünk kijelentéseket azzal kapcsolatban, hogy egy incidens kiváltó oka kiberbiztonsági volt-e vagy sem. Ez, ahogy egyre kevesebb incidens esetén lehet megbízható és ellenőrizhető információkhoz jutni, mind nehezebb lesz, a bizonytalanság várhatóan még nőni fog.

Ami viszont biztos: a drónhadviselés és az ipari kritikus infrastruktúrákat fenyegető kibertámadások korában két olyan, korábban nem túl komolyan vett fenyegetéssel is reálisan számolni kell, amelyeket csak jól átgondolt és felépített, komplex és hosszútávú (10+ éves) programok mentén lehet elfogadható szintű kockázattá mérsékelni. Ehhez pedig jó szakemberek és pénz egyaránt kelleni fognak, márpedig ez az a két dolog, amit a céges felsővezetés a legkevésbé szeret hallani.

Ez a dillema azonban nem csak a kritikus infrastruktúrák védelmével foglalkozó szakembereket foglalkoztatja. Ebben a cikkben arról olvastam, hogy a Trump adminisztráció által irányított Pentagonban a kiberbiztonsági képzések kárára tervezik növelni a hagyományos hadgyakorlatok számát.

Tartok tőle, hogy ez a döntés csak az első a sorban, a (túlságosan) konzervatívan gondolkodó politikusok (közülük is főleg a digitálisan maximum annyira képzettek, hogy a közösségi médiában világgá tudják kürtölni a véleményüket) még jó néhány esetben ezt fogják csinálni. Aztán azt a rombolást, amit a kiberbiztonság terén a védelmi képességekben okoztak, évek, ha nem évtizedek munkája lesz helyrehozni - miközben a kritikus infrastruktúráinkra a kibertérből leselkedő fenyegetések egyre kifinomultabbak lesznek.

Bejelentés dátuma: 2025.10.07.
Gyártó: ABB
Érintett rendszer(ek):
- EIBPORT LAN gateway 2CLA963710W1001 sorozatú tagjainak 3.9.2-nél korábbi verziói;
- EIBPORT LAN gateway 2CSM256242R2001 sorozatú tagjainak 3.9.2-nél korábbi verziói;
- EIBPORT LAN gateway + GSM 2CLA963720W1001 sorozatú tagjainak 3.9.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reflected Cross-Site Scripting (CVE-2021-22291)/súlyos;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2025.10.07.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DIAScreen 1.6.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2025-59297)/közepes;
- Out-of-bounds Write (CVE-2025-59298)/közepes;
- Out-of-bounds Write (CVE-2025-59299)/közepes;
- Out-of-bounds Write (CVE-2025-59300)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-280-01

Bejelentés dátuma: 2025.10.08.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- V-SFT v6.2.7.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based buffer overflow (CVE-2025-61856)/súlyos;
- Out-of-bounds write (CVE-2025-61857)/súlyos;
- Out-of-bounds write (CVE-2025-61858)/súlyos;
- Out-of-bounds write (CVE-2025-61859)/súlyos;
- Out-of-bounds read (CVE-2025-61860)/súlyos;
- Out-of-bounds read (CVE-2025-61861)/súlyos;
- Out-of-bounds read (CVE-2025-61862)/súlyos;
- Out-of-bounds read (CVE-2025-61863)/súlyos;
- Use after free (CVE-2025-61864)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://jvn.jp/en/vu/JVNVU90008453/index.html

Bejelentés dátuma: 2025.10.09.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Asset Suite 9.7-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Output Neutralization for Logs (CVE-2025-10217)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-282-01

Bejelentés dátuma: 2025.10.09.
Gyártó: Moxa
Érintett rendszer(ek):
- TRC-2190 sorozatú berendezések v1.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SSL Medium Strength Cipher Suites Supported (SWEET32) (CVE-2016-2183)/súlyos;
Javítás: Nincs, a gyártó általános kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.10.09.
Gyártó: Moxa
Érintett rendszer(ek):
- TRC-2190 sorozatú berendezések v1.1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SSH Known Hard-coded Private Keys (CVE-2015-7255)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Moxa

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Zero Trust keretrendszer a kiberbiztonság IT domain-jében született. Alapelve, hogy soha, senkiben (felhasználóban) és semmiben (legyen az szerver vagy kliens) nem bízik meg soha, mindig (rendszeresen) újraauthentikál és ellenőriz mindent és mindenkit. Az elmúlt években egyre többször és egyre gyakrabban lehet olyan felvetéseket hallani, hogy az ICS/OT rendszerek és az ipari kritikus infrastruktúrák egyre fokozódó kiberbiztonsági fenyegetettsége miatt a Zero Trust-ot ki kell terjeszteni az ICS/OT domain-re is.

5 éve egy blogposztban már érintettem a témát, most pedig egy másik szakértő publikációját hoztam. Ezúttal, az első alkalomtól eltérően, amikor Jake Brodsky, egy veterán amerikai folyamatirányítási mérnök véleményét bemutató blogposzt volt a téma, most egy IT hátterű kolléga, Christopher Juel Kassebeer Bendtsen terjedelmes, 28 oldalas publikációját ajánlom annak a néhány olvasómnak a figyelmébe, akik még érdeklődnek az írásaim felé (ha esetleg ezen a linken már nem lenne elérhető a PDF dokumentum, kérésre el tudom küldeni).

Magas szinten a dokumentumban Christopher egy 5 lépéses implementációra tesz javaslatot:

1. A kritikus eszközök azonosítása és priorizálása
2. Ipari hálózati adatforgalmak feltérképezése
3. Mikroszegmentáció és hálózati architektúra tervezése
4. Szigorú hozzáférés-kontrollok és szabályok bevezetése
5. Folyamatos hálózatbiztonsági monitoring és incidenskezelés

A publikációban ezután a szerző hipotetikus esettanulmányokon keresztül mutatja be, hogyan is tud működni az általa elképzelt ICS/OT Zero Trust-megvalósítás.

Ez egy meglehetősen érdekes anyag, de nem lehet elvonatkoztatni attól, ami a szerző szakmai múltjából már szinte azonnal látszik: a jelek szerint ipari folyamatirányítási területtel nem foglalkozott és emiatt nincsenek meg azok a tapasztalatai, amik a Purdue-modell alacsonyabb szintjein (főleg L1 és L0) működő eszközök sajátosságai miatt a Zero Trust keretrendszer számos (a szerző által kiemeltnél messze-messze több) komponensét ezekre az eszközökre, berendezésekre nem alkalmazhatóak. Látom már, hogy el kell kezdenem feldolgozni a témát, de ez egy több részes sorozatot fog kiadni.

Bejelentés dátuma: 2025.09.26.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Stratix® 5700 v15.2(8)E7-es és korábbi verziói;
- Stratix® 5400 v15.2(8)E7-es és korábbi verziói;
- Statix 5410 v15.2(8)E7-es és korábbi verziói;
- Stratix® 5200/5800 v17.17.01-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Denial-of-Service (CVE-2025-20352)/súlyos;
Javítás: Nincs, a gyártó 2025. októberben és 2026. márciusban tervezi kiadni a hibát javító újabb verziókat.
Link a publikációhoz: Rockwell Automation

Bejelentés dátuma: 2025.09.30.
Gyártó: Megasys Enterprises
Érintett rendszer(ek):
- Telenium Online Web Application 8.4.21-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-10659)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-273-01

Bejelentés dátuma: 2025.09.30.
Gyártó: Festo
Érintett rendszer(ek):
- Festo SBOC-Q-R1B hardverre telepített Festo firmware minden verziója;
- Festo SBOC-Q-R1B-S1 hardverre telepített Festo firmware minden verziója;
- Festo SBOC-Q-R1C hardverre telepített Festo firmware minden verziója;
- Festo SBOC-Q-R1C-S1 hardverre telepített Festo firmware minden verziója;
- Festo SBOC-Q-R2B hardverre telepített Festo firmware minden verziója;
- Festo SBOC-Q-R2B-S1 hardverre telepített Festo firmware minden verziója;
- Festo SBOC-Q-R2C hardverre telepített Festo firmware minden verziója;
- Festo SBOC-Q-R3B-WB hardverre telepített Festo firmware minden verziója;
- Festo SBOC-Q-R3B-WB-S1 hardverre telepített Festo firmware minden verziója;
- Festo SBOC-Q-R3C-WB hardverre telepített Festo firmware minden verziója;
- Festo SBOC-Q-R3C-WB-S1 hardverre telepített Festo firmware minden verziója;
- Festo SBOI-Q-R1B hardverre telepített Festo firmware minden verziója;
- Festo SBOI-Q-R1B-S1 hardverre telepített Festo firmware minden verziója;
- Festo SBOI-Q-R1C hardverre telepített Festo firmware minden verziója;
- Festo SBOI-Q-R1C-S1 hardverre telepített Festo firmware minden verziója;
- Festo SBOI-Q-R3B-WB hardverre telepített Festo firmware minden verziója;
- Festo SBOI-Q-R3B-WB-S1 hardverre telepített Festo firmware minden verziója;
- Festo SBOI-Q-R3C-WB hardverre telepített Festo firmware minden verziója;
- Festo SBOI-Q-R3C-WB-S1 hardverre telepített Festo firmware minden verziója;
- Festo SBRD-Q hardverre telepített Festo firmware minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Conversion between Numeric Types (CVE-2021-27478)/súlyos;
- Out-of-bounds Read (CVE-2021-27482)/súlyos;
- Reachable Assertion (CVE-2021-27500)/súlyos;
- Reachable Assertion (CVE-2021-27498)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-273-02

Bejelentés dátuma: 2025.09.30.
Gyártó: Festo
Érintett rendszer(ek):
- Festo CPX-CEC-C1 hardverre telepített Festo firmware-ek 2.0.12-es és korábbi verziói;
- Festo CPX-CMXX hardverre telepített Festo firmware-ek 1.2.34 rev.404-es és korábbi verziói;
- Festo SET CPX-CEC-C1 hardverre telepített Festo firmware-ek 1.2.34 rev.404-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Privilege Management (CVE-2022-3079)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását és újabb hardver-verzióra váltást javasol.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-273-03

Bejelentés dátuma:
Gyártó:
Érintett rendszer(ek):
- Festo CECC-D vezérlőkre telepített Festo R05 (17.06.2016) = 2.3.8.0 firmware minden verziója;
- Festo CECC-LK vezérlőkre telepített Festo R06 (11.10.2016) = 2.3.8.1 firmware minden verziója;
- Festo CECC-S vezérlőkre telepített Festo R05 (17.06.2016) = 2.3.8.0 firmware minden verziója;
- Festo CECC-LK vezérlőkre telepített Festo R06 (11.10.2016) = 2.3.8.1 firmware minden verziója;
- Festo CECC-S vezérlőkre telepített Festo R05 (17.06.2016) = 2.3.8.0 firmware minden verziója;
- Festo CECC-S vezérlőkre telepített Festo R06 (11.10.2016) = 2.3.8.1 firmware minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2022-22515)/súlyos;
- Untrusted Pointer Dereference (CVE-2022-22514)/súlyos;
- NULL Pointer Dereference (CVE-2022-22513)/közepes;
- Files or Directories Accessible to External Parties (CVE-2021-36763)/súlyos;
- Out-of-bounds Write (CVE-2021-33485)/kritikus;
- Out-of-bounds Write (CVE-2020-10245)/kritikus;
- Incorrect Permission Assignment for Critical Resource (CVE-2019-9008)/súlyos;
- Classic Buffer Overflow (CVE-2019-18858)/kritikus;
- Out-of-bounds Write (CVE-2019-13548)/kritikus;
- NULL Pointer Dereference (CVE-2019-13542)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2020-15806)/súlyos;
- Improper Handling of Exceptional Conditions (CVE-2019-9009)/súlyos;
- Exposure of Resource to Wrong Sphere (CVE-2019-9011)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2019-9013)/súlyos;
- Weak Password Recovery Mechanism for Forgotten Password (CVE-2020-12067)/súlyos;
- Use of Password Hash With Insufficient Computational Effort (CVE-2020-12069)/súlyos;
- NULL Pointer Dereference (CVE-2021-36764)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2019-9012)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2020-7052)/közepes;
- Out-of-bounds Write (CVE-2019-5105)/súlyos;
- NULL Pointer Dereference (CVE-2021-29241)/súlyos;
- Improper Input Validation (CVE-2021-29242)/súlyos;
- Buffer Over-read (CVE-2022-22519)/súlyos;
- Use of Insufficiently Random Values (CVE-2022-22517)/súlyos;
- Path Traversal (CVE-2019-13532/súlyos;
- Use of Insufficiently Random Values (CVE-2018-20025)/súlyos;
- Uncontrolled Recursion (CVE-2018-0739)/közepes;
- Missing Encryption of Sensitive Data (CVE-2018-10612)/kritikus;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2017-3735)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-273-04

Bejelentés dátuma: 2025.09.30.
Gyártó: OpenPLC_V3
Érintett rendszer(ek):
- OpenPLC_V3 pull request #292-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Undefined, Unspecified, or Implementation-Defined Behavior (CVE-2025-54811)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-273-05

Bejelentés dátuma: 2025.09.30.
Gyártó: National Instruments
Érintett rendszer(ek):
- Circuit Design Suite v14.3.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Type Confusion (CVE-2025-6033)/súlyos;
- Out-of-bounds Read (CVE-2025-6034)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-273-06

Bejelentés dátuma: 2025.09.30.
Gyártó: LG Innotek
Érintett rendszer(ek):
- LG LND7210 minden verziója;
- LG LNV7210R minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2025-10538)/súlyos;
Javítás: Nincs, az érintett termékek elérték életciklusuk végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-273-07

Bejelentés dátuma: 2025.10.02.
Gyártó: Raise3D
Érintett rendszer(ek):
- Pro2 Series nyomtatók minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2025-10653)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-275-01

Bejelentés dátuma: 2025.10.02.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MSM 2.2.10-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2023-53155)/súlyos;
- Reachable Assertion (CVE-2024-53429)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-275-02

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az ICS/OT rendszerek sérülékenység vizsgálata egy meglehetősen érzékeny téma. Nemrég két posztot is találtam a LinkedIn-en, amit általam ismert/követett szakik írtak. Az elsőt Mike Holcomb, akinek a publikációiról már többször írtam én is a blogon. Mike az Nmap scanner ICS/OT rendszerek scanneléséhez történő felhasználásáról írt és egészen jól összeszedte az általános nézeteknek megfelelő szempontokat és íratlan szabályokat.

A második posztban (amiben Mike írását osztotta meg), Jim Gilsinn osztotta meg a témával kapcsolatos gondolatait. Jim szerint az aktív sérülékenység vizsgálatok eszközeit lehet és szabad használni ICS/OT környezetekben, de kifejezetten óvatosnak kell lenni azzal kapcsolatban, hogy milyen körülmények között, mikor és milyen konfigurációval használják ezeket az eszközöket.

A fentiekhez én még hozzátenném azt is, hogy a legalaposabb felkészülés, tervezés, elővigyázatosság sem mindig elegendő - saját tapasztalatom, hogy még ilyen körülmények között is előfordulhat, hogy egy vizsgált ICS/OT rendszer olyan, nem ismert működési sajátosságai miatt működési problémákat okozhat egy aktív sérülékenység vizsgálat. Erre tekintettel az én személyes véleményem az, hogy aktív sérülékenység vizsgálatot maximum karbantartási leállások idején célszerű futtatni.

Bejelentés dátuma: 2025.09.23.
Gyártó: Viessmann
Érintett rendszer(ek):
- Vitogate 300 3.1.0.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-9494)/közepes;
- Client-Side Enforcement of Server-Side Security (CVE-2025-9495)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-266-04

Bejelentés dátuma: 2025.09.23.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- CLICK PLUS C0-0x CPU v3.71-nél korábbi firmware-verziói;
- CLICK PLUS C0-1x CPU v3.71-nél korábbi firmware-verziói;
- CLICK PLUS C2-x CPU v3.71-nél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2025-54855)/közepes;
- Use of Hard-coded Cryptographic Key (CVE-2025-58069)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2025-59484)/súlyos;
- Predictable Seed in Pseudo-Random Number Generator (CVE-2025-55069)/súlyos;
- Improper Resource Shutdown or Release (CVE-2025-58473)/közepes;
- Missing Authorization (CVE-2025-55038)/közepes;
- Improper Resource Shutdown or Release (CVE-2025-57882)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-266-01

Bejelentés dátuma: 2025.09.25.
Gyártó: Dingtian
Érintett rendszer(ek):
- DT-R002 relék minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2025-10879)/súlyos;
- Insufficiently Protected Credentials (CVE-2025-10880)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-268-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.