Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) V8.10.0.6-nál korábbi verziói;
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) V8.10.0.6-nál korábbi verziói;
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) V8.10.0.6-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-22779)/kritikus;
- Classic Buffer Overflow (CVE-2023-22780)/kritikus;
- Classic Buffer Overflow (CVE-2023-22781)/kritikus;
- Classic Buffer Overflow (CVE-2023-22782)/kritikus;
- Classic Buffer Overflow (CVE-2023-22783)/kritikus;
- Classic Buffer Overflow (CVE-2023-22784)/kritikus;
- Classic Buffer Overflow (CVE-2023-22785)/kritikus;
- Classic Buffer Overflow (CVE-2023-22786)/kritikus;
- Improper Input Validation (CVE-2023-22787)/súlyos;
- Command Injection (CVE-2023-22788)/súlyos;
- Command Injection (CVE-2023-22789)/súlyos;
- Command Injection (CVE-2023-22790)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-22791)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- CP-8031 MASTER MODULE (6MF2803-1AA00) minden, CPCI85 V05.11-nél korábbi verziója;
- CP-8050 MASTER MODULE (6MF2805-0AA00) minden, CPCI85 V05.11-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2023-36380)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CP 1604 (6GK1160-4AA01) minden verziója;
- SIMATIC CP 1616 (6GK1161-6AA02) minden verziója;
- SIMATIC CP 1623 (6GK1162-3AA00) minden verziója;
- SIMATIC CP 1626 (6GK1162-6AA01) minden verziója;
- SIMATIC CP 1628 (6GK1162-8AA00) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-37194)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-37195)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Amesim minden, V2021.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-43625)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Xpedition Layout Browser minden, VX.2.14-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-Based Buffer Overflow (CVE-2023-30900)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS minden, V2.0-nál régebbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2022-30527)/súlyos;
- Cross-site Scripting (CVE-2023-44315)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7 kompatibilis Mendix Forgot Password minden, V3.7.3-nál korábbi verziója;
- Mendix 8 kompatibilis Mendix Forgot Password minden, V4.1.3-nál korábbi verziója;
- Mendix 9 kompatibilis Mendix Forgot Password minden, V5.4.0-nál korábbi verziója;
- Mendix 10 kompatibilis Mendix Forgot Password minden, V5.4.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Discrepancy (CVE-2023-43623)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- CP-8031 MASTER MODULE (6MF2803-1AA00) minden, CPCI85 V05.11-nél korábbi verziója;
- CP-8050 MASTER MODULE (6MF2805-0AA00) minden, CPCI85 V05.11-nél korábbi verziója;Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-42796)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM PAS/PQS 8.00-tól 8.22-ig terjedő verziói (a 8.22-es verzió nem érintett);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2023-38640)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 minden, Nozomi Guardian/CMC-vel használt verziója a V22.6.2 előtt;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2023-22378)/közepes;
- Cross-site Scripting (CVE-2023-22843)/közepes;
- SQL Injection (CVE-2023-23574)/súlyos;
- Improper Input Validation (CVE-2023-23903)/közepes;
- Improper Input Validation (CVE-2023-24015)/közepes;
- Incorrect Authorization (CVE-2023-24471)/közepes;
- Session Fixation (CVE-2023-24477)/közepes;
Javítás: Jelenleg nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEMA Server V14 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2023-35796)/súlyos;
Javítás: Jelenleg nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid V35.0 minden, V35.0.262-nél korábbi verziója;
- Parasolid V35.1 minden, V35.1.250-nál korábbi verziója;
- Parasolid V36.0 minden, V36.0.169-nél korábbi verziója;
- Tecnomatix Plant Simulation V2201 V2201.0009-nél korábbi verziója;
- Tecnomatix Plant Simulation V2302 V2302.0003-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-44081)/súlyos;
- Out-of-bounds Write (CVE-2023-44082)/súlyos;
- Out-of-bounds Write (CVE-2023-44083)/súlyos;
- Out-of-bounds Read (CVE-2023-44084)/súlyos;
- Out-of-bounds Read (CVE-2023-44085)/súlyos;
- Out-of-bounds Read (CVE-2023-44086)/súlyos;
- Out-of-bounds Read (CVE-2023-44087)/súlyos;
- Incorrect Type Conversion or Cast (CVE-2023-45204)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-45601)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.10.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Monitoring Expert (PME) minden, Hotfix-145271-nél korábbi verziója;
- EcoStruxure™ Power Operation (EPO) with Advanced Reports minden, Hotfix-145271-nél korábbi verziója;
- EcoStruxure™ Power SCADA Operation with Advanced Reports minden, Hotfix-145271-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of untrusted data (CVE-2023-5391)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.10.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- SpaceLogic C-Bus Toolkit v1.16.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2023-5402)/kritikus;
- Path Traversal (CVE-2023-5399)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.10.11.
Gyártó: Yifan
Érintett rendszer(ek):
- Yifan YF325-ös mobil terminálok;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Overflow (CVE-2023-35055)/kritikus;
- Buffer Overflow (CVE-2023-35056)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-34365)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-34346)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-31272)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-34426)/kritikus;
- Heap-based Buffer Overflow (CVE-2023-35965)/kritikus;
- Heap-based Buffer Overflow (CVE-2023-35966)/kritikus;
- Heap-based Buffer Overflow (CVE-2023-35967)/kritikus;
- Heap-based Buffer Overflow (CVE-2023-35968)/kritikus;
Javítás: Nincs
Link a publikációhoz: Cisco Talos

Bejelentés dátuma: 2023.10.12.
Gyártó: Weintek
Érintett rendszer(ek):
- cMT-FHD 20210210-es és korábbi operációs rendszer verziói;
- cMT-HDM 20210204-es és korábbi operációs rendszer verziói;
- cMT3071 20210218-as és korábbi operációs rendszer verziói;
- cMT3072 20210218-as és korábbi operációs rendszer verziói;
- cMT3103 20210218-as és korábbi operációs rendszer verziói;
- cMT3090 20210218-as és korábbi operációs rendszer verziói;
- cMT3151 20210218-as és korábbi operációs rendszer verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-38584)/kritikus;
- OS Command Injection (CVE-2023-40145)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-43492)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-285-12

Bejelentés dátuma: 2023.10.12.
Gyártó: Hikvision
Érintett rendszer(ek):
- DS-K1T804AXX V1.4.0_build221212 és korábbi verziói;
- DS-K1T341AXX V3.2.30_build221223 és korábbi verziói;
- DS-K1T671XXX V3.2.30_build221223 és korábbi verziói;
- DS-K1T343XXX V3.14.0_build230117 és korábbi verziói;
- DS-K1T341C V3.3.8_build230112 és korábbi verziói;
- DS-K1T320XXX V3.5.0_build220706 és korábbi verziói;
- DS-KH63 Series V2.2.8_build230219 és korábbi verziói;
- DS-KH85 Series V2.2.8_build230219 és korábbi verziói;
- DS-KH62 Series V1.4.62_build220414 és korábbi verziói;
- DS-KH9310-WTE1(B) V2.1.76_build230204 és korábbi verziói;
- DS-KH9510-WTE1(B) V2.1.76_build230204 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Session Fixation (CVE-2023-28809)/súlyos;
- Improper Access Control (CVE-2023-28810)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-285-14

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az ISA/IEC 62443-as szabvány-sorozata az egyik legfontosabb és leginkább elismert az ICS/OT kiberbiztonsági szabványok között, nem utolsó sorban azért, mert ezt a szabványt az ISA gondozza. A sorozatnak két része van, amivel mi ebben a poszt-sorozatban foglalkozni fogunk, ezek közül az első a 3-3-as rész, ami a hálózat- és rendszerbiztonság témáját dolgozza fel.

A 3-3 négy biztonsági szintet (Security Level) határoz meg, az alábbiak szerint:

SL 1 - Az információk lehallgatással vagy véletlen közzététellel történő jogosulatlan megismerése elleni védelem.
SL 2 - Az információk kis erőfeszítést igénylő aktív keresés eredményeként bekövetkező jogosulatlan megismerése elleni védelem.
SL 3 - Az információk jelentős erőfeszítést, IACS (Industrial Automation and Control System)-specifikus tudást és közepes motivációt igénylő aktív keresés eredményeként bekövetkező jogosulatlan megismerése elleni védelem.
SL 4 - Az információk jelentős erőfeszítést, IACS (Industrial Automation and Control System)-specifikus tudást, valamint komoly motivációt és erőforrásokat igénylő aktív keresés eredményeként bekövetkező jogosulatlan megismerése elleni védelem.

A 3-3-as részben ismertetett rendszer szintű követelmények (SR, System Requirements) az 1-1-es részben ismertetett funkcionális követelmények (FR, Functional Requirements) részletes követelményeit ismerteti. Az SR fejezet és alfejezt után az RE a követelmény kifejtését (Requirement enhancement) tartalmazza, a fent ismertetett SL-szinteknek megfelelően, az alábbiak szerint:

FR 1 – Identification and authentication control

SR 1.1 – Human user identification and authentication
SR 1.1 RE 1 – Unique identification and authentication
SR 1.1 RE 2 – Multifactor authentication for untrusted networks
SR 1.1 RE 3 – Multifactor authentication for all networks

SR 1.2 – Software process and device identification and authentication
SR 1.2 RE 1 – Unique identification and authentication

SR 1.3 – Account management
SR 1.3 RE 1 – Unified account management

SR 1.4 – Identifier management

SR 1.5 – Authenticator management
SR 1.5 RE 1 – Hardware security for software process identity credentials

SR 1.6 – Wireless access management
SR 1.6 RE 1 – Unique identification and authentication

SR 1.7 – Strength of password-based authentication
SR 1.7 RE 1 – Password generation and lifetime restrictions for human users
SR 1.7 RE 2 – Password lifetime restrictions for all users

SR 1.8 – Public key infrastructure (PKI) certificates

SR 1.9 – Strength of public key authentication
SR 1.9 RE 1 – Hardware security for public key authentication

SR 1.10 – Authenticator feedback

SR 1.11 – Unsuccessful login attempts

SR 1.12 – System use notification

SR 1.13 – Access via untrusted networks
SR 1.13 RE 1 – Explicit access request approval

FR 2 – Use control

SR 2.1 – Authorization enforcement
SR 2.1 RE 1 – Authorization enforcement for all users
SR 2.1 RE 2 – Permission mapping to roles
SR 2.1 RE 3 – Supervisor override
SR 2.1 RE 4 – Dual approval

SR 2.2 – Wireless use control
SR 2.2 RE 1 – Identify and report unauthorized wireless devices

SR 2.3 – Use control for portable and mobile devices
SR 2.3 RE 1 – Enforcement of security status of portable and mobile devices

SR 2.4 – Mobile code
SR 2.4 RE 1 – Mobile code integrity check

SR 2.5 – Session lock

SR 2.6 – Remote session termination

SR 2.7 – Concurrent session control

SR 2.8 – Auditable events
SR 2.8 RE 1 – Centrally managed, system-wide audit trail

SR 2.9 – Audit storage capacity
SR 2.9 RE 1 – Warn when audit record storage capacity threshold reached

SR 2.10 – Response to audit processing failures

SR 2.11 – Timestamps
SR 2.11 RE 1 – Internal time synchronization
SR 2.11 RE 2 – Protection of time source integrity

SR 2.12 – Non-repudiation
SR 2.12 RE 1 – Non-repudiation for all users

FR 3 – System integrity

SR 3.1 – Communication integrity
SR 3.1 RE 1 – Cryptographic integrity protection

SR 3.2 – Malicious code protection
SR 3.2 RE 1 – Malicious code protection on entry and exit points
SR 3.2 RE 2 – Central management and reporting for malicious code protection

SR 3.3 – Security functionality verification
SR 3.3 RE 1 – Automated mechanisms for security functionality verification
SR 3.3 RE 2 – Security functionality verification during normal operation

SR 3.4 – Software and information integrity
SR 3.4 RE 1 – Automated notification about integrity violations

SR 3.5 – Input validation

SR 3.6 – Deterministic output

SR 3.7 – Error handling

SR 3.8 – Session integrity
SR 3.8 RE 1 – Invalidation of session IDs after session termination
SR 3.8 RE 2 – Unique session ID generation
SR 3.8 RE 3 – Randomness of session IDs

SR 3.9 – Protection of audit information
SR 3.9 RE 1 – Audit records on write-once media

FR 4 – Data confidentiality

SR 4.1 – Information confidentiality
SR 4.1 RE 1 – Protection of confidentiality at rest or in transit via untrusted networks
SR 4.1 RE 2 – Protection of confidentiality across zone boundaries

SR 4.2 – Information persistence
SR 4.2 RE 1 – Purging of shared memory resources

SR 4.3 – Use of cryptography

FR 5 – Restricted data flow

SR 5.1 – Network segmentation
SR 5.1 RE 1 – Physical network segmentation
SR 5.1 RE 2 – Independence from non-control system networks
SR 5.1 RE 3 – Logical and physical isolation of critical networks

SR 5.2 – Zone boundary protection
SR 5.2 RE 1 – Deny by default, allow by exception
SR 5.2 RE 2 – Island mode
SR 5.2 RE 3 – Fail close

SR 5.3 – General purpose person-to-person communication restrictions
SR 5.3 RE 1 – Prohibit all general purpose person-to-person communications

SR 5.4 – Application partitioning

FR 6 – Timely response to events

SR 6.1 – Audit log accessibility
SR 6.1 RE 1 – Programmatic access to audit logs

SR 6.2 – Continuous monitoring

FR 7 – Resource availability

SR 7.1 – Denial of service protection
SR 7.1 RE 1 – Manage communication loads
SR 7.1 RE 2 – Limit DoS effects to other systems or networks

SR 7.2 – Resource management

SR 7.3 – Control system backup
SR 7.3 RE 1 – Backup verification
SR 7.3 RE 2 – Backup automation

SR 7.4 – Control system recovery and reconstitution

SR 7.5 – Emergency power

SR 7.6 – Network and security configuration settings

SR 7.7 – Least functionality

A 62443-as szabványcsalád sajnos licencdíj ellenében érhető el, így ehhez sajnos csak a hivatalos, ISA weboldalra mutató i tudom bemásolni, ahol 260 amerikai dollárért lehet megvásárolni a szabványt.

Az elmúlt években gyakorlatilag annyi, ICS rendszereket vagy ipari szervezeteket érintő zsarolóvírus-támadásról írtam a blogon, hogy megszámolni sem könnyű (+1). Mostanra jutottam oda, hogy kell ennek a témának egy saját sorozat, ez pedig az első rész.

A Johnson Controls egy olyan ICS gyártó, amely számos iparág számára fejleszt automatizálási rendszereket. A hírek szerint szeptember végén súlyos kibertámadás érte a gyártó rendszereit, amiért a Dark Angels ransomware-csoport a felelős. A támadók a hírek szerint 25 TB-nyi adatot loptak el és azzal fenyegették a Johnson Controls-t, hogy ha nem fizetnek 51 millió dollárt, akkor a Dunghill Leaks nevű oldalon fogják publikálni az ellopott adatokat.

Ez már önmagában is érdekes hír lenne, de ha hozzátesszük, hogy a Johnson Controls (és leányvállalatai, amik állítólag szintén érintettek lehettek az incidensben) számos olyan épület-automatizálási megoldást is gyártanak, amelyeket (egyebek mellett) az USA Belbiztonsági Minisztériumában (DHS) is használnak, így pedig a Dark Angels kezei között most lehetnek olyan adatok is, amik bizony a amerikai nemzetbiztonság szempontjából is érdekesek lehetnek.

Jelenleg nagyjából ennyit lehet tudni, érdekes lesz látni, hogy ez a történet hova fog továbbfejlődni.

Július elején a LockBit zsarolóvírus két és fél napra kivonta a forgalomból a legnagyobb japán kikötőt Nagoya-ban. Most azonban nem magáról az incidensről lesz szó, hanem az incidens kockázatkezeléssel kapcsolatos tapasztalatairól és a tapasztalatokból leszűrhető kérdésekről.

Dale Peterson cikkében rámutat arra, hogy bár kiberbiztonsági incidens következtében most először kellett leállítani a Nagoya-i kikötőt, más okokból (főleg tájfunok miatt) az elmúlt közel 7 évtizedben számos esetben állt le Nagoya-ban a kikötő, legutóbb éppen 2019-ben, amikor a Hagibis tájfun pusztított Japánban.

Nyilván a júliusi incidens után a kikötő vezetői fejleszteni fogják a rendszereik biztonsági szintjét, azonban számukra is érdemes lesz feltenni a kérdést, hogy milyen és mekkora fejlesztés (és a fejlesztések által bekövetkező kockázat-csökkenés) lesz még indokolható (pl. ráfordítás-haszon elemzések alapján) és mi lesz már az a költségszint, ahol minden szempontból (beleértve a reputációs károkat is) jobban meg fogja érni felvállalni a kockázatot.

Ezzel pedig el is érkeztünk a kockázat-felvállaláshoz, mint a mai poszt legfontosabb témájához. A kockázatok felvállalása a kockázatkezelés egyik egyenrangú módon legitim lehetősége, azonban a menedzsment egyes tagjai (jellemzően mint az adat/folyamatgazdák) hajlamosak a kiberbiztonsági fejlesztések költségei láttán a kockázat-felvállalás mellett dönteni, ez pedig egy rossz gyakorlat kialakulásához is vezethet (főleg, ha a kockázatok egy ideig nem realizálódnak valós incidensekben, hiszen ezzel a kockázatokat viselő menedzserek igazolva láthatják a gyakorlatuk helyességét és hajlamosak lehetnek a jövőben még több kockázatot felvállalhatónak ítélni).

Mint oly sok esetben, itt is az egyensúlyra törekvés lesz a megoldás, ennek egy (szerintem) igen jó módszeréről hallottam nemrég, ami szerint az egyes menedzserek bónuszát minden egyes kockázat, amit felvállalnak csökkenti valamilyen mértékben, ezzel is motiválva őket, hogy a kockázatelemzés során túl magasnak ítélt kockázatokat ne egy könnyed(nek tűnő) adminisztratív aktussal "tudják le", hanem valós kockázatcsökkentési intézkedéseket hozzanak.

Összességében csak elismételni tudom Dave cikkének utolsó mondatát: az OT rendszereket üzemeltető szervezeteknek nem célszerű megvárni egy, a Nagoya-i kikötőjéhez hasonló incidenst azért, hogy hozzákezdjenek az OT kockázatkezelési tevékenységeikhez.

Bejelentés dátuma: 2023.09.26.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann Classic RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS, OCTOPUS 09.1.07-es és korábbi verziói;
- Hirschmann HiOS RSP2S, RSPS, RSPL, EES, EESX, GRS1020, GRS1030, RED 07.1.05-ös és korábbi verziói;
- Hirschmann HiOS RSP, RSPE, MSP, GRS, OS, BRS 09.0.2-es és korábbi verziói;
- Hirschmann HiSecOS Eagle 04.2.01-es és korábbi verziói;
- Hirschmann HiLCOS BAT C2 9.12-es és korábbi verziói;
- Hirschmann Lite Managed GECKO 2.3.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Realloc Misbehavior (CVE-2021-45960)/súlyos;
- Integer Overflow (CVE-2021-46143)/súlyos;
- Integer Overflow (CVE-2022-22822)/kritikus;
- Integer Overflow (CVE-2022-22823)/kritikus;
- Integer Overflow (CVE-2022-22824)/kritikus;
- Integer Overflow (CVE-2022-22825)/súlyos;
- Integer Overflow (CVE-2022-22826)/súlyos;
- Integer Overflow (CVE-2022-22827)/súlyos;
- Integer Overflow (CVE-2022-25314)/súlyos;
- Integer Overflow (CVE-2022-25315)/súlyos;
- Lack of Validation of Encoding (CVE-2022-25235)/kritikus;
- Improper Input Validation (CVE-2022-25236)/kritikus;
- Integer Overflow (CVE-2022-23852)/kritikus;
- Integer Overflow (CVE-2022-23990)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Belden

Bejelentés dátuma: 2023.09.26.
Gyártó: Suprema
Érintett rendszer(ek):
- BioStar 2 2.8.16-os verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2023-27167)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-269-01

Bejelentés dátuma: 2023.09.26.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Asset Suite 9.6.3.11.1-es és korábbi verziói;
- Asset Suite 9.6.4-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-4816)/közepes;
Javítás: A gyártó jelenleg is dolgozik a javításon.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-269-02

Bejelentés dátuma: 2023.09.26.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GX Works3 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Default Permissions (CVE-2023-4088)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-269-03

Bejelentés dátuma: 2023.09.26.
Gyártó: Advantech
Érintett rendszer(ek):
- EKI-1524-CE sorozatú eszközök 1.24-es és korábbi verziói;
- EKI-1522-CE sorozatú eszközök 1.24-es és korábbi verziói;
- EKI-1521-CE sorozatú eszközök 1.24-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Scripting (CVE-2023-4202)/közepes;
- Cross-Site Scripting (CVE-2023-4203)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-269-04

Bejelentés dátuma: 2023.09.26.
Gyártó: Bently Nevada
Érintett rendszer(ek):
- Bently Nevada 3500 Rack (TDI Firmware) 5.05-ös verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-34437)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-34441)/közepes;
- Authentication Bypass by Capture-replay (CVE-2023-36857)/közepes;
Javítás: Nincs, a gyártó a hardening útmutatójában leírtak alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-269-05

Bejelentés dátuma: 2023.09.28.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- PanelView 800 2711R-T10T V3.011-es verziója;
- PanelView 800 2711R-T7T V3.011-es verziója;
- PanelView 800 2711R-T4T V3.011-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2017-12652)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-271-01

Bejelentés dátuma: 2023.09.28.
Gyártó: DEXMA
Érintett rendszer(ek):
- DEXGate 20130114;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Scripting (CVE-2023-40153)/közepes;
- Cross-Site Request Forgery (CVE-2023-42435)/közepes;
- Improper Authentication (CVE-2023-4108)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-41088)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-42666)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-271-02

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A különböző felhős megoldások idestova jó 2 évtizede velünk élnek (még ha sokan sokáig nem is tudták vagy még mindig nem tudják, hogy hány felhőszolgáltatást is használnak napi rendszerességgel), azonban az OT világba a felhő nagyon sokáig az említés szintjén sem jelent meg. Aztán valamikor a 2010-es évek derekán kezdtek néhányan ipari felhőről (industrial cloud) beszélni, de a kezdeti felhajtás (és abból induló, az ICS/OT kiberbiztonsági közösségre időnként jellemzően kissé túlfűtött viták) után a téma elfeküdt a háttérben, az évtized második felében történt súlyos, ICS/OT rendszereket (is) érintő incidensek árnyékában. Később, az ipari IoT (IIoT) megoldások terjedése nyomán ismét felmerült az ICS/OT rendszerek felhőkapcsolatának kérdése, de ez még mindig nem arról szólt, hogy az OT rendszerek egy részét egy publikus felhőszolgáltatóhoz mozgassák ki az ipari szervezetek.

Most azonban egy olyan, a Microsoft Tech Community-n még 2022-ben megjelent cikket találtam, ami miatt mindenképp érdemes kicsit újra megvizsgálnunk a témát. Ebben a cikkben bizony a Microsoft egyik ausztráliai munkatársa egy esettanulmányt bemutatva arról ír, hogy terjesztették ki egy ügyfelük OT hálózatának egy részét (a Purdue-modell szerinti L3-at) egy második (az ügyfél IT Azure tenant-jától elkülönített) OT Azure tenant-ba. A cikk szerint ez a kialakítás amellett, hogy lehetőséget adott az ügyfél számára a publikus felhő biztosította számítási, elemzési, gépi tanulási és mesterséges intelligencia-képességek kihasználására úgy, hogy közben fenntartották az ICS/OT biztonság olyan alapelveit, mint az IT és OT címtárak teljeskörű szétválasztása, az erőforrások szétválasztása az IT és OT rendszerek között.

Egyelőre (nekem legalább is) nehéz megítélni, hogy a publikus felhőbe történő OT-kiterjesztés előnyei ellensúlyozzák-e vagy inkább meghaladják egyes OT szolgáltatások felhőbe költöztetésének kockázatait. A kezdeti véleményem az, hogy talán azoknál a szolgálatásoknál lehetne elgondolkozni a felhőbe költöztetéséről, ahol az L3 OT szolgáltatások önálló rendelkezésre állása a legfontosabb (vagy inkább az egyetlen) szempont és az sem jelent problémát, ha ezek a szolgáltatások elveszítik a kapcsolatot az on-premise L3 és L2 rendszerekkel és szolgáltatásokkal és (természetesen) az adatok/rendszerek bizalmassága nem szempont. Fontos szempontnak gondolnám továbbá, hogy a publikus felhőbe költöző L3 rendszerek NE tudjanak kapcsolatokat kezdeményezni az L2 (vagy L1, L0) rendszerek felé - hiszen tudjuk, semmi, így a Purdue-modellben meghatározott szabályok és adatutak sincsenek kőbe vésve.

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden, V14.3.0.1-nél korábbi verziója;
- Teamcenter Visualization V13.3 minden, V13.3.0.12-nél korábbi verziója;
- Teamcenter Visualization V14.0 minden verziója;
- Teamcenter Visualization V14.1 minden, V14.1.0.11-nél korábbi verziója;
- Teamcenter Visualization V14.2 minden, V14.2.0.6-nál korábbi verziója;
- Teamcenter Visualization V14.3 minden, V14.3.0.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-38070)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38071)/súlyos;
- Out-of-bounds Write (CVE-2023-38072)/súlyos;
- Type Confusion (CVE-2023-38073)/súlyos;
- Type Confusion (CVE-2023-38074)/súlyos;
- Use After Free (CVE-2023-38075)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38076)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 ADM (6GK6015-0AL20-0GL0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 ADM CC (6GK6015-0AL20-0GL1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 CKP (6GK6015-0AL20-0GK0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 CKP CC (6GK6015-0AL20-0GK1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 CLOUDCONNECT (6GK6015-0AL20-0GM0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 CLOUDCONNECT CC (6GK6015-0AL20-0GM1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 ELAN (6GK6015-0AL20-0GP0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 ELAN CC (6GK6015-0AL20-0GP1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 SAM-L (6GK6015-0AL20-0GN0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808 SAM-L CC (6GK6015-0AL20-0GN1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-P (6GK6015-0AL20-1AA0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-P CC (6GK6015-0AL20-1AA1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S1 (6GK6015-0AL20-1AB0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S1 CC (6GK6015-0AL20-1AB1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S3 (6GK6015-0AL20-1AD0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S3 CC (6GK6015-0AL20-1AD1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S5 (6GK6015-0AL20-1AF0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808CLA-S5 CC (6GK6015-0AL20-1AF1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808LNX (6GK6015-0AL20-0GH0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808LNX CC (6GK6015-0AL20-0GH1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808W10 (6GK6015-0AL20-0GJ0) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
- RUGGEDCOM APE1808W10 CC (6GK6015-0AL20-0GJ1) típusú eszközök minden, V1.0.212N-nél korábbi BIOS verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insyde BIOS Vulnerability (CVE-2017-5715)/közepes;
- Insyde BIOS Vulnerability (CVE-2021-38578)/kritikus;
- Insyde BIOS Vulnerability (CVE-2022-24350)/közepes;
- Insyde BIOS Vulnerability (CVE-2022-24351)/közepes;
- Insyde BIOS Vulnerability (CVE-2022-27405)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-29275)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-30283)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-30772)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32469)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32470)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32471)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32475)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32477)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32953)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-32954)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-35893)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-35894)/közepes;
- Insyde BIOS Vulnerability (CVE-2022-35895)/súlyos;
- Insyde BIOS Vulnerability (CVE-2022-35896)/közepes;
- Insyde BIOS Vulnerability (CVE-2022-36338)/súlyos;
- Insyde BIOS Vulnerability (CVE-2023-24932)/közepes;
- Insyde BIOS Vulnerability (CVE-2023-27373)/közepes;
- Insyde BIOS Vulnerability (CVE-2023-31041)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Spectrum Power 7 minden, V23Q3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2023-38557)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS neo (Administration Console) V4.0 minden verziója;
- SIMATIC PCS neo (Administration Console) V4.0 Update 1 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insertion of Sensitive Information into Externally-Accessible File or Directory (CVE-2023-38558)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.14
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Pavilion8 v5.17.00 és v5.17.01-es verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-29463)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-257-07

Bejelentés dátuma: 2023.09.19.
Gyártó: Omron
Érintett rendszer(ek):
- Sysmac Studio 1.54-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2022-45793)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-262-04

Bejelentés dátuma: 2023.09.19.
Gyártó: Omron
Érintett rendszer(ek):
- Sysmac Studio1.54-es és korábbi verziói;
- NX-IO Configurator 1.22-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2018-1002205)
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-262-03

Bejelentés dátuma: 2023.09.19.
Gyártó: Omron
Érintett rendszer(ek):
- Smart Security Manager 1.4-es és 1.31-ig terjedő korábbi verziói;
- Smart Security Manager 1.5-ös és korábbi verziói;
- CJ2H-CPU ** (-EIP) 1.4-es és korábbi verziói;
- CJ2M-CPU ** 2.0 és korábbi verziói;
- CS1H/G-CPU ** H、CJ1G-CPU ** P 4.0 és korábbi verziói;
- CS1D-CPU ** H / -CPU ** P 1.3-as és korábbi verziói;
- CS1D-CPU ** S 2.0 és korábbi verziói;
- CP1E-E / -N 1.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Control of Interaction Frequency (CVE-2022-45790)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-262-05

Bejelentés dátuma: 2023.09.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Connected Components Workbench R21-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free (CVE-2020-16017)/kritikus;
- Use After Free (CVE-2022-0609)/súlyos;
- Out-of-bounds Write (CVE-2020-16009)/súlyos;
- Out-of-bounds Write (CVE-2020-16013)/súlyos;
- Out-of-bounds Write (CVE-2020-15999)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-05

Bejelentés dátuma: 2023.09.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1756-EN2T A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2T A sorozatú eszközök 5.028-as verziója;
- 1756-EN2T B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2T B sorozatú eszközök 5.028-as verziója;
- 1756-EN2T C sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2T C sorozatú eszközök 5.028-as verziója;
- 1756-EN2T D sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TK A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TK A sorozatú eszközök 5.028-as verziója;
- 1756-EN2TK B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TK B sorozatú eszközök 5.028-as verziója;
- 1756-EN2TK C sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TK C sorozatú eszközök 5.028-as verziója;
- 1756-EN2TK D sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TXT A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TXT A sorozatú eszközök and 5.028-as verziója;
- 1756-EN2TXT B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TXT B sorozatú eszközök 5.028-as verziója;
- 1756-EN2TXT C sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TXT C sorozatú eszközök 5.028-as verziója;
- 1756-EN2TXT D sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TP A sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TPK A sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TPXT A sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TR A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TR A sorozatú eszközök 5.028-as verziója;
- 1756-EN2TR B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TR B sorozatú eszközök 5.028-as verziója;
- 1756-EN2TR C sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TRK A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TRK A sorozatú eszközök 5.028-as verziója;
- 1756-EN2TRK B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TRK B sorozatú eszközök 5.028-as verziója;
- 1756-EN2TRK C sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2TRXT A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TRXT A sorozatú eszközök 5.028-as verziója;
- 1756-EN2TRXT B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2TRXT B sorozatú eszközök 5.028-as verziója;
- 1756-EN2TRXT C sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2F A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2F A sorozatú eszközök 5.028-as verziója;
- 1756-EN2F B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2F B sorozatú eszközök 5.028-as verziója;
- 1756-EN2F C sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN2FK A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2FK A sorozatú eszközök 5.028-as verziója;
- 1756-EN2FK B sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN2FK B sorozatú eszközök 5.028-as verziója;
- 1756-EN2FK C sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN3TR A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN3TR A sorozatú eszközök 5.028-as verziója;
- 1756-EN3TR B sorozatú eszközök 11.002-es és korábbi verziói;
- 1756-EN3TRK A sorozatú eszközök 5.008-as és korábbi verziói;
- 1756-EN3TRK A sorozatú eszközök 5.028-as verziója;
- 1756-EN3TRK B sorozatú eszközök 11.002-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-2262)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-04

Bejelentés dátuma: 2023.09.21.
Gyártó: Real Time Automation
Érintett rendszer(ek):
- 460 sorozat v8.9.8-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2023-4523)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-01

Bejelentés dátuma: 2023.09.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View Machine Edition v13.0 verziója;
- FactoryTalk View Machine Edition v12.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2023-2071)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-06

Bejelentés dátuma: 2023.09.21.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DIAScreen v1.3.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-5068)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-03

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nemrég egy érdekesnek tűnő cikksorozat első részeire találtam rá az ISA weboldalán. A sorozatban egy három fázisú, 14 részből álló kezdeményezést mutatnak be, ami alapja lehet egy ICS biztonsági programnak.

Az első fázis az ICS/OT kiberbiztonsági értékelés és szabályzat-alkotás, valamint a governance témáival foglalkozik.

a második fázisba 7 témakör tartozik:

- ICS/OT kiberbiztonsági tervezés és hálózatszegmentáció (IT és OT hálózatok közötti szegmentáció);
- ICS/OT eszközfelderítés és fenyegetés-észletés (OT IDS rendszerek kiválasztása és implementálása);
- ICS/OT konfiguráció-higénia;
- ICS/OT biztonságos távoli hozzáférés;
- ICS/OT hozzáférés-vezérlés;
- ICS/OT végpontvédelem (antivírus, host IDS/EDR, USB eszközkontroll);
- ICS/OT beszállító lánc-biztonság;

A harmadik fázis 3 részből áll:

- ICS/OT biztonsági monitoring;
- ICS/OT biztonsági incidenskezelési terv;
- ICS/OT audit és biztonsági tesztelés;

A sorozat eddig megjelent négy része az alábbi linkeken érhető el:

Első rész;
Második rész;
Harmadik rész;
Negyedik rész;

Bejelentés dátuma: 2023.09.12.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Lumada APM Edge 4.0 és korábbi verziói;
- Lumada APM Edge 6.3-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free (CVE-2023-0215)/súlyos;
- Double Free (CVE-2022-4450)/súlyos;
- Type Confusion (CVE-2023-0286)/súlyos;
- Observable Discrepancy (CVE-2022-4304)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-255-01

Bejelentés dátuma: 2023.09.12.
Gyártó: Fujitsu Software
Érintett rendszer(ek):
- Infrastructure Manager Advanced Edition V2.8.0.060-as verziója;
- Infrastructure Manager Advanced Edition for PRIMEFLEX V2.8.0.060-as verziója;
- Infrastructure Manager Essential Edition V2.8.0.060-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2023-39903)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-255-02

Bejelentés dátuma: 2023.09.12.
Gyártó: JTEKT
Érintett rendszer(ek):
- Kostac PLC programozási szoftver (korábbi nevén Koyo PLC programozási szoftver) 1.6.11.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Double free (CVE-2023-41374)/súlyos;
- Use-after-free (CVE-2023-41375)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://jvn.jp/en/vu/JVNVU95282683/index.html

Bejelentés dátuma: 2023.09.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS Update Service (IGSSupdateservice.exe) v16.0.0.23211-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-4516)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- PSS(R)CAPE V14 minden, V14.2023-08-23-nál korábbi verziója;
- PSS(R)CAPE V15 minden, V15.0.22-nél korábbi verziója;
- PSS(R)E V34 minden, V34.9.6-nál korábbi verziója;
- PSS(R)E V35 minden verziója;
- PSS(R)ODMS V13.0 minden verziója;
- PSS(R)ODMS V13.1 minden, V13.1.12.1-nél korábbi verziója;
- SIMATIC PCS neo V3 minden verziója;
- SIMATIC PCS neo V4 minden verziója;
- SIMATIC WinCC OA V3.17 minden verziója;
- SIMATIC WinCC OA V3.18 minden verziója;
- SIMATIC WinCC OA V3.19 minden, V3.19 P006-nál korábbi verziója;
- SIMIT Simulation Platform minden verziója;
- SINEC INS minden verziója;
- SINEMA Remote Connect minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-Based Buffer Overflow (CVE-2023-3935)/kritikus;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- QMS Automotive minden, v12.39-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Plaintext Storage of a Password (CVE-2022-43958)/súlyos;
- Cleartext Storage of Sensitive Information in Memory (CVE-2023-40724)/súlyos;
- Generation of Error Message Containing Sensitive Information (CVE-2023-40725)/közepes;
- Server-generated Error Message Containing Sensitive Information (CVE-2023-40726)/súlyos;
- Improper Verification of Cryptographic Signature (CVE-2023-40727)/súlyos;
- Insecure Storage of Sensitive Information (CVE-2023-40728)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-40729)/súlyos;
- Improper Access Control (CVE-2023-40730)/súlyos;
- Unrestricted Upload of File with Dangerous Type (CVE-2023-40731)/közepes;
- Insufficient Session Expiration (CVE-2023-40732)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Field PG M6 minden verziója;
- SIMATIC IPC BX-39A minden verziója;
- SIMATIC IPC PX-39A minden verziója;
- SIMATIC IPC PX-39A PRO minden verziója;
- SIMATIC IPC RW-543A minden verziója;
- SIMATIC IPC627E minden verziója;
- SIMATIC IPC647E minden verziója;
- SIMATIC IPC677E minden verziója;
- SIMATIC IPC847E minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-40982)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid V34.1 minden, V34.1.258-nál korábbi verziója;
- Parasolid V35.0 minden, V35.0.253-nál korábbi verziója;
- Parasolid V35.0 minden, V35.0.260-nál korábbi verziója;
- Parasolid V35.1 minden, V35.1.184-nél korábbi verziója;
- Parasolid V35.1 minden, V35.1.246-nál korábbi verziója;
- Parasolid V36.0 minden, V36.0.142-nél korábbi verziója;
- Parasolid V36.0 minden, V36.0.156-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-41032)/súlyos;
- Out-of-bounds Write (CVE-2023-41033)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.09.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Cloud Connect 7 CC712 (6GK1411-1AC00) minden, v2.2-nél korábbi verziója;
- SIMATIC Cloud Connect 7 CC716 (6GK1411-5AC00) minden, v2.2-nél korábbi verziója;
- SIMATIC Drive Controller CPU 1504D TF (6ES7615-4DF10-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC Drive Controller CPU 1504D TF (6ES7615-4DF10-0AB0) minden, v3.0.1-től v3.0.3-ig terjedő verziója;
- SIMATIC Drive Controller CPU 1507D TF (6ES7615-7DF10-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC Drive Controller CPU 1507D TF (6ES7615-7DF10-0AB0) minden, v3.0.1-től v3.0.3-ig terjedő verziója;
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (beleértve a SIPLUS változatokat is) minden v21.9.7-nél korábbi verziója;
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (beleértve a SIPLUS változatokat is): Versions 30.0.0 and prior
- SIMATIC S7-1200 CPU family (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1500 CPU 1510SP F-1 PN (6ES7510-1SJ01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1510SP F-1 PN (6ES7510-1SK03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1510SP-1 PN (6ES7510-1DJ01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1510SP-1 PN (6ES7510-1DK03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AK01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AK02-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AL03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511C-1 PN (6ES7511-1CK00-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511C-1 PN (6ES7511-1CK01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FK01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FK02-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FL03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511T-1 PN (6ES7511-1TK01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511T-1 PN (6ES7511-1TL03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511TF-1 PN (6ES7511-1UK01-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1511TF-1 PN (6ES7511-1UL03-0AB0) minden v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1512C-1 PN (6ES7512-1CK00-0AB0) minden v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1512C-1 PN (6ES7512-1CK01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1512SP F-1 PN (6ES7512-1SK01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1512SP F-1 PN (6ES7512-1SM03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1512SP-1 PN (6ES7512-1DK01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1512SP-1 PN (6ES7512-1DM03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AL01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AL02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AM03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FL01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FL02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FM03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1513R-1 PN (6ES7513-1RL00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1513R-1 PN (6ES7513-1RM03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1514SP F-2 PN (6ES7514-2SN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1514SP-2 PN (6ES7514-2DN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1514SPT F-2 PN (6ES7514-2WN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1514SPT-2 PN (6ES7514-2VN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AM01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AM02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FM01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FM02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515R-2 PN (6ES7515-2RM00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515R-2 PN (6ES7515-2RN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515T-2 PN (6ES7515-2TM01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515T-2 PN (6ES7515-2TN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515TF-2 PN (6ES7515-2UM01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1515TF-2 PN (6ES7515-2UN03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AN01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AN02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AP03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FN01-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FN02-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FP03-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1516T-3 PN/DP (6ES7516-3TN00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1516TF-3 PN/DP (6ES7516-3UN00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517-3 PN/DP (6ES7517-3AP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517F-3 PN/DP (6ES7517-3FP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517H-3 PN (6ES7517-3HP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517T-3 PN/DP (6ES7517-3TP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517TF-3 PN/DP (6ES7517-3UP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518-4 PN/DP (6ES7518-4AP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP (6ES7518-4FP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518HF-4 PN (6ES7518-4JP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518T-4 PN/DP (6ES7518-4TP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518TF-4 PN/DP (6ES7518-4UP00-0AB0) minden, v3.0.3-nál korábbi verziója;
- SIMATIC S7-1500 CPU S7-1518-4 PN/DP ODK (6ES7518-4AP00-3AB0):All versions prior to v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 CPU S7-1518F-4 PN/DP ODK (6ES7518-4FP00-3AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1513PRO F-2 PN (6ES7513-2GL00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1513PRO-2 PN (6ES7513-2PL00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1516PRO F-2 PN (6ES7516-2GN00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1516PRO-2 PN (6ES7516-2PN00-0AB0) minden, v2.9.7-nél korábbi verziója;
- SIMATIC S7-1500 Software Controller V2 minden, v21.9.7-nél korábbi verziója;
- SIMATIC S7-1500 Software Controller V3 minden verziója;
- SIMATIC S7-PLCSIM Advanced minden verziója;
- SIPLUS ET 200SP CPU 1510SP F-1 PN (6AG1510-1SJ01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1510SP F-1 PN RAIL (6AG2510-1SJ01-1AB0):All versions prior to v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN (6AG1510-1DJ01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN (6AG1510-1DJ01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN RAIL (6AG2510-1DJ01-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN RAIL (6AG2510-1DJ01-1AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN (6AG1512-1SK01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN (6AG1512-1SK01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN RAIL (6AG2512-1SK01-1AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN RAIL (6AG2512-1SK01-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN (6AG1512-1DK01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN (6AG1512-1DK01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN RAIL (6AG2512-1DK01-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN RAIL (6AG2512-1DK01-1AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK02-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN T1 RAIL (6AG2511-1AK01-1AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN T1 RAIL (6AG2511-1AK02-1AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN TX RAIL (6AG2511-1AK01-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511-1 PN TX RAIL (6AG2511-1AK02-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511F-1 PN (6AG1511-1FK01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1511F-1 PN (6AG1511-1FK02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL02-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513F-1 PN (6AG1513-1FL01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1513F-1 PN (6AG1513-1FL02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN (6AG1515-2FM01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN (6AG1515-2FM02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN RAIL (6AG2515-2FM02-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN T2 RAIL (6AG2515-2FM01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515R-2 PN (6AG1515-2RM00-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1515R-2 PN TX RAIL (6AG2515-2RM00-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN01-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN02-7AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP RAIL (6AG2516-3AN02-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP TX RAIL (6AG2516-3AN01-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP (6AG1516-3FN02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP (6AG1516-3FN01-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP RAIL (6AG2516-3FN02-2AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP RAIL (6AG2516-3FN02-4AB0) minden, v2.9.7-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1517H-3 PN (6AG1517-3HP00-4AB0) minden, v3.0.3-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518-4 PN/DP (6AG1518-4AP00-4AB0) minden, v3.0.3-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518-4 PN/DP MFP (6AG1518-4AX00-4AC0) minden, v3.0.3-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518F-4 PN/DP (6AG1518-4FP00-4AB0) minden, v3.0.3-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518HF-4 PN (6AG1518-4JP00-4AB0) minden, v3.0.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Integer Overflow or Wraparound (CVE-2023-28831)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az Elekrilevi az észt DSO, ahol még 2021-ben indítottak egy projektet AREP néven, aminek célja egy biztonságos távoli, mérnöki hozzáférés megteremtése volt az elosztóhálózati folyamatirányító rendszer elemeihez. A teljes projektről egy három napos webinar-sorozatban számolnak most be (sajnos kicsit későn jutottam oda, hogy ezt ki tudjam posztolni, de talán még nem túl késő - az első nap holnap, 2023.09.19-én lesz). A webinar-ra regisztrálni illetve a 3 napos rendezvény programját megtalálni az Elektrilevi weboldalán lehet: https://forms.elektrilevi.ee/arep-project/