A port scannelés és aktív sérülékenység vizsgálat sok éven át olyan területe volt az ICS/OT kiberbiztonságnak, amiről nem lehetett formális tanfolyamokon tanulni. Ráadásul nagyon kevés biztonsági szakembernek volt lehetősége ICS/OT rendszereken tesztelni az ilyen eljárásokat, akiknek mégis, ők jellemzően a saját (és az érintett ICS/OT rendszerek üzemeltetőinek) kárán tanulták meg, hogy mit szabad és mit nem ajánlott csinálni OT környezetekben az olyan, IT rendszereknél napi rutinfeladatként használt eszközökkel, mint pl. az Nmap.

Ez csak lassan kezdett változni az 2010-es évek közepén, nemrég azonban egy ingyenesen elérhető, kifejezetten az Nmap OT környezetekben történő használatával foglalkozó minitanfolyamra akadtam Marcel Rick-Cen-től.

A minitanfolyam rögtön azzal kezdődik, hogy SOHA NE scanneljünk éles ICS/OT rendszert! Ezután lépésről-lépésre mutatja be, hogyan lehet minimalizálni a Nmap scan-ek jelentette kockázatokat az ICS/OT rendszerekre nézve. Természetesen ez minitanfolyam csak az Nmap legalapvetőbb képességeit ismerteti, de ha valaki most ismerkedik az ICS/OT rendszerek biztonsági tesztelésével, mindenképp hasznos lehet.

A tanfolyam a minicoursegenerator.com-on érhető el.

Incidensek

Ransomware-támadás érte a Thyssenkrupp rendszereit

A német acélgyártás egyik központi vállalatát, a Thyssenkrupp-ot még február végén érte ransomware-támadás. A cég állítása szerint a támadók kudarcot vallottak, azonban a hírek szerint így is leállt a gyárak termelése.

Forrás: SecurityWeek

Leállt a Duvel belga sörgyár több üzeme egy ransomware-támadás után

Március 5-éről 6-ára virradó éjjel zsarolóvírus-támadás érte a belga Duvel sörgyár rendszereit, aminek következtében 4 belga és egy Kansas City-i üzemében állt le a termelés.

Források:
Cyber Security Intelligence

Graham Cluley blogja

The Register

Hírek

Stuxnet-szerű támadást szimuláltak kutatók

Az Atlantában található Georgia Tech egyetem kutatói olyan Proof-of-Concept malware-t fejlesztettek, amivel a modern PLC webszerverei ellen lehet a Stuxnet-hez hasonló támadásokat végrehajtani. A "hagyományos" PLC-k elleni támadásokkal szemben a Georgia Tech kutatóinak módszere jelentősen egyszerűbb és könnyebb perzisztenssé tenni az illegális hozzáférést is.

Forrás: Compromising Industrial Processes using Web-Based Programmable Logic Controller Malware

(Külön érdekessége ennek a hírnek, hogy az első amerikai ICS biztonsági konferencia, amin részt vettem - és utána a következő évben is - a Georgia Tech hotelben, az egyetem campusa mellett került megrendezésre. Kicsi ez az ICS biztonsági világ.)

SecurityWeek

Badgerboard - PoC eszköz PLC-k hálózati forgalmának elemzéséhez

A Cisco Talos blogján jelent meg az a hír, ami szerint Badgerboard néven egy új, PLC backplane-ekkel használható hálózati forgalomelemző eszközön dolgoznak.

Kína fokozza az ipari cégek hálózatbiztonságát

A kínai kormányzat további intézkedéseket tervez a kínai ipari szervezetek által használt hálózatok kiberbiztonságának növelésére. A terv szerint 2026 végéig több, mint 45.000 szervezetnél kell javítani a kijelölt hálózatok kockázati helyzetén.

Forrás: Reuters

A brit energiaszektor kiberbiztonsági kockázatai fokozódnak

A SecurityIntelligence.com az IBM X-Force nevű kiberbiztonsági kutatócsoportjának publikációs felülete. Itt írnak arról, hogy a brit energiaszektor legfontosabb vállalatainak kockázatai gyorsuló ütemben nőnek, ezzel (a szerzők szerint) ma már Nagy-Britannia kritikus infrastruktúráinak kockázatai már a legmagasabbak Európában.

Forrás: SecurityIntelligence.com

Palo Alto felmérés az OT biztonsági incidensek hatásairól

Sok más, hagyományosan IT biztonsági területen indult céghez hasonlóan mára a Palo Alto is egyre komolyabb hangsúlyt helyez az OT biztonság területére (van pl. ruggedized NextGen tűzfaluk is, én régebben találkoztam is a PA-220R jelű modellel). Nemrég egy felmérésük eredményeit publikálták, ami szerint négyből egy ipari szervezet tapasztalt olyan súlyú biztonsági incidenst, aminek hatására le kellett állítania az ICS/OT rendszeinek működését. Ez nem azt jelenti, hogy ennyi szervezetnél érte közvetlen támadás az OT rendzsereket, ebbe azok a cégek is beletartoznak, ahol elővigyázatosságból döntöttek a leállás mellett vagy olyan eseteket is ide sorolhatnak, mint amilyen a Colonial Pipeline-incidens volt, ahol elég volt egyes IT rendszereket használhatatlanná tenni, utána már a cég menedzsmentje döntött az OT rendszerek és a teljes működésük leállítása mellett.

Forrás: https://www.paloaltonetworks.com/content/dam/pan/en_US/assets/pdf/reports/state-of-ot-security-report-2024.pdf

Kaspersky ICS-CERT jóslatok 2024-re

A Kaspersky ICS-CERT nevű csapata, ahogy évek óta, úgy idén is publikálta az évre vonatkozó ICS/OT biztonsági jóslatait. Véleményük szerint a zsarolóvírusok idén is a legnagyobb problémák egyikeként maradnak velünk és egyre komolyabb gazdasági és társadalmi következményei lesznek az ilyen támadásoknak. Ahogy a geopolitikai feszültségek (milyen szép kifejezés a háborúkra és egyéb, regionális ellentétekre) fokozódnak, úgy fognak nőni az állami hátterű APT-csoportok és politikailag motivált hacktivisták jelentette veszélyek. Ezekről és további várakozásaikról is lehet olvasni itt: https://securelist.com/threat-landscape-for-industrial-automation-systems-h2-2023/112153/

Bejelentés dátuma: 2023.04.02.
Gyártó: IOSiX
Érintett rendszer(ek):
- IO-1020 Micro ELD 360-asnál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Default Credentials (CVE-2024-30210)/súlyos;
- Use of Default Credentials (CVE-2024-31069)/súlyos;
- Download of Code Without Integrity Check (CVE-2024-28878)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-093-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az ICS/OT rendszerek sérülékenységeivel szinte a blog indulása óta foglalkozom, nem csoda, hogy ennek a posztnak a publikálása idején már a 411. részénél tart az ICS sérülékenységek poszt-sorozatom. Néhány hónapja láttam egy LinkedIn posztot, ahol a szerző az általa javasolt forrásokat gyűjtöttem össze a témában, ezért úgy gondoltam, talán nekem sem lenne haszontalan összállítanom a saját listámat:

DHS CISA - www.cisa.gov

CERT-FR - www.cert.ssi.gouv.fr

ICS Advisory project - www.icsadvisoryproject.com

ISSSource - www.isssource.com

Gyártói oldalak:

Siemens ProductCERT

Schneider Electric

ABB

Moxa

Belden-Hirschmann

Van esetleg bárkinek javaslata, hogy mit kéne még felvenni erre a listára?

Bejelentés dátuma: 2024.03.14.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann HiSecOS EAGLE 04.5.00 és korábbi verziói;
- Hirschmann Classic Firewall EAGLE One 05.4.03-as és korábbi verziói;
- Hirschmann HiOS RSP, RSPE, MSP, GRS, OS, DRAGON, BRS 09.2.01-es és korábbi verziói;
- Hirschmann HiOS RSP-2S, RSPL, RED, RSPS, GRS1020/30 07.1.06-os és korábbi verziói;
- Hirschmann Classic Switch RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS, OCTOPUS 09.1.09-es és korábbi verziói;
- Hirschmann HiLCOS BAT 10.34-RU4-es és korábbi verziói;
- Hirschmann OWL OWL 6.3.7-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Type confusion (CVE-2023-0286)/súlyos;
- Timing-based Side Channel (CVE-2022-4304)/közepes;
- Use After Free (CVE-2023-0215)/súlyos;
- Double Free (CVE-2022-4450)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Belden

Bejelentés dátuma: 2023.03.19.
Gyártó: Franklin Fueling System
Érintett rendszer(ek):
- EVO 550 minden, 2.26.3.8963-nál korábbi verziója;
- EVO 5000 minden, 2.26.3.8963-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2024-2442)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-079-01

Bejelentés dátuma: 2023.03.21.
Gyártó: Advantech
Érintett rendszer(ek):
- WebAccess/SCADA 9.1.5U verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SQL Injection (CVE-2024-2453)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-081-01

Bejelentés dátuma: 2024.03.26.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- C-MORE EA9 HMI EA9-T6CL 6.77-es és korábbi verziói;
- C-MORE EA9 HMI EA9-T7CL 6.77-es és korábbi verziói;
- C-MORE EA9 HMI EA0-T7CL-R 6.77-es és korábbi verziói;
- C-MORE EA9 HMI EA9-T8CL 6.77-es és korábbi verziói;
- C-MORE EA9 HMI EA9-T10CL 6.77-es és korábbi verziói;
- C-MORE EA9 HMI EA9-T10WCL 6.77-es és korábbi verziói;
- C-MORE EA9 HMI EA9-T12CL 6.77-es és korábbi verziói;
- C-MORE EA9 HMI EA9-T15CL 6.77-es és korábbi verziói;
- C-MORE EA9 HMI EA9-T15CL-R 6.77-es és korábbi verziói;
- C-MORE EA9 HMI EA9-RHMI 6.77-es és korábbi verziói;
- C-MORE EA9 HMI EA9-PGMSW 6.77-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2024-25136)/súlyos;
- Stack-Based Buffer Overflow (CVE-2024-25137)/közepes;
- Plaintext Storage of a Password (CVE-2024-25138)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-086-01

Bejelentés dátuma: 2024.03.26.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- PowerFlex 527-es v2.001.x és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-2425)/súlyos;
- Improper Input Validation (CVE-2024-2426)/súlyos;
- Uncontrolled Resource Consumption (CVE-2024-2427)/súlyos;
Javítás: Jelenleg nem elérhető, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-086-02

Bejelentés dátuma: 2024.03.26.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Arena Simulation Software 16.00 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-21912)/súlyos;
- Heap-based Buffer Overflow (CVE-2024-21913)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-2929)/súlyos;
- Use After Free (CVE-2024-21918)/súlyos;
- Access of Uninitialized Pointer (CVE-2024-21919)/súlyos;
- Out-of-bounds Read (CVE-2024-21920)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-086-03

Bejelentés dátuma: 2024.03.26.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View ME v14-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-21914)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-086-04

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A viziközmű cégek kiberbiztonságára az utóbbi időben számos, főleg az USA-ban bekövetkezett incidens (pl. Veolia North America, Pennsylvania, Southern Water) világított rá jobban az ivóvíz-hálózatok kiberbiztonsági kitettségére. Ennek kapcsán nyilatkozta nemrég a Dragos alapító-vezérigazgatója, Rob Lee az S4X24 konferencián, hogy a viziközmű cégek OT rendszereinek kiberbiztonsági kockázatai a jövőben várhatóan jelentősen meg fognak nőni, mert egyre több cégnek kell ebben a szektorban lecserélnie a bátran antiknak nevezhető, ám éppen ezért nem IP hálózatra kötött rendszereit. Az új rendszerek azonban (ahogy azt már megszokhattuk az elmúlt lassan másfél évtizedben számos más iparágban) már IP-n fognak kommunikálni, ez azonban számos, a viziközmű-szektorban újnak számító biztonsági kockázatot is be fog hozni az egyenletbe.

Mindezeket és az elmúlt időszakban az amerikai viziközmű-cégeket érintő támadásokat figyelembe véve érthetőnek és indokoltnak látszik, hogy a DHS CISA és az FBI egy 27 oldalas útmutatót adott ki a viziközmű-szektor szervezetei számára, amiben a kiberbiztonsági incdensekre történő felkészülésben próbálja tanácsokkal ellátni ezeket a cégeket.

Az incidenskezelésben alapszinten jártas szakemberek számára ebben a publikációban nagy újdonságok nincsenek (a felkészülés, az észlelési és elemzési tevékenységek és kontrollok fontossága mellett a DHS CISA-nál illetve az FBI-nál elérhető elemzési és incidenskezelési támogatásról szóló fejezetek mellett az incidens felszámolása és a helyreállítás lépéseit ismertetik, valamint a viziközmű ISAC fontosságát hangsúlyozzák), felmerül azonban a kérdés, hogy mit is jelentenek ezek a hírek nekünk, itt, Magyarországon 2024-ben? Nos, ha abból indulunk ki, hogy a magyar viziközmű-hálózat állapota a legfinomabban szólva is súlyos problémákkal terhelt (két forrást is idézek, ezekből legalább az egyiket nem lehet azzal vádolni, hogy a témát felhasználva a kormányzatot akarná támadni, lévén a Századvég Gazdaságkutató Zrt. nem egy kifejezetten ellenzéki érzelmű szervezet), akkor nem teljesen alaptalanul feltételezhetjük, hogy ha a vízvezeték-hálózat súlyosan elavult, akkor a szektorban használt folyamatautomatizálási megoldások sem a legmodernebb rendszereket, amiket korszerű elvek és kiberbiztonsági ajánlások/követelmények mentén alakítottak volna ki. Sokkal valószínűbb, hogy az amerikai viziközmű cégekéhez hasonló, bátran antiknak nevezhető megoldások szolgálják ki a fogyasztókat. Ez egyben jelent komoly kockázatokat és a rövidesen tovább már nem halasztható felújítások során egy nagyon jó lehetőséget is arra vonatkozóan, hogy ne csak egy műszaki modernizálás történjen, hanem egyben az elérhető szakmai jó gyakorlatok és útmutatók alapján egy biztonságos, magas szinten automatizált viziközmű-hálózat épüljön ki. Vajon lesz erre igénye a tulajdonosoknak (önkormányzatok és állam)?

Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge V223.0.11-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-49125)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SENTRON 7KM PAC3120 AC/DC (7KM3120-0BA01-1DA0) V3.2.3-nál újabb, de V3.3.0-nál korábbi verziói;
- SENTRON 7KM PAC3120 DC (7KM3120-1BA01-1EA0) V3.2.3-nál újabb, de V3.3.0-nál korábbi verziói;
- SENTRON 7KM PAC3220 AC/DC (7KM3220-0BA01-1DA0) V3.2.3-nál újabb, de V3.3.0-nál korábbi verziói;
- SENTRON 7KM PAC3220 DC (7KM3220-1BA01-1EA0) V3.2.3-nál újabb, de V3.3.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Access Control (CVE-2024-21483)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Fortinet NGFW V7.4.1-es és korábbi verziókat használó RUGGEDCOM APE1808 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Certificate Validation (CVE-2022-39948)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2022-41327)/súlyos;
- Path Traversal (CVE-2022-41328)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-41329)/közepes;
- Cross-site Scripting (CVE-2022-41330)/súlyos;
- Cross-site Scripting (CVE-2022-41334)/súlyos;
- Permissive List of Allowed Inputs (CVE-2022-42469)/közepes;
- Relative Path Traversal (CVE-2022-42474)/közepes;
- Relative Path Traversal (CVE-2022-42476)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-43947)/közepes;
- Use of Externally-Controlled Format String (CVE-2022-43953)/közepes;
- Access of Uninitialized Pointer (CVE-2022-45861)/közepes;
- Out-of-bounds Write (CVE-2023-22639)/közepes;
- Out-of-bounds Write (CVE-2023-22640)/súlyos;
- Open Redirect (CVE-2023-22641)/közepes;
- Improper Input Validation (CVE-2023-25610)/kritikus;
- Insertion of Sensitive Information into Log File (CVE-2023-26207)/alacsony;
- Heap-based Buffer Overflow (CVE-2023-27997)/kritikus;
- Insufficient Session Expiration (CVE-2023-28001)/közepes;
- Improper Validation of Integrity Check Value (CVE-2023-28002)/közepes;
- Improper Certificate Validation (CVE-2023-29175)/közepes;
- Access of Uninitialized Pointer (CVE-2023-29178)/közepes;
- Improper Input Validation (CVE-2023-29179)/közepes;
- Improper Input Validation (CVE-2023-29180)/súlyos;
- Improper Input Validation (CVE-2023-29181)/súlyos;
- Cross-site Scripting (CVE-2023-29183)/súlyos;
- Improper Access Control (CVE-2023-33301)/közepes;
- Infinite Loop (CVE-2023-33305)/közepes;
- NULL Pointer Dereference (CVE-2023-33306)/közepes;
- NULL Pointer Dereference (CVE-2023-33307)/közepes;
- Stack-based Buffer Overflow (CVE-2023-33308)/kritikus;
- Basic XSS (CVE-2023-36555)/alacsony;
- Use of Externally-Controlled Format String (CVE-2023-36639)/súlyos;
- NULL Pointer Dereference (CVE-2023-36641)/közepes;
- Use of GET Request Method With Sensitive Query Strings (CVE-2023-37935)/súlyos;
- Interpretation Conflict (CVE-2023-40718)/súlyos;
- Use After Free (CVE-2023-41675)/közepes;
- Improper Authorization (CVE-2023-41841)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE XB205-3 (SC, PN) (6GK5205-3BB00-2AB2) minden verziója;
- SCALANCE XB205-3 (ST, E/IP) (6GK5205-3BB00-2TB2) minden verziója;
- SCALANCE XB205-3 (ST, E/IP) (6GK5205-3BD00-2TB2) minden verziója;
- SCALANCE XB205-3 (ST, PN) (6GK5205-3BD00-2AB2) minden verziója;
- SCALANCE XB205-3LD (SC, E/IP) (6GK5205-3BF00-2TB2) minden verziója;
- SCALANCE XB205-3LD (SC, PN) (6GK5205-3BF00-2AB2) minden verziója;
- SCALANCE XB208 (E/IP) (6GK5208-0BA00-2TB2) minden verziója;
- SCALANCE XB208 (PN) (6GK5208-0BA00-2AB2) minden verziója;
- SCALANCE XB213-3 (SC, E/IP) (6GK5213-3BD00-2TB2) minden verziója;
- SCALANCE XB213-3 (SC, PN) (6GK5213-3BD00-2AB2) minden verziója;
- SCALANCE XB213-3 (ST, E/IP) (6GK5213-3BB00-2TB2) minden verziója;
- SCALANCE XB213-3 (ST, PN) (6GK5213-3BB00-2AB2) minden verziója;
- SCALANCE XB213-3LD (SC, E/IP) (6GK5213-3BF00-2TB2) minden verziója;
- SCALANCE XB213-3LD (SC, PN) (6GK5213-3BF00-2AB2) minden verziója;
- SCALANCE XB216 (E/IP) (6GK5216-0BA00-2TB2) minden verziója;
- SCALANCE XB216 (PN) (6GK5216-0BA00-2AB2) minden verziója;
- SCALANCE XC206-2 (SC) (6GK5206-2BD00-2AC2) minden verziója;
- SCALANCE XC206-2 (ST/BFOC) (6GK5206-2BB00-2AC2) minden verziója;
- SCALANCE XC206-2G PoE (6GK5206-2RS00-2AC2) minden verziója;
- SCALANCE XC206-2G PoE (54 V DC) (6GK5206-2RS00-5AC2) minden verziója;
- SCALANCE XC206-2G PoE EEC (54 V DC) (6GK5206-2RS00-5FC2) minden verziója;
- SCALANCE XC206-2SFP (6GK5206-2BS00-2AC2) minden verziója;
- SCALANCE XC206-2SFP EEC (6GK5206-2BS00-2FC2) minden verziója;
- SCALANCE XC206-2SFP G (6GK5206-2GS00-2AC2) minden verziója;
- SCALANCE XC206-2SFP G (EIP DEF.) (6GK5206-2GS00-2TC2) minden verziója;
- SCALANCE XC206-2SFP G EEC (6GK5206-2GS00-2FC2) minden verziója;
- SCALANCE XC208 (6GK5208-0BA00-2AC2) minden verziója;
- SCALANCE XC208EEC (6GK5208-0BA00-2FC2) minden verziója;
- SCALANCE XC208G (6GK5208-0GA00-2AC2) minden verziója;
- SCALANCE XC208G (EIP def.) (6GK5208-0GA00-2TC2) minden verziója;
- SCALANCE XC208G EEC (6GK5208-0GA00-2FC2) minden verziója;
- SCALANCE XC208G PoE (6GK5208-0RA00-2AC2) minden verziója;
- SCALANCE XC208G PoE (54 V DC) (6GK5208-0RA00-5AC2) minden verziója;
- SCALANCE XC216 (6GK5216-0BA00-2AC2) minden verziója;
- SCALANCE XC216-3G PoE (6GK5216-3RS00-2AC2) minden verziója;
- SCALANCE XC216-3G PoE (54 V DC) (6GK5216-3RS00-5AC2) minden verziója;
- SCALANCE XC216-4C (6GK5216-4BS00-2AC2) minden verziója;
- SCALANCE XC216-4C G (6GK5216-4GS00-2AC2) minden verziója;
- SCALANCE XC216-4C G (EIP Def.) (6GK5216-4GS00-2TC2) minden verziója;
- SCALANCE XC216-4C G EEC (6GK5216-4GS00-2FC2) minden verziója;
- SCALANCE XC216EEC (6GK5216-0BA00-2FC2) minden verziója;
- SCALANCE XC224 (6GK5224-0BA00-2AC2) minden verziója;
- SCALANCE XC224-4C G (6GK5224-4GS00-2AC2) minden verziója;
- SCALANCE XC224-4C G (EIP Def.) (6GK5224-4GS00-2TC2) minden verziója;
- SCALANCE XC224-4C G EEC (6GK5224-4GS00-2FC2) minden verziója;
- SCALANCE XF204 (6GK5204-0BA00-2GF2) minden verziója;
- SCALANCE XF204 DNA (6GK5204-0BA00-2YF2) minden verziója;
- SCALANCE XF204-2BA (6GK5204-2AA00-2GF2) minden verziója;
- SCALANCE XF204-2BA DNA (6GK5204-2AA00-2YF2) minden verziója;
- SCALANCE XP208 (6GK5208-0HA00-2AS6) minden verziója;
- SCALANCE XP208 (Ethernet/IP) (6GK5208-0HA00-2TS6) minden verziója;
- SCALANCE XP208EEC (6GK5208-0HA00-2ES6) minden verziója;
- SCALANCE XP208PoE EEC (6GK5208-0UA00-5ES6) minden verziója;
- SCALANCE XP216 (6GK5216-0HA00-2AS6) minden verziója;
- SCALANCE XP216 (Ethernet/IP) (6GK5216-0HA00-2TS6) minden verziója;
- SCALANCE XP216EEC (6GK5216-0HA00-2ES6) minden verziója;
- SCALANCE XP216POE EEC (6GK5216-0UA00-5ES6) minden verziója;
- SCALANCE XR324WG (24 x FE, AC 230V) (6GK5324-0BA00-3AR3) minden verziója;
- SCALANCE XR324WG (24 X FE, DC 24V) (6GK5324-0BA00-2AR3) minden verziója;
- SCALANCE XR326-2C PoE WG (6GK5326-2QS00-3AR3) minden verziója;
- SCALANCE XR326-2C PoE WG (without UL) (6GK5326-2QS00-3RR3) minden verziója;
- SCALANCE XR328-4C WG (24xFE,4xGE,AC230V) (6GK5328-4FS00-3AR3) minden verziója;
- SCALANCE XR328-4C WG (24xFE,4xGE,AC230V) (6GK5328-4FS00-3RR3) minden verziója;
- SCALANCE XR328-4C WG (24XFE, 4XGE, 24V) (6GK5328-4FS00-2AR3) minden verziója;
- SCALANCE XR328-4C WG (24xFE, 4xGE,DC24V) (6GK5328-4FS00-2RR3) minden verziója;
- SCALANCE XR328-4C WG (28xGE, AC 230V) (6GK5328-4SS00-3AR3) minden verziója;
- SCALANCE XR328-4C WG (28xGE, DC 24V) (6GK5328-4SS00-2AR3) minden verziója;
- SIPLUS NET SCALANCE XC206-2 (6AG1206-2BB00-7AC2) minden verziója;
- SIPLUS NET SCALANCE XC206-2SFP (6AG1206-2BS00-7AC2) minden verziója;
- SIPLUS NET SCALANCE XC208 (6AG1208-0BA00-7AC2) minden verziója;
- SIPLUS NET SCALANCE XC216-4C (6AG1216-4BS00-7AC2) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Cryptographic Key (CVE-2023-44318)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44321)/alacsony;
Javítás: Jelenleg nincs.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 minden, Fortinet NGFW-vel használt verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-38545)/közepes;
- External Control of File Name or Path (CVE-2023-38546)/alacsony;
- Improper Privilege Management (CVE-2023-44250)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-44487)/súlyos;
- Improper Certificate Validation (CVE-2023-47537)/közepes;
- Out-of-bounds Write (CVE-2024-21762)/kritikus;
- Use of Externally-Controlled Format String (CVE-2024-23113)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Siveillance Control V2.8-nál újabb, de V3.1.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Authorization (CVE-2023-45793)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC RF160B (6GT2003-0FA00) minden, V2.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2017-14491)/súlyos;
- Improper Input Validation (CVE-2017-18509)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2020-0338)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2020-0417)/súlyos;
- Expected Behavior Violation (CVE-2020-10768)/közepes;
- Improper Authentication (CVE-2020-11301)/súlyos;
- Out-of-bounds Write (CVE-2020-14305)/súlyos;
- Use After Free (CVE-2020-14381)/súlyos;
- Use After Free (CVE-2020-15436)/közepes;
- Inadequate Encryption Strength (CVE-2020-24587)/alacsony;
- Use of Insufficiently Random Values (CVE-2020-25705)/súlyos;
- Incorrect Authorization (CVE-2020-26555)/közepes;
- Improper Authentication (CVE-2020-26558)/közepes;
- Improper Locking (CVE-2020-29660)/közepes;
- Improper Locking (CVE-2020-29661)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0302)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0305)/súlyos;
- Out-of-bounds Write (CVE-2021-0325)/súlyos;
- Out-of-bounds Write (CVE-2021-0326)/súlyos;
- Improper Privilege Management (CVE-2021-0327)/súlyos;
- Missing Authorization (CVE-2021-0328)/súlyos;
- Out-of-bounds Write (CVE-2021-0329)/súlyos;
- Use After Free (CVE-2021-0330)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0331)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0333)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2021-0334)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2021-0336)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2021-0337 )/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2021-0339)/súlyos;
- Improper Certificate Validation (CVE-2021-0341)/súlyos;
- Missing Authorization (CVE-2021-0390)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0391)/súlyos;
- Double Free (CVE-2021-0392)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-0393)/súlyos;
- Out-of-bounds Read (CVE-2021-0394)/közepes;
- Out-of-bounds Write (CVE-2021-0396)/kritikus;
- Double Free (CVE-2021-0397)/kritikus;
- Use After Free (CVE-2021-0399)/súlyos;
- Improper Input Validation (CVE-2021-0400)/közepes;
- Use After Free (CVE-2021-0429)/súlyos;
- Out-of-bounds Read (CVE-2021-0431)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0433)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-0434)/súlyos;
- Improper Initialization (CVE-2021-0435)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-0436)/közepes;
- Double Free (CVE-2021-0437)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0438)/súlyos;
- Race Condition (CVE-2021-0443)/közepes;
- Missing Encryption of Sensitive Data (CVE-2021-0444)/közepes;
- Integer Overflow or Wraparound (CVE-2021-0471)/közepes;
- Use of Uninitialized Resource (CVE-2021-0473)/súlyos;
- Out-of-bounds Write (CVE-2021-0474)/kritikus;
- Race Condition (CVE-2021-0476)/súlyos;
- Improper Handling of Exceptional Conditions (CVE-2021-0478)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-0480)/közepes;
- Improper Input Validation (CVE-2021-0481)/súlyos;
- Missing Initialization of Resource (CVE-2021-0484)/közepes;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0506)/súlyos;
- Out-of-bounds Write (CVE-2021-0507)/súlyos;
- Use After Free (CVE-2021-0508)/súlyos;
- Use After Free (CVE-2021-0509)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-0510)/súlyos;
- Improper Input Validation (CVE-2021-0511)/súlyos;
- Out-of-bounds Write (CVE-2021-0512)/súlyos;
- Missing Authorization (CVE-2021-0513)/súlyos;
- Race Condition (CVE-2021-0514)/súlyos;
- Out-of-bounds Write (CVE-2021-0515)/kritikus;
- Use After Free (CVE-2021-0516)/kritikus;
- Out-of-bounds Write (CVE-2021-0519)/súlyos;
- Use After Free (CVE-2021-0520)/súlyos;
- Missing Authorization (CVE-2021-0521)/közepes;
- Use After Free (CVE-2021-0522)/súlyos;
- Out-of-bounds Read (CVE-2021-0584)/közepes;
- Out-of-bounds Write (CVE-2021-0585)/közepes;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0586)/súlyos;
- Use After Free (CVE-2021-0587)/súlyos;
- Exposure of Resource to Wrong Sphere (CVE-2021-0588)/közepes;
- Out-of-bounds Write (CVE-2021-0589)/súlyos;
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2021-0591)/súlyos;
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2021-0593)/súlyos;
- Injection (CVE-2021-0594)/súlyos;
- Out-of-bounds Read (CVE-2021-0596)/súlyos;
- Missing Authorization (CVE-2021-0597)/közepes;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0598)/súlyos;
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2021-0599)/közepes;
- Improper Input Validation (CVE-2021-0600)/súlyos;
- Double Free (CVE-2021-0601)/közepes;
- Missing Encryption of Sensitive Data (CVE-2021-0604)/közepes;
- Out-of-bounds Write (CVE-2021-0640)/súlyos;
- Missing Authorization (CVE-2021-0641)/közepes;
- Missing Authorization (CVE-2021-0642)/közepes;
- Out-of-bounds Read (CVE-2021-0646)/súlyos;
- Out-of-bounds Read (CVE-2021-0650)/közepes;
- Improper Input Validation (CVE-2021-0651)/közepes;
- Race Condition (CVE-2021-0652)/súlyos;
- Missing Authorization (CVE-2021-0653)/közepes;
- Missing Authorization (CVE-2021-0682)/közepes;
- Missing Encryption of Sensitive Data (CVE-2021-0683)/súlyos;
- Use After Free (CVE-2021-0684)/súlyos;
- Excessive Iteration (CVE-2021-0687)/közepes;
- Race Condition (CVE-2021-0688)/súlyos;
- Out-of-bounds Read (CVE-2021-0689)/közepes;
- Out-of-bounds Write (CVE-2021-0690)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2021-0692)/súlyos;
- Use After Free (CVE-2021-0695)/közepes;
- Improper Preservation of Permissions (CVE-2021-0704)/közepes;
- Missing Authorization (CVE-2021-0706)/közepes;
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2021-0708)/súlyos;
- Race Condition (CVE-2021-0870)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-0919)/közepes;
- Use After Free (CVE-2021-0920)/közepes;
- Missing Authorization (CVE-2021-0926)/súlyos;
- Improper Handling of Exceptional Conditions (CVE-2021-0928)/súlyos;
- Use After Free (CVE-2021-0929)/súlyos;
- Out-of-bounds Write (CVE-2021-0930)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-0931)/közepes;
- Improper Encoding or Escaping of Output (CVE-2021-0933)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-0952)/közepes;
- Improper Preservation of Permissions (CVE-2021-0953)/súlyos;
- Missing Initialization of Resource (CVE-2021-0961)/közepes;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-0963)/súlyos;
- Incorrect Conversion between Numeric Types (CVE-2021-0964)/közepes;
- Missing Authorization (CVE-2021-0965)/súlyos;
- Out-of-bounds Write (CVE-2021-0967 )/súlyos;
- Integer Overflow or Wraparound (CVE-2021-0968)/súlyos;
- Deserialization of Untrusted Data (CVE-2021-0970)/súlyos;
- Classic Buffer Overflow (CVE-2021-1972)/kritikus;
- Use After Free (CVE-2021-1976)/kritikus;
- Missing Initialization of Resource (CVE-2021-29647)/közepes;
- Integer Overflow or Wraparound (CVE-2021-33909)/súlyos;
- Use After Free (CVE-2021-38204)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2021-39621)/súlyos;
- Out-of-bounds Write (CVE-2021-39623)/kritikus;
- Externally Controlled Reference to a Resource in Another Sphere (CVE-2021-39626)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2021-39627)/súlyos;
- Use After Free (CVE-2021-39629)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-39633)/közepes;
- Use After Free (CVE-2021-39634)/súlyos;
- Double Free (CVE-2022-20127)/kritikus;
- Improper Check for Unusual or Exceptional Conditions (CVE-2022-20130)/kritikus;
- Out-of-bounds Read (CVE-2022-20227)/közepes;
- Out-of-bounds Write (CVE-2022-20229)/kritikus;
- Improper Input Validation (CVE-2022-20355)/közepes;
- Out-of-bounds Write (CVE-2022-20411)/súlyos;
- Use After Free (CVE-2022-20421)/súlyos;
- Race Condition (CVE-2022-20422)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-20423)/közepes;
- Out-of-bounds Write (CVE-2022-20462)/súlyos;
- Initialization of a Resource with an Insecure Default (CVE-2022-20466)/közepes;
- Out-of-bounds Read (CVE-2022-20468)/közepes;
- Out-of-bounds Write (CVE-2022-20469)/súlyos;
- Out-of-bounds Read (CVE-2022-20472)/kritikus;
- Out-of-bounds Read (CVE-2022-20473)/kritikus;
- Infinite Loop (CVE-2022-20476)/közepes;
- Integer Underflow (CVE-2022-20483)/súlyos;
- Out-of-bounds Read (CVE-2022-20498)/közepes;
- Improper Handling of Exceptional Conditions (CVE-2022-20500)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
SINEMA Remote Connect Client minden, V3.1 SP1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insertion of Sensitive Information into Externally-Accessible File or Directory (CVE-2024-22045)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Cerberus PRO EN Engineering Tool minden, IP8-nál korábbi verziója;
- Cerberus PRO EN Engineering Tool minden verziója;
- Cerberus PRO EN Fire Panel FC72x minden, IP8-nál korábbi verziója;
- Cerberus PRO EN Fire Panel FC72x minden, IP8 SR4-nél korábbi verziója;
- Cerberus PRO EN X200 Cloud Distribution minden, V4.0.5016-nál korábbi verziója;
- Cerberus PRO EN X200 Cloud Distribution minden, V4.3.5618-nál korábbi verziója;
- Cerberus PRO EN X300 Cloud Distribution minden, V4.2.5015-nél korábbi verziója;
- Cerberus PRO EN X300 Cloud Distribution minden, V4.3.5617-nél korábbi verziója;
- Sinteso FS20 EN Engineering Tool minden, MP8-nál korábbi verziója;
- Sinteso FS20 EN Engineering Tool minden verziója;
- Sinteso FS20 EN Fire Panel FC20 minden, MP8-nál korábbi verziója;
- Sinteso FS20 EN Fire Panel FC20 minden, MP8 SR4-nél korábbi verziója;
- Sinteso FS20 EN X200 Cloud Distribution minden, V4.0.5016-nál korábbi verziója;
- Sinteso FS20 EN X200 Cloud Distribution minden, V4.3.5618-nál korábbi verziója;
- Sinteso FS20 EN X300 Cloud Distribution minden, V4.2.5015-nél korábbi verziója;
- Sinteso FS20 EN X300 Cloud Distribution minden, V4.3.5617-nél korábbi verziója;
- Sinteso Mobile minden, V3.0.0-nál korábbi verziója;
- Sinteso Mobile minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2024-22039)/kritikus;
- Out-of-bounds Read (CVE-2024-22040)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-22041)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEMA Remote Connect Server minden, V3.2-nél korábbi verziója;
- SINEMA Remote Connect Server minden, V3.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2020-23064)/közepes;
- Improper Access Control (CVE-2022-32257)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.03.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SENTRON 3KC ATC6 Expansion Module Ethernet (3KC9000-8TL75) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Hidden Functionality (CVE-2024-22044)/súlyos;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.03.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Power Design - Ecodial NL minden verziója;
- EcoStruxure Power Design - Ecodial INT minden verziója;
- EcoStruxure Power Design - Ecodial FR minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2024-2229)/súlyos;
Javítás: Nincs
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2024.03.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy T200 (Modbus) T200I, T200E, T200P, T200S, T200H modelljeinek SC2-04MOD-07000104-es és korábbi verziói;
- Easergy T200 (IEC104) T200I, T200E, T200P, T200S, T200H modelljeinek SC2-04IEC-07000104-es és korábbi verziói;
- Easergy T200 (DNP3) T200I, T200E, T200P, T200S, T200H modelljeinek SC2-04DNP-07000104-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2024-2051)/kritikus;
- Cross-site Scripting (CVE-2024-2050)/súlyos;
- Files or Directories Accessible to External Parties (CVE-2024-2052)/súlyos;
Javítás: Nincs, az Easergy T200-as elérte életciklusa végét.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.03.12.
Gyártó: PHOENIX CONTACT
Érintett rendszer(ek):
- CHARX SEC-3000 1.5.0 és korábbi verziói;
- CHARX SEC-3050 1.5.0 és korábbi verziói;
- CHARX SEC-3100 1.5.0 és korábbi verziói;
- CHARX SEC-3150 1.5.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2024-25995)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2024-26288)/súlyos;
- Improper Input Validation (CVE-2024-25999)/súlyos;
- Improper Input Validation (CVE-2024-26002)/súlyos;
- Out-of-bounds Read (CVE-2024-26003)/súlyos;
- Access of Uninitialized Pointer (CVE-2024-26004)/súlyos;
- Improper Input Validation (CVE-2024-26001)/súlyos;
- Improper Input Validation (CVE-2024-25998)/súlyos;
- Improper Input Validation (CVE-2024-26000)/közepes;
- Improper Input Validation (CVE-2024-25994)/közepes;
- Improper Input Validation (CVE-2024-25997)/közepes;
- Origin Validation Error (CVE-2024-25996)/közepes;
- Incomplete Cleanup (CVE-2024-26005)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2024-011/

Bejelentés dátuma: 2024.03.13.
Gyártó: WAGO
Érintett rendszer(ek):
- Controller BACnet/IP FW13-as és korábbi firmware-verziói;
- Controller BACnet MS/TP FW13-as és korábbi firmware-verziói;
- Ethernet Controller 3rd Generation FW13-as és korábbi firmware-verziói;
- Ethernet Controller 3rd Generation FW13-as és korábbi firmware-verziói;
- Fieldbus Coupler Ethernet 3rd Generation FW13-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2015-10123)/súlyos;
- Cross-site Scripting (CVE-2018-25090)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2023-039/

Bejelentés dátuma: 2024.03.14.
Gyártó: Softing
Érintett rendszer(ek):
- Softing edgeConnector 3.60-as verziója;
- Softing edgeAggregator 3.60-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2023-38126)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2024-0860)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-13

Bejelentés dátuma: 2024.03.14.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC-Q sorozat Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU eszközeinek minden verziója;
- MELSEC-Q sorozat Q03/04/06/13/26UDVCPU eszközeinek minden verziója;
- MELSEC-Q sorozat Q04/06/13/26UDPVCPU eszközeinek minden verziója;
- MELSEC-L sorozat L02/06/26CPU(-P), L26CPU-(P)BT eszközeinek minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Pointer Scaling (CVE-2024-0802)/kritikus;
- Integer Overflow or Wraparound (CVE-2024-0803 )/kritikus;
- Incorrect Pointer Scaling (CVE-2024-1915)/kritikus;
- Integer Overflow or Wraparound (CVE-2024-1916)/kritikus;
- Integer Overflow or Wraparound (CVE-2024-1917)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-14

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A NIST 800-82-es szabványáról korábban már írtam, de időközben megjelent az akkori változat (rev2) frissítése (rev3), ezért indokoltnak gondolom, hogy röviden átnézzük, mi változott.

A jelentősebb változások:

- Kibővült a szabvány scope-ja, az ICS rendszerek mellett most már az OT rendszerekre és hálózatokra is kiterjednek a 800-82-ben leírtak;
- Frissült az OT fenyegetésekről és sérülékenységekről szóló fejezet (melléklet);
- Frissült az OT kockázatkezelés és az ehhez kapcsolódó ajánlott jó gyakorlatok, architektúrák;
- Szintén frissült az OT biztonsággal kapcsolatos aktuális tevékenységek listája;
- Frissült az OT biztonsági képességek és eszközök listája;
- Megjelentek a más (NIST) szabványokkal és keretrendszerekkel (pl. Cyber Security Framework és 800-53rev5) történő összekapcsolásokat lehetővé tevő fejezetek, így most már lehetséges az ICS/OT rendszereket a 800-53rev5 szerinti alacsony, közepes és magas hatású rendszerek kategóriáiba sorolni;
- A 800-82-es szabvány scope-jának bővülésével megjelentek a különböző IIoT rendszerek és a kapcsolódó biztonsági kérdések is.

A 800-82rev3 jelenleg (2024.01.xx-én) érvényes változata itt található: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3.pdf

Bejelentés dátuma: 2024.02.29.
Gyártó: MicroDicom
Érintett rendszer(ek):
- MicroDicom DICOM Viewer 2023.3 (Build 9342) és korábbi verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2024-22100)/súlyos;
- Out-of-Bounds Write (CVE-2024-25578)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-24-060-01

Bejelentés dátuma: 2024.03.05.
Gyártó: Santesoft
Érintett rendszer(ek):
- Sante FFT Imaging 1.4.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Out-of-Bounds Write (CVE-2024-1696)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-24-065-01

Bejelentés dátuma: 2024.03.05.
Gyártó: Nice
Érintett rendszer(ek):
- Linear eMerge E3 sorozatú eszközök 1.00-06-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Path traversal (CVE-2019-7253)/kritikus;
- Path traversal (CVE-2019-7254)/súlyos;
- Cross-site scripting (CVE-2019-7255)/közepes;
- OS command injection (CVE-2019-7256)/kritikus;
- Unrestricted Upload of File with Dangerous Type (CVE-2019-7257)/kritikus;
- Incorrect Authorization (CVE-2019-7258)/súlyos;
- Exposure of Sensitive Information to an Authorized Actor (CVE-2019-7259)/súlyos;
- Insufficiently Protected Credentials (CVE-2019-7260)/kritikus;
- Use of Hard-coded Credentials (CVE-2019-7261)/kritikus;
- Use of Hard-coded Credentials (CVE-2019-7265)/kritikus;
- Cross-site Request Forgery (CVE-2019-7262)/súlyos;
- Out-of-bounds Write (CVE-2019-7264)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-065-01

Bejelentés dátuma: 2024.03.07.
Gyártó: Chirp Systems
Érintett rendszer(ek):
- Chirp Access minden verziója;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2024-2197)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-067-01

Bejelentés dátuma: 2024.03.07.
Gyártó: Sciener
Érintett rendszer(ek):
- Kontrol Lux zárak 6.5.07-nél korábbi 6.5.x verziói;
- Gateway G2 6.0.0 firmware-verziója;
- TTLock App 6.4.5-ös verziója;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Brute-force of challenge requests (CVE-2023-7006)/n/a;
- Downgradable encryption (CVE-2023-7005)/n/a;
- Key-reuse for pairing (CVE-2023-7003)/n/a;
- Improper deletion of authentication information (CVE-2023-6960)/n/a;
- Incorrect verification (CVE-2023-7004)/n/a;
- Incorrect connection validation (CVE-2023-7007)/n/a;
- Unencrypted Bluetooth communication (CVE-2023-7009)/n/a;
- Unsecure firmware-upgrade mechanism (CVE-2023-7017)/n/a;
Javítás: Nincs, a hibák kockázataiat kompenzáló kontrollokkal lehet csökkenteni.
Link a publikációhoz: https://kb.cert.org/vuls/id/949046

Bejelentés dátuma: 2024.03.07.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort W2150A/W2250A sorozatú eszközök v2.3-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2024-1220)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.03.01.
Gyártó: Hikvision
Érintett rendszer(ek):
- HikCentral Professional V2.5.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Insufficient Server-side Validation (CVE-2024-25063)/súlyos;
- Insufficient Server-side Validation (CVE-2024-25064)/közepes;
Javítás: Elérhető
Link a publikációhoz: HikVision

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Volt Typhoon (a Microsoft által adott név)/Voltzite (Dragos névadási szokások szerinti elnevezeés) csoporttal kapcsolatban elég erős a konszenzus a biztonsági kutatók között, hogy egy kínai állami hátterű APT csoport. A csoport kifejezetten erős érdeklődést mutat a kritikus infrastruktúrák, kifejezetten az USA kritikus infrastruktúrái iránt. Egyes hírek szerint a Guam szigetén működő villamosenergia-szolgáltató rendszereit is ez a csoport támadta, amit egyes amerikai források rögtön a Tajvanhoz kapcsolódó kínai-amerikai feszültségekhez kapcsolták, mondván egy Tajvan elleni kínai támadás esetén kiemelten fontos szerepe lesz a Guam-i amerikai katonai támaszpontnak, ami azt is jelenti, hogy a Guam-i kritikus infrastruktúrák elleni kibertámadások már-már nélkülözhetetlennek tekintik egy, a Kínai Népköztársaságból induló, Tajvan elleni invázió szempontjából.

Az elemzések szerint a Volt Typhoon/Voltzite csoport erőteljesen támaszkodik a Living-off-the-Land támadási formára (amiről nemrég az orosz Sandworm-csoport ukrán kritikus infrastruktúrák elleni támadásai során is írtam).

A Dragos elemzése szerint a Volt Typhoon/Voltzite csoport elsősorban az információgyűjtés céljával végzi a kritikus infrastruktúrák elleni támadásait és a kritikus szolgáltatásokban okozott zavarok nem szándékos mellékhatásai lehettek a támadásaiknak. A Dragos ezen kívül olyan feltételezéssel is élt, hogy az általuk Voltzite-nak nevezett csoport a Volt Typhoon egyik részlege lehet, ami kifejezetten a kritikus infrastruktúrák OT rendszereiről történő információgyűjtésre specializálódott.

A Volt Typhoon/Voltzite csoportról a MITRE és a Dragos weboldalain lehet olvasni.