A tengerparti (offshore) szélerőművek több szempontból is népszerűek a hosszabb tengerparttal rendelkező országokban. Részben, mert így nem mezőgazdaságilag is hasznosítható területekre kell telepíteni a szélkerekek tartóoszlopait, részben mert a tenger felett sokkal ritkább a szélcsend, mint akár a legszelesebb szárazföldi területeken (elég csak a tavaly november közepén megtapasztalt, több napos sötét szélcsend, Dunkelflaute idejére gondolni, amikor sem naperőművi, sem szélerőművi termelés nem volt értelmezhető teljesítményben Magyarországon). Szóval a tengerparti szélerőművek Észak- és Nyugat-Európában meglehetősen elterjedtek és komoly hányaddal veszik ki a részüket a villamosenergia-termelésből. Emiatt viszont egyre fontosabb szemponttá válik a szélerőművek kiberbiztonsága is, hiszen a tengerre telepített szélerőmű-farmoknál fokozottan szükséges a távkezelés zavartalansága.

Erről a témáról találtam egy cikket, amiben a brit tengerparti szélerőművek kiberbiztonsági és kommunikációs kihívásait tárgyalják, néhány megoldási lehetőséggel. Alapvetően a kihívások szerintem reálisabban vannak ismertetve, mint például az AI-alapú anomália-detekciós IDS megoldások vagy az AI-alapú prediktív karbantartó-megoldások a sérülékenységek azonosítására.

Ugyanakkor a támadók motivációinak ismertetése (bár sok újdonságok nem tartalmaz ez a rész, legalább is azok számára, akik igyekeznek követni az energetikai kritikus infrastruktúrák kiberbiztonsági eseményeit) szerintem már egészen pontos. Arra mindenképp jó, hogy ha az ember eddig nem foglalkozott szélerőművek kiberbiztonsági kihívásaival és most szeretne belevágni, kiindulásnak jó lehet.

Az én utolsó posztjaként még egy podcast-ajánlót hoztam. A mai műsort egy ausztrál oldalon találtam, ahol Lesley Carhart-tal, a Dragos egyik veterán incidenskezelő szakemberével.

A podcast-ben szóba kerülnek a jelenleg gyakori fenyegetések, az IT és OT csapatok közötti együttműködés fejlesztése, mint az egyik legfontosabb eleme az ICS/OT rendszerek biztonsági fejlesztésének. Ezek mellett beszélnek arról is, miért van még mindig viszonylag alacsony érettségi szinten az ICS/OT kiberbiztonság, hogyan lehet ezen fejleszteni és mit tehetnek az ipari szervezetek, hogy hatékonyabb incidenskezelési terveket tudjanak kidolgozni.

A podcast felvétele itt érhető el.

Az S4x főszervező Dale Peterson Rob Lee-vel beszélgetett az idei S4x konferencia nagyszínpadán. A beszélgetés során szóba került egyebek mellett:

- a Pipedream ICS malware (nekem például újdonság volt, hogy a Pipedream-et amerikai kritikus infrastruktúra szervezeteknél találták);
- az incidensek és malware-ek elemzésének néhány érdekesebb aspektusa;
- az ipari rendszereket támadó ransomware-ek terén tapasztalt fejlemények;

A teljes (33 perces) beszélgetés visszanézhető itt: https://www.youtube.com/watch?v=l4c0nY5vk08&ab_channel=S4Events

Bejelentés dátuma: 2024.12.10.
Gyártó: MOBATIME
Érintett rendszer(ek):
- Network Master Clock - DTS 4801 00020419.01.02020154-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Default Credentials (CVE-2024-12286)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-01

Bejelentés dátuma: 2024.12.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Harmony (korábbi nevén Magelis) HMIST6, HMISTM6, HMIG3U, HMIG3X, HMISTO7 sorozatainak EcoStruxureTM Operator Terminal Expert runtime-mal használt változatainak minden verziója;
- PFXST6000, PFXSTM6000, PFXSP5000, PFXGP4100 sorozatainak Pro-face BLUE runtime-mal használt változatainak minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Unmaintained Third-Party Components (CVE-2024-11999)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.12.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- FoxRTU Station 9.3.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2024-2602)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2024.12.10.
Gyártó: National Instruments
Érintett rendszer(ek):
- LabVIEW 2024 Q3 (24.3f0) és korábbi verziói;
- LabVIEW 2023 minden verziója;
- LabVIEW 2022 minden verziója;
- LabVIEW 2021 (EOL) és korábbi kiadások minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-10494)/súlyos;
- Out-of-bounds Read (CVE-2024-10495)/súlyos;
- Out-of-bounds Read (CVE-2024-10496)/súlyos;
Javítás: Elérhető (az életciklusukat elért verziókhoz nincs javítás).
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-04

Bejelentés dátuma: 2024.12.10.
Gyártó: Horner Automation
Érintett rendszer(ek):
- Cscape 10.0.363.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-9508)/súlyos;
- Out-of-bounds Read (CVE-2024-12212)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-05

Bejelentés dátuma: 2024.12.10.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Arena V16.20.06-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use After Free (CVE-2024-11155)/súlyos;
- Out-of-bounds Write (CVE-2024-11156)/súlyos;
- Improper Initialization (CVE-2024-11158)/súlyos;
- Out-of-bounds Read (CVE-2024-12130)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-06

Bejelentés dátuma: 2024.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SENTRON Powercenter 1000 (7KN1110-0MC00) minden verziója;
- SENTRON Powercenter 1100 (7KN1111-0MC00) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Synchronization (CVE-2024-6657)/közepes;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Teamcenter Visualization V2406 V2406.0005-nél korábbi verziói;
- Teamcenter Visualization V14.2 V14.2.0.14-nél korábbi verziói;
- Teamcenter Visualization V14.3 V14.3.0.12-nél korábbi verziói;
- Teamcenter Visualization V2312 V2312.0008-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-45463)/súlyos;
- Out-of-bounds Read (CVE-2024-45464)/súlyos;
- Out-of-bounds Read (CVE-2024-45465)/súlyos;
- Out-of-bounds Read (CVE-2024-45466)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45467)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45468)/súlyos;
- Out-of-bounds Write (CVE-2024-45469)/súlyos;
- Out-of-bounds Write (CVE-2024-45470)/súlyos;
- Out-of-bounds Write (CVE-2024-45471)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45472)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45473)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45474)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-45475)/súlyos;
- NULL Pointer Dereference (CVE-2024-45476)/alacsony;
- Out-of-bounds Write (CVE-2024-52565)/súlyos;
- Out-of-bounds Write (CVE-2024-52566)/súlyos;
- Out-of-bounds Read (CVE-2024-52567)/súlyos;
- Use After Free (CVE-2024-52568)/súlyos;
- Out-of-bounds Write (CVE-2024-52569)/súlyos;
- Out-of-bounds Write (CVE-2024-52570)/súlyos;
- Out-of-bounds Write (CVE-2024-52571)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-52572)/súlyos;
- Out-of-bounds Write (CVE-2024-52573)/súlyos;
- Out-of-bounds Read (CVE-2024-52574)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-53041)/súlyos;
- Out-of-bounds Read (CVE-2024-53242)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- COMOS V10.4.0 minden verziója;
- COMOS V10.4.1 minden verziója;
- COMOS V10.4.2 minden verziója;
- COMOS V10.4.3 minden, V10.4.3.0.47-nél korábbi verzió;
- COMOS V10.4.4 minden, V10.4.4.2-nél korábbi verzió;
- COMOS V10.4.4.1 minden, V10.4.4.1.21-nél korábbi verzió;
- COMOS V10.3 minden, V10.3.3.5.8-nál korábbi verzió;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2024-49704)/közepes;
- Improper Restriction of XML External Entity Reference (CVE-2024-54005)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge SE2024 minden, V224.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2024-54093)/súlyos;
- Heap-based Buffer Overflow (CVE-2024-54094)/súlyos;
- Integer Underflow (Wrap or Wraparound) (CVE-2024-54095)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap V2306 minden verziója;
- Simcenter Femap V2401 minden verziója;
- Simcenter Femap V2406 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2024-41981)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-47046)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC STEP 7 Safety V17 minden verziója;
- SIMATIC STEP 7 Safety V18 minden verziója;
- SIMATIC S7-PLCSIM V17 minden verziója;
- SIMATIC WinCC V19 minden verziója;
- SIMATIC WinCC Unified V16 minden verziója;
- SIMOTION SCOUT TIA V5.4 SP3 minden verziója;
- SIMATIC STEP 7 Safety V19 minden verziója;
- SIMATIC WinCC V17 minden verziója;
- SIMOTION SCOUT TIA V5.6 SP1 minden verziója;
- SIRIUS Soft Starter ES V17 (TIA Portal) minden verziója;
- SIRIUS Soft Starter ES V18 (TIA Portal) minden verziója;
- SINAMICS Startdrive V16 minden verziója;
- SIMATIC STEP 7 V17 minden verziója;
- SINAMICS Startdrive V19 minden verziója;
- SINAMICS Startdrive V17 minden verziója;
- SIMOCODE ES V17 minden verziója;
- SIMOCODE ES V18 minden verziója;
- TIA Portal Cloud V19 minden verziója;
- SIMOTION SCOUT TIA V5.4 SP1 minden verziója;
- SIRIUS Safety ES V18 (TIA Portal) minden verziója;
- TIA Portal Cloud V16 minden verziója;
- SIMATIC WinCC V18 minden verziója;
- SIMATIC STEP 7 Safety V16 minden verziója;
- SIRIUS Safety ES V17 (TIA Portal) minden verziója;
- SIRIUS Soft Starter ES V19 (TIA Portal) minden verziója;
- TIA Portal Cloud V18 minden verziója;
- SIMATIC STEP 7 V19 minden verziója;
- SIMATIC WinCC V16 minden verziója;
- SIMATIC STEP 7 V18 minden verziója;
- SIMOTION SCOUT TIA V5.5 SP1 minden verziója;
- SINAMICS Startdrive V18 minden verziója;
- SIMOCODE ES V19 minden verziója;
- SIMATIC WinCC Unified V17 minden verziója;
- SIMATIC WinCC Unified V19 minden verziója;
- TIA Portal Cloud V17 minden verziója;
- SIRIUS Safety ES V19 (TIA Portal) minden verziója;
- SIMATIC STEP 7 V16 minden verziója;
- SIMATIC WinCC Unified V18 minden verziója;
- SIMOCODE ES V16 minden verziója;
- SIMATIC S7-PLCSIM V16 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2024-49849)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid V36.1 minden, V36.1.225-nél korábbi verziója;
- Parasolid V37.0 minden, V37.0.173-nál korábbi verziója;
- Parasolid V37.1 minden, V37.1.109-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-54091)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM ROX RX1500 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX RX1512 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX RX1501 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX MX5000RE minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX RX1400 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX RX5000 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX RX1536 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX RX1524 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX RX1510 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX RX1511 minden, V2.16.0-nál korábbi verziója;
- Siemens RUGGEDCOM ROX MX5000 minden, V2.16.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-Site Request Forgery (CVE-2020-28398)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC STEP 7 Safety V18 minden verziója;
- Siemens SIMATIC STEP 7 Safety V19 minden verziója;
- Siemens SIMATIC S7-PLCSIM V18 minden verziója;
- Siemens SIMOCODE ES V18 minden verziója;
- Siemens SIMATIC WinCC Unified V17 minden verziója;
- Siemens SINAMICS Startdrive V18 minden verziója;
- Siemens SIMATIC STEP 7 V17 minden verziója;
- Siemens SIMATIC WinCC V19 minden verziója;
- Siemens SIRIUS Safety ES V17 (TIA Portal) minden verziója;
- Siemens TIA Portal Cloud V19 minden verziója;
- Siemens SIRIUS Safety ES V18 (TIA Portal) minden verziója;
- Siemens SIMATIC STEP 7 V19 minden verziója;
- Siemens SIRIUS Soft Starter ES V18 (TIA Portal) minden verziója;
- Siemens SIRIUS Safety ES V19 (TIA Portal) minden verziója;
- Siemens SIMOTION SCOUT TIA V5.4 SP3 minden verziója;
- Siemens SIMOTION SCOUT TIA V5.5 SP1 minden verziója;
- Siemens SINAMICS Startdrive V17 minden verziója;
- Siemens TIA Portal Cloud V17 minden verziója;
- Siemens SIMOCODE ES V17 minden verziója;
- Siemens SIMATIC STEP 7 Safety V17 minden verziója;
- Siemens SIRIUS Soft Starter ES V19 (TIA Portal) minden verziója;
- Siemens SIMATIC WinCC Unified PC Runtime V19 minden verziója;
- Siemens SIMATIC WinCC V18 minden verziója;
- Siemens SIMATIC WinCC Unified PC Runtime V18 minden verziója;
- Siemens SINAMICS Startdrive V19 minden verziója;
- Siemens SIRIUS Soft Starter ES V17 (TIA Portal) minden verziója;
- Siemens SIMOTION SCOUT TIA V5.6 SP1 minden verziója;
- Siemens SIMATIC WinCC Unified V18 minden verziója;
- Siemens SIMATIC WinCC V17 minden verziója;
- Siemens TIA Portal Cloud V18 minden verziója;
- Siemens SIMATIC STEP 7 V18 minden verziója;
- Siemens SIMATIC WinCC Unified V19 minden verziója;
- Siemens SIMOCODE ES V19 minden verziója;
- Siemens SIMATIC S7-PLCSIM V17 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-52051)/súlyos;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens CPCI85 Central Processing/Communication minden, V05.30-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2024-53832)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Opcenter Execution Foundation minden verziója;
- Opcenter Intelligence minden verziója;
- Opcenter Quality minden verziója;
- Opcenter RDL minden verziója;
- SIMATIC PCS neo;
- SINEC NMS minden, UMC-vel együtt üzemeltetett példány V2.15-nél korábbi verziója;
- Totally Integrated Automation Portal (TIA Portal);
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2024-49775)/kritikus;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.12.17.
Gyártó: ThreatQuotient
Érintett rendszer(ek):
- ThreatQ Platform 5.29.3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2024-39703)/súlyos;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-352-01

Bejelentés dátuma: 2024.12.17.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- TropOS eszközök 1400/2400/6400-as sorozatainak minden, 8.9.6-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2013-5211)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-352-02

Bejelentés dátuma: 2024.12.17.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
PowerMonitor 1000 Remote PM1k 1408-BC3A-485 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-BC3A-ENT 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-TS3A-485 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-TS3A-ENT 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-EM3A-485 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-EM3A-ENT 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-TR1A-485 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-TR2A-485 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-EM1A-485 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-EM2A-485 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-TR1A-ENT 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-TR2A-ENT 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-EM1A-ENT 4.020-nál korábbi verziói;
PowerMonitor 1000 Remote PM1k 1408-EM2A-ENT 4.020-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unprotected Alternate Channel (CVE-2024-12371)/kritikus;
- Heap-based Buffer Overflow (CVE-2024-12372)/kritikus;
- Classic Buffer Overflow (CVE-2024-12373)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-352-03

Bejelentés dátuma: 2024.12.17.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M241-es vezérlők minden verziója;
- Modicon M251-es vezérlők minden verziója;
- Modicon M258-as vezérlők minden verziója;
- Modicon LMC058-as vezérlők minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-11737)/kritikus;
Javítás: Nincs, a gyártó jelenleg is dolgozik rajta.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-352-04

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A mai poszt témája a SANS által Active Cyber Defense Cycle-nek nevezett rendszer, ami alapvetően 4 részből áll (ahogy ezt ennek a sorozatnak az előző posztjában), de kezdésnek nézzük még kicsit részletesebben azt, mit is értünk aktív kiberbiztonság alatt. Ahogy oly sok más esetben, az egyes szervezeteknél kisebb-nagyobb különbségek lehetnek abban, mit is értenek bele az aktív kiberbiztonságba, egy dolog azonban biztos: a hack-back vagy visszahackelés, a támadók megtámadása nem azonos az aktív kiberbiztonság fogalmával és tevékenységével.

Visszatérve az aktív kiberbiztonság 4 általános területére:

1. Fenyegetéselemzés és információgyűjtés (threat intelligence)

Ez a tevékenység lényegében azt célozza, hogy a lehető legtöbb információval rendelkezzen a szervezet az őt és az általa használt IT és ICS/OT rendszereket célzó kiberbiztonsági fenyegetésekről és ezek ismeretében a preventív, detektív és incidenskezelési intézkedéseit a lehető leghatékonyabbra tudja alakítani. Az ehhez szükséges információgyűjtés életciklusát a Tripwire oldalán

https://www.tripwire.com/state-of-security/security-data-protection/introduction-cyber-intelligence/

lehet legjobban megismerni. Alapesetben ez a tevékenység csak annyiban tér el az IT biztonsági területen végzett fenyegetéselemzéstől, hogy OT területen az IT fenyegetések mellett a kifejezetten OT fenyegetésekre vonatkozó információkat is érdemes gyűjteni.

2. Eszközleltár és hálózatbiztonsági monitoring

Nehéz (ha nem lehetetlen) megvédeni olyan dolgokat, amikről nem is tudjuk, hogy léteznek és meg kell(ene) védenünk őket, így azt hiszem érthető, hogy miért kritikus fontosságú egy naprakész és pontos, részletes eszközleltárral rendelkeznie minden szervezetnek. Ez ugyanúgy igaz az IT rendszerekre, mint az ICS/OT rendszerekre. Ebben a nyilvántartásban célszerű nem csak a hardver- és szoftverkomponenseket nyilvántartani, hanem az egyes rendszerelemek (kiemelten a vezérlők, PLC-k és RTU-k illetve egyéb L1 és L0 eszközök) konfigurációit is tárolni és az egyes komponensek közötti hálózati kommunikáció adatait is célszerű az eszközleltárban feljegyezni.

A hálózatbiztonsági monitoring a biztonsági tevékenység detekciós részének kulcsa. Ez a tevékenység OT rendszerek esetén szintén nem tér el nagyon az IT rendszereknél megszokottaktól, azonban arra mindenképp érdemes felkészülni, hogy az ICS/OT rendszerek gyártói gyakran kizárólag a saját, bevett módszereik szerint és a saját eszközeiket felhasználva támogatják például a rendszerlogok átadását egy központi loggyűjtő vagy SIEM-megoldásnak.

A rendszerek működésének alapvető karakterisztikáitól való eltéréseket illetve a fenyegetéselemzés során a szervezet birtokába jutott kompromittálást jelző információkat, jeleket keresve lehet biztonsági eseményeket észlelni, amiknek vizsgálata során lehet eldönteni, hogy az adott esemény a szervezet számára nem érdekes vagy a vizsgált esemény valójában egy incidens.

3. Incidenskezelés

Az első két fejezet IT és OT rendszerek esetén nem térnek el jelentősen (ahol mégis, azt ugye már jeleztem), az incidenskezelés viszont már nem ilyen.

Ha egy biztonsági eseményről a vizsgálat/kiértékelés (triage) során kiderül, hogy valójában incidens, akkor indul az incidenskezelés folyamata, ami az ICS/OT környezetekben meglehetősen különböző lehet attól, mint amit a hozzám hasonló, IT irányból érkező szakik korábban megszokhattak. Mert mi is a legfontosabb feladat egy IT rendszert megfertőző malware esetében? Egyértelmű: mielőbb megszűntetni magát a fertőzést, ha kell, ehhez eltávolítjuk a fertőzött rendszereket a hálózatról és csak a sikeres malware-eltávolítás után engedjük őket újra csatlakozni. Ezzel szemben OT hálózatok esetében egy malware-fertőzött rendszer esetén az első kérdés, amit tisztázni kell, az az, hogy a kártékony kód okoz-e bármilyen problémát az adott rendszer alapvető funkcióinak működésében és okoz-e bármilyen performancia-csökkenést? Ha pedig mindkét kérdésre nemleges a válasz, akkor teljes mértékben elfogadható az, hogy a komolyabb problémát nem okozó malware-t a következő karbantartásig ott hagyjuk az OT rendszerünk adott komponensén és majd csak az érintett üzem leállásával járó karbantartás során távolítjuk el.

Ez az egyetlen példa remekül mutatja, hogy mennyire sokrétű tudással kell rendelkeznie az ICS/OT rendszerek incidenskezelését végző csapatnak és miért kulcsfontosságú, hogy ne csak forensics szakértőket, hanem folyamatirányítási mérnököket is bevonjunk ezekbe a tevékenységekbe.

4. Fenyegetés és környezet kezelése

Ha az incidenskezelés során sikerült beazonosítani a támadók által használt eszközöket (malware-eket és egyéb, általában nem feltétlenül kártékony, de a célpont szervezet számára ártó szándékúnak számító szoftvereket), akkor következhet ezek vizsgálata és elemzése. Fontos különbséget tenni a már ismert kártékony kódok és a még nem ismert, de gyanús kódok között a további vizsgálat szempontjából. Különösen fontos, hogy ha találunk egy gyanús kódot, akkor hogyan vizsgáljuk ki és bizonyosodjunk meg arról, hogy az általunk talált szoftver vajon valóban kártékony-e. Egyes nézetek szerint a gyanús kódokat nem célszerű publikusan elérhető sandbox alkalmazásokba (mint például a VirusTotal) feltölteni, mert a legtöbb ilyen szolgáltatásnál az előfizetők értesülhetnek arról, ha új fájlt töltenek fel ellenőrzésre és a komolyabb, állami/titkosszolgálati háttérrel rendelkező APT-csoportok hajlamosak monitorozni az ilyen szolgáltatásokat, hogy értesüljenek arról, ha valamelyik általuk fejlesztett/használt kártékony kódot felfedeznék. Emiatt célszerű lehet saját (vrituális és bare-metal) sandbox környezetekben vizsgálni a gyanússá vált szoftvereket.

Az elemzések során kinyert információk dokumentálása szintén fontos feladat, mert ezek később hasznos bemenetként szolgálhatnak az 1. pontban ismertetett fenyegetéselemzéshez (és nem csak a saját szervezetünkön belül, de ha a szervezetünknek vannak kapcsolatai különböző információmegosztást végző közösségekben, akkor akár a partnerek számára is).

Bejelentés dátuma: 2024.11.22.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2024-0012)/kritikus;
- NULL Pointer Dereference (CVE-2024-2550)/súlyos;
- Path Traversal (CVE-2024-2552)/közepes;
- OS Command Injection (CVE-2024-9474)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.12.03.
Gyártó: WAGO
Érintett rendszer(ek):
- Basic Controller 0750-8001 01.03.03 (FW3) és korábbi firmware-verziói;
- Basic Controller 0751-8000 01.03.03 (FW3) és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2024-8175)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2024-072/

Bejelentés dátuma: 2024.12.04.
Gyártó: Moxa
Érintett rendszer(ek):
- VPort 07-3 sorozatú eszközök 1.0 firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Specified Type of Input (CVE-2024-9404)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.12.05.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- C-More EA9 Programming Software 6.78-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2024-11609)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-11610)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-11611)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-340-01

Bejelentés dátuma: 2024.12.05.
Gyártó: Planet Technology
Érintett rendszer(ek):
- Planet WGS-804HPT v1.305b210531-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2024-48871)/kritikus;
- OS Command Injection (CVE-2024-52320)/kritikus;
- Integer Underflow (Wrap or Wraparound) (CVE-2024-52558)/közepes;
Javítás: Elérhertő
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-340-02

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Omar Morando, a SCADAsploit szerzője egy egészen jó (és hosszú, kb. 45 perces) előadást tartott a tavaly BSidesBUD-on a Modbus/TCP protokoll felhasználásával történő, PLC-k elleni túlterheléses támadások lehetőségeiről

Az előadás felvételét itt lehet megnézni: https://www.youtube.com/watch?v=G8v7XyxzoQs&ab_channel=BSidesBudapestITSecurityConference

Bejelentés dátuma: 2024.11.26.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Hitachi Energy MicroSCADA Pro/X SYS600 10.0-tól 10.5-ig terjedő verziói;
- Hitachi Energy MicroSCADA Pro/X SYS600 10.0-tól 10.5-ig terjedő verziói;
- Hitachi Energy MicroSCADA Pro/X SYS600 10.5-ös verziója;
- Hitachi Energy MicroSCADA Pro/X SYS600 9.4 FP1-es verziója;
- Hitachi Energy MicroSCADA Pro/X SYS600 9.4 FP2 HF1-től 9.4 FP2 HF5-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Neutralization of Special Elements in Data Query Logic (CVE-2024-4872)/kritikus;
- Path Traversal (CVE-2024-3980)/súlyos;
- Authentication Bypass by Capture-replay (CVE-2024-3982)/súlyos;
- Missing Authentication for Critical Function (CVE-2024-7940)/súlyos;
- Open Redirect (CVE-2024-7941)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-331-04

Bejelentés dátuma: 2024.11.26.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 Scripting Interface 1.0.1.30-as verziója;
- RTU500 Scripting Interface 1.0.2-es verziója;
- RTU500 Scripting Interface 1.1.1-es verziója;
- RTU500 Scripting Interface 1.2.1-es verziója;
- RTU500 Scripting Interface minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Certificate Validation (CVE-2023-1514)
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-331-05

Bejelentés dátuma: 2024.12.03.
Gyártó: Ruijie
Érintett rendszer(ek):
- Reyee OS 2.206.x-nél újabb verziói (a 2.320.x nem érintett);
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Password Recovery Mechanism for Forgotten Password (CVE-2024-47547)/kritikus;
- Exposure of Private Personal Information to an Unauthorized Actor (CVE-2024-42494)/közepes;
- Premature Release of Resource During Expected Lifetime (CVE-2024-51727)/közepes;
- Insecure Storage of Sensitive Information (CVE-2024-47043)/súlyos;
- Use of Weak Credentials (CVE-2024-45722)/súlyos;
- Improper Neutralization of Wildcards or Matching Symbols (CVE-2024-47791)/súlyos;
- Improper Handling of Insufficient Permissions or Privileges (CVE-2024-46874)/súlyos;
- Server-Side Request Forgery (SSRF) (CVE-2024-48874)/kritikus;
- Use of Inherently Dangerous Function (CVE-2024-52324)/kritikus;
- Resource Leak (CVE-2024-47146)/közepes;
Javítás: Megtörtént (felhő alapú megoldás, amin a gyártó elvégezte a javítást).
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-01

Bejelentés dátuma: 2024.12.03.
Gyártó: Open Automation Software
Érintett rendszer(ek):
- Open Automation Software (HMI, SCADA és IoT megoldás) V20.00.0076-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Execution-Assigned Permissions (CVE-2024-11220)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-03

Bejelentés dátuma: 2024.12.03.
Gyártók: ICONICS, Mitsubishi Electric
Érintett rendszer(ek):
- GENESIS64 AlarmWorX Multimedia (AlarmWorX64 MMX) 10.97.3-nál korábbi verziói;
- GENESIS64 10.97.2-es, 10.97.2 CFR1, 10.97.2 CFR2 és 10.97.3-as verziói;
- Mitsubishi Electric MC Works64 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2024-8299)/súlyos;
- Uncontrolled Search Path Element (CVE-2024-9852)/súlyos;
- Dead Code (CVE-2024-8300)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-04

Bejelentés dátuma: 2024.12.03.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Monitouch V-SFT (képernyő-konfiguráló szoftver) 6.2.3.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-11787)/súlyos;
- Out-of-bounds Write (CVE-2024-11789)/súlyos;
- Out-of-bounds Write (CVE-2024-11790)/súlyos;
- Out-of-bounds Write (CVE-2024-11791)/súlyos;
- Out-of-bounds Write (CVE-2024-11792)/súlyos;
- Out-of-bounds Write (CVE-2024-11793)/súlyos;
- Out-of-bounds Write (CVE-2024-11794)/súlyos;
- Out-of-bounds Write (CVE-2024-11795)/súlyos;
- Out-of-bounds Write (CVE-2024-11796)/súlyos;
- Out-of-bounds Write (CVE-2024-11797)/súlyos;
Javítás: A gyártó várhatóan 2025 áprilisban fogja kiadni a hibákat javító új verziót.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-05

Bejelentés dátuma: 2024.12.03.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Tellus Lite 4.0.20.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-11799)/súlyos;
- Out-of-bounds Write (CVE-2024-11800)/súlyos;
- Out-of-bounds Write (CVE-2024-11801)/súlyos;
- Out-of-bounds Write (CVE-2024-11802)/súlyos;
- Out-of-bounds Write (CVE-2024-11803)/súlyos;
Javítás: A gyártó a hibákat várhatóan a 2025 májusban megjelenő új verzióban fogja javítani.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-06

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Alig egy hónapja írtam az OT környeztek katasztrófa-elhárítási terveivel (DRP) kapcsolatos új gondolatokról, ma pedig egy még 2021-ben, a lengyelországi Uniwersytet Morski w Gdyni (Gdyniai Tengerészeti Egyetem) 15. Summer Safety&Reliability Seminar nevű rendezvényén elhangzott előadáshoz kapcsolódó tanulmányt mutatok be röviden, amiben az Ipar 4.0-val egyre inkább digitalizálódó folyamatirányítás üzletmenet-folytonosság tervezésével kapcsolatos új elméleteket mutatják be.

A tanulmány főbb gondolatai:

- Az ICT és ICS/SCADA rendszerek egyre fontosabbá válnak az ipari folyamatautomatizálásban, akár vezetékes, akár vezetéknélküli kommunikációs módokat használnak;
- Üzletmenet-folytonosság menedzsment szempontból a tanulmányban bemutatott keretrendszer vizsgálja a folyamatvezérlő digitális rendszerek függőségi és biztonsági kérdéseit, kiemelve az IT-OT integrációt, ami az egyik legfontosabb alapköve az Ipar 4.0-ként emlegett törekvéseknek;
- OT biztonsági kihívások: A tanulmány külön foglalkozik az OT biztonsági kihívásokkal, különösen a különböző gyártóktól származó eszközök összehangolásából eredő kockázatokkal és ezeknek az üzletmenet-folytonosság menedzsment által történő kezelési lehetőségeivel;
- Műszaki és szervezeti tényezők: Hogyan befolyásolják ezek a tényezők a biztonsággal (safety) kapcsolatos ipari folyamatirányító rendszerek függőségeit és (kiber)biztonságát?
- Fejlett (új) technológiák: Az újabb (jellemzően, de nem kizárólag) IT (pl. felhő-technolgiák) és OT (OPC UA protokoll, automatizálásban használt gépi tanulás) megoldások használatával történő rugalmassági és hatékonysági fejlesztések;
- Kiber-fizikai rendszerek: A kiber-fizikai rendszerek metodológiáinak felhasználása a folyamatirányító rendszerek ellenállóképességének fejlesztésében annak érdekében, hogy javuljon ezeknek a rendszereknek a védelme kibertámadásokkal szemben.

A tanulmány a Gdyniai Tengerészeti Egyetem weboldalán érhető el (sajnos a jelek szerint az egyetem webszerverén már fél éve lejárt az SSL-tanúsítvány, így akiknek fontos a biztonsági kockázataik minimalizálása, ajánlott valamilyen biztonságosnak gondolt módszert használni a letöltéshez): https://ssars.umg.edu.pl/files/srsp-2021/srsp-2021-13.pdf

Bejelentés dátuma: 2024.11.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PowerLogic PM5320 2.3.8-as és korábbi verziói;
- PowerLogic PM5340 2.3.8-as és korábbi verziói;
- PowerLogic PM5341 2.6.6-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2024-9409)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2024.11.14.
Gyártó: Baxter
Érintett rendszer(ek):
- Life2000 Ventilation System 06.08.00.00 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2024-9834)/kritikus;
- Improper Restriction of Excessive Authentication Attempts (CVE-2024-9832)/kritikus;
- Use of Hard-Coded Credentials (CVE-2024-48971)/kritikus;
- Improper Physical Access Control (CVE-2024-48973)/kritikus;
- Download of Code Without Integrity Check (CVE-2024-48974)/kritikus;
- On-Chip Debug and Test Interface With Improper Access Control (CVE-2024-48970)/kritikus;
- Missing Support for Security Features in On-Chip Fabrics or Buses (CVE-2020-8004)/súlyos;
- Missing Authentication for Critical Function (CVE-2024-48966)/kritikus;
- Insufficient Logging (CVE-2024-48967)/kritikus;
Javítás: Nincs, a gyártó 2025 második negyedévben tervez további információkat kiadni a sérülékenységekkel kapcsolatban.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-24-319-01

Bejelentés dátuma: 2024.11.18.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2302 minden, V2302.0018-nál korábbi verziója;
- Tecnomatix Plant Simulation V2404 minden, V2404.0007-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-52565)/súlyos;
- Out-of-bounds Write (CVE-2024-52566)/súlyos;
- Out-of-bounds Read (CVE-2024-52567)/súlyos;
- Use After Free (CVE-2024-52568)/súlyos;
- Out-of-bounds Write (CVE-2024-52569)/súlyos;
- Out-of-bounds Write (CVE-2024-52570)/súlyos;
- Out-of-bounds Write (CVE-2024-52571)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-52572)/súlyos;
- Out-of-bounds Write (CVE-2024-52573)/súlyos;
- Out-of-bounds Read (CVE-2024-52574)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.11.19.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC iQ-F sorozat FX5-ENET 1.100-as és későbbi verziói;
- MELSEC iQ-F sorozat FX5-ENET/IP 1.100-astól 1.104-esig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Specified Type of Input (CVE-2024-8403)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-324-01

Bejelentés dátuma: 2024.11.21.
Gyártó: Automated Logic
Érintett rendszer(ek):
- Automated Logic WebCTRL® Server 7.0 verziója;
- Carrier i-Vu 7.0 verziója;
- Automated Logic SiteScan Web 7.0 verziója;
- Automated Logic WebCTRL for OEMs 7.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unrestricted Upload of File with Dangerous Type (CVE-2024-8525)/kritikus;
- Open Redirect (CVE-2024-8526)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-326-01

Bejelentés dátuma: 2024.11.21.
Gyártó: mySCADA
Érintett rendszer(ek):
- myPRO Manager 1.3-asnál korábbi verziói;
- myPRO Runtime 9.2.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2024-47407)/kritikus;
- OS Command Injection (CVE-2024-52034)/kritikus;
- Improper Authentication (CVE-2024-45369)/súlyos;
- Missing Authentication for Critical Function (CVE-2024-47138)/kritikus;
- Path Traversal (CVE-2024-50054)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-326-07

Bejelentés dátuma: 2024.11.21.
Gyártó: CODESYS
Érintett rendszer(ek):
- CODESYS OSCAT Basic Library 3.3.5.0 verziója;
- oscat.de OSCAT Basic Library 3.3.5-ös és korábbi verziói;
- oscat.de OSCAT Basic Library 335-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-6876)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-326-02

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.