SPRECON-E: częściowo dotyczy
SPRECON-V: nie dotyczy

W oparciu o kombinację TCP Selective Acknowledgement (SACK) i TCP Maximum Segment Size (MSS) Netflix odkrył krytyczną lukę w jądrach Linuksa. Wysłanie odpowiedniej sekwencji pakietów TCP SACK z niskim MSS może spowodować przepełnienie bufora, prowadzące do błędu jądra systemu typu Kernel-panic. W konsekwencji odmowa usługi może doprowadzić do wyłączenia urządzenia.

Analiza systemów SPRECON-E wykazała, że wyłącznie produkty wyposażone w FALCON (PU244x) i T3 MC33/34 są podatne na poniższe luki:

• CVE-2019-11477 (CVSS 3.0 Base Score 7.5)
• CVE-2019-11478 (CVSS 3.0 Base Score 7.5)
• CVE-2019-11479 (CVSS 3.0 Base Score 7.5)

Ogólne zalecenia:

Ryzyko dla urządzeń SPRECON można zminimalizować poprzez odpowiednie ustawienia zapory sieciowej, dzięki którym pakiety z niskim MSS będą odrzucane:
iptables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP

Ponadto, Sprecher Automation pracuje nad poprawkami do oprogramowania, które bezpośrednio usuną tę lukę.

Mimo to, ogólnie zaleca się obsługę urządzeń kontrolnych i zabezpieczeniowych SPRECON wyłącznie w odizolowanych sieciach procesowych, gdzie zastosowano odpowiednią segmentację sieci. Podobnie należy zaimplementować filtrację pakietów z niskim MSS w zaporach sieciowych innych producentów. Zabiegi te znacząco obniżą ryzyko wykorzystania tej luki.

Więcej szczegółów:
https://www.cert.at/warnings/all/20190618.html
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md

SPRECON-E: nie dotyczy
SPRECON-V: nie dotyczy

SPRECON-E: dotyczy
SPRECON-V: nie dotyczy

Interfejs sieciowy („SPRECON Webserver”) komponentów SPRECON jest podatny na zagrożenie Path Traversal. Użytkownik uwierzytelniony w interfejsie sieciowym może pobierać pliki z uprawnieniami serwera WWW (dane www). Takie pliki jak „/etc/shadow” nie są odczytywane przez webserver, ponieważ zapobiega temu architektura obrony w głąb platformy SPRECON.

Ograniczenia:

• Luka ta jest dostępna tylko wtedy, gdy na danym urządzeniu jest lub była używana funkcja EDIR. Dodatkowo, potencjalny atakujący potrzebuje danych uwierzytelniających (tj. nazwy użytkownika i hasła) dla interfejsu internetowego.

Rozwiązanie:

• Firma Sprecher Automation naprawiła tę lukę w oprogramowaniu w wersji 8.62 (i wszystkich następnych wydaniach). W przypadku wersji długoterminowych, lukę tę usuwają wydania 8.52g i 8.56f.

Obejście problemu:

• Jeżeli aktywna jest kontrola dostępu (RBAC), nie jest możliwe wykorzystanie tej luki bez posiadania aktualnych danych użytkownika. Stanowczo zaleca się, aby zawsze aktywować uwierzytelnianie użytkowników do wszystkich interfejsów służących do konfiguracji. Dodatkowo, zaleca się stosowanie segmentacji sieci, żeby zabezpieczyć dostęp z sieci do urządzeń IED oraz ich interfejsów.

CVSSv2 Base Score: 2.1
CVSSv3 Base Score: 2.6

Więcej szczegółów znaleźć można w załączonym poradniku.

Podziękowania:
Podziękowania dla p. Eryka Huemera z Austrian Energy CERT / CERT.at / NIC.at

Luka Path Traversal podczas uwierzytelniania

SPRECON-E: nie dotyczy
SPRECON-V: dotyczy

Oprogramowanie WibuKey wykorzystywane jest do kluczy licencyjnych SPRECON-V460 Editor, SPRECON-V460 runtime, SPRECON-V460 web serwer, SPRECON-V460 logic runtime, straton runtime, SPRECON-V460 logic workbench i straton workbench, a w niektórych wersjach jest częścią instalacji tych programów.

Wersje SPRECON-V460 8.00 i wyższe wykorzystują wyłącznie oprogramowanie CodeMeter od Wibu Systems i nie są podatne na te luki.

SPRECON-V460 Analyzer wykorzystuje wyłącznie oprogramowanie CodeMeter od Wibu Systems i nie jest podatny na te luki.

Komponenty, których dotyczy problem:

• Systemy, w których zainstalowano SPRECON-V460 Editor, SPRECON-V460 runtime, SPRECON-V460 web serwer, SPRECON-V460 logic runtime, straton runtime, SPRECON-V460 logic workbench lub straton workbench, mogą zawierać instalację oprogramowania WibuKey Runtime i potencjalnie mogą być zagrożone.
• Potencjalnie zagrożone mogą być systemy, w których ręcznie zainstalowano oprogramowanie WibuKey Runtime, jako serwer sieciowy WibuKey do hostowania klucza sieciowego WibuKey.
• Systemy, które wykorzystują zielone klucze WibuKey (port równoległy Centronics, USB, inne) wymagają oprogramowania WibuKey.
• Systemy, które używają srebrnych kluczy CodeMeter, używają oprogramowania CodeMeter Runtime i nie wymagają oprogramowania WibuKey.

Uwaga: Oprogramowanie WibuKey Runtime i/lub klucze WibuKey mogą być również wykorzystywane przez programy innych dostawców.

Wersje, których dotyczy zagrożenie:

• Oprogramowanie WibuKey wersje 6.40 i starsze
• Wersje produktowe 7.20 i starsze SPRECON-V460
• Wersje produktowe SPRECON-V460 7.50 i 7.60 mogą być zagrożone, o ile ręcznie zainstalowano oprogramowanie WibuKey do obsługi klucza WibuKey
• Wersje produktowe 9.2 i starsze oprogramowania straton

Dostępne poprawki:

Wibu Systems zapewnia zaktualizowaną wersję 6.50b – wbudowaną 3323 oprogramowania WibuKey, które usuwa zgłoszone luki.
Wcześniej Wibu Systems zapewniał zaktualizowaną wersję 6.50 oprogramowania WibuKey, która usuwała zgłoszone luki, ale nie była kompatybilna z produktami SPRECON-V460 i kluczami równoległymi. Oprogramowanie „WibuKey Runtime for Windows” w wersji 6.50b można pobrać pod następującym linkiem: https://www.wibu.com/support/user/downloads-user-software.html

Rozpoznane problemy:

Wersja 6.50 wbudowana 3307 oprogramowania WibuKey Runtime for Windows ma problem z równoległymi kluczami WibuKey. Przy uruchomieniu SPRECON-V460 Editor lub SPRECON-V460 runtime pojawia się komunikat o błędzie: „Licencjonowanie nie powiodło się: Funkcja = WkbSelect2() Podany parametr jest nieprawidłowy (4)”. Potwierdzenie błędu pozwala na normalne uruchomienie aplikacji z nienaruszoną licencją.

Środki zaradcze:

W wersjach 7.20 i starszych SPRECON-V460 oprogramowanie WibuKey Runtime jest instalowane automatycznie w trakcie konfiguracji, aby móc używać kluczy WibuKey bez konieczności ręcznej instalacji tego oprogramowania.

Gdy zainstalowany produkt używa albo klucza CodeMeter albo licencji, oprogramowanie WibuKey Runtime nie jest potrzebne i można je odinstalować za pomocą panelu sterowania Windows. Odinstalowanie oprogramowania WibuKey Runtime spowoduje usunięcie usterek.

Gdy zainstalowany produkt używa klucza WibuKey, odinstalowanie oprogramowania WibuKey Runtime usuwa luki, ale także unieruchamia produkt z ważną licencją klucza. W takim przypadku należy zainstalować zaktualizowaną wersję programu.

W wersjach 7.50 i 7.60 SPRECON-V460 oprogramowanie WibuKey nie jest już instalowane automatycznie podczas konfiguracji lecz dostarczane jest łącznie z nośnikiem instalacyjnym. Jest zatem możliwe, że oprogramowanie WibuKey Runtime zostało zainstalowane ręcznie w pewnym momencie, ale może nie być już potrzebne.

Ogólne zalecenia:

Sprecher Automation zasadniczo zaleca ograniczenie lokalnego fizycznego dostępu tylko dla upoważnionych osób. Dostęp do sieci powinien być ograniczony wyłącznie do absolutnie niezbędnej komunikacji.

Korzystanie z sieci VLAN i zapór w celu segmentowania ruchu sieciowego oraz tworzenia stref i kanałów, zmniejsza narażenie wrażliwych systemów i umożliwia ograniczenie dostępu do serwera WkLAN WibuKey tylko do tych systemów, które w rzeczywistości używają klucza sieciowego. Zaleca się, aby systemy hostujące serwer WkLAN WibuKey nie miały dostępu do sieci zewnętrznych.

Ponadto, Sprecher Automation zaleca stosowanie białej listy aplikacji, aby ograniczyć wykorzystanie aplikacji tylko do tych, które są wymagane do działania systemu.

Szczegóły: patrz załącznik

SPRECON-E: nie dotyczy
SPRECON-V: nie dotyczy

Firma Cisco poinformowała o kilku zagrożeniach dotyczących jej produktów ASA:

• CVE-2018-15397: Błąd przetwarzania poufności ruchu w Cisco ASA pozwala zdalnym użytkownikom spowodować awarię systemu docelowego
• CVE-2018-15399: Błąd w module TCP Syslog Cisco ASA pozwala zdalnym użytkownikom spowodować awarię zainfekowanego urządzenia
• CVE-2018-15383: Błąd dostępu DMA w Cisco ASA pozwala zdalnym użytkownikom spowodować restart zaatakowanego urządzenia
• CVE-2018-15454: Błąd protokołu inicjowania sesji w Cisco ASA 5500-X pozwala zdalnym użytkownikom spowodować blokadę usług
• CVE-2018-15398: Błąd w Cisco ASA umożliwia zdalnym użytkownikom obejść funkcję kontroli dostępu Per-User-Override

Luki CVE-2018-15397, CVE-2018-15399, CVE-2018-15454 i CVE-2018-15383 mogą w pewnych okolicznościach doprowadzić do warunków odmowy usługi (DoS), podczas gdy dwie z nich zostały sklasyfikowane przez Cisco w kategorii „wysokiej".

CVE-2018-15398 w pewnych okolicznościach umożliwia obejście funkcji Access Control List (ACL), co daje dostęp do chronionych usług mimo działania firewalla. Tę lukę Cisco klasyfikuje w kategorii „średniej”.

Firma Cisco zaleca aktualizację oprogramowania.

Produkty, których dotyczy problem:

Zależnie od konkretnej luki CVE, Cisco ASA , a w przypadku kilku luk również Cisco Firepower Threat Defence.

Więcej szczegółów:

• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181031-asaftd-sip-dos
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-asa-ipsec-dos
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-asa-syslog-dos
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-asa-acl-bypass
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-asa-dma-dos

SPRECON-E: nie dotyczy
SPRECON-V: nie dotyczy

Meinberg naprawił luki bezpieczeństwa zarówno w wykorzystywanej implementacji NTP, jak i w OpenSSL z nową wersją oprogramowania.

Szczegóły dotyczące zabezpieczonych luk:

• NTP:
  • CVE-2018-12327 (CVSSv3 Score: 9.8),
  • CVE-2018-7170 (CVSSv3 Score: 6.5)
• OpenSSL:
  • CVE-2018-0732 (CVSSv3 Score: 7.5)

Luka w NTP CVE-2018-12327 dostała kategorię jako krytyczna, ponieważ w określonych okolicznościach może pozwolić na zdalne wykonanie kodu. Meinberg nie podaje informacji jakich sytuacji w praktyce może to dotyczyć.

Meinberg zdecydowanie zaleca aktualizację wersji 5 i 6 LANTIME do poprawionej wersji 6.24.05.

Produkty, których dotyczy problem:
LANTIME serii M
(M100, M200, M300, M400, M600, M900)

Serie IMS
(M500, M1000, M1000S, M3000, M3000S, M4000)

SyncFire
(SF1000 / SF1100)

Więcej szczegółów:

https://www.meinbergglobal.com/english/sw/mbgsecurityadvisory.htm
https://nvd.nist.gov/vuln/detail/CVE-2018-12327 https://nvd.nist.gov/vuln/detail/CVE-2018-7170 support.ntp.org/bin/view/Main/SecurityNotice https://nvd.nist.gov/vuln/detail/CVE-2018-0732 https://www.openssl.org/news/secadv/20180612.txt

SPRECON-E: częściowo dotyczy
SPRECON-V: nie dotyczy

SPRECON-E: Aktualizacja jądra systemu operacyjnego w wersji 8.59

Aktualizacja jądra systemu operacyjnego SPRECON została ukończona. Ta aktualizacja jądra systemu Linux usprawnia strategię bezpieczeństwa IT produktów SPRECON-E.

Szczegóły można znaleźć w uwagach do oprogramowania SPRECON-E Control 8.59.

SPRECON-E: nie dotyczy
SPRECON-V: nie dotyczy

Firma Cisco opublikowała listę luk w zabezpieczeniach produktów Cisco ASA. Zaleca się sprawdzenie czy luki te dotyczą posiadanej wersji ASA.

• Denial-of-Service poprzez Internet, CVE-2018-0296
• Niedomiar bufora TLS, CVE-2018-0231
• Błędy logiczne inspekcji protokołu warstwy aplikacji, CVE-2018-0240
• Usterka uwierzytelniania certyfikatu SSL klienta VPN, CVE-2018-0227
• Usterka blokady Ingress Software, CVE-2018-0228
• Usterka sprawdzania poprawności danych wejściowych w WebVPN Management Interface, CVE-2018-0

Usterka kontroli dostępu w przemysłowych przełącznikach ethernetowych CISCO

Firma Cisco zgłosiła lukę w zabezpieczeniach przełączników IE. Nieuwierzytelniony zdalny napastnik może wykonać atak międzyfirmowy (CSRF) za pośrednictwem interfejsu internetowego Menedżera urządzeń.

Luka została przypisana do CVSS 8.8 pod CVE-2018-0255.

Liczne luki bezpieczeństwa w CISCO IOS / IOS XE / IOS XR

Zgłoszono wiele częściowo krytycznych luk w oprogramowaniu CISCO IOS. IOS jest wykorzystywany w różnych rodzinach urządzeń. Operatorzy urządzeń CISCO powinni sprawdzić czy luki te dotyczą posiadanej wersji IOS.

• IOS/IOS XE DHCP Option 82 Processing Bugs,
CVE-2018-0172, CVE-2018-0173, CVE-2018-0174

• Cisco IOS/IOS XE QoS Buffer Overflow Lets, CVE-2018-0151

• Cisco IOS/IOS XE/IOS XR Link Layer Discovery Protocol Privilege Escalation, CVE-2018-0167, CVE-2018-0175

• Cisco IOS/IOS XE Smart Install Input Validation Flaw,
CVE-2018-0156

• Cisco IOS/IOS XE Buffer Overflow in Processing Smart Install Packets, CVE-2018-0171

• Cisco IOS XE Zone-Based Firewall IP Fragment Processing Bug,
CVE-2018-0157

• Cisco IOS XE Default Credentials,
CVE-2018-0150

• Cisco IOS XE IGMP Processing Flaw,
CVE-2018-0165

• Cisco IOS Integrated Services Module for VPN Unspecified Processing Flaw, CVE-2018-0154

• Cisco IOS XE SNMP Memory Management Error,
CVE-2018-0160

• Cisco IOS XE Umbrella Integration Memory Free Error,
CVE-2018-0170

• Cisco IOS XE Web Interface Access Control Bug,
CVE-2018-0152

• Cisco IOS XE Command Line Interface Validation Bugs,
CVE-2018-0169, CVE-2018-0176

• Cisco IOS/IOS XE IKE Processing Flaws,
CVE-2018-0158, CVE-2018-0159

• Cisco IOS XR UDP Broadcast Processing Flaw,
CVE-2018-0241

Więcej szczegółów na:

• https://ics-cert.us-cert.gov/advisories/ICSA-18-065-01

SPRECON-E: nie dotyczy
SPRECON-V: nie dotyczy

Opublikowano informacje o następujących lukach w zabezpieczeniach kilku typów przełączników Hirschmanna:

a) Luka „Fiksacja sesji“, CVE-2018-5465,
CVSS 3.0 Base Score 8.8

b) Luka „Narażenia informacji“, CVE-2018-5467,
CVSS 3.0 Base Score 6.5

c) Luka jawnej transmisji danych wrażliwych, CVE-2018-5471,
CVSS 3.0 Base Score 5.9

d) Luka niewystarczającego poziomu szyfrowania, CVE-2018-5461,
CVSS 3.0 Base Score 6.5

e) Luka niewystarczającego ograniczenia nieudanych prób uwierzytelniania  CVE-2018-5469, CVSS 3.0 Base Score 9.8

Produkty, których dotyczy problem:

• Linie produktów Hirschmann RS, RSR, RSB, RSB, MACH100, MACH1000, MACH4000, MS, OCTOPUS

Przeciwdziałanie zagrożeniu:

• Hirschmann zaleca kontrole mające na celu podnoszenie poziomu bezpieczeństwa (np poprzez używanie HTTPS lub SSH, patrz link poniżej)

Więcej szczegółów:

• https://ics-cert.us-cert.gov/advisories/ICSA-18-065-01

SPRECON-V: częściowo dotyczy

Możemy potwierdzić, że poniższe aktualizacje rozwiązują kilka problemów spowodowanych na początku 2018 roku przez aktualizację zabezpieczeń firmy Microsoft:

• KB4074594 naprawia KB4056898 - Windows 8.1 dla systemów 64-bitowych

• KB4074594 naprawia KB4056895 i KB4056898 - Windows 8.1 i Windows Server 2012 R2 Standard

• KB4074592 naprawia KB4056891 - Windows 10 Version 1703 dla systemów 64-bitowych

• KB4074596 naprawia KB4056893 - Windows 10 Version 1507 dla systemów 64-bitowych

• KB4074590 naprawia KB4056890 - Windows Server 2016 i Windows 10 Version 1607

• KB4074593 naprawia KB4056896 - Windows Server 2012 Standard

• KB4074598 naprawia KB4056894 - Windows 7 i Windows Server 2008 R2

Jak donoszą media, problem dotyczy kilku procesorów renomowanych producentów (Intel, AMD, itd.). Meltdown i Spectre wykorzystują luki w zabezpieczeniach, takie jak błędne mapowania pamięci kernel, w celu odczytywania dowolnych danych z pamięci i ujawniania poufnych informacji.

Potencjalny intruz musiałby wgrać na urządzenie złośliwe oprogramowanie, wykonać je i rozpakować pliki wynikowe aby wykorzystać te luki.

Ponieważ SPRECON-V może być używany na różnych urządzeniach PC, od posiadanego sprzętu zależy czy instalacja wykonana zostanie poprawnie. Problem luk można rozwiązać tylko na poziomie systemu operacyjnego za pomocą poprawek.

Niedawno odkryto, że dostępne łatki firmy Microsoft powodują problemy. Dlatego nie zaleca się importowania poprawek bezpośrednio do systemu operacyjnego. Jeśli mają one być zastosowane, zaleca się utworzenie kopii zapasowej systemów przed zaimportowaniem poprawek i najpierw zainstalowanie poprawek w systemie testowym i sprawdzenie podstawowych funkcji. Można podjąć alternatywne środki opisane poniżej.

Obecnie wykonywane są dalsze analizy. Jeżeli tylko pojawią się łatki, które zostaną zaaprobowane przez Sprecher Automation, informacja taka zostanie udostępniona.

        
Produkty, których dotyczy problem:

• SPRECON-V460 jeżeli został zainstalowany na zagrożonym sprzęcie:
  Intel, AMD, ARM
  https://www.heise.de/newsticker/meldung/Prozessor-Luecken-Meltdown-und-Spectre-Intel-und-ARM-fuehren-betroffene-Prozessoren-auf-Nvidia-3934667.html
  https://www.cvedetails.com/cve-details.php?cve_id=CVE-2017-5754

Przeciwdziałanie zagrożeniu:

• Sieć techniczna/operacyjna musi być odizolowana od sieci publicznej
• Należy monitorować wszystkie ścieżki komunikacyjne, które prowadzą do sieci procesów
• Stacje HMI w sieciach operacyjnych / stacjach powinny być dodatkowo wzmocnione (biała lista aplikacji i / lub oprogramowanie antywirusowe)
• Egzekwowanie monitorowania bezpieczeństwa we wszystkich obszarach i sieciach w celu wykrycia anomalii
• Ścisłe stosowanie ochrony wielopoziomowej w swoich sieciach
• Producenci procesorów i systemów operacyjnych już pracują nad możliwymi poprawkami
• Należy stosować się do zaleceń producentów po oszacowaniu ryzyka ataku na stacjach, których problem dotyczy
  
  Microsoft udostępnia narzędzia pozwalające stwierdzić czy posiadany sprzęt objęty jest zagrożeniem:
  https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in

• Meltdown and Spectre,
  http://meltdownattack.com
  
  Google Security Blog,
  https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
  
  COPADATA
  https://www.copadata.com/en/news/news/security-announcement-6943/

SPRECON-E: nie dotyczy
SPRECON-V: nie dotyczy

Zdalny użytkownik może wysyłać specjalnie spreparowane pakiety XML poprzez interfejs webvpn, aby wywołać podwójny błąd pamięci w funkcji SSL VPN i wykonać dowolny kod w systemie docelowym.

Problem dotyczy systemów, na których włączona jest opcja webvpn.

        
Produkty, których dotyczy problem:

Zagrożenie dotyczy następujących modeli:

• 3000 Series Industrial Security Appliance (ISA)
• 5500 Series Adaptive Security Appliances
• 5500-X Series Next-Generation Firewalls
• ASA Services Module dla Catalyst 6500 Series Switches i 7600 Series Routers
• 1000V Cloud Firewall
• Adaptive Security Virtual Appliance (ASAv)
  
  Problem dotyczy także kilku urządzeń z serii Firepower.
  
  

Przeciwdziałanie zagrożeniu:

• Firma Cisco wypuściła aktualizację z poprawkami (patrz link poniżej).

• https://securitytracker.com/id/1040292
  
  
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1

SPRECON-E: nie dotyczy
SPRECON-V: nie dotyczy

Zdalny użytkownik może przesłać specjalnie spreparowane pakiety IPv6 z rozszerzeniem fragmentu nagłówka do lub poprzez kartę liniową Trident, powodując jej przeładowanie.

Zagrożone są systemy z kartami liniowymi Trident-based, które mają skonfigurowany IPv6.

Produkty, których dotyczy problem:

Karty liniowe Trident-based:

• A9K-40GE-L
• A9K-40GE-B
• A9K-40GE-E
• A9K-4T-L
• A9K-4T-B
• A9K-4T-E
• A9K-8T/4-L
• A9K-8T/4-B
• A9K-8T/4-E
• A9K-2T20GE-L
• A9K-2T20GE-B
• A9K-2T20GE-E
• A9K-8T-L
• A9K-8T-B
• A9K-8T-E
• A9K-16/8T-B
  
  

Przeciwdziałanie zagrożeniu:

• Firma Cisco wypuściła aktualizację z poprawkami (Service Pack 7 dla Cisco IOS XR Software Release 5.3.4).
  
  

• https://securitytracker.com/id/1040315

SPRECON-V: częściowo dotyczy

Jak donoszą media, problem dotyczy kilku procesorów renomowanych producentów (Intel, AMD, itd.). Jeden z tych wadliwych produktów jest używany w procesorach SPRECON-E Falcon (PU244x) produkowanych na bazie ARM. Nie dotyczy to innych produktów SPRECON-E i innych rodzin procesorów. Jednak wynikające z tego ryzyko dla urządzeń SPRECON jest marginalne.

Poniżej fakty na ten temat:        

• Meltdown nie dotyczy układów ARM, więc nie ma ryzyka związanego z tym atakiem.
• Jeśli chodzi o Spectre, odnośnie ^[1] istotne są warianty 1 i 2. A zatem CVE-2017-5753 i CVE-2017-5715.
• Aby wykorzystać te luki, potencjalny intruz musiałby wgrać na urządzenie złośliwe oprogramowanie, wykonać je i rozpakować pliki wynikowe. Teoretycznie, mogłoby to doprowadzić do ujawnienia danych, co zagrażałoby poufności danych, ale nie bezpośrednio integralności czy dostępności urządzenia.
• Jednak system SPRECON realizuje bezwzględną strategię ochrony wielopoziomowej. Oznacza to, że nie ma możliwości wgrania dowolnych danych na urządzenie i wykonania pobranego kodu. Wszelkie dane wgrywane do urządzenia ograniczają się jedynie do danych konfiguracyjnych generowanych w systemie SPRECON. Dlatego zagrożenie jest minimalne.

^[1] https://developer.arm.com/support/security-update

Produkty, których dotyczy problem:

• SPRECON-E-C, odpowiednio SPRECON-E-P z CPU PU244x
  
  

• Nie ma potrzeby podejmowania żadnych środków w związku z atakami Meltdown i Spectre.

SPRECON-E: nie dotyczy
SPRECON-V: nie dotyczy

Firma Meinberg poinformowała o wielu lukach w interfejsie sieciowym swoich urządzeń oraz przy generowaniu kluczy NTP. Szczegółowe informacje pod odpowiednimi kodami CVE, a także na stronie http://www.ids.de/it-security/it-security-bulletin.html.

• Z powodu nieprawidłowej konfiguracji na liście kontroli dostępu do serwera WWW nieuwierzytelniony atakujący może odczytać dowolne pliki.

• Błąd w ograniczonym dostępie do adresów URL: specjalnie spreparowane zapytania HTTP / HTTPS umożliwiły atakującemu odczytanie danych statystycznych i grafik.

• Przesyłanie dowolnego pliku: uwierzytelniony użytkownik mógł przesłać dowolne pliki i, korzystając z braku sprawdzania poprawności parametru, umieszczać te pliki w dowolnym miejscu przy użyciu ataku typu „directory-traversal”.

• Błąd przy generowaniu kluczy NTP: starsze wersje oprogramowania LTOS6 błędnie generowały klucze NTP, co pozwalało na korzystanie ze starych kluczy pomimo wygenerowania nowych.

Produkty, których dotyczy problem:

Wersje programu LTOS6 wcześniejsze niż 6.24.004, używane w serii LANTIME M (M100, M200, M300, M400, M600, M900), wszystkich urządzeniach serii IMS (M500, M1000, M1000S, M3000, M3000S, M4000), a także produktach SyncFire (SF1000 / SF1100).

Przeciwdziałanie zagrożeniu:

Firma Meinberg wypuściła nową wersję oprogramowania 6.24.004, w której naprawiono te luki. Klienci Meinberga mogą pobrać ją ze strony  https://www.meinberg.de/german/sw/firmware.htm

SPRECON-E: nie dotyczy
SPRECON-V460: nie dotyczy

Luka w implementacji funkcji uwierzytelniania bezpośredniego w programie Cisco Adaptive Security Appliance (ASA) może umożliwić zdalny atak przez osobę nieuprawnioną na wybrane urządzenie i spowodować jego przeładowanie, skutkujące blokadą usługi (DoS).

Luka ta spowodowana jest niekompletnym sprawdzaniem oryginalności nagłówka HTTP. Atakujący może wykorzystać tę lukę poprzez wysłanie spreparowanego żądania HTTP na lokalny adres IP zainfekowanego urządzenia. Udany atak może umożliwić atakującemu przeładowanie zaatakowanego urządzenia.

Wykorzystanie luki jest możliwe poprzez przesyłanie danych w kierunku zainfekowanego systemu, na którym włączona jest funkcja uwierzytelniania bezpośredniego. Luka ta może zostać wywołana ruchem w obrębie IPv4 lub IPv6.

        
Produkty, których dotyczy problem

Luka dotyczy oprogramowania Cisco Adaptive Security Appliance (ASA) w następujących produktach Cisco:

• ASA 5500 Series Adaptive Security Appliances
• ASA 5500-X Series Next-Generation Firewalls
• ASA Services Module dla Cisco Catalyst 6500 Series Switches i Cisco 7600 Series Routers
• ASA 1000V Cloud Firewall
• Adaptive Security Virtual Appliance (ASAv)
• Firepower 4110 Security Appliance
• Firepower 9300 ASA Security Module
• ISA 3000 Industrial Security Appliance

Rozwiązanie

Firma Cisco wypuściła aktualizacje oprogramowania, które łatają tę lukę.

Więcej szczegółów na temat wersji oprogramowania, poprawek i szczegółowy opis znajduje się w poradniku firmy Cisco:

> https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171004-asa

SPRECON-V460

Znany producent zabezpieczeń odkrył w ostatnim czasie złośliwe oprogramowanie, mogące wpływać na działanie sieci energetycznych. Firma Dragos potwierdziła użycie tego malware`u przeciwko systemowi energetycznemu Ukrainy w grudniu 2016. CrashOverride jest wysoce złośliwym oprogramowaniem, które jest w stanie wpływać na działanie protokołów, takich jak IEC 101, IEC 104, IEC 61850 i OPC Data Access (OPC DA). Zawiera również komponent, który usuwa dane i może spowodować uszkodzenie urządzeń, podobnie jak stało się to w 2015 r. na Ukrainie.

Klasyfikacja
Obecnie nieznane są inne możliwości wykorzystania tego oprogramowania. Analiza firmy Dragos opiera się na wydarzeniach z grudnia 2016. Zapewne złośliwe oprogramowanie zostało od tego czasu rozbudowane i rozwinięte. Urządzenia z systemem Microsoft Windows są w większości podatne na to zgrożenie. Dlatego w przypadku stacji HMI z systemem Windows należy przedsięwziąć odpowiednie środki zaradcze.

Przeciwdziałanie zagrożeniu

• Operatorzy powinni bezwzględnie separować sieci energetyczne od innych sieci (np. sieci biurowej).
• Należy zabezpieczyć wszystke narzędzia komunikacji mające dostęp do sieci ICS (a zwłaszcza stacje HMI oparte na Windows) takie, jak zdalne urządzenia serwisowe czy urządzenia mobilne.
• Stacje HMI powinny być dodatkowo zabezpieczane poprzez kontrolowanie stron www przy użyciu tzw. białej listy. Dodatkowo można stosować oprogramowanie antywirusowe. Należy pamiętać, że programy antywirusowe są nieskuteczne w przypadku nowych zagrożeń i wymagają bieżącej aktualizacji aby nie zakłamywać stanu pracy urządzeń.
• Szczególnej uwagi wymaga wzrost ilości połączeń po protokołach IEC 104 i IEC 61850. Należy wzmóc kontrolę stacji i sieci energetycznych w celu wczesnego wykrywania zagrożeń.
• Można także stosować się do reguł YARA opublikowanych przez firmę Dragos oraz innych wskazówek dotyczących wykrywania możliwych infekcji.
• Należy wykonywać i oddzielnie przechowywać kopie zapasowe plików inżynierskich, takich jak logiki projektu, pliki konfiguracyjne IED i pliki instalacyjne aplikacji ICS. Pomoże to zredukować ryzyko utraty danych.
• Należy opracować plany reagowania na takie ataki i przeprowadzać szkolenia osób odpowiedzialnych, projektantów systemów, obsługi, działów IT i ochrony. Dalsze informacje oraz wskazówki dostępne są w odnośnych ostrzeżeniach CERT oraz na stronie Microsoftu.

>   BBC News

>   WIN32/Industroyer: A new threat for industrial control systems

>   WIN32/Industroyer: Indicators of Compromise

>   Siemens Security Advisory by Siemens

>   Dragos World Advisory

>   BSI News

>   Dragons Analyse

Systemy SPRECON-V460

Złośliwy ransomware WannaCry rozprzestrzenia się w internecie od 12.05.2017. WannaCry to ransomware, a więc szyfruje pliki określonego typu w systemie zainfekowanego komputera. Jest skrajnie niebezpieczny, ponieważ rozsyłany jest automatycznie po infrastrukturze sieciowej firm, wykorzystując kilka znanych luk w Microsoft Windows.

Klasyfikacja  
Wysokie ryzyko dotyczy stacji SPRECON-V460 jeżeli sieć, w którą są wpięte podłączona jest do sieci biurowej przez udostępnianie plików Windows (SMB), NETBIOS lub RDP.

Rozwiązanie
Microsoft już w marcu 2017 wypuścił odpowiednią łatkę likwidującą tę lukę. Aby zminimalizować zagrożenie zaleca się aktualizację systemu Windows na wszystkich posiadanych urządzeniach.

Od maja łatki bezpieczeństwa dostępne są także dla starszych wersji Windowsa, tj. Windows XP i Windows Server 2003.

Więcej informacji oraz sposoby rozwiązań dostępne są w odnośnych ostrzeżeniach CERT oraz na stronie Microsoftu.

>   CERT.pl: WannaCry Ransomware

>   Microsoft: Customer Guidance for WannaCrypt attacks

>   Microsoft: How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Luka w kodzie protokołu Cisco Cluster Management Protocol w Cisco IOS i IOS XE Software umożliwia nieuwierzytelnionemu napastnikowi na zdalne zrestartowanie zaatakowanego urządzenia lub zdalne wykonanie kodu z podwyższonymi uprawnieniami.

Atakujący może wykorzystać tę lukę podczas nawiązywania komunikacji poprzez Telnet, wysyłając do urządzenia Cisco odbierającego takie połączenia, niestandardowe opcje CMP dla połączeń Telnet. W ten sposób napastnik może wykonać dowolny kod i przejąć pełną kontrolę nad urządzeniem lub zmusić je do ponownego uruchomienia.

Produkty, których dotyczy problem
Przełączniki Catalyst,
Przełączniki Embedded Service 2020,
Enhanced Layer 2 EtherSwitch Service Module,
Enhanced Layer 2/3 EtherSwitch Service Module,
Gigabit Ethernet Switch Module (CGESM) dla HP,
Przełączniki IE Industrial Ethernet,
Przełącznik ME 4924-10GE, RF Gateway 10,
SM-X Layer 2/3 EtherSwitch Service Module

Rozwiązanie
Firma Cisco wypuściła aktualizacje oprogramowania, które łatają tę lukę. Nie ma obejścia, które pozwoliłoby ominąć lukę.

Klasyfikacja CVSS: 9.8

>   Cisco Security Advisory

  CERT-EU Security Advisory 2017-006

Użytkownicy połączeń IPSec VPN ze SPRECON-E

Od wersji oprogramowania 8.41 użytkownicy mogą obsługiwać połączenia IPSec VPN z urządzeniami sterującymi SPRECON. Konfiguracja jest wykonywana za pomocą odpowiedniego narzędzia Security Editor, które oferuje interfejs użytkownika do definiowania ustawień IPSec. Po konfiguracji użytkownik wysyła z edytora odpowiedni plik ipsec.cfg. Plik ten może później zostać zaimportowany przez SPRECON Designer i połączony z listą urządzeń procesu (główny plik konfiguracyjny), a następnie wgrany do urządzenia.

Podczas konfiguracji IPSec należy zdefiniować sposób uwierzytelniania. W zależności od wybranej metody, można użyć klucza współdzielonego lub certyfikatu zawierającego klucz prywatny. Sprecher Automation jako sprzedawca zaleca użytkownikom szczególną ochronę tych plików ze względu na wagę zawartych w nich informacji.

W rzeczywistości, pliki ipsec.cfg wyposażone są w mechanizm obrony przed manipulacją w postaci hasła, które zastosowano głównie po to, by chronić użytkownika przed nieautoryzowaną zmianą plików. Takie szyfrowanie wystarcza, żeby zabezpieczyć pliki przed potencjalnymi atakami. Aby zapewnić ochronę wszystkich klientów oraz poufność i spójność konfiguracji IPSec, w oprogramowaniu SPRECON od wer. 8.56 i Security Editor 1.03 zastosowane zostanie silniejsze szyfrowanie plików ipsec.cfg.

SPRECON-E-C/-E-P/-E-T3: dotyczy

SPRECON-V460: nie dotyczy

W pewnych warunkach możliwe jest wykonanie symulacji telegramu przez użytkownika nie będącego administratorem.

Najpierw, użytkownik musi nawiązać połączenie online z urządzeniem, poprawnie uwierzytelnić i przeprowadzić autoryzację jako administrator, potem wykonać symulację telegramu. Następnie, połączenie musi zostać zerwane bez zamknięcia programu. Wadliwe buforowanie danych klienta może w konsekwencji pozwolić użytkownikowi niebędącemu administratorem na wykonanie symulacji telegramu.

Aby móc wykorzystać tę lukę, potencjalny napastnik musiałby posiadać zarówno aktywne konto projektanta systemów SPRECON RBAC, jak i dostęp do komputera obsługi / serwisu. Ponadto, właściwy użytkownik-administrator musiałby wcześniej wykonać symulację telegramu, a następnie przerwać połączenie serwisowe bez uprzedniego zamknięcia programu. W związku z tym nie ma ryzyka ataku z zewnątrz.

Dotyczy produktu: SPRECON-E Service Program 3.42 SP0

Ograniczenie:

Luka ta dotyczy wyłącznie kontroli dostępu opartej na rolach (RBAC) do systemu SPRECON. RBAC dostępny jest w następujących programach od wersji:

• SPRECON-E Designer 5.79 SP0 (Kontrola dostępu musi zostać aktywowana, należy skonfigurować zarówno lokalne, jak i zdalne profile uwierzytelniania (RADIUS)
• SPRECON-E Firmware 8.49d
• SPRECON-E Service Program 3.42 SP0

Rozwiązanie problemu

Sprecher Automation zaleca aktualizację programu SPRECON-E Service do wersji 3.43 SP0 lub wyższej. Aktualizacji Programu Serwisowego można dokonać niezależnie od oprogramowania urządzenia i innych powiązanych produktów.

Inne rozwiązania

Luka ta nie spowoduje zagrożenia, jeżeli każdorazowo po korzystaniu z Programu Serwisowego użytkownik wyłączy program.

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Nowa aktualizacja oprogramowania Cisco zamyka kilka, częściowo krytycznych, luk bezpieczeństwa.

CVE-2016-6432 określa lukę bezpieczeństwa (z oceną 9,3 w rankingu CVSS), która umożliwia atakującemu zdalne przeładowanie systemu lub wykonanie kodu. Atakujący mógł wykorzystać tę lukę do przesłania spreparowanego pakietu NetBIOS w odpowiedzi na próbę NetBIOS, wysłaną przez oprogramowanie ASA.

Cisco wypuściło aktualizację oprogramowania, która usunęła tę lukę. Rozwiązaniem może być wyłączenie próbkowania NetBIOS.

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Najnowsza aktualizacja firmware’u SIPROTEC 4 i SIPROTEC Compact usunęła wiele luk bezpieczeństwa, które, jak podano na stronie cvedetails.com, wg standardów CVSS zostały sklasyfikowane z oceną od 7,8 do 10. Luki bezpieczeństwa dotyczyły modułu Ethernet EN100.

Luki CVE-2016-7112 i CVE-2016-7114 pozwalają atakującym na pominięcie uwierzytelnienia i uzyskanie uprawnień administratora.

Luka CVE-2016-7113 umożliwia hakerom blokowanie usług za pośrednictwem protokołu http.

Konieczna jest aktualizacja firmware’u. Jako podstawowy środek bezpieczeństwa, Siemens zaleca uruchamianie urządzeń w zabezpieczonych środowiskach IT.

> Siemens

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

CVE-2016-3962

CVE-2016-3988

CVE-2016-3989

• IMS-LANTIME M3000
• IMS-LANTIME M1000
• IMS-LANTIME M500
• LANTIME M900
• LANTIME M600
• LANTIME M400
• LANTIME M300
• LANTIME M200
• LANTIME M100
• SyncFire 1100
• LCES

CVE-2016-3962 i CVE-2016-3988 to błędy przepełnienia bufora w interfejsie serwera czasu, które umożliwiają zdalny atak powodujący "odmowę usługi" i przejęcie wrażliwych informacji lub nieuprawnione przetwarzanie danych.

Błąd CVE-2016-3989 powoduje "eskalację uprawnień", która umożliwia atakującemu uzyskanie uprawnień root przez fikcyjnego użytkownika.

Błędy te osiągnęły stopień zagrożenia 7.3 i odpowiednio 8.1.

Meinberg wypuścił już poprawione oprogramowanie (wersja 6.20.004).

> ICS-CERT

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Błąd w kodzie protokołu Internet Key Exchange (IKE) wer. 1 i IKE wer. 2 programu Cisco ASA może umożliwić atakującemu zdalne przeładowanie zainfekowanego systemu lub wykonanie kodu.

Luka może doprowadzić do przepełnienia bufora w zainfekowanym systemie. Atakujący może wykorzystać tę lukę i wysyłać do systemu specjalnie spreparowane pakiety UDP. Może to pozwolić atakującemu na wykonanie niepożądanego kodu i przejęcie kontroli nad systemem lub spowodowanie przeładowania zaatakowanego systemu.

Firma Cisco wypuściła aktualizację oprogramowania, dotyczącą tej luki.

> Link Cisco

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Tenable Network Security wykryła lukę bezpieczeństwa "NULL pointer deference" w oprogramowaniu CODESYS Runtime Toolkit firmy 3S-Smart Software Solutions GmbH.

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Powszechnie stosowany wbudowany system operacyjny czasu rzeczywistego VxWorks (wer. 5.5 do 6.9.4.1 włącznie) firmy Wind River może być testowany pod kątem podatności na ataki za pomocą fuzzingu.

Wykorzystując lukę w tym systemie można spowodować przepełnienie bufora poprzez sieć, a następnie wprowadzić dowolny kod. Ponadto, można włamać się do serwera FTP systemu za pomocą określonej nazwy użytkownika i hasła (co zademonstrowano na konferencji dotyczącej bezpieczeństwa 44CON).

Nie dotyczy to już najnowszej generacji systemu – VxWorks w wersji 7.

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Luka bezpieczeństwa w OpenSSL - błąd weryfikacji certyfikatu:
W pewnych okolicznościach, OpenSSL nie weryfikuje poprawnie flagi certyfikatu CA (Urząd Certyfikacji). Błąd weryfikacji certyfikatu umożliwia obejście mechanizmu stosowanego przez CA, który sprawdza poprawność usług końcowych. Pozwala to atakującemu wcielić się pośrednio w rolę CA i wystawiać własne certyfikaty dla innych stron internetowych.

Błąd pojawia się w ostatnich wersjach OpenSSL (pierwsza połowa 2015) 1.0.2c, 1.0.2b, 1.0.1n i 1.0.1o.

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

“LogJam” to luka bezpieczeństwa w protokole Diffie'ego-Hellmana do szyfrowania połączeń z serwerami sieciowymi, pocztowymi, SSH i VPN. Z powodu osłabienia połączenia TLS (Transport Layer Security), poprzez atak kryptologiczny MiM (man-in-the-middle) rozmiar klucza może być zredukowany do niebezpiecznej wielkości 512 bitów.

Powoduje to przesunięcie połączeń HTTPS w niebezpieczny tryb eksportowy i ich zakłócenie. Ogólnie, rozmiar klucza 512 bitów nie jest już używany, jednak niektóre serwery nadal go obsługują ze względu na kompatybilność.

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

"GHOST" to luka bezpieczeństwa wywoływana przez funkcję gethostbyname() (biblioteka standardowa języka C: Glibc). W pewnych warunkach złośliwe oprogramowanie może zostać uruchomione poprzez złośliwe odpowiedzi DNS.

Luka pojawiła się w kodzie Glibc w wersji 2.2 (11/2000) i została usunięta w wersji 2.18 (01/2013).

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

zewn.: Microsoft^® Windows^® Server 2003 SP2, Windows^® Vista SP2, Windows^® Server 2008 SP2 i R2 SP1, Windows^® 7 SP1, Windows^® 8, Windows^® 8.1, Windows^® Server 2012 Gold i R2 oraz Windows^® RT Gold i 8.1

Krypto komponent "Microsoft^® Secure Channel" jest odpowiedzialny również za szyfrowane połączenia internetowe. Microsoft^® sklasyfikował tę lukę bezpieczeństwa jako krytyczną (MS14-066). Poprzez lukę bezpieczeństwa w Schannel atakujący mogą wprowadzić pakiet zmanipulowanych danych przez przygotowane strony internetowe i przejąć kontrolę nad komputerem.

• Aktualizacja systemu operacyjnego Windows^®
• Używanie komputerów z systemem operacyjnym Windows^® w sieciach izolowanych

SPRECON-E-C/-E-P/-E-T3: Webserver

SPRECON-V460: nie dotyczy

zewn.: dostęp do kamery IP przeglądarki (Chrome, Firefox, Internet Explorer,...)

Jeżeli serwer i przeglądarka obsługują również wcześniejsze wersje protokołu TLS (ze względów zgodności), atakujący mogą zagrozić bezpieczeństwu transmisji danych przez SSLv3 przeprowadzając atak kryptologiczny MiM (Man in the Middle). Stąd możliwość ujawnienia cookie sesji i przejęcia połączenia.

Kolejna wersja webserwera SPRECON nie będzie już obsługiwała protokołu SSLv3 (co było konieczne ze względów zgodności).

• Wyłączaj przeglądarkę (gdy tylko nie jest używana)
• Wyłącz SSLv3 w swojej przeglądarce