Bezpieczeństwo IT w Sprecher Automation

Ta strona jest aktualizowana na bieżąco i przekazuje najświeższe informacje na temat bezpieczeństwa IT oraz jego związku z urządzeniami Sprecher Automation.

W razie pytań prosimy o kontakt:
info-pl@sprecher-automation.com

Nowości

Aktualizacja jądra systemu operacyjnego SPRECON-E

Tytuł Aktualizacja jądra systemu operacyjnego SPRECON-E
Data 7. Sierpień 2018
Powiązanie

SPRECON-E: częściowo dotyczy
SPRECON-V: nie dotyczy

Kod CVE -
Opis

SPRECON-E: Aktualizacja jądra systemu operacyjnego w wersji 8.59

Aktualizacja jądra systemu operacyjnego SPRECON została ukończona. Ta aktualizacja jądra systemu Linux usprawnia strategię bezpieczeństwa IT produktów SPRECON-E.

Szczegóły można znaleźć w uwagach do oprogramowania SPRECON-E Control 8.59.

Cisco: Przegląd potencjalnie istotnych luk w zabezpieczeniach w ciągu ostatnich 3 miesięcy

Tytuł Cisco: Przegląd potencjalnie istotnych luk w zabezpieczeniach w ciągu ostatnich 3 miesięcy
Data 7. Sierpień 2018
Powiązanie

SPRECON-E: nie dotyczy
SPRECON-V: nie dotyczy

Kod CVE opis poniżej
Opis

Firma Cisco opublikowała listę luk w zabezpieczeniach produktów Cisco ASA. Zaleca się sprawdzenie czy luki te dotyczą posiadanej wersji ASA.

• Denial-of-Service poprzez Internet, CVE-2018-0296
• Niedomiar bufora TLS, CVE-2018-0231
• Błędy logiczne inspekcji protokołu warstwy aplikacji, CVE-2018-0240
• Usterka uwierzytelniania certyfikatu SSL klienta VPN, CVE-2018-0227
• Usterka blokady Ingress Software, CVE-2018-0228
• Usterka sprawdzania poprawności danych wejściowych w WebVPN Management Interface, CVE-2018-0

Usterka kontroli dostępu w przemysłowych przełącznikach ethernetowych CISCO

Firma Cisco zgłosiła lukę w zabezpieczeniach przełączników IE. Nieuwierzytelniony zdalny napastnik może wykonać atak międzyfirmowy (CSRF) za pośrednictwem interfejsu internetowego Menedżera urządzeń.

Luka została przypisana do CVSS 8.8 pod CVE-2018-0255.

Liczne luki bezpieczeństwa w CISCO IOS / IOS XE / IOS XR

Zgłoszono wiele częściowo krytycznych luk w oprogramowaniu CISCO IOS. IOS jest wykorzystywany w różnych rodzinach urządzeń. Operatorzy urządzeń CISCO powinni sprawdzić czy luki te dotyczą posiadanej wersji IOS.

• IOS/IOS XE DHCP Option 82 Processing Bugs,
CVE-2018-0172, CVE-2018-0173, CVE-2018-0174

• Cisco IOS/IOS XE QoS Buffer Overflow Lets, CVE-2018-0151

• Cisco IOS/IOS XE/IOS XR Link Layer Discovery Protocol Privilege Escalation, CVE-2018-0167, CVE-2018-0175

• Cisco IOS/IOS XE Smart Install Input Validation Flaw,
CVE-2018-0156

• Cisco IOS/IOS XE Buffer Overflow in Processing Smart Install Packets, CVE-2018-0171

• Cisco IOS XE Zone-Based Firewall IP Fragment Processing Bug,
CVE-2018-0157

• Cisco IOS XE Default Credentials,
CVE-2018-0150

• Cisco IOS XE IGMP Processing Flaw,
CVE-2018-0165

• Cisco IOS Integrated Services Module for VPN Unspecified Processing Flaw, CVE-2018-0154

• Cisco IOS XE SNMP Memory Management Error,
CVE-2018-0160

• Cisco IOS XE Umbrella Integration Memory Free Error,
CVE-2018-0170

• Cisco IOS XE Web Interface Access Control Bug,
CVE-2018-0152

• Cisco IOS XE Command Line Interface Validation Bugs,
CVE-2018-0169, CVE-2018-0176

• Cisco IOS/IOS XE IKE Processing Flaws,
CVE-2018-0158, CVE-2018-0159

• Cisco IOS XR UDP Broadcast Processing Flaw,
CVE-2018-0241

Więcej szczegółów na:

Switche Hirschmann Classic Platform: liczne luki w zabezpieczeniach

Tytuł Switche Hirschmann Classic Platform: liczne luki w zabezpieczeniach
Data 4. Sierpień 2018
Powiązanie

SPRECON-E: nie dotyczy
SPRECON-V: nie dotyczy

Kod CVE opis poniżej
Opis

Opublikowano informacje o następujących lukach w zabezpieczeniach kilku typów przełączników Hirschmanna:

a) Luka „Fiksacja sesji“, CVE-2018-5465,
CVSS 3.0 Base Score 8.8

b) Luka „Narażenia informacji“, CVE-2018-5467,
CVSS 3.0 Base Score 6.5

c) Luka jawnej transmisji danych wrażliwych, CVE-2018-5471,
CVSS 3.0 Base Score 5.9

d) Luka niewystarczającego poziomu szyfrowania, CVE-2018-5461,
CVSS 3.0 Base Score 6.5

e) Luka niewystarczającego ograniczenia nieudanych prób uwierzytelniania  CVE-2018-5469, CVSS 3.0 Base Score 9.8


Produkty, których dotyczy problem
:

  • Linie produktów Hirschmann RS, RSR, RSB, RSB, MACH100, MACH1000, MACH4000, MS, OCTOPUS

Przeciwdziałanie zagrożeniu:

  • Hirschmann zaleca kontrole mające na celu podnoszenie poziomu bezpieczeństwa (np poprzez używanie HTTPS lub SSH, patrz link poniżej)


Więcej szczegółów:

SPRECON-V460: Meltdown / Spectre

Tytuł SPRECON-V460: Meltdown / Spectre
Data 12. Styczeń 2018
Aktualizacja 23. Luty 2018
Powiązanie

SPRECON-V: częściowo dotyczy

Kod CVE CVE-2017-5753, CVE-2017-5715, itd.
Aktualizacja 1:

Możemy potwierdzić, że poniższe aktualizacje rozwiązują kilka problemów spowodowanych na początku 2018 roku przez aktualizację zabezpieczeń firmy Microsoft:

  • KB4074594 naprawia KB4056898 - Windows 8.1 dla systemów 64-bitowych
  • KB4074594 naprawia KB4056895 i KB4056898 - Windows 8.1 i Windows Server 2012 R2 Standard
  • KB4074592 naprawia KB4056891 - Windows 10 Version 1703 dla systemów 64-bitowych
  • KB4074596 naprawia KB4056893 - Windows 10 Version 1507 dla systemów 64-bitowych
  • KB4074590 naprawia KB4056890 - Windows Server 2016 i Windows 10 Version 1607
  • KB4074593 naprawia KB4056896 - Windows Server 2012 Standard
  • KB4074598 naprawia KB4056894 - Windows 7 i Windows Server 2008 R2
Opis

Jak donoszą media, problem dotyczy kilku procesorów renomowanych producentów (Intel, AMD, itd.). Meltdown i Spectre wykorzystują luki w zabezpieczeniach, takie jak błędne mapowania pamięci kernel, w celu odczytywania dowolnych danych z pamięci i ujawniania poufnych informacji.

Potencjalny intruz musiałby wgrać na urządzenie złośliwe oprogramowanie, wykonać je i rozpakować pliki wynikowe aby wykorzystać te luki.

Ponieważ SPRECON-V może być używany na różnych urządzeniach PC, od posiadanego sprzętu zależy czy instalacja wykonana zostanie poprawnie. Problem luk można rozwiązać tylko na poziomie systemu operacyjnego za pomocą poprawek.

Niedawno odkryto, że dostępne łatki firmy Microsoft powodują problemy. Dlatego nie zaleca się importowania poprawek bezpośrednio do systemu operacyjnego. Jeśli mają one być zastosowane, zaleca się utworzenie kopii zapasowej systemów przed zaimportowaniem poprawek i najpierw zainstalowanie poprawek w systemie testowym i sprawdzenie podstawowych funkcji. Można podjąć alternatywne środki opisane poniżej.

Obecnie wykonywane są dalsze analizy. Jeżeli tylko pojawią się łatki, które zostaną zaaprobowane przez Sprecher Automation, informacja taka zostanie udostępniona.


        
Produkty, których dotyczy problem:

Przeciwdziałanie zagrożeniu:

  • Sieć techniczna/operacyjna musi być odizolowana od sieci publicznej
  • Należy monitorować wszystkie ścieżki komunikacyjne, które prowadzą do sieci procesów
  • Stacje HMI w sieciach operacyjnych / stacjach powinny być dodatkowo wzmocnione (biała lista aplikacji i / lub oprogramowanie antywirusowe)
  • Egzekwowanie monitorowania bezpieczeństwa we wszystkich obszarach i sieciach w celu wykrycia anomalii
  • Ścisłe stosowanie ochrony wielopoziomowej w swoich sieciach
  • Producenci procesorów i systemów operacyjnych już pracują nad możliwymi poprawkami
  • Należy stosować się do zaleceń producentów po oszacowaniu ryzyka ataku na stacjach, których problem dotyczy

    Microsoft udostępnia narzędzia pozwalające stwierdzić czy posiadany sprzęt objęty jest zagrożeniem:
    https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
Linki:

Cisco ASA - błąd pamięci w SSL VPN umożliwia zdalnemu użytkownikowi wykonanie kodu w zaatakowanym systemie

Tytuł Cisco ASA - błąd pamięci w SSL VPN umożliwia zdalnemu użytkownikowi wykonanie kodu w zaatakowanym systemie
Data 8. Luty 2018
Powiązanie

SPRECON-E: nie dotyczy
SPRECON-V: nie dotyczy

Kod CVE CVE-2018-0101
Opis

Zdalny użytkownik może wysyłać specjalnie spreparowane pakiety XML poprzez interfejs webvpn, aby wywołać podwójny błąd pamięci w funkcji SSL VPN i wykonać dowolny kod w systemie docelowym.

Problem dotyczy systemów, na których włączona jest opcja webvpn.


        
Produkty, których dotyczy problem:

Zagrożenie dotyczy następujących modeli:

  • 3000 Series Industrial Security Appliance (ISA)
  • 5500 Series Adaptive Security Appliances
  • 5500-X Series Next-Generation Firewalls
  • ASA Services Module dla Catalyst 6500 Series Switches i 7600 Series Routers
  • 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)

    Problem dotyczy także kilku urządzeń z serii Firepower.

Przeciwdziałanie zagrożeniu:

  • Firma Cisco wypuściła aktualizację z poprawkami (patrz link poniżej).
Linki:

Router IOS XR IPv6 firmy Cisco z serii ASR 9000 - usterka przetwarzania pakietów umożliwia zdalnym użytkownikom spowodowanie przeładowania systemu docelowego

Tytuł Router IOS XR IPv6 firmy Cisco z serii ASR 9000 - usterka przetwarzania pakietów umożliwia zdalnym użytkownikom spowodowanie przeładowania systemu docelowego
Data 8. Luty 2018
Powiązanie

SPRECON-E: nie dotyczy
SPRECON-V: nie dotyczy

Kod CVE CVE-2018-0136
Opis

Zdalny użytkownik może przesłać specjalnie spreparowane pakiety IPv6 z rozszerzeniem fragmentu nagłówka do lub poprzez kartę liniową Trident, powodując jej przeładowanie.

Zagrożone są systemy z kartami liniowymi Trident-based, które mają skonfigurowany IPv6.

Produkty, których dotyczy problem:

Karty liniowe Trident-based:

  • A9K-40GE-L
  • A9K-40GE-B
  • A9K-40GE-E
  • A9K-4T-L
  • A9K-4T-B
  • A9K-4T-E
  • A9K-8T/4-L
  • A9K-8T/4-B
  • A9K-8T/4-E
  • A9K-2T20GE-L
  • A9K-2T20GE-B
  • A9K-2T20GE-E
  • A9K-8T-L
  • A9K-8T-B
  • A9K-8T-E
  • A9K-16/8T-B

Przeciwdziałanie zagrożeniu:

  • Firma Cisco wypuściła aktualizację z poprawkami (Service Pack 7 dla Cisco IOS XR Software Release 5.3.4).

Linki:

SPRECON-E: Meltdown / Spectre

Tytuł SPRECON-E: Meltdown / Spectre
Data 12. Styczeń 2018
Powiązanie

SPRECON-V: częściowo dotyczy

Kod CVE CVE-2017-5753, CVE-2017-5715
Opis

Jak donoszą media, problem dotyczy kilku procesorów renomowanych producentów (Intel, AMD, itd.). Jeden z tych wadliwych produktów jest używany w procesorach SPRECON-E Falcon (PU244x) produkowanych na bazie ARM. Nie dotyczy to innych produktów SPRECON-E i innych rodzin procesorów. Jednak wynikające z tego ryzyko dla urządzeń SPRECON jest marginalne.

Poniżej fakty na ten temat:        

  • Meltdown nie dotyczy układów ARM, więc nie ma ryzyka związanego z tym atakiem.
  • Jeśli chodzi o Spectre, odnośnie [1] istotne są warianty 1 i 2. A zatem CVE-2017-5753 i CVE-2017-5715.
  • Aby wykorzystać te luki, potencjalny intruz musiałby wgrać na urządzenie złośliwe oprogramowanie, wykonać je i rozpakować pliki wynikowe. Teoretycznie, mogłoby to doprowadzić do ujawnienia danych, co zagrażałoby poufności danych, ale nie bezpośrednio integralności czy dostępności urządzenia.
  • Jednak system SPRECON realizuje bezwzględną strategię ochrony wielopoziomowej. Oznacza to, że nie ma możliwości wgrania dowolnych danych na urządzenie i wykonania pobranego kodu. Wszelkie dane wgrywane do urządzenia ograniczają się jedynie do danych konfiguracyjnych generowanych w systemie SPRECON. Dlatego zagrożenie jest minimalne.

[1] https://developer.arm.com/support/security-update

Produkty, których dotyczy problem:

  • SPRECON-E-C, odpowiednio SPRECON-E-P z CPU PU244x

Środki zaradcze:
  • Nie ma potrzeby podejmowania żadnych środków w związku z atakami Meltdown i Spectre.

Meinberg: Liczne luki w interfejsie WWW

Tytuł Meinberg: Liczne luki w interfejsie WWW
Data 19. grudzień 2017
Powiązanie

SPRECON-E: nie dotyczy
SPRECON-V: nie dotyczy

Kod CVE CVE-2017-1678, CVE-2017-16787, CVE-2017-16788
Opis

Firma Meinberg poinformowała o wielu lukach w interfejsie sieciowym swoich urządzeń oraz przy generowaniu kluczy NTP. Szczegółowe informacje pod odpowiednimi kodami CVE, a także na stronie http://www.ids.de/it-security/it-security-bulletin.html.

  • Z powodu nieprawidłowej konfiguracji na liście kontroli dostępu do serwera WWW nieuwierzytelniony atakujący może odczytać dowolne pliki.
  • Błąd w ograniczonym dostępie do adresów URL: specjalnie spreparowane zapytania HTTP / HTTPS umożliwiły atakującemu odczytanie danych statystycznych i grafik.
  • Przesyłanie dowolnego pliku: uwierzytelniony użytkownik mógł przesłać dowolne pliki i, korzystając z braku sprawdzania poprawności parametru, umieszczać te pliki w dowolnym miejscu przy użyciu ataku typu „directory-traversal”.
  • Błąd przy generowaniu kluczy NTP: starsze wersje oprogramowania LTOS6 błędnie generowały klucze NTP, co pozwalało na korzystanie ze starych kluczy pomimo wygenerowania nowych.

 

Produkty, których dotyczy problem:

Wersje programu LTOS6 wcześniejsze niż 6.24.004, używane w serii LANTIME M (M100, M200, M300, M400, M600, M900), wszystkich urządzeniach serii IMS (M500, M1000, M1000S, M3000, M3000S, M4000), a także produktach SyncFire (SF1000 / SF1100).

 

Przeciwdziałanie zagrożeniu:

Firma Meinberg wypuściła nową wersję oprogramowania 6.24.004, w której naprawiono te luki. Klienci Meinberga mogą pobrać ją ze strony  https://www.meinberg.de/german/sw/firmware.htm

Cisco ASA Software luka blokady usługi przy uwierzytelnianiu bezpośrednim

Tytuł Cisco ASA Software luka blokady usługi przy uwierzytelnianiu bezpośrednim
Data 16. październik 2017
Powiązanie

SPRECON-E: nie dotyczy
SPRECON-V460: nie dotyczy

Kod CVE
CVE-2017-12246
Opis

Luka w implementacji funkcji uwierzytelniania bezpośredniego w programie Cisco Adaptive Security Appliance (ASA) może umożliwić zdalny atak przez osobę nieuprawnioną na wybrane urządzenie i spowodować jego przeładowanie, skutkujące blokadą usługi (DoS).

Luka ta spowodowana jest niekompletnym sprawdzaniem oryginalności nagłówka HTTP. Atakujący może wykorzystać tę lukę poprzez wysłanie spreparowanego żądania HTTP na lokalny adres IP zainfekowanego urządzenia. Udany atak może umożliwić atakującemu przeładowanie zaatakowanego urządzenia.

Wykorzystanie luki jest możliwe poprzez przesyłanie danych w kierunku zainfekowanego systemu, na którym włączona jest funkcja uwierzytelniania bezpośredniego. Luka ta może zostać wywołana ruchem w obrębie IPv4 lub IPv6.


        
Produkty, których dotyczy problem

Luka dotyczy oprogramowania Cisco Adaptive Security Appliance (ASA) w następujących produktach Cisco:

  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module dla Cisco Catalyst 6500 Series Switches i Cisco 7600 Series Routers
  • ASA 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 4110 Security Appliance
  • Firepower 9300 ASA Security Module
  • ISA 3000 Industrial Security Appliance

Rozwiązanie

Firma Cisco wypuściła aktualizacje oprogramowania, które łatają tę lukę.

Więcej szczegółów na temat wersji oprogramowania, poprawek i szczegółowy opis znajduje się w poradniku firmy Cisco:

> https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171004-asa

ICS Malware "CRASHOVERRIDE"

Tytuł ICS Malware "CRASHOVERRIDE"
Data 14. czerwiec 2017
Powiązanie

SPRECON-V460

Kod CVE CVE-2015-5374
Opis

Znany producent zabezpieczeń odkrył w ostatnim czasie złośliwe oprogramowanie, mogące wpływać na działanie sieci energetycznych. Firma Dragos potwierdziła użycie tego malware`u przeciwko systemowi energetycznemu Ukrainy w grudniu 2016. CrashOverride jest wysoce złośliwym oprogramowaniem, które jest w stanie wpływać na działanie protokołów, takich jak IEC 101, IEC 104, IEC 61850 i OPC Data Access (OPC DA). Zawiera również komponent, który usuwa dane i może spowodować uszkodzenie urządzeń, podobnie jak stało się to w 2015 r. na Ukrainie.

 

Klasyfikacja
Obecnie nieznane są inne możliwości wykorzystania tego oprogramowania. Analiza firmy Dragos opiera się na wydarzeniach z grudnia 2016. Zapewne złośliwe oprogramowanie zostało od tego czasu rozbudowane i rozwinięte. Urządzenia z systemem Microsoft Windows są w większości podatne na to zgrożenie. Dlatego w przypadku stacji HMI z systemem Windows należy przedsięwziąć odpowiednie środki zaradcze.

 

Przeciwdziałanie zagrożeniu

  • Operatorzy powinni bezwzględnie separować sieci energetyczne od innych sieci (np. sieci biurowej).
  • Należy zabezpieczyć wszystke narzędzia komunikacji mające dostęp do sieci ICS (a zwłaszcza stacje HMI oparte na Windows) takie, jak zdalne urządzenia serwisowe czy urządzenia mobilne.
  • Stacje HMI powinny być dodatkowo zabezpieczane poprzez kontrolowanie stron www przy użyciu tzw. białej listy. Dodatkowo można stosować oprogramowanie antywirusowe. Należy pamiętać, że programy antywirusowe są nieskuteczne w przypadku nowych zagrożeń i wymagają bieżącej aktualizacji aby nie zakłamywać stanu pracy urządzeń.
  • Szczególnej uwagi wymaga wzrost ilości połączeń po protokołach IEC 104 i IEC 61850. Należy wzmóc kontrolę stacji i sieci energetycznych w celu wczesnego wykrywania zagrożeń.
  • Można także stosować się do reguł YARA opublikowanych przez firmę Dragos oraz innych wskazówek dotyczących wykrywania możliwych infekcji.
  • Należy wykonywać i oddzielnie przechowywać kopie zapasowe plików inżynierskich, takich jak logiki projektu, pliki konfiguracyjne IED i pliki instalacyjne aplikacji ICS. Pomoże to zredukować ryzyko utraty danych.
  • Należy opracować plany reagowania na takie ataki i przeprowadzać szkolenia osób odpowiedzialnych, projektantów systemów, obsługi, działów IT i ochrony. Dalsze informacje oraz wskazówki dostępne są w odnośnych ostrzeżeniach CERT oraz na stronie Microsoftu.

>   BBC News

>   WIN32/Industroyer: A new threat for industrial control systems

>   WIN32/Industroyer: Indicators of Compromise

>   Siemens Security Advisory by Siemens

>   Dragos World Advisory

>   BSI News

>   Dragons Analyse

 

Złośliwe oprogramowanie „WannaCry”

Tytuł Złośliwe oprogramowanie „WannaCry”
Data 17. maj 2017
Powiązanie

Systemy SPRECON-V460

Kod CVE CVE-2017-0143, CVE-2017-0144, CVE-2017-0147, itd.
Opis

Złośliwy ransomware WannaCry rozprzestrzenia się w internecie od 12.05.2017. WannaCry to ransomware, a więc szyfruje pliki określonego typu w systemie zainfekowanego komputera. Jest skrajnie niebezpieczny, ponieważ rozsyłany jest automatycznie po infrastrukturze sieciowej firm, wykorzystując kilka znanych luk w Microsoft Windows.


Klasyfikacja
  
Wysokie ryzyko dotyczy stacji SPRECON-V460 jeżeli sieć, w którą są wpięte podłączona jest do sieci biurowej przez udostępnianie plików Windows (SMB), NETBIOS lub RDP.

Rozwiązanie
Microsoft już w marcu 2017 wypuścił odpowiednią łatkę likwidującą tę lukę. Aby zminimalizować zagrożenie zaleca się aktualizację systemu Windows na wszystkich posiadanych urządzeniach.

Od maja łatki bezpieczeństwa dostępne są także dla starszych wersji Windowsa, tj. Windows XP i Windows Server 2003.

 

Więcej informacji oraz sposoby rozwiązań dostępne są w odnośnych ostrzeżeniach CERT oraz na stronie Microsoftu.

 

>   CERT.pl: WannaCry Ransomware

>   Microsoft: Customer Guidance for WannaCrypt attacks

>   Microsoft: How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server

 

Luka w kodzie protokołu Cisco Cluster Management Protocol w Cisco IOS i IOS XE Software

Tytuł Luka w kodzie protokołu Cisco Cluster Management Protocol w Cisco IOS i IOS XE Software
Data 16. maj 2017
Powiązanie

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Kod CVE CVE-2017-3881
Opis

Luka w kodzie protokołu Cisco Cluster Management Protocol w Cisco IOS i IOS XE Software umożliwia nieuwierzytelnionemu napastnikowi na zdalne zrestartowanie zaatakowanego urządzenia lub zdalne wykonanie kodu z podwyższonymi uprawnieniami.

Atakujący może wykorzystać tę lukę podczas nawiązywania komunikacji poprzez Telnet, wysyłając do urządzenia Cisco odbierającego takie połączenia, niestandardowe opcje CMP dla połączeń Telnet. W ten sposób napastnik może wykonać dowolny kod i przejąć pełną kontrolę nad urządzeniem lub zmusić je do ponownego uruchomienia.

Produkty, których dotyczy problem
Przełączniki Catalyst,
Przełączniki Embedded Service 2020,
Enhanced Layer 2 EtherSwitch Service Module,
Enhanced Layer 2/3 EtherSwitch Service Module,
Gigabit Ethernet Switch Module (CGESM) dla HP,
Przełączniki IE Industrial Ethernet,
Przełącznik ME 4924-10GE, RF Gateway 10,
SM-X Layer 2/3 EtherSwitch Service Module

Rozwiązanie
Firma Cisco wypuściła aktualizacje oprogramowania, które łatają tę lukę. Nie ma obejścia, które pozwoliłoby ominąć lukę.

Klasyfikacja CVSS: 9.8

 

>   Cisco Security Advisory

  CERT-EU Security Advisory 2017-006

 

Uwaga: Bezpieczeństwo plików konfiguracyjnych ipsec.cfg

Tytuł Uwaga: Bezpieczeństwo plików konfiguracyjnych ipsec.cfg
Data 15. maj 2017
Powiązanie

Użytkownicy połączeń IPSec VPN ze SPRECON-E

Kod CVE Nie nadano kodu CVE ze względu na brak luki w zabezpieczeniach
Opis

Od wersji oprogramowania 8.41 użytkownicy mogą obsługiwać połączenia IPSec VPN z urządzeniami sterującymi SPRECON. Konfiguracja jest wykonywana za pomocą odpowiedniego narzędzia Security Editor, które oferuje interfejs użytkownika do definiowania ustawień IPSec. Po konfiguracji użytkownik wysyła z edytora odpowiedni plik ipsec.cfg. Plik ten może później zostać zaimportowany przez SPRECON Designer i połączony z listą urządzeń procesu (główny plik konfiguracyjny), a następnie wgrany do urządzenia.

 

Podczas konfiguracji IPSec należy zdefiniować sposób uwierzytelniania. W zależności od wybranej metody, można użyć klucza współdzielonego lub certyfikatu zawierającego klucz prywatny. Sprecher Automation jako sprzedawca zaleca użytkownikom szczególną ochronę tych plików ze względu na wagę zawartych w nich informacji.

 

W rzeczywistości, pliki ipsec.cfg wyposażone są w mechanizm obrony przed manipulacją w postaci hasła, które zastosowano głównie po to, by chronić użytkownika przed nieautoryzowaną zmianą plików. Takie szyfrowanie wystarcza, żeby zabezpieczyć pliki przed potencjalnymi atakami. Aby zapewnić ochronę wszystkich klientów oraz poufność i spójność konfiguracji IPSec, w oprogramowaniu SPRECON od wer. 8.56 i Security Editor 1.03 zastosowane zostanie silniejsze szyfrowanie plików ipsec.cfg.

Eskalacja uprawnień w programie SPRECON-E Service

Tytuł Eskalacja uprawnień w programie SPRECON-E Service
Data 21. grudzień 2016
Powiązanie

SPRECON-E-C/-E-P/-E-T3: dotyczy

SPRECON-V460: nie dotyczy

Kod CVE CVE-2016-10041
Opis

W pewnych warunkach możliwe jest wykonanie symulacji telegramu przez użytkownika nie będącego administratorem.

 

Najpierw, użytkownik musi nawiązać połączenie online z urządzeniem, poprawnie uwierzytelnić i przeprowadzić autoryzację jako administrator, potem wykonać symulację telegramu. Następnie, połączenie musi zostać zerwane bez zamknięcia programu. Wadliwe buforowanie danych klienta może w konsekwencji pozwolić użytkownikowi niebędącemu administratorem na wykonanie symulacji telegramu.

 

Aby móc wykorzystać tę lukę, potencjalny napastnik musiałby posiadać zarówno aktywne konto projektanta systemów SPRECON RBAC, jak i dostęp do komputera obsługi / serwisu. Ponadto, właściwy użytkownik-administrator musiałby wcześniej wykonać symulację telegramu, a następnie przerwać połączenie serwisowe bez uprzedniego zamknięcia programu. W związku z tym nie ma ryzyka ataku z zewnątrz.

 

Dotyczy produktu: SPRECON-E Service Program 3.42 SP0

Ograniczenie:

Luka ta dotyczy wyłącznie kontroli dostępu opartej na rolach (RBAC) do systemu SPRECON. RBAC dostępny jest w następujących programach od wersji:

  • SPRECON-E Designer 5.79 SP0 (Kontrola dostępu musi zostać aktywowana, należy skonfigurować zarówno lokalne, jak i zdalne profile uwierzytelniania (RADIUS)
  • SPRECON-E Firmware 8.49d
  • SPRECON-E Service Program 3.42 SP0

Rozwiązanie problemu

Sprecher Automation zaleca aktualizację programu SPRECON-E Service do wersji 3.43 SP0 lub wyższej. Aktualizacji Programu Serwisowego można dokonać niezależnie od oprogramowania urządzenia i innych powiązanych produktów.

Inne rozwiązania

Luka ta nie spowoduje zagrożenia, jeżeli każdorazowo po korzystaniu z Programu Serwisowego użytkownik wyłączy program.

 

     Privilege Escalation in SPRECON-E Service Program

Częściowo krytyczne luki w CISCO ASA

Tytuł Częściowo krytyczne luki w CISCO ASA
Data 25. październik 2016
Powiązanie

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Kod CVE CVE-2016-6432
CVE-2016-6431
CVE-2016-6439
Opis

Nowa aktualizacja oprogramowania Cisco zamyka kilka, częściowo krytycznych, luk bezpieczeństwa.


CVE-2016-6432 określa lukę bezpieczeństwa (z oceną 9,3 w rankingu CVSS), która umożliwia atakującemu zdalne przeładowanie systemu lub wykonanie kodu. Atakujący mógł wykorzystać tę lukę do przesłania spreparowanego pakietu NetBIOS w odpowiedzi na próbę NetBIOS, wysłaną przez oprogramowanie ASA.


Cisco wypuściło aktualizację oprogramowania, która usunęła tę lukę. Rozwiązaniem może być wyłączenie próbkowania NetBIOS.

Luki bezpieczeństwa w SIPROTEC 4 i SIPROTEC Compact Siemensa

Tytuł Luki bezpieczeństwa w urządzeniach SIPROTEC 4 i SIPROTEC Compact Siemensa
Data 6. wrzesień 2016
Powiązanie

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Kod CVE CVE-2016-7112
CVE-2016-7113
CVE-2016-7114
Opis

Najnowsza aktualizacja firmware’u SIPROTEC 4 i SIPROTEC Compact usunęła wiele luk bezpieczeństwa, które, jak podano na stronie cvedetails.com, wg standardów CVSS zostały sklasyfikowane z oceną od 7,8 do 10. Luki bezpieczeństwa dotyczyły modułu Ethernet EN100.


Luki CVE-2016-7112 i CVE-2016-7114 pozwalają atakującym na pominięcie uwierzytelnienia i uzyskanie uprawnień administratora.


Luka CVE-2016-7113 umożliwia hakerom blokowanie usług za pośrednictwem protokołu http.


Konieczna jest aktualizacja firmware’u. Jako podstawowy środek bezpieczeństwa, Siemens zaleca uruchamianie urządzeń w zabezpieczonych środowiskach IT.


> Siemens

Luki bezpieczeństwa w serwerach NTP Meinberga

Tytuł Luki bezpieczeństwa w serwerach NTP Meinberg
Data 10. sierpień 2016
Powiązanie

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Kod CVE

CVE-2016-3962

CVE-2016-3988

CVE-2016-3989

Opis W następujących produktach (wersje wcześniejsze od 6.20.004) wykryto wiele krytycznych luk bezpieczeństwa:
  • IMS-LANTIME M3000
  • IMS-LANTIME M1000
  • IMS-LANTIME M500
  • LANTIME M900
  • LANTIME M600
  • LANTIME M400
  • LANTIME M300
  • LANTIME M200
  • LANTIME M100
  • SyncFire 1100
  • LCES

CVE-2016-3962 i CVE-2016-3988 to błędy przepełnienia bufora w interfejsie serwera czasu, które umożliwiają zdalny atak powodujący "odmowę usługi" i przejęcie wrażliwych informacji lub nieuprawnione przetwarzanie danych.


Błąd CVE-2016-3989 powoduje "eskalację uprawnień", która umożliwia atakującemu uzyskanie uprawnień root przez fikcyjnego użytkownika.


Błędy te osiągnęły stopień zagrożenia 7.3 i odpowiednio 8.1.


Meinberg wypuścił już poprawione oprogramowanie (wersja 6.20.004).


> ICS-CERT

Błąd przepełnienia bufora w IKE v1 i IKE v2 Cisco ASA Software

Tytuł Błąd przepełnienia bufora w IKE v1 i IKE v2 Cisco ASA Software
Data 11. październik 2015
Powiązanie

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Kod CVE CVE-2016-1287
Opis

Błąd w kodzie protokołu Internet Key Exchange (IKE) wer. 1 i IKE wer. 2 programu Cisco ASA może umożliwić atakującemu zdalne przeładowanie zainfekowanego systemu lub wykonanie kodu.

Luka może doprowadzić do przepełnienia bufora w zainfekowanym systemie. Atakujący może wykorzystać tę lukę i wysyłać do systemu specjalnie spreparowane pakiety UDP. Może to pozwolić atakującemu na wykonanie niepożądanego kodu i przejęcie kontroli nad systemem lub spowodowanie przeładowania zaatakowanego systemu.

Firma Cisco wypuściła aktualizację oprogramowania, dotyczącą tej luki.


> Link Cisco

Luka bezpieczeństwa NULL pointer dereference w CODESYS Runtime Toolkit firmy 3S

Tytuł Luka bezpieczeństwa NULL pointer dereference w CODESYS Runtime Toolkit firmy 3S
Data 15. październik 2015
Powiązanie

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Kod CVE CVE-2015-6482
Opis

Tenable Network Security wykryła lukę bezpieczeństwa "NULL pointer deference" w oprogramowaniu CODESYS Runtime Toolkit firmy 3S-Smart Software Solutions GmbH.

 

Luka ta pozwala atakującemu doprowadzić do uszkodzenia Runtime Toolkit i wywołać "odmowę usługi". Dotyczy wszystkich wcześniejszych niż 2.4.7.48 wersji CODESYS Runtime Toolkit.

Fuzzing systemu VxWorks

Tytuł Fuzzing systemu VxWorks
Data 14. wrzesień 2015
Powiązanie

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Kod CVE Jeszcze nie sklasyfikowany
Opis

Powszechnie stosowany wbudowany system operacyjny czasu rzeczywistego VxWorks (wer. 5.5 do 6.9.4.1 włącznie) firmy Wind River może być testowany pod kątem podatności na ataki za pomocą fuzzingu.

 

Wykorzystując lukę w tym systemie można spowodować przepełnienie bufora poprzez sieć, a następnie wprowadzić dowolny kod. Ponadto, można włamać się do serwera FTP systemu za pomocą określonej nazwy użytkownika i hasła (co zademonstrowano na konferencji dotyczącej bezpieczeństwa 44CON).

 

Nie dotyczy to już najnowszej generacji systemu – VxWorks w wersji 7.

#OprahSSL

Tytuł #OprahSSL
Data 6. lipiec 2015
Powiązanie

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Kod CVE CVE-2015-1793
Opis

Luka bezpieczeństwa w OpenSSL - błąd weryfikacji certyfikatu:
W pewnych okolicznościach, OpenSSL nie weryfikuje poprawnie flagi certyfikatu CA (Urząd Certyfikacji). Błąd weryfikacji certyfikatu umożliwia obejście mechanizmu stosowanego przez CA, który sprawdza poprawność usług końcowych. Pozwala to atakującemu wcielić się pośrednio w rolę CA i wystawiać własne certyfikaty dla innych stron internetowych.

 

Błąd pojawia się w ostatnich wersjach OpenSSL (pierwsza połowa 2015) 1.0.2c, 1.0.2b, 1.0.1n i 1.0.1o.

LogJam

Tytuł LogJam
Data 9. czerwiec 2015
Powiązanie

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Kod CVE CVE-2015-4000
Opis

“LogJam” to luka bezpieczeństwa w protokole Diffie'ego-Hellmana do szyfrowania połączeń z serwerami sieciowymi, pocztowymi, SSH i VPN. Z powodu osłabienia połączenia TLS (Transport Layer Security), poprzez atak kryptologiczny MiM (man-in-the-middle) rozmiar klucza może być zredukowany do niebezpiecznej wielkości 512 bitów.

 

Powoduje to przesunięcie połączeń HTTPS w niebezpieczny tryb eksportowy i ich zakłócenie. Ogólnie, rozmiar klucza 512 bitów nie jest już używany, jednak niektóre serwery nadal go obsługują ze względu na kompatybilność.

Działania naprawcze Ustawienie grupy Diffie-Hellman na przynajmniej DH5 (1,536 bitów) w IPsec.

Ghost

Tytuł Ghost
Data 10. luty 2015
Powiązanie

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Kod CVE CVE-2015-0235
Opis

"GHOST" to luka bezpieczeństwa wywoływana przez funkcję gethostbyname() (biblioteka standardowa języka C: Glibc). W pewnych warunkach złośliwe oprogramowanie może zostać uruchomione poprzez złośliwe odpowiedzi DNS.

 

Luka pojawiła się w kodzie Glibc w wersji 2.2 (11/2000) i została usunięta w wersji 2.18 (01/2013).

Schannel (Microsoft® Secure Channel)

Tytuł Schannel (Microsoft® Secure Channel)
Data 17. listopad 2014
Powiązanie

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

zewn.: Microsoft® Windows® Server 2003 SP2, Windows® Vista SP2, Windows® Server 2008 SP2 i R2 SP1, Windows® 7 SP1, Windows® 8, Windows® 8.1, Windows® Server 2012 Gold i R2 oraz Windows® RT Gold i 8.1

Kod CVE CVE-2014-6321
Opis

Krypto komponent "Microsoft® Secure Channel" jest odpowiedzialny również za szyfrowane połączenia internetowe. Microsoft® sklasyfikował tę lukę bezpieczeństwa jako krytyczną (MS14-066). Poprzez lukę bezpieczeństwa w Schannel atakujący mogą wprowadzić pakiet zmanipulowanych danych przez przygotowane strony internetowe i przejąć kontrolę nad komputerem.

Działania naprawcze
  • Aktualizacja systemu operacyjnego Windows®
  • Używanie komputerów z systemem operacyjnym Windows® w sieciach izolowanych

Poodle

Tytuł Poodle
Data 23. październik 2014
Powiązanie

SPRECON-E-C/-E-P/-E-T3: Webserver

SPRECON-V460: nie dotyczy

zewn.: dostęp do kamery IP przeglądarki (Chrome, Firefox, Internet Explorer,...)

Kod CVE CVE-2014-3566
Opis

Jeżeli serwer i przeglądarka obsługują również wcześniejsze wersje protokołu TLS (ze względów zgodności), atakujący mogą zagrozić bezpieczeństwu transmisji danych przez SSLv3 przeprowadzając atak kryptologiczny MiM (Man in the Middle). Stąd możliwość ujawnienia cookie sesji i przejęcia połączenia.

 

Kolejna wersja webserwera SPRECON nie będzie już obsługiwała protokołu SSLv3 (co było konieczne ze względów zgodności).

Działania naprawcze
  • Wyłączaj przeglądarkę (gdy tylko nie jest używana)
  • Wyłącz SSLv3 w swojej przeglądarce

SandWorm

Tytuł SandWorm
Data 17. październik 2014
Powiązanie

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

zewn.: aplikacje Microsoft®, np.: MS Office, wszystkie wersje Windows® od Visty

Kod CVE CVE-2014-4114
Opis

SandWorm atakuje wszystkie systemy operacyjne Windows®, począwszy od Windows® Vista. Ten wirus istnieje od sześciu lat, a zidentyfikowany został przez firmę iSight na początku września 2014.

 

Poprzez zainfekowany plik PowerPoint na docelowy komputer może wtargnąć zjadliwe złośliwe oprogramowanie lub program szpiegujący.

 

We wtorek, 14. października 2014, , Microsoft® wypuścił aktualizację zabezpieczeń (KB300061) przeciw temu zagrożeniu.

Luka bezpieczeństwa Bash: ShellShock

TytułShellShock 
Data29. wrzesień 2014
Powiązanie

SPRECON-E-C/-E-P/-E-T3: nie dotyczy

SPRECON-V460: nie dotyczy

Kod CVE

CVE-2014-6271

CVE-2014-7169

Opis

Bash, interpreter wierszy poleceń w OSX i Linux, posiada istotną lukę w zakresie bezpieczeństwa. Błąd może tworzyć funkcje, a następnie złośliwe oprogramowanie.

 

Media rozpowszechniły temat „ShellShock”, a eksperci porównują go z „Heartbleed” bug. Zagrożenie to zostało sklasyfikowane w bazie danych CVE NIST z 10 punktami („maksymalne ryzyko”). Jak podaje serwis GitHub, już pojawiły się ataki tego złośliwego oprogramowania.

Przegląd

Bezpieczeństwo IT

Integracja wszystkich użytkowników infrastruktury energetycznej, producentów, konsumentów i prosumentów, stawia ogromne wyzwanie przed projektantami nowoczesnych systemów energetycznych. Rosnąca gęstość sieci i zwiększająca się ilość odbiorców energii powoduje nasilenie zagrożenia atakami skierowanymi na systemy energetyczne.

Dlatego niezbędnym stało się wykorzystywanie takich rozwiązań technologicznych, które byłyby w stanie sprostać wymogom nowoczesnych technologii informacyjnych i komunikacyjnych – zwłaszcza w zakresie zarządzania i bezpieczeństwa danych.

Standardy bezpieczeństwa

System SPRECON firmy Sprecher Automation to modułowa platforma automatyki do przesyłu i dystrybucji energii elektrycznej, która została opracowana szczególnie z myślą o infrastrukturze strategicznej, takiej jak energetyka, technologie informacyjne i komunikacyjne, transport i ruch uliczny, a także systemy wodociągów.

Systemy SPRECON oraz wszystkie istotne procesy związane z działalnością firmy Sprecher Automation, zostały przystosowane tak, aby spełniać wymagania zmieniających się norm i przepisów.

Systemy SPRECON spełniają wymagania prawa w zakresie bezpieczeństwa IT, a także międzynarodowych norm z serii ISO/IEC 27000 (np. System Zarządzania Bezpieczeństwem Informacji), IEC 62351 i IEC 62443.

Funkcje bezpieczeństwa

Urządzenia SPRECON posiadają rozbudowane funkcje do bezpiecznej obsługi stacji energetycznych:

  • Bezpieczna komunikacja danych procesowych poprzez tunel VPN w OpenVPN lub IPsec
  • Wbudowany firewall
  • Uwierzytelnianie w urządzeniach końcowych, a także szyfrowanie haseł
  • Połączenie z serwerami RADIUS/LDAP (Usługi katalogowe), a także administrowanie pozapasmowym dostępem do sieci
  • Bezpieczny dostęp podczas uruchomienia i serwisowania poprzez Kontrolę dostępu wg ról w Programie serwisowym i na webserwerze
  • Zabezpieczenie systemu poprzez dezaktywację zbędnych usług, portów lub serwera www, a także bezpieczne połączenie poprzez TLS
  • Monitorowanie sieci (Security Logging) poprzez Syslog i SNMPv3
  • Segmentacja sieci za pomocą VPN, VLAN, firewall’a, a także niezależnych interfejsów fizycznych
  • Ochrona przed złośliwym oprogramowaniem poprzez własne oprogramowanie SPRECON oraz Białą listę aplikacji

Urządzenia SPRECON obsługują funkcję tunelowania VPN dla wszystkich protokołów i usług opartych na IP. System zapewnia stałe bezpieczeństwo i szyfrowanie przez CPU.

SPRECON obsługuje bezpieczne połączenia IP poprzez wbudowany modem lub istniejącą infrastrukturę sieciową. Szybkie procesory CPU umożliwiają konfigurację tunelu VPN i szyfrowanie danych zarówno przez wielokanałowy IPsec jak i OpenVPN. Wybór technologii szyfrowania zależy od wymagań klienta i określonych warunków, takich jak specyfika platformy, komponenty sieci lub wymogi kryptograficzne.

Połączenia VPN – obecnie przyjęte w wielu projektach – mogą być wykorzystywane do telemechaniki lub do komunikacji z systemami SCADA. Zapewniają one bezpieczną komunikację pomiędzy urządzeniami SPRECON. Pełne zabezpieczenie uzyskuje się poprzez szyfrowanie usług sieciowych, np. NTP. Ponadto, SPRECON posiada również funkcję firewall’a wbudowaną w oprogramowanie sprzętowe, a tym samym w urządzenia. Ogranicza to ilość urządzeń dodatkowych. Kombinacja z innymi istniejącymi firewall’ami podnosi bezpieczeństwo zgodnie z zasadą ochrony wielopoziomowej (ang. defence in depth).

Co więcej, system umożliwia rozszerzenie zapory na poziomie aplikacji w celu monitorowania komunikacji poprzez specyficzne protokoły, takie jak IEC 60870-5-104 / DNP3.0 lub w celu blokowania telegramów pochodzących z nieautoryzowanych urządzeń, aby zawczasu uniknąć zagrożenia.

Systemy SPRECON obsługują również protokół Syslog, który umożliwia przesyłanie komunikatów systemowych za pośrednictwem sieci, w celu ich analizy pod kątem zgodności z obowiązującymi regulacjami.

Zarządzanie Bezpieczeństwem IT

W Sprecher Automation za ciągłość procesu bezpieczeństwa IT odpowiadają administratorzy bezpieczeństwa.

Polityka bezpieczeństwa, a także reguły kodowania wykorzystywane w rozwoju i projektowaniu systemów, opierają są na jasnych zasadach. W identyfikacji potencjalnych słabych punktów i podatności baz danych na ataki stosuje się także narzędzia do analizy i zarządzania lukami bezpieczeństwa, które umożliwiają skanowanie kodu źródłowego i aplikacji.

Pełny kod źródłowy jest własnością firmy Sprecher Automation.
Profesjonalne i sprawdzone procedury umożliwiają ochronę i bezpieczną konfigurację systemu.

Dzięki ogromnemu doświadczeniu w realizacji różnych instalacji wymagających zastosowania wszechstronnych środków bezpieczeństwa – włączając w to projekty realizowane przy współudziale znanych instytutów badawczych – a także dzięki systematycznemu szkoleniu załogi, Sprecher Automation dowodzi swoich kompetencji w zakresie technologii bezpieczeństwa IT.

Dodatkowo, Sprecher Automation pomaga swoim klientom we wdrażaniu Systemów Zarządzania Bezpieczeństwem Informacji.

Sprecher Automation prowadzi procesy zarządzania aktualizacjami i wprowadza poprawki związane z ochroną. Ponadto, na bieżąco informuje o problemach bezpieczeństwa IT w informacjach o zmianach publikowanych w nowych wersjach oprogramowania.

Aktualne informacje o problemach bezpieczeństwa IT umieszczane są na stronie www.sprecher-automation.pl w zakładce „IT Security”.

Wytyczne i zalecenia

Wytyczne i zalecenia związane z bezpieczeństwem IT:

bgContainerEnde