Hi everyone
This channel is for ICS CERT.

ICS-CERT issued updated advisory ICSA-17-129-02H Siemens devices using the PROFINET Discovery and Configuration Protocol to the ICS-CERT web site -
https://t.co/c1MuEuQiLs
Join us:
https://t.me/ics_cert

ICS-CERT issued updated alert ICS-ALERT-18-011-01B Meltdown and Spectre Vulnerabilities to ICS-CERT web site -
https://t.co/DuAl9xBw2J
Join us:
https://t.me/ics_cert

📣پیدا شدن یک آسیب‌پذیری بحرانی در بیش از ۱۰۰ سامانه‌ی کنترل صنعتی (ICS)

🔶این آسیب‌پذیری مولفه‌ی کارگزار وبِ محصول CODESYS WebVisu شرکت 3S-Smart را تحت تاثیر قرار می‌دهد، این محصول به کاربران اجازه می‌دهد تا رابط‌های انسان-دستگاهِ کنترل‌های منطقی قابل برنامه‌ریزی (PLCs) را در یک مرورگر وب ببینند.
🔶بر اساس وب‌گاه CODESYS، محصول WebVisu در ۱۱۶ PLC و رابط‌های انسان-دستگاه ۵۰ فروشنده از جمله Schneider Electric، WAGO، Hitachi، Advantech، Beck IPC، Berghof Automation، Hans Turck، NEXCOM مورد استفاده قرار گرفته است.
🔶این آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۸-۵۴۴۰ ردیابی می‌شود. نسخه‌ی ۱.۱.۹.۱۹ و نسخه‌های پیش از آن کارگزارهای وب CODESYS v۲.۳ که به صورت مستقل یا بخشی از سامانه‌ی زمان اجرای CODESYS روی تمام نسخه‌های ویندوز اجرا می‌شوند، تحت تاثیر این آسیب‌پذیری قرار دارند. این اشکال در نسخه‌ی ۱.۱.۹.۱۹ که بخشی از نسخه‌ی ۲.۳.۹.۵۶ CODESYS نیز است، وصله شده است.

https://t.me/ics_cert

Cryptocurrency Mining Software Found on SCADA System
(February 7, 2018)

Cryptocurrency mining software has been found on the Industrial Control System (ICS) of a water utility in Europe. Radiflow, the company that detected the mining software says it is the first case they have seen of such malware on an industrial system. Radiflow detected the malware with its intrusion detection system.

Editor's Note

[Ullrich]
Are you looking for crypto miners yet in your environment? You should! It is a relatively easy thing to find and can easily be used to pinpoint vulnerable systems. If they can install a crypto miner, then they will probably be able to install more nefarious tools as well. At the internet storm center, we offer a feed of IP addresses associated with crypto mining pools: isc.sans.edu/api/threatlist/miner. (See isc.sans.edu/api for details)

[Murray]
Most industrial control systems should be configured as single-application-only systems. The ability to run additional applications should be hidden.

Read more in:
- www.eweek.com: Water Utility in Europe Hit by Cryptocurrency Malware Mining Attack

👉🏻 https://t.me/ics_cert

💡چرا واکنش به رخدادها برای سیستم های کنترل صنعتی مشکل است؟
پاسخ حادثه در یک سیستم کنترل صنعتی (ICS) به دلیل محیط پیچیده آن مشکل است. بخشهایی از برنامه پاسخ حادثه در محیط های IT به خوبی به محیط ICS ترجمه نمی شوند. علاوه بر این، کاربران شبکه های نیروگاهها و کارخانجات تولیدی ممکن است تمایل به اعمال Patch ها به دلیل ترس از خرابی یا اختلال را نداشته باشند.
منبع برای مطالعه بیشتر:
http://www.darkreading.com/perimeter/how-incident-response-fails-in-industrial-control-system-networks/d/d-id/1324094
@ICT_security
📌👈🏻برای آگاهی رسانی بیشتر, دیگر دوستانتان را نیز به عضویت این کانال دعوت کنید.

آسیب‌پذیری در سیستم کنترل ایمنی Triconex اشنایدر الکتریک
در ماه آوریل سال ۲۰۱۸ میلادی در حین بررسی آسیب پذیری HatMan توسط شرکت اشنایدار الکتریک و NCCIC آسیب پذیری دیگری در سیستم های کنترل ایمنی Triconex کشف شده است. این آسیب پذیری از محدودسازی نامناسب عملکردهای درون بافر حافظه نشأت می گیرد. اکسپلویت موفقیت آمیز این آسیب پذیری می تواند منجر به اجرای کد دلخواه گردد و کنترل سیستم SIS را در اختیار مهاجم قرار دهد. به این ترتیب مهاجم می‌تواند سیستم کنترل ایمنی را متوقف کند و سیستم ها را در معرض خطر قرار دهد. با توجه به اینکه کاربرد اصلی این سیستم در زیرساخت‌های حیاتی و صنعتی بزرگ است، توصیه می شود دارندگان آن، با مشورت سازنده اقدامات مناسب جهت مقابله را انجام دهند.

سیستم ایمنی Triconex
برای آشنایی بیشتر با سابقه حمله به سیستم کنترل ایمنی Triconex اشنایدر الکتریک، به بخش آرشیو اخبار مرکز از طریق لینک زیر مراجعه کنید:
http://www.afta.gov.ir/Portal/Home/ShowPage.aspx?Object=News&ID=ad۴۱۴d۲۳-۲۹a۵-۴۰۳۴-abfb-d۱f۱ca۹e۸cf۶&LayoutID=۳۴۸b۰bab-۷۹۸۹-۴e۱d-۹d۵۲-۱f۶a۶۰۴b۰۴e۹&CategoryID=fe۹۱۷b۳e-۴a۴۸-۴d۷۷-۹۲۹۶-d۱۸d۶۵۹۸۲ce۶&SearchKey=

نحوه آلودگی
شناسه اولین آسیب پذیری کشف شده CVE-۲۰۱۸-۸۸۷۲ می‌باشد و امتیاز CVSS v۳ ۱۰,۰ برای آن محاسبه شده است. این آسیب پذیری از محدودسازی نامناسب عملکردهای درون بافر حافظه نشأت می گیرد. فراخوانی سیستم بدون هیچ گونه اعتبارسنجی و به طور مستقیم با خواندن آدرس های حافظه انجام می شود. لذا دستکاری آن می تواند به مهاجم اجازه دهد تا دادۀ دلخواه خود را در هر جایی از حافظه کپی نماید. علاوه بر این، زمانی که یک فراخوانی انجام می شود، رجیسترها در محل ثابتی از حافظه ذخیره می شوند. تغییر این اطلاعات می تواند به حمله کننده اجازه دهد تا به سطح دسترسی سوپروایزر دست یافته و حالت‌های سیستم را کنترل کند. به این آسیب پذیری شناسه CVE-۲۰۱۸-۷۵۲۲ اطلاق گردیده و امتیاز CVSS v۳ ۷.۹ برای آن محاسبه شده است. اکسپلویت موفقیت آمیز این آسیب پذیری ها می تواند منجر به کنترل سیستم SIS و در نتیجه اجرای کد دلخواه، خاموشی سیستم شده و در مجموع ایمنی سیستم ها را در معرض خطر قرار دهد.

محصولات متاثر
این آسیب پذیری سیستم Triconex Tricon شرکت اشنایدر الکتریک را تحت تاثیر قرار می دهد:
• مدل MP ۳۰۰۸ نسخه های ۱۰,۰ تا ۱۰.۴

راه های مقابله
با توجه به هشدارهای اعلام شده و نیز با در نظر گرفتن این که حتی مهاجمان کم تجربه هم قادرند از این آسیب پذیری سوء استفاده نمایند، توصیه می شود اقدامات زیر اتخاذ گردد:
• ایزولاسیون شبکه سیستم های کنترل ایمنی با دیگر شبکه‌ها(توصیه می‌گردد شبکه کنترل فرآیند و کنترل ایمنی نیز از یکدیگر مجزا باشند.)
• اجرای حفاظت فیزیکی به منظور جلوگیری از دسترسی افراد غیرمجاز به کنترلرهای ایمنی، تجهیزات جانبی آن یا شبکه ایمنی
• قرار دادن تمامی کنترلرها در کابینت های قفل دار با کنترل دسترسی مناسب
• تغییر وضعیت کنترلرها از مود کاری program به مود کاری run
• تولید آلارم در سمت ایستگاه کاربری در زمان قرارگیری کنترلرهای Triconex در مود کاری program
• اسکن تمام رسانه‌های قابل حمل(نظیر لپ‌تاپ، حافظه جانبی و ...) پیش از اتصال به شبکه های صنعتی با آنتی ویروس های به روزرسانی شده
• جلوگیری از اتصال تمام ایستگاه های مهندسی TriStation به شبکه ای جز شبکه ایمنی

مراجع:
.http://www.afta.gov.ir/Portal/Home/ShowPage.aspx?Object=News&ID=ad۴۱۴d۲۳-۲۹a۵-۴۰۳۴-abfb-d۱f۱ca۹e۸cf۶&LayoutID=۳۴۸b۰bab-۷۹۸۹-۴e۱d-۹d۵۲-۱f۶a۶۰۴b۰۴e۹&CategoryID=fe۹۱۷b۳e-۴a۴۸-۴d۷۷-۹۲۹۶-d۱۸d۶۵۹۸۲ce۶&SearchKey=
https://ics-cert.us-cert.gov/advisories/ICSA-۱۸-۱۰۷-۰۲
http://www.isssource.com/schneider-updates-its-triconex-tricon
📌👈🏻برای آگاهی رسانی بیشتر, دیگر دوستانتان را نیز به عضویت این کانال دعوت کنید.
@ICT_security

حمله یک گروه APT به سرور شرکت‌های بخش صنعتی و انرژی
به تازگی یک گروه APT با عنوان Energetic Bear/Crouching Yeti سرورهای شرکت‌های مختلف بخش صنعت و انرژی را مورد هدف قرار داده است. این گروه که از سال ۲۰۱۰ فعالیت می‌کند، شرکت‌های مختلفی در سراسر جهان را مورد حمله قرار داده است که تمرکز بیشتر حملات روی کشورهای اروپایی و امریکا بوده است. همچنین، در سال ۲۰۱۶ و ۲۰۱۷ تعداد حملات این گروه روی سرورهای کشور ترکیه رشد قابل توجهی داشته است.
رویکردهای اصلی این گروه شامل ارسال ایمیل‌های فیشینگ حاوی اسناد مخرب و آلوده‌سازی سرورهای مختلف است. این گروه از از سرورهای آلوده به منظور استقرار ابزارهای گوناگون و در برخی موارد جهت اجرای حملات waterhole استفاده می‌کنند. waterhole به حمله‌ای گفته می‌شود که مهاجم سایت‌هایی که فرد یا گروه‌های قربانی بطور روزمره بازدید می‌کند را با بدافزار آلوده می‌کند.
باتوجه به گزارش کسپرسکی، قربانیان حملاتی که اخیرا صورت گرفته است فقط محدود به شرکت‌های صنعتی نمی‌شود و کشورهای روسیه، اکراین، انگلستان، آلمان، ترکیه، یونان و امریکا را شامل می‌شود. به عنوان مثال نوع سرورهایی که در کشور روسیه مورد هدف قرار گرفته است شامل وب‌سایت‌های سیاسی، بنگاه‌های املاک، باشگاه فوتبال و ... است.
https://tinyurl.com/y9wsczww
نکته قابل توجه در مورد این حملات این است که تمامی سرورهایی که هدف حمله waterhole قرار گرفته‌اند با الگو یکسانی آلوده شده‌اند. در این الگو، یک لینک در یک صفحه وب و یا فایل جاوا اسکریپت تزریق شده است که حاوی آدرس فایل بصورت file://IP/filename.png است که به منظور ارسال یک درخواست برای یک فایل تصویری است و موجب می‌شود تا کاربر از طریق پروتکل SMB به یک سرور کنترل از راه دور متصل شود.

بنابر گزارش کسپرسکی، در برخی از موارد مهاجمین از سرورهای آلوده جهت حمله به سایر منابع استفاده می‌کنند که برای این امر پس از دسترسی به سرورها، لازم است ابزارهای مورد نیاز خود را نصب شوند. در سرورهای بررسی شده ابزارهای متن باز زیر مشاهده شده است:
Nmap •
Dirsearch •
Sqlmap •
Sublist۳r •
Wpscan •
Impacket •
SMBTrap •
Commix •
Subbrute •
PHPMailer •
باتوجه به تحلیل‌های انجام شده می‌توان دریافت که مهاجمین از ابزارهای دردسترس عموم و متن باز استفاده می‌کنند. همچنین، مهاجمان در اکثر سرورهای هدف به دنبال یافتن آسیب‌پذیری‌ها و سرقت اطلاعات احرازهویت کاربران هستند.
📌خبر را برای دوستان خود بازنشر کنید.

🦁کانال تخصصی امنیت سایبری«کتاس»
‏http://t.me/ict_security
کتاس در سروش:
‏🦁 http://sapp.ir/ict.sec

🦁کتاس در آپارات :
https://www.aparat.com/ict_security
🦁 تماس با ادمین کتاس:
ict.sec@outlook.com

وصله امنیتی در تجهیزات اتوماسیون صنعتی اشنایدر

Schneider Releases Fixes for Critical Flaws in ICS Software
(May 2, 2018)

Researchers from Tenable have found a critical flaw in Schneider Electric industrial control software that could be exploited to disrupt or shut down operations at facilities where the software is in use. The vulnerability affects Schneider Electric's InduSoft Web Studio and InTouch Machine Edition products. Schneider has released fixes for the flaws.

Read more in:
- software.schneider-electric.com: InduSoft Web Studio and InTouch Machine Edition - Remote Code Execution Vulnerability (PDF)
- www.tenable.com: Tenable Research Advisory: Critical Schneider Electric InduSoft Web Studio and InTouch Machine Edition Vulnerability
- www.scmagazine.com: Zero-Day vulnerability found in two Schneider Electric ICS products
- www.zdnet.com: A critical security flaw in popular industrial software put power plants at risk
- www.cyberscoop.com: New vuln discovered in Schneider Electric software, patches already issued

📌👈🏻برای آگاهی رسانی بیشتر, دیگر دوستانتان را نیز به عضویت کانال دعوت کنید.
https://t.me/ics_cert

خطر حملات DoS برای رله‌های محافظتی زیمنس


زیمنس تایید کرد که رله‌های محافظتی زیمنس در معرض حملات DoS قرار گرفته‌اند.
اخیرا زیمنس مشتریان خود را نسبت به آسیب‌پذیری برخی از رله‌های محافظتی SIPROTEC آگاه کرده‌است. این آسیب‌پذیری در ماژول ارتباطی EN۱۰۰ وجود دارد و باعث بروز وضعیت انکار سرویس (DoS) می‌شود.

دستگاه‌های SIPROTEC وظیفه کنترل، حفاظت، اندازه‌گیری و عملگرهای اتوماسیون را برای ایستگاه‌های برق برعهده دارند. این محصولات از ماژول Ethernet EN۱۰۰ برای ارتباطات IEC ۶۱۸۵۰ ،PROFINET IO ،Modbus ،DNP۳ و IEC ۱۰۴ استفاده می‌کنند.

محققان ScadaX، گروه مستقلی از متخصصان که بر امنیت ICS و IoT تمرکز دارند، کشف کردند که ماژول EN۱۰۰ و رله SIPROTEC ۵ نسبت به دو آسیب‌پذیری DoS تحت‌تاثیر قرار می‌گیرند که می‌توانند از طریق فرستادن بسته‌های ویژه ساخته‌شده به پورت ۱۰۲ TCP دستگاه هدف، مورد سوء‌استفاده قرارگیرند.

بهره‌برداری از این نقص‌ها باعث می‌شود که عملکرد شبکه دستگاه به وضعیت DoS وارد شود. زیمنس اعلام کرده‌است که این وضعیت در دسترس بودن سیستم را مختل می‌کند. بازگرداندن سرویس‌های آسیب‌دیده تنها به‌صورت دستی امکان‌پذیر است.

برای بهره‌برداری از نقص‌ها، مهاجم نیاز دارد تا به شبکه سازمان هدف دسترسی داشته‌باشد و باید ارتباط IEC ۶۱۸۵۰-MMS فعال باشد، اما هیچ تعامل کاربری نیاز نیست. آسیب‌پذیری‌های کشف‌شده، مشابه هستند، اما یکی از آنها که با (CVE-۲۰۱۸-۱۱۴۵۱) شناسه می‌شود با درجه حساسیت «بالا» رده‌بندی می‌شود.

آسیب‌پذیری دیگر (CVE-۲۰۱۸-۱۱۴۵۲) که با درجه حساسیت «متوسط» رده‌بندی می‌شود، ماژول EN۱۰۰ را در صورتی که oscilographها در حال اجرا باشند، تحت‌تاثیر قرار می‌دهد. زیمنس خاطرنشان کرد که تنها رله SIPROTEC ۵ از نقص جدی برخوردار است.

زیمنس برای رفع این نقص‌ها به‌روزرسانی‌هایی را برای برخی از دستگاه‌های آسیب‌دیده خود، منتشر و به کاربران توصیه کرد تا دسترسی به پورت ۱۰۲ را توسط یک فایروال خارجی ببندند تا دستگاه‌هایی که هنوز برای آنها وصله‌ای ارائه نشده‌است نسبت به حملات امن بمانند.

متخصصان صنعتی اغلب هشدار می‌دهند که آسیب‌پذیری‌های DoS در سیستم‌های کنترل صنعتی در مقایسه با سیستم‌های اطلاعاتی عادی به دلیل این که در محیط‌های صنعتی در دسترس بودن دارای اهمیت بالایی است، جزو اولویت‌های بالا در نظر گرفته‌می‌شوند.
📌👈🏻برای آگاهی رسانی بیشتر, دیگر دوستانتان را نیز به عضویت کانال دعوت کنید.
https://t.me/ics_cert

آسیب‌پذیری در نرم افزار مهندسی ABB Panel Builder ۸۰۰
یک آسیب‌پذیری خطرناک در نرم‌افزار مهندسی Panel Builder ۸۰۰ که در دستگاه ABB Panel ۸۰۰ HMI اجرا می‌گردد شناسایی شده است. تحت شرایط خاص، اکسپلویت آن می‌تواند مهاجمان را به اجرای کد دلخواه در رایانه‌هایی که نرم‌افزار آسیب‌پذیر نصب شده است قادر سازد.
این آسیب پذیری که CVE-۲۰۱۸-۱۰۶۱۶ به آن اختصاص داده شده است، با اعتبار ورودی نامناسب، توسط تجزیه‌کننده فایل ایجاد شده است و بر تمام نسخه‌های Panel Builder ۸۰۰ تأثیر می‌گذارد. برای بهره‌برداری از آسیب‌پذیری، مهاجم باید کاربر را به باز کردن یک فایل خاص فریب دهد. هنگامی که یک کاربر محلی، یک محصول آسیب‌پذیر را اجرا کرده و یک فایل ساختگی خاص را باز می‌کند، یک اکسپلویت می‌تواند راه‌اندازی شود. آسیب‌پذیری مذکور قابلیت اکسپلویت از راه دور را ندارد.
ABB در حال تحقیق این موضوع است و توصیه می‌کند اقدامات پیشگیرانه زیر، تا زمانی که وصله در دسترس است انجام گیرد:
• آموزش آگاهی بیشتر در مورد امنیت سایبری برای کاربران Panel Builder ۸۰۰ شامل توصیه‌های امنیتی بهترین راهکار برای سیستم‌های کنترل صنعتی و اطلاع‌رسانی به کاربران که فایل‌های Panel Builder ۸۰۰ می‌تواند با نرم‌افزارهای مخرب آلوده شود.
• بررسی دقیق همه‌ی فایل‌های منتقل‌شده بین رایانه‌ها، از جمله اسکن آن‌ها با نرم‌افزار آنتی‌ویروس به‌روز، و استفاده از مراقبت ویژه در هنگام کار با فایل‌های دریافت‌شده از منابع نامشخص.
• پیاده‌سازی مدیریت حساب کاربری مناسب و استفاده از رویه‌های تصدیق و مدیریت دسترسی مناسب بر اساس اصل کمترین امتیاز.

منبع:
https://ics-cert.kaspersky.com/news/2018/07/19/abb/

📌👈🏻برای آگاهی رسانی بیشتر, دیگر دوستانتان را نیز به عضویت کانال دعوت کنید.
https://t.me/ics_cert