کشف آسیب پذیری در تجهیزات پزشکی Philips iSite و IntelliSpace PACS
تشریح آسیب پذیری:
1. خلاصه
. ATTENTION: Low skill level to exploit
. Vendor: Philips
. Equipment: iSite and IntelliSpace PACS
. Vulnerability: Weak Password Requirements
2- ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ممکن است به مهاجم با دسترسی به شبکه محلی اجازه دهد تا محرمانه بودن، یکپارچگی و دسترسی یک جزء از سیستم را تحت تاثیر قرار دهد.
3. مشخصات فنی
3.1 محصولات آسیب دیده
فیلیپس نسخه های زیر را از iSite و IntelliSpace PACS گزارش می کند:
iSite PACS، تمام نسخه ها، و
IntelliSpace PACS، تمام نسخه ها.
3.2 بررسی آسیب پذیری
3.2.1 الزامات رمز عبور ضعیف CWE-521
اعتبار پیش فرض و هیچ احراز هویت در نرم افزار شخص ثالث ممکن است به مهاجم امکان دهد که یک جزء از سیستم را به خطر بیندازد.
3.3 پیش زمینه
بخش های بحرانی INFRASTRUCTURE: بهداشت و درمان و بهداشت عمومی
کشور / منطقه مورد تخریب: در سراسر جهان
محل اجاره محل شرکت: هلند
4. راهکار برطرف سازی
فیلیپس توصیه می کند که کاربران اطمینان دهد که نصب و راه اندازی IntelliSpace PACS در یک محیط سرویس مدیریت شده است تا خطر استفاده از آن را کاهش دهد (شبکه خصوصی مجازی، جداسازی فایروال از دیگر شبکه ها، بدون دسترسی به اینترنت). علاوه بر این، فیلیپس یک راه حل اتوماتیک آنتی ویروس را توصیه می کند که به طور مداوم نظارت و تهدید را در همه سیستم ها در محیط سرویس مدیریت شده نظارت می کند. فیلیپس دارای یک برنامه پچ ماهانه دوره ای است که همه کاربران IntelliSpace PACS تشویق می شوند تا درآن شرکت کنند. کاربرانی که در این برنامه شرکت می کنند، تمام سیستم عامل های مجاز Philips و تکه های برنامه را به موقع دریافت می کنند. پلت فرم Philips iSite 3.6 در حال حاضر در پایان عمر خود (EoL) و پایان سرویس (EoS) است.
فیلیپس به عنوان یک کاهش موقت به آسیب پذیری، توصیه می کند که کاربران:
. اطمینان حاصل کنید که تنها پرسنل مجاز می توانند به محیط شبکه کنترل شده وصل شوند.
. دستورالعمل های مربوط به استفاده از رابط کاربر را مرور کنید و بهترین شیوه های امنیتی را دنبال کنید.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
تشریح آسیب پذیری:
1. خلاصه
. ATTENTION: Low skill level to exploit
. Vendor: Philips
. Equipment: iSite and IntelliSpace PACS
. Vulnerability: Weak Password Requirements
2- ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ممکن است به مهاجم با دسترسی به شبکه محلی اجازه دهد تا محرمانه بودن، یکپارچگی و دسترسی یک جزء از سیستم را تحت تاثیر قرار دهد.
3. مشخصات فنی
3.1 محصولات آسیب دیده
فیلیپس نسخه های زیر را از iSite و IntelliSpace PACS گزارش می کند:
iSite PACS، تمام نسخه ها، و
IntelliSpace PACS، تمام نسخه ها.
3.2 بررسی آسیب پذیری
3.2.1 الزامات رمز عبور ضعیف CWE-521
اعتبار پیش فرض و هیچ احراز هویت در نرم افزار شخص ثالث ممکن است به مهاجم امکان دهد که یک جزء از سیستم را به خطر بیندازد.
3.3 پیش زمینه
بخش های بحرانی INFRASTRUCTURE: بهداشت و درمان و بهداشت عمومی
کشور / منطقه مورد تخریب: در سراسر جهان
محل اجاره محل شرکت: هلند
4. راهکار برطرف سازی
فیلیپس توصیه می کند که کاربران اطمینان دهد که نصب و راه اندازی IntelliSpace PACS در یک محیط سرویس مدیریت شده است تا خطر استفاده از آن را کاهش دهد (شبکه خصوصی مجازی، جداسازی فایروال از دیگر شبکه ها، بدون دسترسی به اینترنت). علاوه بر این، فیلیپس یک راه حل اتوماتیک آنتی ویروس را توصیه می کند که به طور مداوم نظارت و تهدید را در همه سیستم ها در محیط سرویس مدیریت شده نظارت می کند. فیلیپس دارای یک برنامه پچ ماهانه دوره ای است که همه کاربران IntelliSpace PACS تشویق می شوند تا درآن شرکت کنند. کاربرانی که در این برنامه شرکت می کنند، تمام سیستم عامل های مجاز Philips و تکه های برنامه را به موقع دریافت می کنند. پلت فرم Philips iSite 3.6 در حال حاضر در پایان عمر خود (EoL) و پایان سرویس (EoS) است.
فیلیپس به عنوان یک کاهش موقت به آسیب پذیری، توصیه می کند که کاربران:
. اطمینان حاصل کنید که تنها پرسنل مجاز می توانند به محیط شبکه کنترل شده وصل شوند.
. دستورالعمل های مربوط به استفاده از رابط کاربر را مرور کنید و بهترین شیوه های امنیتی را دنبال کنید.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
به روز رسانی امنیتی برای محصولات Schneider Electric Software Update -SESU (به روز رسانی A)
1. خلاصه :
. توجه: سطح مهارت پایین برای بهره برداری
. فروشنده: Schneider Electric
. تجهیزات: نرم افزار به روز رسانی (SESU)
. آسیب پذیری: ربودن DLL
2. ارزیابی خطر:
بهره برداری موفق از این آسیب پذیری می تواند به حمله کننده اجازه دهد کد دلخواه را در سیستم هدف اجرا کند.
3- مشخصات فنی:
3.1 محصولات آسیب دیده
شرکت Schneider Electric گزارش می دهد که آسیب پذیری بر محصولات نرم افزار به روز رسانی زیر تاثیر می گذارد:
Schneider Electric Software Update (SESU)، تمام نسخه های قبل از v2.2.0
-- به روز رسانی قسمت 1 از 2 -
برای لیستی از محصولات که می توانید نرم افزار را به طور اختیاری نصب کنید، لطفا اطلاعات امنیتی Schneider Electric SEVD-2018-298-01 موجود در محل زیر را مشاهده کنید:
https://www.schneider-electric.com/en/download/document/SEVD-2018-298-01
-- پایان به روز رسانی قسمت 1 از 2 -
3.2 بازبینی قابلیت اطمینان
این محصول از یک مسیر جستجوی ثابت یا کنترل برای یافتن منابع استفاده می کند. مهاجم با دسترسی محلی می تواند یک فایل خاص به دست آمده در دستگاه هدف قرار دهد که ممکن است حمله کننده را قادر به اجرای کد دلخواه کند.
3.3 پیش زمینه:
. بخش های اصلی بحران : امکانات تجاری، تولیدات بحرانی، انرژی
. کشور / منطقه مورد تخریب: در سراسر جهان
. مکان های شناسایی شده: فرانسه
4- معایب
-- آغاز به روز رسانی قسمت 2 از 2 -
بروزرسانی نرم افزار Schneider Electric به کاربران در مورد دسترسی به این بروز رسانی (نسخه 2.2.0)، که به این آسیب پذیری اشاره دارد، اطلاع خواهد داد. کاربران باید مطمئن شوند که این بروز رسانی را اعمال می کنند. علاوه بر این، به روز رسانی را می توان در هر زمان با استفاده از لینک زیر دانلود کنید:
-- پایان به روز رسانی قسمت 2 از 2 -
https://www.update.schneider-electric.com/download/SystemConsistency/SoftwareUpdate/SESU_220/SESU_2.2.0_setup_sfx.exe
5- توصیه نامه:
شرکت Schneider Electric توصیه می کند که بهترین شیوه های امنیت سایبری در صنعت را زیر نظر داشته باشید:
. شبکه های کنترل و ایمنی سیستم و دستگاه های از راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
. کنترل های فیزیکی باید در محل باشد تا هیچ شخصی غیر مجاز به کنترل کننده های ICS و ایمنی، تجهیزات جانبی یا ICS و شبکه های ایمنی دسترسی نداشته باشد.
. تمام کنترل کننده ها باید در کابین های قفل شده قرار بگیرند و هرگز در حالت "Program" قرار نگیرند.
. تمام نرم افزارهای برنامه نویسی باید در کابین های قفل شده نگه داشته شوند و هرگز نباید به هیچ شبکه ای به غیر از شبکه برای دستگاه هایی که در نظر گرفته شده متصل شوند.
. تمام روشهای تبادل داده های تلفن همراه با شبکه های جدا شده مانند سی دی ها، درایوهای USB و غیره باید قبل از استفاده در پایانه ها یا هر گره متصل به این شبکه ها اسکن شوند.
. لپ تاپ هایی که به شبکه های متصل شده به هر شبکه دیگری متصل هستند هرگز نباید اجازه اتصال به شبکه های ایمنی یا کنترل را بدون کنترل و پاکسازی مناسب فراهم کنند.
. به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از دسترسی آنها از اینترنت.
. هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های خصوصی مجازی (VPN ها) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند. همچنین تشخیص دهید که VPN تنها به عنوان دستگاه های متصل به عنوان امن است.
اطلاعات امنیتی امنیتی Schneider Electric SEVD-2018-298-01 در محل زیر موجود است:
https://www.schneider-electric.com/en/download/document/SEVD-2018-298-01
کانال تخصصی #ICSCERT توصیه می کند که کاربران اقدامات دفاعی برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری انجام دهند. به طور خاص، کاربران باید:
. به حداقل رساندن قرار گرفتن در معرض شبکه اینترنت برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از عدم دسترسی آنها.
. شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
. هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند. همچنین تشخیص دهید که VPN تنها به عنوان دستگاه های متصل به عنوان امن است.
🏭
https://t.me/ics_cert
1. خلاصه :
. توجه: سطح مهارت پایین برای بهره برداری
. فروشنده: Schneider Electric
. تجهیزات: نرم افزار به روز رسانی (SESU)
. آسیب پذیری: ربودن DLL
2. ارزیابی خطر:
بهره برداری موفق از این آسیب پذیری می تواند به حمله کننده اجازه دهد کد دلخواه را در سیستم هدف اجرا کند.
3- مشخصات فنی:
3.1 محصولات آسیب دیده
شرکت Schneider Electric گزارش می دهد که آسیب پذیری بر محصولات نرم افزار به روز رسانی زیر تاثیر می گذارد:
Schneider Electric Software Update (SESU)، تمام نسخه های قبل از v2.2.0
-- به روز رسانی قسمت 1 از 2 -
برای لیستی از محصولات که می توانید نرم افزار را به طور اختیاری نصب کنید، لطفا اطلاعات امنیتی Schneider Electric SEVD-2018-298-01 موجود در محل زیر را مشاهده کنید:
https://www.schneider-electric.com/en/download/document/SEVD-2018-298-01
-- پایان به روز رسانی قسمت 1 از 2 -
3.2 بازبینی قابلیت اطمینان
این محصول از یک مسیر جستجوی ثابت یا کنترل برای یافتن منابع استفاده می کند. مهاجم با دسترسی محلی می تواند یک فایل خاص به دست آمده در دستگاه هدف قرار دهد که ممکن است حمله کننده را قادر به اجرای کد دلخواه کند.
3.3 پیش زمینه:
. بخش های اصلی بحران : امکانات تجاری، تولیدات بحرانی، انرژی
. کشور / منطقه مورد تخریب: در سراسر جهان
. مکان های شناسایی شده: فرانسه
4- معایب
-- آغاز به روز رسانی قسمت 2 از 2 -
بروزرسانی نرم افزار Schneider Electric به کاربران در مورد دسترسی به این بروز رسانی (نسخه 2.2.0)، که به این آسیب پذیری اشاره دارد، اطلاع خواهد داد. کاربران باید مطمئن شوند که این بروز رسانی را اعمال می کنند. علاوه بر این، به روز رسانی را می توان در هر زمان با استفاده از لینک زیر دانلود کنید:
-- پایان به روز رسانی قسمت 2 از 2 -
https://www.update.schneider-electric.com/download/SystemConsistency/SoftwareUpdate/SESU_220/SESU_2.2.0_setup_sfx.exe
5- توصیه نامه:
شرکت Schneider Electric توصیه می کند که بهترین شیوه های امنیت سایبری در صنعت را زیر نظر داشته باشید:
. شبکه های کنترل و ایمنی سیستم و دستگاه های از راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
. کنترل های فیزیکی باید در محل باشد تا هیچ شخصی غیر مجاز به کنترل کننده های ICS و ایمنی، تجهیزات جانبی یا ICS و شبکه های ایمنی دسترسی نداشته باشد.
. تمام کنترل کننده ها باید در کابین های قفل شده قرار بگیرند و هرگز در حالت "Program" قرار نگیرند.
. تمام نرم افزارهای برنامه نویسی باید در کابین های قفل شده نگه داشته شوند و هرگز نباید به هیچ شبکه ای به غیر از شبکه برای دستگاه هایی که در نظر گرفته شده متصل شوند.
. تمام روشهای تبادل داده های تلفن همراه با شبکه های جدا شده مانند سی دی ها، درایوهای USB و غیره باید قبل از استفاده در پایانه ها یا هر گره متصل به این شبکه ها اسکن شوند.
. لپ تاپ هایی که به شبکه های متصل شده به هر شبکه دیگری متصل هستند هرگز نباید اجازه اتصال به شبکه های ایمنی یا کنترل را بدون کنترل و پاکسازی مناسب فراهم کنند.
. به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از دسترسی آنها از اینترنت.
. هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های خصوصی مجازی (VPN ها) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند. همچنین تشخیص دهید که VPN تنها به عنوان دستگاه های متصل به عنوان امن است.
اطلاعات امنیتی امنیتی Schneider Electric SEVD-2018-298-01 در محل زیر موجود است:
https://www.schneider-electric.com/en/download/document/SEVD-2018-298-01
کانال تخصصی #ICSCERT توصیه می کند که کاربران اقدامات دفاعی برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری انجام دهند. به طور خاص، کاربران باید:
. به حداقل رساندن قرار گرفتن در معرض شبکه اینترنت برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از عدم دسترسی آنها.
. شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
. هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند. همچنین تشخیص دهید که VPN تنها به عنوان دستگاه های متصل به عنوان امن است.
🏭
https://t.me/ics_cert
Schneider-Electric
Security Notification - Schneider Electric Software Update (SESU) V1.1 | Schneider Electric
Download : Security Notification - Schneider Electric Software Update (SESU) V1.1 -
کانال تخصصی #ICSCERT به سازمان ها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
دستورالعمل های کمکی اضافی و شیوه های توصیه شده به طور عمومی در کانال تخصصی #ICSCERT در مقاله فنیراهکارهای تشخیص نفوذ و مقابله با خطرات هدف قرار داده شده است .
سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی داخلی خود پیروی کنند و یافته های خود را به کانال تخصصی #ICSCERT برای ردیابی و همبستگی در برابر سایر حوادث گزارش دهند.
هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری را هدف قرار نمی دهد. این آسیب پذیری از راه دور قابل بهره برداری نیست.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
دستورالعمل های کمکی اضافی و شیوه های توصیه شده به طور عمومی در کانال تخصصی #ICSCERT در مقاله فنیراهکارهای تشخیص نفوذ و مقابله با خطرات هدف قرار داده شده است .
سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی داخلی خود پیروی کنند و یافته های خود را به کانال تخصصی #ICSCERT برای ردیابی و همبستگی در برابر سایر حوادث گزارش دهند.
هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری را هدف قرار نمی دهد. این آسیب پذیری از راه دور قابل بهره برداری نیست.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
U.S. critical infrastructure dependency flow according to econometric analysis (adapted from Macaulay 2009)
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Top 20 malware families used in attacks against organizations in the water and energy industries (October 2017 to February 2018)
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
چه کسانی امکانات و تجهیزات ICS را هدف قرار می دهند و چطور؟
چشم انداز تهدید ICS
تعداد حملات سایبری به سیستم های کنترل صنعتی به سرعت در حال افزایش است. بازیگران دولتی، مجرمان سایبری و هکوتیست ها آنها را تهدید می کنند. در ماه سپتامبر، کارشناسان امنیتی آزمایشگاه کسپرسکی گزارشی با عنوان «چشم انداز تهدید برای سیستم های اتوماسیون صنعتی» را برای سال های 2018 منتشر کردند که شامل اطلاعات مربوط به حملات علیه سیستم های ICS در شش ماه اول سال می شود. تعداد نمونه های مخرب که توسط Kaspersky تشخیص داده شده است بیش از 19،400 است و متعلق به حدود 2800 خانواده مخرب است که اکثر آنها تهدیدی خاص برای این دسته از دستگاه ها نیست. کارشناسان نشان دادند که اکثر آلودگی ها ناشی از حملات تصادفی است.
براساس گزارش Kaspersky، تعداد حملات علیه سیستم های ICS که توسط این شرکت محافظت می شود، به 41.2 درصد رسید. در مقایسه با نیمه اول سال 2017، کارشناسان میزان افزایش مجموعی تعداد عملیات حمله را 5 درصد اعلام کردند.
بیشتر حملات سیستم کامپیوتری را در کشورهایی که تولید ناخالص داخلی سرانه در آسیا، آمریکای لاتین و شمال آفریقا کم است، در حالی که در ایالات متحده تنها 21.4 درصد از سیستم های ICS را تحت تاثیر قرار داد،
با این حال، چندین منطقه از حملات مکرر و مخرب به سیستم های کنترل صنعتی خود رنج می بردند. در جنوب شرقی آسیا، بیش از 60 درصد ICS در نیمه اول سال 2018 مورد حمله قرار گرفتند؛ آفریقا در حدود 60 درصد از ICS مورد حمله قرار گرفت، با جنوب آسیا حدود 55 درصد، آسیای مرکزی حدود 53 درصد و روسیه 45 درصد است.
توزیع جغرافیایی حملات به سیستم های اتوماسیون صنعتی نشان داد که کشورهایی که بیشترین تعداد حملات را به ترتیب درصد ویتنام (75.1 درصد)، الجزایر (71.6 درصد) و مراکش (65 درصد)، در حالی که امن ترین مناطق برای سیستم های ICS، دانمارک بود 14 درصد)، ایرلند (14.4 درصد) و سوئیس (15.9 درصد).
در حالی که بیشتر حملات از اینترنت بود، 27 درصد از حملات از منابع وب، 8.4 درصد از رسانه های قابل حمل قابل حمل استفاده می شد و فقط 3.8 درصد از مشتریان ایمیل بود.
"این الگو به نظر منطقی می رسد: شبکه های صنعتی مدرن به سختی می توانند از سیستم های خارجی جدا شوند. امروز، رابط کاربری بین شبکه صنعتی و شبکه شرکتی برای کنترل پروسس های صنعتی و مدیریت شبکه ها و سیستم های صنعتی مورد نیاز است.
در سال 2011، مهاجمان از وب سایت های قانونی برای میزبانی اجزای مخرب در آنها استفاده می کردند. محققان افزایش درصد رایانه های ICS که از طریق مرورگرها مورد حمله قرار گرفتند، به افزایش تعداد حملات که شامل معدنچیان cryptocurrency جاوااسکریپت بودند.
کارشناسان همچنین اشاره کردند که افزایش تعداد حملات با استفاده از اسناد مایکروسافت آفیس به عنوان بردار حمله (ورد، اکسل، RTF، پاورپوینت، Visio و غیره) همراه با کمپین های فیشینگ بود.
"محققان کسپرسکی در این گزارش اظهار داشتند:" در سال 2011، بازیگران تهدید به حمله به وب سایت های قانونی که آسیب پذیری در برنامه های وب خود را داشتند، برای میزبانی ابزارهای مخرب در این وب سایت ها ادامه یافت. " به طور مشخص، افزایش تعداد رایانه های ICS که از طریق مرورگرها در سال 2018 به طول انجامید، به دلیل افزایش تعداد حملات که شامل cryptocurrency جاوااسکریپت بود، افزایش یافت. در عین حال، افزایش تعداد کامپیوترهای ICS با استفاده از اسناد مایکروسافت آفیس با امواج ایمیل های فیشینگ همراه بود. "
اطلاعات بیشتر در مورد حملات علیه سیستم های ICS در سال 2018 H1 در نسخه کامل این گزارش موجود است.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
چشم انداز تهدید ICS
تعداد حملات سایبری به سیستم های کنترل صنعتی به سرعت در حال افزایش است. بازیگران دولتی، مجرمان سایبری و هکوتیست ها آنها را تهدید می کنند. در ماه سپتامبر، کارشناسان امنیتی آزمایشگاه کسپرسکی گزارشی با عنوان «چشم انداز تهدید برای سیستم های اتوماسیون صنعتی» را برای سال های 2018 منتشر کردند که شامل اطلاعات مربوط به حملات علیه سیستم های ICS در شش ماه اول سال می شود. تعداد نمونه های مخرب که توسط Kaspersky تشخیص داده شده است بیش از 19،400 است و متعلق به حدود 2800 خانواده مخرب است که اکثر آنها تهدیدی خاص برای این دسته از دستگاه ها نیست. کارشناسان نشان دادند که اکثر آلودگی ها ناشی از حملات تصادفی است.
براساس گزارش Kaspersky، تعداد حملات علیه سیستم های ICS که توسط این شرکت محافظت می شود، به 41.2 درصد رسید. در مقایسه با نیمه اول سال 2017، کارشناسان میزان افزایش مجموعی تعداد عملیات حمله را 5 درصد اعلام کردند.
بیشتر حملات سیستم کامپیوتری را در کشورهایی که تولید ناخالص داخلی سرانه در آسیا، آمریکای لاتین و شمال آفریقا کم است، در حالی که در ایالات متحده تنها 21.4 درصد از سیستم های ICS را تحت تاثیر قرار داد،
با این حال، چندین منطقه از حملات مکرر و مخرب به سیستم های کنترل صنعتی خود رنج می بردند. در جنوب شرقی آسیا، بیش از 60 درصد ICS در نیمه اول سال 2018 مورد حمله قرار گرفتند؛ آفریقا در حدود 60 درصد از ICS مورد حمله قرار گرفت، با جنوب آسیا حدود 55 درصد، آسیای مرکزی حدود 53 درصد و روسیه 45 درصد است.
توزیع جغرافیایی حملات به سیستم های اتوماسیون صنعتی نشان داد که کشورهایی که بیشترین تعداد حملات را به ترتیب درصد ویتنام (75.1 درصد)، الجزایر (71.6 درصد) و مراکش (65 درصد)، در حالی که امن ترین مناطق برای سیستم های ICS، دانمارک بود 14 درصد)، ایرلند (14.4 درصد) و سوئیس (15.9 درصد).
در حالی که بیشتر حملات از اینترنت بود، 27 درصد از حملات از منابع وب، 8.4 درصد از رسانه های قابل حمل قابل حمل استفاده می شد و فقط 3.8 درصد از مشتریان ایمیل بود.
"این الگو به نظر منطقی می رسد: شبکه های صنعتی مدرن به سختی می توانند از سیستم های خارجی جدا شوند. امروز، رابط کاربری بین شبکه صنعتی و شبکه شرکتی برای کنترل پروسس های صنعتی و مدیریت شبکه ها و سیستم های صنعتی مورد نیاز است.
در سال 2011، مهاجمان از وب سایت های قانونی برای میزبانی اجزای مخرب در آنها استفاده می کردند. محققان افزایش درصد رایانه های ICS که از طریق مرورگرها مورد حمله قرار گرفتند، به افزایش تعداد حملات که شامل معدنچیان cryptocurrency جاوااسکریپت بودند.
کارشناسان همچنین اشاره کردند که افزایش تعداد حملات با استفاده از اسناد مایکروسافت آفیس به عنوان بردار حمله (ورد، اکسل، RTF، پاورپوینت، Visio و غیره) همراه با کمپین های فیشینگ بود.
"محققان کسپرسکی در این گزارش اظهار داشتند:" در سال 2011، بازیگران تهدید به حمله به وب سایت های قانونی که آسیب پذیری در برنامه های وب خود را داشتند، برای میزبانی ابزارهای مخرب در این وب سایت ها ادامه یافت. " به طور مشخص، افزایش تعداد رایانه های ICS که از طریق مرورگرها در سال 2018 به طول انجامید، به دلیل افزایش تعداد حملات که شامل cryptocurrency جاوااسکریپت بود، افزایش یافت. در عین حال، افزایش تعداد کامپیوترهای ICS با استفاده از اسناد مایکروسافت آفیس با امواج ایمیل های فیشینگ همراه بود. "
اطلاعات بیشتر در مورد حملات علیه سیستم های ICS در سال 2018 H1 در نسخه کامل این گزارش موجود است.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
IACS
چه کسانی امکانات و تجهیزات ICS را هدف قرار می دهند و چطور؟ چشم انداز تهدید ICS تعداد حملات سایبری به سیستم های کنترل صنعتی به سرعت در حال افزایش است. بازیگران دولتی، مجرمان سایبری و هکوتیست ها آنها را تهدید می کنند. در ماه سپتامبر، کارشناسان امنیتی آزمایشگاه…
شکل 1: توزیع جغرافیایی حملات به سیستم های اتوماسیون صنعتی، H1 2018، درصد کامپیوترهای ICS مورد حمله در هر کشوری (منبع: آزمایشگاه کسپرسکی)
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
IACS
شکل 1: توزیع جغرافیایی حملات به سیستم های اتوماسیون صنعتی، H1 2018، درصد کامپیوترهای ICS مورد حمله در هر کشوری (منبع: آزمایشگاه کسپرسکی) 🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی https://t.me/ics_cert
شکل 2: منابع اصلی تهدیدهای مسدود شده در رایانه های ICS (درصد رایانه های مورد حمله طی دوره های نیم سال) (منبع: آزمایشگاه کسپرسکی)
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
افشای اطلاعات زیرساخت برق کشور در وبسایت توانیر:
http://www2.tavanir.org.ir/info/stat81/36farsi/htm/p200.htm
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
http://www2.tavanir.org.ir/info/stat81/36farsi/htm/p200.htm
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
افشای اطلاعات زیرساخت برق کشور در وبسایت توانیر:
http://www2.tavanir.org.ir/info/stat85/40htmlf/MAPx2.htm
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
http://www2.tavanir.org.ir/info/stat85/40htmlf/MAPx2.htm
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
شرکت Schneider Electric هشدار می دهد که آسیب پذیری های متعددی در محصولات پارکینگ EVLink شامل آسیب پذیری "بحرانی" وجود دارد.
طبق اعلامیه امنیتی 20 دسامبر صادر شده توسط شرکت، آسیب پذیری بحرانی توسط اعتبار های سخت افزاری ایجاد شده است که به مهاجم امکان دسترسی به دستگاه را می دهد.
Schneider Electric همچنین یک آسیب پذیری تزریقی دارای رتبه بالا با نام "High" را نشان داد که می توانست به مهاجم اجازه دسترسی به دستگاه و همچنین آسیب پذیری SQL Injection rated "Medium" را بدهد که می توانست با دسترسی کامل به رابط وب دسترسی داشته باشد.
آسیب پذیری ها EVLink Parking v3.2.0-12_v1 و نسخه های قبلی را تحت تاثیر قرار می دهند و محققان قبلا یک پچ برای رفع اشکالات منتشر کرده اند. کاربران همچنین می توانند یک فایروال را برای جلوگیری از دسترسی از راه دور یا خارجی به جز توسط کاربران مجاز به عنوان یک راه حل یا مقابله با آن برای کاهش خطر و بهترین شیوه ها که همیشه توصیه می شود، تنظیم کنند.
مستند فنی آسیب پذیری:
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2018-354-01-EVLink.pdf&p_Doc_Ref=SEVD-2018-354-01
وصله رفع آسیب پذیری:
https://www.scmagazine.com/?s=patch+tuesday
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
طبق اعلامیه امنیتی 20 دسامبر صادر شده توسط شرکت، آسیب پذیری بحرانی توسط اعتبار های سخت افزاری ایجاد شده است که به مهاجم امکان دسترسی به دستگاه را می دهد.
Schneider Electric همچنین یک آسیب پذیری تزریقی دارای رتبه بالا با نام "High" را نشان داد که می توانست به مهاجم اجازه دسترسی به دستگاه و همچنین آسیب پذیری SQL Injection rated "Medium" را بدهد که می توانست با دسترسی کامل به رابط وب دسترسی داشته باشد.
آسیب پذیری ها EVLink Parking v3.2.0-12_v1 و نسخه های قبلی را تحت تاثیر قرار می دهند و محققان قبلا یک پچ برای رفع اشکالات منتشر کرده اند. کاربران همچنین می توانند یک فایروال را برای جلوگیری از دسترسی از راه دور یا خارجی به جز توسط کاربران مجاز به عنوان یک راه حل یا مقابله با آن برای کاهش خطر و بهترین شیوه ها که همیشه توصیه می شود، تنظیم کنند.
مستند فنی آسیب پذیری:
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2018-354-01-EVLink.pdf&p_Doc_Ref=SEVD-2018-354-01
وصله رفع آسیب پذیری:
https://www.scmagazine.com/?s=patch+tuesday
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
مرور گذشته:
استاکس نت چگونه و از طریق کدام شرکتها وارد تاسیسات انرژی اتمی ایران شد؟
منبع: کسپراسکس
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
استاکس نت چگونه و از طریق کدام شرکتها وارد تاسیسات انرژی اتمی ایران شد؟
منبع: کسپراسکس
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
انتخاب کابل های VGA محافظ یا DisplayPort برای مقابله با حملات #TEMPEST
(تصاویر HDMI یا DVI به راحتی از سیگنال ها بازسازی می شوند)
نمونه ای از بازسازی و کپی تصاویر را در تصویر بالا ببینید.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
(تصاویر HDMI یا DVI به راحتی از سیگنال ها بازسازی می شوند)
نمونه ای از بازسازی و کپی تصاویر را در تصویر بالا ببینید.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
بررسی مقاله درخصوص نحوه شکل گیری ایده بدافزار استاکس نت با عنوان "استاکس نت یک سلاح بود، نه یک باینری"
این مقاله به مسئله لوء رفتن فعالیت هسته ای ایران توسط منافقین، شروع درگیری میان سرویس های اطلاعاتی و امنیتی ایران و آمریکا و همچنین چرایی طراحی استاکس نت پرداخته شده است
لینک : https://medium.com/@MKahsari/stuxnet-was-a-weapon-not-a-binary-340ef6bf6ede
نویسنده مقاله:میلاد کهساری
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
این مقاله به مسئله لوء رفتن فعالیت هسته ای ایران توسط منافقین، شروع درگیری میان سرویس های اطلاعاتی و امنیتی ایران و آمریکا و همچنین چرایی طراحی استاکس نت پرداخته شده است
لینک : https://medium.com/@MKahsari/stuxnet-was-a-weapon-not-a-binary-340ef6bf6ede
نویسنده مقاله:میلاد کهساری
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Medium
Part1: Stuxnet was a Weapon, not a Binary — Whole Story!
Yes. Stuxnet, the strange creature of the most advanced and frightening Intelligence services of the world. I mean Mossad, CIA, and MI5.
آسیب پذیری در محصولات Emerson DeltaV
1.شرکت امرسون آسیب پذیری بالا را با سطح مهارت پایین برای بهره برداری از ایستگاه های توزیع کنترل شده DeltaV شناسایی و معرفی کرد. Emerson وصله هایی برای رفع آسیب پذیری گزارش شده منتشر کرده است.
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند به مهاجم اجازه دهد سرویس را خاتمه دهد و منجر به انکار سرویس شود.
3. مشخصات فنی
3.1 محصولات آسیب دیده
امرسون گزارش می دهد که آسیب پذیری محصولات DeltaV Distributed Control System Workstations تحت تاثیر قرار می گیرد:
DeltaV DCS نسخه های 11.3.1، 11.3.2، 12.3.1، 13.3.1، 14.3، R5.1، R6 و قبل.
3.2 بررسی وضعیت پذیرش
3.2.1 AUTHENTICATION BYPASS CWE-307
یک اسکریپت مخصوص به کار رفته می تواند از تأیید اعتبار یک پورت نگهداری یک سرویس عبور کند، که ممکن است به مهاجم امکان دهد که منع خدمات را ایجاد کند.
شماره شناسایی CVE-2018-19021 به این آسیب پذیری اختصاص داده شده است.
۳.۳ پیش زمینه
بخش های بسیار بحرانی: صنایع شیمیایی، صنایع حیاتی، صنایع انرژی
کشور / منطقه مورد تخریب: در سراسر جهان
مکان شرکت شناسایی شده: ایالات متحده
4. راهکار
شرکت Emerson توصیه هایی برای کاربران محصولات زیر ارایه میدهد:
DeltaV DCS نسخه های 11.3.1، 11.3.2، 12.3.1، 13.3.1، 14.3، R5.1، و R6
وصله های نرم افزاری برای کاربران با دسترسی به پورتال پشتیبانی امرسون گاردین در دسترس هستند
https://guardian.emersonprocess.com/
برای اطلاعات بیشتر، لطفا به مقاله برای این آسیب پذیری در وب سایت Emerson مراجعه کنید.
برای محدود کردن قرار گرفتن در معرض این و دیگر آسیب پذیری ها، امرسون توصیه می کند که سیستم های DeltaV و اجزای مربوطه به عنوان راهنمای امنیتی DeltaV شرح داده شده است که می تواند در Portal Support Guardian Emerson پیدا شود.
کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری انجام دهند. به طور خاص، کاربران باید:
به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری را هدف قرار نمی دهد. این آسیب پذیری از یک شبکه مجاور بهره برداری می شود.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1.شرکت امرسون آسیب پذیری بالا را با سطح مهارت پایین برای بهره برداری از ایستگاه های توزیع کنترل شده DeltaV شناسایی و معرفی کرد. Emerson وصله هایی برای رفع آسیب پذیری گزارش شده منتشر کرده است.
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند به مهاجم اجازه دهد سرویس را خاتمه دهد و منجر به انکار سرویس شود.
3. مشخصات فنی
3.1 محصولات آسیب دیده
امرسون گزارش می دهد که آسیب پذیری محصولات DeltaV Distributed Control System Workstations تحت تاثیر قرار می گیرد:
DeltaV DCS نسخه های 11.3.1، 11.3.2، 12.3.1، 13.3.1، 14.3، R5.1، R6 و قبل.
3.2 بررسی وضعیت پذیرش
3.2.1 AUTHENTICATION BYPASS CWE-307
یک اسکریپت مخصوص به کار رفته می تواند از تأیید اعتبار یک پورت نگهداری یک سرویس عبور کند، که ممکن است به مهاجم امکان دهد که منع خدمات را ایجاد کند.
شماره شناسایی CVE-2018-19021 به این آسیب پذیری اختصاص داده شده است.
۳.۳ پیش زمینه
بخش های بسیار بحرانی: صنایع شیمیایی، صنایع حیاتی، صنایع انرژی
کشور / منطقه مورد تخریب: در سراسر جهان
مکان شرکت شناسایی شده: ایالات متحده
4. راهکار
شرکت Emerson توصیه هایی برای کاربران محصولات زیر ارایه میدهد:
DeltaV DCS نسخه های 11.3.1، 11.3.2، 12.3.1، 13.3.1، 14.3، R5.1، و R6
وصله های نرم افزاری برای کاربران با دسترسی به پورتال پشتیبانی امرسون گاردین در دسترس هستند
https://guardian.emersonprocess.com/
برای اطلاعات بیشتر، لطفا به مقاله برای این آسیب پذیری در وب سایت Emerson مراجعه کنید.
برای محدود کردن قرار گرفتن در معرض این و دیگر آسیب پذیری ها، امرسون توصیه می کند که سیستم های DeltaV و اجزای مربوطه به عنوان راهنمای امنیتی DeltaV شرح داده شده است که می تواند در Portal Support Guardian Emerson پیدا شود.
کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری انجام دهند. به طور خاص، کاربران باید:
به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری را هدف قرار نمی دهد. این آسیب پذیری از یک شبکه مجاور بهره برداری می شود.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
Forwarded from IACS
متداولترین مخاطرات امنیتی در ICS و رویکردهای کاهش اثر آنها
پژوهشگران FireEye با تحلیل نتایج هزاران ارزیابی سلامت امنیت سیستمهای کنترل صنعتی (ICS)، فراگیرترین و پر اهمیتترین مخاطرات امنیتی در تسهیلات صنعتی را شناسایی کردند. این ارزیابیها توسط Mandiant، تیم مشاوره FireEye انجام شده است. اطلاعات از ارزیابیهایی که در چند سال گذشته انجام گرفته بدست آمده و از طیف گستردهای از صنایع از جمله تولید، معدن، خودرو، انرژی، شیمیایی، گاز طبیعی، و آب و برق، حاصل شده است. FireEye در گزارشی جزئیات این مخاطرات را ارائه کرده و بهترین شیوهها و توصیهها برای کاهش خطرات را بیان کرده است.
بررسی سلامت امنیت توسط Mandiant و آزمونهای نفوذ، ارزیابیهایی هستند که در محل و روی سیستمهای ICS و شبکه IT مشتریان انجام میشوند. در این راستا، Mandiant درک فنی از سیستم کنترل توسعه میدهد، نمودار شبکه سیستم کنترل را ایجاد میکند، تهدیدها و آسیبپذیریهای بالقوه را تحلیل میکند و با ارائه رویکردهای دفاعی اولویتبندی شده، به حفاظت از محیط صنعتی کمک میکند.
Mandiant مخاطرات را به چهار دسته (۱) بحرانی و با درجه اهمیت زیاد، (۲) با درجه اهمیت متوسط، (۳) با درجه اهمیت کم و (۴) جهت اطلاع یا informational تقسیم میکند. این ردهبندی با در نظر گرفتن اثرات آسیبپذیری یا خطر، که از طریق شناسایی نهادهای آسیبدیده و میزان صدمات بالقوه یک حمله شناسایی میشوند، و قابلیت بهرهبرداری از آسیبپذیری، که از طریق میزان سادگی شناسایی آسیبپذیری و انجام حمله و اندازه و سطح دسترسی گروه مهاجمین شناسایی میشود، تعیین میشوند.
بر اساس یافتههای FireEye، تقریبا ۳۳ درصد از مخاطرات امنیتی در محیطهای ICS بحرانی و با درجه اهمیت زیاد هستند. از این رو، وقوع حملات جدی که منجر به اختلال در سیستمها شود زیاد است.
شرکت امنیتی FireEye توصیههایی را برای کاهش اثرات کرده است.
مخاطرات متداول مربوط به آسیبپذیریها، وصلهها و بروزرسانیها که مورد اول جدول است، شامل موارد زیر است:
• وجود رویههای نامکرر برای بروزرسانی ؛
• وجود firmware، سختافزار و سیستمعاملهای قدیمی در دستگاههای شبکه، دیوارهای آتش، مسیریابها، تجهیزات سختافزاری مانند کنترلکنندههای منطقی قابل برنامهریزی (PLC) و غیره؛
• وجود آسیبپذیری در نرمافزارها و تجهیزاتها و عدم اعمال وصلههای برطرفکننده آنها؛
• عدم وجود آزمونهای محیطی برای تحلیل وصلهها و بروزرسانیها، قبل از پیادهسازی آنها.
رویکردهای کاهش اثرات این مخاطرات:
• ایجاد یک استراتژی مدیریت جامع آسیبپذیری در ICS و درج رویههایی برای پیادهسازی وصلهها و بروزرسانیها روی دارایهای کلیدی در این استراتژی.
• در صورتی که وصله یا بروزرسانی برای برای زیر ساختهای کلیدی ارائه نشده باشد، یکی از دو مورد زیر انجام شود:
o داراییهای آسیبدیده در یک محیط امنیتی قرار داده شوند، برای مثال از یک دیوار آتش برای کنترل دسترسی و فیلتر ترافیک استفاده شود.
o دستگاههای آسیبدیده و قدیمی که ممکن است برای نفوذ به شبکه از آنها سوء استفاده شود را حذف کنید.
• سیستمهای توسعه یا آزمایشگاههایی برای دستگاههای در حال اجرا ICS و IT ایجاد شوند.
مخاطرات متداول مربوط به مدیریت دسترسی و شناسایی که مورد دوم جدول است، مربوط به نقصهایی است که درباره مدیریت گذرواژهها و اطلاعات احرازهویت میشود. این مخاطرات شامل موارد زیر است:
• نبود احرازهویت چند عاملی برای حسابهای بحرانی و دسترسی از راه دور؛
• نبود سیاست تعیین گذرواژه قوی و جامع (استفاده از گذرواژه٬های ضعیف، عدم تغییر مداوم گذرواژهها و تعیین یک گذرواژه برای چند حساب)؛
• نمایش گذرواژه٬ها؛
• وجود گذرواژههای پیشفرض و شناخته شده در دستگاهها؛
• استفاده از اطلاعات احرازهویت اشتراکی.
رویکردهای کاهش اثرات این مخاطرات:
• پیادهسازی احرازهویت دو عاملی؛
• جلوگیری از کپی گذرواژهها و نمایش آنها؛
• تعیین سیاست گذرواژه که ملزم به استفاده از گذرواژه قوی میکند؛
• عدم استفاده از نامهای کاربری متداول مانند admin، administer و غیره،
• جلوگیری از استفاده از حسابهای اشتراکی.
ادامه در آدرس زیر:
https://t.me/ics_cert/19
📌👈🏻برای آگاهی رسانی بیشتر, دیگر دوستانتان را نیز به عضویت کانال دعوت کنید.
https://t.me/ics_cert
پژوهشگران FireEye با تحلیل نتایج هزاران ارزیابی سلامت امنیت سیستمهای کنترل صنعتی (ICS)، فراگیرترین و پر اهمیتترین مخاطرات امنیتی در تسهیلات صنعتی را شناسایی کردند. این ارزیابیها توسط Mandiant، تیم مشاوره FireEye انجام شده است. اطلاعات از ارزیابیهایی که در چند سال گذشته انجام گرفته بدست آمده و از طیف گستردهای از صنایع از جمله تولید، معدن، خودرو، انرژی، شیمیایی، گاز طبیعی، و آب و برق، حاصل شده است. FireEye در گزارشی جزئیات این مخاطرات را ارائه کرده و بهترین شیوهها و توصیهها برای کاهش خطرات را بیان کرده است.
بررسی سلامت امنیت توسط Mandiant و آزمونهای نفوذ، ارزیابیهایی هستند که در محل و روی سیستمهای ICS و شبکه IT مشتریان انجام میشوند. در این راستا، Mandiant درک فنی از سیستم کنترل توسعه میدهد، نمودار شبکه سیستم کنترل را ایجاد میکند، تهدیدها و آسیبپذیریهای بالقوه را تحلیل میکند و با ارائه رویکردهای دفاعی اولویتبندی شده، به حفاظت از محیط صنعتی کمک میکند.
Mandiant مخاطرات را به چهار دسته (۱) بحرانی و با درجه اهمیت زیاد، (۲) با درجه اهمیت متوسط، (۳) با درجه اهمیت کم و (۴) جهت اطلاع یا informational تقسیم میکند. این ردهبندی با در نظر گرفتن اثرات آسیبپذیری یا خطر، که از طریق شناسایی نهادهای آسیبدیده و میزان صدمات بالقوه یک حمله شناسایی میشوند، و قابلیت بهرهبرداری از آسیبپذیری، که از طریق میزان سادگی شناسایی آسیبپذیری و انجام حمله و اندازه و سطح دسترسی گروه مهاجمین شناسایی میشود، تعیین میشوند.
بر اساس یافتههای FireEye، تقریبا ۳۳ درصد از مخاطرات امنیتی در محیطهای ICS بحرانی و با درجه اهمیت زیاد هستند. از این رو، وقوع حملات جدی که منجر به اختلال در سیستمها شود زیاد است.
شرکت امنیتی FireEye توصیههایی را برای کاهش اثرات کرده است.
مخاطرات متداول مربوط به آسیبپذیریها، وصلهها و بروزرسانیها که مورد اول جدول است، شامل موارد زیر است:
• وجود رویههای نامکرر برای بروزرسانی ؛
• وجود firmware، سختافزار و سیستمعاملهای قدیمی در دستگاههای شبکه، دیوارهای آتش، مسیریابها، تجهیزات سختافزاری مانند کنترلکنندههای منطقی قابل برنامهریزی (PLC) و غیره؛
• وجود آسیبپذیری در نرمافزارها و تجهیزاتها و عدم اعمال وصلههای برطرفکننده آنها؛
• عدم وجود آزمونهای محیطی برای تحلیل وصلهها و بروزرسانیها، قبل از پیادهسازی آنها.
رویکردهای کاهش اثرات این مخاطرات:
• ایجاد یک استراتژی مدیریت جامع آسیبپذیری در ICS و درج رویههایی برای پیادهسازی وصلهها و بروزرسانیها روی دارایهای کلیدی در این استراتژی.
• در صورتی که وصله یا بروزرسانی برای برای زیر ساختهای کلیدی ارائه نشده باشد، یکی از دو مورد زیر انجام شود:
o داراییهای آسیبدیده در یک محیط امنیتی قرار داده شوند، برای مثال از یک دیوار آتش برای کنترل دسترسی و فیلتر ترافیک استفاده شود.
o دستگاههای آسیبدیده و قدیمی که ممکن است برای نفوذ به شبکه از آنها سوء استفاده شود را حذف کنید.
• سیستمهای توسعه یا آزمایشگاههایی برای دستگاههای در حال اجرا ICS و IT ایجاد شوند.
مخاطرات متداول مربوط به مدیریت دسترسی و شناسایی که مورد دوم جدول است، مربوط به نقصهایی است که درباره مدیریت گذرواژهها و اطلاعات احرازهویت میشود. این مخاطرات شامل موارد زیر است:
• نبود احرازهویت چند عاملی برای حسابهای بحرانی و دسترسی از راه دور؛
• نبود سیاست تعیین گذرواژه قوی و جامع (استفاده از گذرواژه٬های ضعیف، عدم تغییر مداوم گذرواژهها و تعیین یک گذرواژه برای چند حساب)؛
• نمایش گذرواژه٬ها؛
• وجود گذرواژههای پیشفرض و شناخته شده در دستگاهها؛
• استفاده از اطلاعات احرازهویت اشتراکی.
رویکردهای کاهش اثرات این مخاطرات:
• پیادهسازی احرازهویت دو عاملی؛
• جلوگیری از کپی گذرواژهها و نمایش آنها؛
• تعیین سیاست گذرواژه که ملزم به استفاده از گذرواژه قوی میکند؛
• عدم استفاده از نامهای کاربری متداول مانند admin، administer و غیره،
• جلوگیری از استفاده از حسابهای اشتراکی.
ادامه در آدرس زیر:
https://t.me/ics_cert/19
📌👈🏻برای آگاهی رسانی بیشتر, دیگر دوستانتان را نیز به عضویت کانال دعوت کنید.
https://t.me/ics_cert
Telegram
ICS Cert
مخاطرات متداول مربوط به معماری و تقسیمبندی شبکه که مورد سوم جدول است، شانس گسترش بدافزار و دسترسی از راه دور مهاجم را افزایش میدهد. این مخاطرات شامل موارد زیر است:
• سیستمهای صنعتی از سیستمهای شرکت قابل دسترسی هستند. همچنین وجود آسیبپذیری در دستگاههای…
• سیستمهای صنعتی از سیستمهای شرکت قابل دسترسی هستند. همچنین وجود آسیبپذیری در دستگاههای…
🚨 کشف آسیب پذیری در تجهیزات SCADA LAquis
1. خلاصه
توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
فروشنده: LCDS - Leão Consultoria e Desenvolvimento de Sistemas Ltda ME
تجهیزات: SCADA LAquis
آسیب پذیری: اعتبار ورودی نامناسب، خواندن بدون حد مجاز، تزریق کد، نوشتن نامناسب اشاره گر، نوشتن بدون محدودیت، رسیدن مسیر نسبی، تزریق، استفاده از مجوزهای سخت افزاری، احراز هویت با استفاده از مسیر جایگزین یا کانال
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند به اجرای کد از راه دور، انفصال داده، یا ایجاد crash در سیستم منجر شود.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از LAquis SCADA، یک نرم افزار اتوماسیون صنعتی، تحت تاثیر قرار می گیرند:
SCADA 4.1.0.3870
3.2 مرور کلی
3.2.1 تایید ورودی IMPROPER CWE-20
باز کردن یک فایل قالب خاص گزارش شده به اجرای کد اسکریپت اجازه می دهد که ممکن است باعث اجرای کد از راه دور یا crash سیستم شود.
3.2.2 بیرون آمدن از CWE-125
ایجاد یک فایل پروژه خاص طراحی شده ممکن است باعث بیرون آمدن از read only شود، که ممکن است اجازه خروج داده ها را بدهد.
3.2.3 کنترل قابل ملاحظه تولید کد ('تزریق کد') CWE-94
ایجاد یک فایل پروژه به طور خاص ساخته شده ممکن است سبب کنترل نادرست تولید کد شود، که ممکن است به اجرای کد از راه دور، یا ایجاد crash سیستم منجر شود.
3.3 نقاط آسیب پذیر
☣️ بخش های بحرانی INFRASTRUCTURE: مواد شیمیایی، اماکن تجاری، انرژی، غذا و کشاورزی، سیستم های حمل و نقل، سیستم های آب و فاضلاب
⭕️ کشور / منطقه مورد تخریب: آمریکای جنوبی
⭕️ مکان های شرکت: برزیل
4. نحوه رفع مشکل
شرکت LCDS کاربران را به روز رسانی به نسخه 4.1.0.4150 توصیه می کند که می تواند در لینک زیر یافت شود:
https://laquisscada.com
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
✅ کانال @ics_cert همچنین توصیه می کند که کاربران اقدامات زیر را برای محافظت از خود در برابر حملات مهندسی اجتماعی انجام دهند:
1️⃣ روی پیوندهای وب کلیک نکنید یا پیوستهای ناخواسته را در پیامهای ایمیل باز نکنید.
2️⃣ برای کسب اطلاعات بیشتر در مورد جلوگیری از کلاهبرداری ایمیل، به تشخیص و جلوگیری از کلاهبرداری ایمیل مراجعه کنید.
3️⃣ برای اطلاعات بیشتر در مورد حملات مهندسی اجتماعی، به «اجتناب از مهندسی اجتماعی و حملات فیشینگ» مراجعه کنید.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
فروشنده: LCDS - Leão Consultoria e Desenvolvimento de Sistemas Ltda ME
تجهیزات: SCADA LAquis
آسیب پذیری: اعتبار ورودی نامناسب، خواندن بدون حد مجاز، تزریق کد، نوشتن نامناسب اشاره گر، نوشتن بدون محدودیت، رسیدن مسیر نسبی، تزریق، استفاده از مجوزهای سخت افزاری، احراز هویت با استفاده از مسیر جایگزین یا کانال
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند به اجرای کد از راه دور، انفصال داده، یا ایجاد crash در سیستم منجر شود.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از LAquis SCADA، یک نرم افزار اتوماسیون صنعتی، تحت تاثیر قرار می گیرند:
SCADA 4.1.0.3870
3.2 مرور کلی
3.2.1 تایید ورودی IMPROPER CWE-20
باز کردن یک فایل قالب خاص گزارش شده به اجرای کد اسکریپت اجازه می دهد که ممکن است باعث اجرای کد از راه دور یا crash سیستم شود.
3.2.2 بیرون آمدن از CWE-125
ایجاد یک فایل پروژه خاص طراحی شده ممکن است باعث بیرون آمدن از read only شود، که ممکن است اجازه خروج داده ها را بدهد.
3.2.3 کنترل قابل ملاحظه تولید کد ('تزریق کد') CWE-94
ایجاد یک فایل پروژه به طور خاص ساخته شده ممکن است سبب کنترل نادرست تولید کد شود، که ممکن است به اجرای کد از راه دور، یا ایجاد crash سیستم منجر شود.
3.3 نقاط آسیب پذیر
☣️ بخش های بحرانی INFRASTRUCTURE: مواد شیمیایی، اماکن تجاری، انرژی، غذا و کشاورزی، سیستم های حمل و نقل، سیستم های آب و فاضلاب
⭕️ کشور / منطقه مورد تخریب: آمریکای جنوبی
⭕️ مکان های شرکت: برزیل
4. نحوه رفع مشکل
شرکت LCDS کاربران را به روز رسانی به نسخه 4.1.0.4150 توصیه می کند که می تواند در لینک زیر یافت شود:
https://laquisscada.com
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
✅ کانال @ics_cert همچنین توصیه می کند که کاربران اقدامات زیر را برای محافظت از خود در برابر حملات مهندسی اجتماعی انجام دهند:
1️⃣ روی پیوندهای وب کلیک نکنید یا پیوستهای ناخواسته را در پیامهای ایمیل باز نکنید.
2️⃣ برای کسب اطلاعات بیشتر در مورد جلوگیری از کلاهبرداری ایمیل، به تشخیص و جلوگیری از کلاهبرداری ایمیل مراجعه کنید.
3️⃣ برای اطلاعات بیشتر در مورد حملات مهندسی اجتماعی، به «اجتناب از مهندسی اجتماعی و حملات فیشینگ» مراجعه کنید.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Laquisscada
SCADA software - LAquis - System
SCADA Software. Supervisory Control and Data Acquisition. LAquis. HMI design, monitoring, process control, customizable reports and applications development.
🚨 کشف آسیب پذیری در تجهیزات ControlByWeb X-320M
1. خلاصه
توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
فروشنده: ControlByWeb
تجهیزات: X-320M
آسیب پذیری: اعتبار نامناسب، اسکریپت Cross-site
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها ممکن است باعث اجرای کد دلخواه شود و می تواند باعث دسترسی دستگاه و نیاز به بازنشانی فیزیکی تنظیمات اولیه کارخانه برای بازگرداندن دستگاه به حالت عملیاتی شود.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر ControlByWeb X-320M، یک ایستگاه هواشناسی تحت وب تحت تاثیر قرار می گیرند:
نسخه X-320M-I Revision v1.05 و قبل از آن.
3.2 مرور کلی
3.2.1 گواهینامه IMPROPER CWE-287
ممکن است به یک مهاجم امکان دهد که باعث ایجاد شرایط انکار سرویس شود.
3.2.2 عدم اعتبار ورودی در هنگام ایجاد صفحات وب (CWS-CWE-79)
ممکن است اجازه اجرای کد دلخواه را بدهد.
3.3 نقاط آسیب پذیر
☣️ بخش های فناوری بحرانی: فناوری اطلاعات
⭕️ کشور / منطقه مورد تخریب: در سراسر جهان
⭕️ محل شرکت: ایالات متحده
3.4 پژوهشگر
جان آلدر و تام وستنبرگ از خطر کاربردی این آسیب پذیری ها را گزارش کردند.
4. نحوه رفع مشکل
شرکت ControlByWeb به روز رسانی سیستم عامل را برای رفع آسیب پذیری های موجود در X-320M منتشر کرده است که در لینک زیر قابل دسترس است:
https://www.controlbyweb.com/firmware/X320M_V1.06_firmware.zip
اطلاعات پشتیبانی ControlByWeb اضافی در لینک زیر قابل دسترس است:
https://www.controlbyweb.com/support/
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
فروشنده: ControlByWeb
تجهیزات: X-320M
آسیب پذیری: اعتبار نامناسب، اسکریپت Cross-site
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها ممکن است باعث اجرای کد دلخواه شود و می تواند باعث دسترسی دستگاه و نیاز به بازنشانی فیزیکی تنظیمات اولیه کارخانه برای بازگرداندن دستگاه به حالت عملیاتی شود.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر ControlByWeb X-320M، یک ایستگاه هواشناسی تحت وب تحت تاثیر قرار می گیرند:
نسخه X-320M-I Revision v1.05 و قبل از آن.
3.2 مرور کلی
3.2.1 گواهینامه IMPROPER CWE-287
ممکن است به یک مهاجم امکان دهد که باعث ایجاد شرایط انکار سرویس شود.
3.2.2 عدم اعتبار ورودی در هنگام ایجاد صفحات وب (CWS-CWE-79)
ممکن است اجازه اجرای کد دلخواه را بدهد.
3.3 نقاط آسیب پذیر
☣️ بخش های فناوری بحرانی: فناوری اطلاعات
⭕️ کشور / منطقه مورد تخریب: در سراسر جهان
⭕️ محل شرکت: ایالات متحده
3.4 پژوهشگر
جان آلدر و تام وستنبرگ از خطر کاربردی این آسیب پذیری ها را گزارش کردند.
4. نحوه رفع مشکل
شرکت ControlByWeb به روز رسانی سیستم عامل را برای رفع آسیب پذیری های موجود در X-320M منتشر کرده است که در لینک زیر قابل دسترس است:
https://www.controlbyweb.com/firmware/X320M_V1.06_firmware.zip
اطلاعات پشتیبانی ControlByWeb اضافی در لینک زیر قابل دسترس است:
https://www.controlbyweb.com/support/
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
🚨 کشف آسیب پذیری در تجهیزات ABB CP400 Panel Builder TextEditor 2.0
1. خلاصه
فروشنده: ABB
تجهیزات: CP400 Panel Builder TextEditor 2.0
آسیب پذیری: اعتبار ورودی نامناسب
2. ارزیابی خطر
با بهره برداری موفق از این آسیب پذیری ممکن است به یک مهاجم اجازه داده شود کد دلخواه را اجرا کند و یک مشکل انکار سرویس در نرم افزار ویرایشگر متن ایجاد کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر CP400PB، یک مجموعه نرم افزاری کنترل پنل، تحت تاثیر قرار می گیرند:
CP400PB، پنل ساز برای CP405 و CP408، نسخه 2.0.7.05 و قبل.
3.2 مرور کلی
3.2.1 تایید ورودی IMPROPER CWE-20
این برنامه حاوی یک آسیب پذیری در تجزیه کننده فایل ویرایشگر متن است که در آن برنامه به درستی از وارد کردن فایل های خاص ساخته شده جلوگیری نمی کند.
3.3 نقاط آسیب پذیر
⚠️ بخش های اصلی بحران : مواد شیمیایی، کارخانجات با رده حیاتی، سدها، انرژی، غذا و کشاورزی، آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت: سوئیس
3.4 پژوهشگر
ایوان سانچس از NullCode این آسیب پذیری را گزارش کرد.
4. نحوه رفع مشکل
شرکت ABB به کاربران نسخه های آسیب پذیر 2.0.7.05 و قبل از آن توصیه به روز رسانی به آخرین نسخه 2.1.7.21 می کند که می تواند در محل زیر دریافت شود:
https://new.abb.com/products/ABB1SAP500400R0001
برای اطلاعات بیشتر، ABBVU-IACT-3BSE091042 ABB را در لینک زیر مشاهده کنید:
امنیت - CP400 Panel Builder TextEditor 2.0، آسیب پذیری اعتبار ورودی نامناسب ABBVU-IACT-3BSE091042
شرکت ABB همچنین اقدامات امنیتی زیر و تنظیمات فایروال را برای حفاظت از شبکه های کنترل فرایند از حملات ناشی از خارج از شبکه توصیه می کند:
1️⃣ آموزش و ارتقای آگاهی آموزشی در مورد امنیت سایبری را برای کاربران انجام دهید یا تقویت کنید.
2️⃣ به دنبال توصیه های بهترین تمرین سایبری برای سیستم های کنترل صنعتی بروید.
3️⃣ توجه داشته باشید که ممکن است فایلهای پنل ساز با نرم افزارهای مخرب آلوده شوند.
4️⃣ مراقب فایل های غیر منتظره و / یا منابع غیر منتظره باشید.
5️⃣ هر گونه فایل انتقال یافته بین رایانه ها را دقیقا بررسی کنید و آنها را با نرم افزار ضد ویروس به روز نگه دارید تا فقط فایل های مجاز منتقل شوند.
🛑اطلاعات بیشتر در مورد اقدامات توصیه شده می تواند در مقاله امنیتی سیستم اتوماسیون صنعتی و سیستم های کنترل ABB - 3BSE032547 یافت شود.
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
✅ کانال @ics_cert همچنین توصیه می کند که کاربران اقدامات زیر را برای محافظت از خود در برابر حملات مهندسی اجتماعی انجام دهند:
1️⃣ روی پیوندهای وب کلیک نکنید یا پیوستهای ناخواسته را در پیامهای ایمیل باز نکنید.
2️⃣ برای کسب اطلاعات بیشتر در مورد جلوگیری از کلاهبرداری ایمیل، به تشخیص و جلوگیری از کلاهبرداری ایمیل مراجعه کنید.
3️⃣ برای اطلاعات بیشتر در مورد حملات مهندسی اجتماعی، به «اجتناب از مهندسی اجتماعی و حملات فیشینگ» مراجعه کنید.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
فروشنده: ABB
تجهیزات: CP400 Panel Builder TextEditor 2.0
آسیب پذیری: اعتبار ورودی نامناسب
2. ارزیابی خطر
با بهره برداری موفق از این آسیب پذیری ممکن است به یک مهاجم اجازه داده شود کد دلخواه را اجرا کند و یک مشکل انکار سرویس در نرم افزار ویرایشگر متن ایجاد کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر CP400PB، یک مجموعه نرم افزاری کنترل پنل، تحت تاثیر قرار می گیرند:
CP400PB، پنل ساز برای CP405 و CP408، نسخه 2.0.7.05 و قبل.
3.2 مرور کلی
3.2.1 تایید ورودی IMPROPER CWE-20
این برنامه حاوی یک آسیب پذیری در تجزیه کننده فایل ویرایشگر متن است که در آن برنامه به درستی از وارد کردن فایل های خاص ساخته شده جلوگیری نمی کند.
3.3 نقاط آسیب پذیر
⚠️ بخش های اصلی بحران : مواد شیمیایی، کارخانجات با رده حیاتی، سدها، انرژی، غذا و کشاورزی، آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت: سوئیس
3.4 پژوهشگر
ایوان سانچس از NullCode این آسیب پذیری را گزارش کرد.
4. نحوه رفع مشکل
شرکت ABB به کاربران نسخه های آسیب پذیر 2.0.7.05 و قبل از آن توصیه به روز رسانی به آخرین نسخه 2.1.7.21 می کند که می تواند در محل زیر دریافت شود:
https://new.abb.com/products/ABB1SAP500400R0001
برای اطلاعات بیشتر، ABBVU-IACT-3BSE091042 ABB را در لینک زیر مشاهده کنید:
امنیت - CP400 Panel Builder TextEditor 2.0، آسیب پذیری اعتبار ورودی نامناسب ABBVU-IACT-3BSE091042
شرکت ABB همچنین اقدامات امنیتی زیر و تنظیمات فایروال را برای حفاظت از شبکه های کنترل فرایند از حملات ناشی از خارج از شبکه توصیه می کند:
1️⃣ آموزش و ارتقای آگاهی آموزشی در مورد امنیت سایبری را برای کاربران انجام دهید یا تقویت کنید.
2️⃣ به دنبال توصیه های بهترین تمرین سایبری برای سیستم های کنترل صنعتی بروید.
3️⃣ توجه داشته باشید که ممکن است فایلهای پنل ساز با نرم افزارهای مخرب آلوده شوند.
4️⃣ مراقب فایل های غیر منتظره و / یا منابع غیر منتظره باشید.
5️⃣ هر گونه فایل انتقال یافته بین رایانه ها را دقیقا بررسی کنید و آنها را با نرم افزار ضد ویروس به روز نگه دارید تا فقط فایل های مجاز منتقل شوند.
🛑اطلاعات بیشتر در مورد اقدامات توصیه شده می تواند در مقاله امنیتی سیستم اتوماسیون صنعتی و سیستم های کنترل ABB - 3BSE032547 یافت شود.
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
✅ کانال @ics_cert همچنین توصیه می کند که کاربران اقدامات زیر را برای محافظت از خود در برابر حملات مهندسی اجتماعی انجام دهند:
1️⃣ روی پیوندهای وب کلیک نکنید یا پیوستهای ناخواسته را در پیامهای ایمیل باز نکنید.
2️⃣ برای کسب اطلاعات بیشتر در مورد جلوگیری از کلاهبرداری ایمیل، به تشخیص و جلوگیری از کلاهبرداری ایمیل مراجعه کنید.
3️⃣ برای اطلاعات بیشتر در مورد حملات مهندسی اجتماعی، به «اجتناب از مهندسی اجتماعی و حملات فیشینگ» مراجعه کنید.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Abb
ABB CP400PB
CP400PB, Panel Builder for CP405, CP408 CP400PB
🚨 کشف آسیب پذیری در تجهیزات Omron CX-Supervisor
1. خلاصه
توجه : سطح مهارت پایین برای بهره برداری
فروشنده: Omron
تجهیزات: CX-Supervisor
آسیب پذیری: تزریق کد، تزریق فرمان، اUse After Free, Type Confusion
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند منجر به denial-of-service و / یا اجازه مهاجم برای دستیابی به اجرای کد با امتیازات درون برنامه باشد.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر CX-Supervisor تحت تاثیر قرار می گیرند:
CX-Supervisor: نسخه های 3.42 و قبل
3.2 مرور کلی
3.2.1 کنترل قابل ملاحظه تولید کد ('تزریق کد') CWE-94
برنامه می تواند کد را که به یک فایل پروژه تزریق شده اجرا کند. مهاجم می تواند این را برای اجرای کد تحت امتیازات برنامه مورد استفاده قرار دهد.
3.2.2 خنثی سازی نامناسب عناصر خاصی که در کنترل استفاده می شود("تزریق") CWE-77
مهاجم می تواند دستورات را برای حذف فایل ها و / یا حذف محتویات یک فایل بر روی دستگاه از طریق یک فایل پروژه خاص طراحی شده تزریق کند.
3.2.3 خنثی سازی نامناسب عناصر خاصی که در کنترل استفاده می شود("تزریق") CWE-77
مهاجم می تواند دستورات را برای راه اندازی برنامه ها و ایجاد، نوشتن و خواندن فایل ها در دستگاه از طریق یک فایل پروژه خاص طراحی شده تزریق کند. مهاجم می تواند این را برای اجرای کد تحت امتیازات برنامه مورد استفاده قرار دهد.
3.2.4 بهره برداری پس از آزادی CWE-416
چندین بار پس از شناسایی آسیب پذیری های آزادی شناسایی شده اند. هنگام پردازش پرونده های پروژه، برنامه نتواند بررسی کند که آیا آن اشاره به حافظه آزاد شده است. یک مهاجم می تواند از یک فایل پروژه خاص ساخته شده برای استفاده و اجرای کد تحت امتیازات برنامه استفاده کند.
3.2.5 دسترسی منابع با استفاده از نوع غیرمستقیم (CONFUSION TYPE (CWE-843
هنگام پردازش پرونده های پروژه آسیب پذیری سردرگمی وجود دارد. یک مهاجم می تواند از یک فایل پروژه خاص ساخته شده برای استفاده و اجرای کد تحت امتیازات برنامه استفاده کند.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFRASTRUCTURE: انرژی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت: ژاپن
4. نحوه رفع مشکل
شرکت Omron نسخه 3.5.0.11 CX-Supervisor را برای رفع آسیب پذیری های گزارش شده منتشر کرده است. برای محافظت از، پروژه های توسعه باید ارتقا داده و ذخیره شده در فرمت جدید، و سپس در آخرین فرمت نسخه 3.5.0.11 بازسازی شود. اطلاعات مربوط به دانلود آخرین نسخه CX Supervisor را می توانید در آدرس زیر پیدا کنید:
https://www.myomron.com/index.php؟action=kb&article=1711
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
توجه : سطح مهارت پایین برای بهره برداری
فروشنده: Omron
تجهیزات: CX-Supervisor
آسیب پذیری: تزریق کد، تزریق فرمان، اUse After Free, Type Confusion
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند منجر به denial-of-service و / یا اجازه مهاجم برای دستیابی به اجرای کد با امتیازات درون برنامه باشد.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر CX-Supervisor تحت تاثیر قرار می گیرند:
CX-Supervisor: نسخه های 3.42 و قبل
3.2 مرور کلی
3.2.1 کنترل قابل ملاحظه تولید کد ('تزریق کد') CWE-94
برنامه می تواند کد را که به یک فایل پروژه تزریق شده اجرا کند. مهاجم می تواند این را برای اجرای کد تحت امتیازات برنامه مورد استفاده قرار دهد.
3.2.2 خنثی سازی نامناسب عناصر خاصی که در کنترل استفاده می شود("تزریق") CWE-77
مهاجم می تواند دستورات را برای حذف فایل ها و / یا حذف محتویات یک فایل بر روی دستگاه از طریق یک فایل پروژه خاص طراحی شده تزریق کند.
3.2.3 خنثی سازی نامناسب عناصر خاصی که در کنترل استفاده می شود("تزریق") CWE-77
مهاجم می تواند دستورات را برای راه اندازی برنامه ها و ایجاد، نوشتن و خواندن فایل ها در دستگاه از طریق یک فایل پروژه خاص طراحی شده تزریق کند. مهاجم می تواند این را برای اجرای کد تحت امتیازات برنامه مورد استفاده قرار دهد.
3.2.4 بهره برداری پس از آزادی CWE-416
چندین بار پس از شناسایی آسیب پذیری های آزادی شناسایی شده اند. هنگام پردازش پرونده های پروژه، برنامه نتواند بررسی کند که آیا آن اشاره به حافظه آزاد شده است. یک مهاجم می تواند از یک فایل پروژه خاص ساخته شده برای استفاده و اجرای کد تحت امتیازات برنامه استفاده کند.
3.2.5 دسترسی منابع با استفاده از نوع غیرمستقیم (CONFUSION TYPE (CWE-843
هنگام پردازش پرونده های پروژه آسیب پذیری سردرگمی وجود دارد. یک مهاجم می تواند از یک فایل پروژه خاص ساخته شده برای استفاده و اجرای کد تحت امتیازات برنامه استفاده کند.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFRASTRUCTURE: انرژی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت: ژاپن
4. نحوه رفع مشکل
شرکت Omron نسخه 3.5.0.11 CX-Supervisor را برای رفع آسیب پذیری های گزارش شده منتشر کرده است. برای محافظت از، پروژه های توسعه باید ارتقا داده و ذخیره شده در فرمت جدید، و سپس در آخرین فرمت نسخه 3.5.0.11 بازسازی شود. اطلاعات مربوط به دانلود آخرین نسخه CX Supervisor را می توانید در آدرس زیر پیدا کنید:
https://www.myomron.com/index.php؟action=kb&article=1711
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
🚨 کشف آسیب پذیری در تجهیزات Johnson Controls Facility Explorer
1. خلاصه
توجه: از راه دور قابل استفاده است
فروشنده: جانسون کنترل
تجهیزات: Facility Explorer
آسیب پذیری: مسیر عبور، اعتبار نامناسب
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند مهاجم را مجاز به خواندن، نوشتن و حذف فایل های حساس برای به دست آوردن امتیازات مدیر در سیستم Facility Explorer کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
تسهیلات اکسپلورر فن آوری Tridium Niagara را تحت تاثیر قرار می دهد که این آسیب پذیری ها را تحت تاثیر قرار می دهد. نسخه های زیر از Facility Explorer تحت تاثیر قرار می گیرند:
نسخه های 14.x قبل از 14.4u1، و
نسخه 6.x قبل از 6.6
3.2 مرور کلی
3.2.1 محدودیت قابل ملاحظه ای از یک PATHNAME به یک کتابخانه محدود شده ('TRAVERSAL PATH') CWE-22
یک آسیب پذیری مسیریابی مسیر وجود دارد که مهاجم می تواند در شرایط خاصی از اعتبار پلت فرم معتبر (سرپرست) برای دسترسی به یک فایل یا دایرکتوری خارج از محل محدود استفاده کند.
3.2.2 گواهینامه IMPROPER CWE-287
در شرایط خاص، مهاجم می تواند به پلت فرم محلی Facility Explorer با استفاده از یک نام حساب کاربری غیر فعال و یک کلمه عبور خالی وارد شود و دسترسی مدیر به سیستم Facility Explorer را به دست آورد.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFASTRUCTURE : کارخانجات حیاتی و حساس
⚠️ کشور / منطقه مورد تخریب : در سراسر جهان
⚠️ محل شرکت کشف : ایرلند
3.4 پژوهشگر
Tridium
4. نحوه رفع مشکل
شرکت Johnson Controls این آسیب پذیری ها را در نسخه های زیر کاهش داده است. کاربران باید به یکی از این نسخه های محصول ارتقاء دهند (FX14.6 توصیه می شود):
Facility Explorer 14.6 (منتشر شده در سپتامبر 2018)
Facility Explorer 14.4u1 (منتشر شد اوت 2018)
Facility Explorer 6.6 (منتشر شد اوت 2018)
برای کسب اطلاعات بیشتر، لطفا به امنیت جهانی محصولات امنیتی Johnson Control در https://www.johnsoncontrols.com/buildings/specialty-pages/product-security مراجعه کنید یا یک ایمیل به productsecurity@jci.com ارسال کنید
خدمات و پشتیبانی جانسون کنترل: https://www.johnsoncontrols.com/buildings/hvac-controls
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
توجه: از راه دور قابل استفاده است
فروشنده: جانسون کنترل
تجهیزات: Facility Explorer
آسیب پذیری: مسیر عبور، اعتبار نامناسب
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند مهاجم را مجاز به خواندن، نوشتن و حذف فایل های حساس برای به دست آوردن امتیازات مدیر در سیستم Facility Explorer کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
تسهیلات اکسپلورر فن آوری Tridium Niagara را تحت تاثیر قرار می دهد که این آسیب پذیری ها را تحت تاثیر قرار می دهد. نسخه های زیر از Facility Explorer تحت تاثیر قرار می گیرند:
نسخه های 14.x قبل از 14.4u1، و
نسخه 6.x قبل از 6.6
3.2 مرور کلی
3.2.1 محدودیت قابل ملاحظه ای از یک PATHNAME به یک کتابخانه محدود شده ('TRAVERSAL PATH') CWE-22
یک آسیب پذیری مسیریابی مسیر وجود دارد که مهاجم می تواند در شرایط خاصی از اعتبار پلت فرم معتبر (سرپرست) برای دسترسی به یک فایل یا دایرکتوری خارج از محل محدود استفاده کند.
3.2.2 گواهینامه IMPROPER CWE-287
در شرایط خاص، مهاجم می تواند به پلت فرم محلی Facility Explorer با استفاده از یک نام حساب کاربری غیر فعال و یک کلمه عبور خالی وارد شود و دسترسی مدیر به سیستم Facility Explorer را به دست آورد.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFASTRUCTURE : کارخانجات حیاتی و حساس
⚠️ کشور / منطقه مورد تخریب : در سراسر جهان
⚠️ محل شرکت کشف : ایرلند
3.4 پژوهشگر
Tridium
4. نحوه رفع مشکل
شرکت Johnson Controls این آسیب پذیری ها را در نسخه های زیر کاهش داده است. کاربران باید به یکی از این نسخه های محصول ارتقاء دهند (FX14.6 توصیه می شود):
Facility Explorer 14.6 (منتشر شده در سپتامبر 2018)
Facility Explorer 14.4u1 (منتشر شد اوت 2018)
Facility Explorer 6.6 (منتشر شد اوت 2018)
برای کسب اطلاعات بیشتر، لطفا به امنیت جهانی محصولات امنیتی Johnson Control در https://www.johnsoncontrols.com/buildings/specialty-pages/product-security مراجعه کنید یا یک ایمیل به productsecurity@jci.com ارسال کنید
خدمات و پشتیبانی جانسون کنترل: https://www.johnsoncontrols.com/buildings/hvac-controls
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Johnson Controls
Product Security
Johnson Controls tracks, identifies and proactively addresses ever-evolving cybersecurity threats every day – it’s a top priority. This commitment is reflected in our technology innovations and continual product development to keep building management systems…