شرکت Schneider Electric هشدار می دهد که آسیب پذیری های متعددی در محصولات پارکینگ EVLink شامل آسیب پذیری "بحرانی" وجود دارد.

طبق اعلامیه امنیتی 20 دسامبر صادر شده توسط شرکت، آسیب پذیری بحرانی توسط اعتبار های سخت افزاری ایجاد شده است که به مهاجم امکان دسترسی به دستگاه را می دهد.

Schneider Electric همچنین یک آسیب پذیری تزریقی دارای رتبه بالا با نام "High" را نشان داد که می توانست به مهاجم اجازه دسترسی به دستگاه و همچنین آسیب پذیری SQL Injection rated "Medium" را بدهد که می توانست با دسترسی کامل به رابط وب دسترسی داشته باشد.

آسیب پذیری ها EVLink Parking v3.2.0-12_v1 و نسخه های قبلی را تحت تاثیر قرار می دهند و محققان قبلا یک پچ برای رفع اشکالات منتشر کرده اند. کاربران همچنین می توانند یک فایروال را برای جلوگیری از دسترسی از راه دور یا خارجی به جز توسط کاربران مجاز به عنوان یک راه حل یا مقابله با آن برای کاهش خطر و بهترین شیوه ها که همیشه توصیه می شود، تنظیم کنند.
مستند فنی آسیب پذیری:
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2018-354-01-EVLink.pdf&p_Doc_Ref=SEVD-2018-354-01
وصله رفع آسیب پذیری:
https://www.scmagazine.com/?s=patch+tuesday
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

مرور گذشته:
استاکس نت چگونه و از طریق کدام شرکتها وارد تاسیسات انرژی اتمی ایران شد؟
منبع: کسپراسکس
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

انتخاب کابل های VGA محافظ یا DisplayPort برای مقابله با حملات #TEMPEST
(تصاویر HDMI یا DVI به راحتی از سیگنال ها بازسازی می شوند)
نمونه ای از بازسازی و کپی تصاویر را در تصویر بالا ببینید.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

بررسی مقاله درخصوص نحوه شکل گیری ایده بدافزار استاکس نت با عنوان "استاکس نت یک سلاح بود، نه یک باینری"
این مقاله به مسئله لوء رفتن فعالیت هسته ای ایران توسط منافقین، شروع درگیری میان سرویس های اطلاعاتی و امنیتی ایران و آمریکا و همچنین چرایی طراحی استاکس نت پرداخته شده است

لینک : https://medium.com/@MKahsari/stuxnet-was-a-weapon-not-a-binary-340ef6bf6ede

نویسنده مقاله:میلاد کهساری

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

آسیب پذیری در محصولات Emerson DeltaV
1.شرکت امرسون آسیب پذیری بالا را با سطح مهارت پایین برای بهره برداری از ایستگاه های توزیع کنترل شده DeltaV شناسایی و معرفی کرد. Emerson وصله هایی برای رفع آسیب پذیری گزارش شده منتشر کرده است.
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند به مهاجم اجازه دهد سرویس را خاتمه دهد و منجر به انکار سرویس شود.
3. مشخصات فنی
3.1 محصولات آسیب دیده
امرسون گزارش می دهد که آسیب پذیری محصولات DeltaV Distributed Control System Workstations تحت تاثیر قرار می گیرد:
DeltaV DCS نسخه های 11.3.1، 11.3.2، 12.3.1، 13.3.1، 14.3، R5.1، R6 و قبل.
3.2 بررسی وضعیت پذیرش
3.2.1 AUTHENTICATION BYPASS CWE-307
یک اسکریپت مخصوص به کار رفته می تواند از تأیید اعتبار یک پورت نگهداری یک سرویس عبور کند، که ممکن است به مهاجم امکان دهد که منع خدمات را ایجاد کند.
شماره شناسایی CVE-2018-19021 به این آسیب پذیری اختصاص داده شده است.
۳.۳ پیش زمینه
بخش های بسیار بحرانی: صنایع شیمیایی، صنایع حیاتی، صنایع انرژی
کشور / منطقه مورد تخریب: در سراسر جهان
مکان شرکت شناسایی شده: ایالات متحده
4. راهکار
شرکت Emerson توصیه هایی برای کاربران محصولات زیر ارایه می‌دهد:
DeltaV DCS نسخه های 11.3.1، 11.3.2، 12.3.1، 13.3.1، 14.3، R5.1، و R6
وصله های نرم افزاری برای کاربران با دسترسی به پورتال پشتیبانی امرسون گاردین در دسترس هستند
https://guardian.emersonprocess.com/
برای اطلاعات بیشتر، لطفا به مقاله برای این آسیب پذیری در وب سایت Emerson مراجعه کنید.
برای محدود کردن قرار گرفتن در معرض این و دیگر آسیب پذیری ها، امرسون توصیه می کند که سیستم های DeltaV و اجزای مربوطه به عنوان راهنمای امنیتی DeltaV شرح داده شده است که می تواند در Portal Support Guardian Emerson پیدا شود.
کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری انجام دهند. به طور خاص، کاربران باید:
به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.

کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber ​​به طور قابل توجهی در دسترس است.

سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری را هدف قرار نمی دهد. این آسیب پذیری از یک شبکه مجاور بهره برداری می شود.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

متداول‌ترین مخاطرات امنیتی در ICS و رویکردهای کاهش اثر آن‌ها
پژوهشگران FireEye با تحلیل نتایج هزاران ارزیابی سلامت امنیت سیستم‌های کنترل صنعتی (ICS)، فراگیرترین و پر اهمیت‌ترین مخاطرات امنیتی در تسهیلات صنعتی را شناسایی کردند. این ارزیابی‌ها توسط Mandiant، تیم مشاوره FireEye انجام شده است. اطلاعات از ارزیابی‌هایی که در چند سال گذشته انجام گرفته بدست آمده و از طیف گستردهای از صنایع از جمله تولید، معدن، خودرو، انرژی، شیمیایی، گاز طبیعی، و آب و برق، حاصل شده است. FireEye در گزارشی جزئیات این مخاطرات را ارائه کرده و بهترین شیوه‌ها و توصیه‌ها برای کاهش خطرات را بیان کرده است.
بررسی سلامت امنیت توسط Mandiant و آزمون‌های نفوذ، ارزیابی‌هایی هستند که در محل و روی سیستم‌های ICS و شبکه IT مشتریان انجام می‌شوند. در این راستا، Mandiant درک فنی از سیستم کنترل توسعه می‌دهد، نمودار شبکه سیستم کنترل را ایجاد می‌کند، تهدیدها و آسیب‌پذیری‌های بالقوه را تحلیل می‌کند و با ارائه رویکردهای دفاعی اولویت‌بندی شده، به حفاظت از محیط صنعتی کمک می‌کند.
Mandiant مخاطرات را به چهار دسته (۱) بحرانی و با درجه اهمیت زیاد، (۲) با درجه اهمیت متوسط، (۳) با درجه اهمیت کم و (۴) جهت اطلاع یا informational تقسیم می‌کند. این رده‌بندی با در نظر گرفتن اثرات آسیب‌پذیری یا خطر، که از طریق شناسایی نهادهای آسیب‌دیده و میزان صدمات بالقوه یک حمله شناسایی می‌شوند، و قابلیت بهره‌برداری از آسیب‌پذیری، که از طریق میزان سادگی شناسایی آسیب‌پذیری و انجام حمله و اندازه و سطح دسترسی گروه مهاجمین شناسایی می‌شود، تعیین می‌شوند.
بر اساس یافته‌های FireEye، تقریبا ۳۳ درصد از مخاطرات امنیتی در محیط‌های ICS بحرانی و با درجه اهمیت زیاد هستند. از این رو، وقوع حملات جدی که منجر به اختلال در سیستم‌ها شود زیاد است.
شرکت امنیتی FireEye توصیه‌هایی را برای کاهش اثرات کرده است.
مخاطرات متداول مربوط به آسیب‌پذیری‌ها، وصله‌ها و بروزرسانی‌ها که مورد اول جدول است، شامل موارد زیر است:
• وجود رویه‌های نامکرر برای بروزرسانی ؛
• وجود firmware، سخت‌افزار و سیستم‌عامل‌های قدیمی در دستگاه‌های شبکه، دیوارهای آتش، مسیریاب‌ها، تجهیزات سخت‌افزاری مانند کنترل‌کننده‌های منطقی قابل برنامه‌ریزی (PLC) و غیره؛
• وجود آسیب‌پذیری در نرم‌افزارها و تجهیزات‌ها و عدم اعمال وصله‌های برطرف‌کننده آن‌ها؛
• عدم وجود آزمون‌های محیطی برای تحلیل وصله‌ها و بروزرسانی‌ها، قبل از پیاده‌سازی آن‌ها.

رویکردهای کاهش اثرات این مخاطرات:
• ایجاد یک استراتژی مدیریت جامع آسیب‌پذیری در ICS و درج رویه‌هایی برای پیاده‌سازی وصله‌ها و بروزرسانی‌ها روی دارای‌های کلیدی در این استراتژی.
• در صورتی که وصله یا بروزرسانی برای برای زیر ساخت‌های کلیدی ارائه نشده باشد، یکی از دو مورد زیر انجام شود:
o داراییهای آسیب‌دیده در یک محیط امنیتی قرار داده شوند، برای مثال از یک دیوار آتش برای کنترل دسترسی و فیلتر ترافیک استفاده شود.
o دستگاه‌های آسیب‌دیده و قدیمی که ممکن است برای نفوذ به شبکه از آنها سوء استفاده شود را حذف کنید.
• سیستم‌های توسعه یا آزمایشگاه‌هایی برای دستگاه‌های در حال اجرا ICS و IT ایجاد شوند.

مخاطرات متداول مربوط به مدیریت دسترسی و شناسایی که مورد دوم جدول است، مربوط به نقص‌هایی است که درباره مدیریت گذرواژه‌ها و اطلاعات احرازهویت می‌شود. این مخاطرات شامل موارد زیر است:
• نبود احرازهویت چند عاملی برای حساب‌های بحرانی و دسترسی از راه دور؛
• نبود سیاست تعیین گذرواژه قوی و جامع (استفاده از گذرواژه٬های ضعیف، عدم تغییر مداوم گذرواژه‌ها و تعیین یک گذرواژه برای چند حساب)؛
• نمایش گذرواژه٬ها؛
• وجود گذرواژههای پیشفرض و شناخته شده در دستگاه‌ها؛
• استفاده از اطلاعات احرازهویت اشتراکی.

رویکردهای کاهش اثرات این مخاطرات:
• پیاده‌سازی احرازهویت دو عاملی؛
• جلوگیری از کپی گذرواژه‌ها و نمایش آن‌ها؛
• تعیین سیاست گذرواژه که ملزم به استفاده از گذرواژه قوی می‌کند؛
• عدم استفاده از نام‌های کاربری متداول مانند admin، administer و غیره،
• جلوگیری از استفاده از حساب‌های اشتراکی.
ادامه در آدرس زیر:
https://t.me/ics_cert/19
📌👈🏻برای آگاهی رسانی بیشتر, دیگر دوستانتان را نیز به عضویت کانال دعوت کنید.
https://t.me/ics_cert

🚨 کشف آسیب پذیری در تجهیزات SCADA LAquis
1. خلاصه

توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
فروشنده: LCDS - Leão Consultoria e Desenvolvimento de Sistemas Ltda ME
تجهیزات: SCADA LAquis
آسیب پذیری: اعتبار ورودی نامناسب، خواندن بدون حد مجاز، تزریق کد، نوشتن نامناسب اشاره گر، نوشتن بدون محدودیت، رسیدن مسیر نسبی، تزریق، استفاده از مجوزهای سخت افزاری، احراز هویت با استفاده از مسیر جایگزین یا کانال

2. ارزیابی خطر

بهره برداری موفق از این آسیب پذیری ها می تواند به اجرای کد از راه دور، انفصال داده، یا ایجاد crash در سیستم منجر شود.

3. مشخصات فنی
3.1 محصولات آسیب دیده

نسخه های زیر از LAquis SCADA، یک نرم افزار اتوماسیون صنعتی، تحت تاثیر قرار می گیرند:
SCADA 4.1.0.3870

3.2 مرور کلی
3.2.1 تایید ورودی IMPROPER CWE-20

باز کردن یک فایل قالب خاص گزارش شده به اجرای کد اسکریپت اجازه می دهد که ممکن است باعث اجرای کد از راه دور یا crash سیستم شود.

3.2.2 بیرون آمدن از CWE-125

ایجاد یک فایل پروژه خاص طراحی شده ممکن است باعث بیرون آمدن از read only شود، که ممکن است اجازه خروج داده ها را بدهد.

3.2.3 کنترل قابل ملاحظه تولید کد ('تزریق کد') CWE-94

ایجاد یک فایل پروژه به طور خاص ساخته شده ممکن است سبب کنترل نادرست تولید کد شود، که ممکن است به اجرای کد از راه دور، یا ایجاد crash سیستم منجر شود.

3.3 نقاط آسیب پذیر

☣️ بخش های بحرانی INFRASTRUCTURE: مواد شیمیایی، اماکن تجاری، انرژی، غذا و کشاورزی، سیستم های حمل و نقل، سیستم های آب و فاضلاب
⭕️ کشور / منطقه مورد تخریب: آمریکای جنوبی
⭕️ مکان های شرکت: برزیل

4. نحوه رفع مشکل

شرکت LCDS کاربران را به روز رسانی به نسخه 4.1.0.4150 توصیه می کند که می تواند در لینک زیر یافت شود:

https://laquisscada.com

✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.

✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber ​​به طور قابل توجهی در دسترس است.

سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.

✅ کانال @ics_cert همچنین توصیه می کند که کاربران اقدامات زیر را برای محافظت از خود در برابر حملات مهندسی اجتماعی انجام دهند:

1️⃣ روی پیوندهای وب کلیک نکنید یا پیوستهای ناخواسته را در پیامهای ایمیل باز نکنید.
2️⃣ برای کسب اطلاعات بیشتر در مورد جلوگیری از کلاهبرداری ایمیل، به تشخیص و جلوگیری از کلاهبرداری ایمیل مراجعه کنید.
3️⃣ برای اطلاعات بیشتر در مورد حملات مهندسی اجتماعی، به «اجتناب از مهندسی اجتماعی و حملات فیشینگ» مراجعه کنید.

🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

🚨 کشف آسیب پذیری در تجهیزات ControlByWeb X-320M

1. خلاصه
توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
فروشنده: ControlByWeb
تجهیزات: X-320M
آسیب پذیری: اعتبار نامناسب، اسکریپت Cross-site

2. ارزیابی خطر

بهره برداری موفق از این آسیب پذیری ها ممکن است باعث اجرای کد دلخواه شود و می تواند باعث دسترسی دستگاه و نیاز به بازنشانی فیزیکی تنظیمات اولیه کارخانه برای بازگرداندن دستگاه به حالت عملیاتی شود.
3. مشخصات فنی
3.1 محصولات آسیب دیده

نسخه های زیر ControlByWeb X-320M، یک ایستگاه هواشناسی تحت وب تحت تاثیر قرار می گیرند:

نسخه X-320M-I Revision v1.05 و قبل از آن.

3.2 مرور کلی
3.2.1 گواهینامه IMPROPER CWE-287

ممکن است به یک مهاجم امکان دهد که باعث ایجاد شرایط انکار سرویس شود.

3.2.2 عدم اعتبار ورودی در هنگام ایجاد صفحات وب (CWS-CWE-79)

ممکن است اجازه اجرای کد دلخواه را بدهد.

3.3 نقاط آسیب پذیر

☣️ بخش های فناوری بحرانی: فناوری اطلاعات
⭕️ کشور / منطقه مورد تخریب: در سراسر جهان
⭕️ محل شرکت: ایالات متحده

3.4 پژوهشگر

جان آلدر و تام وستنبرگ از خطر کاربردی این آسیب پذیری ها را گزارش کردند.

4. نحوه رفع مشکل
شرکت ControlByWeb به روز رسانی سیستم عامل را برای رفع آسیب پذیری های موجود در X-320M منتشر کرده است که در لینک زیر قابل دسترس است:

https://www.controlbyweb.com/firmware/X320M_V1.06_firmware.zip

اطلاعات پشتیبانی ControlByWeb اضافی در لینک زیر قابل دسترس است:

https://www.controlbyweb.com/support/

✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.

✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber ​​به طور قابل توجهی در دسترس است.

سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.

🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

🚨 کشف آسیب پذیری در تجهیزات ABB CP400 Panel Builder TextEditor 2.0

1. خلاصه
فروشنده: ABB
تجهیزات: CP400 Panel Builder TextEditor 2.0
آسیب پذیری: اعتبار ورودی نامناسب

2. ارزیابی خطر

با بهره برداری موفق از این آسیب پذیری ممکن است به یک مهاجم اجازه داده شود کد دلخواه را اجرا کند و یک مشکل انکار سرویس در نرم افزار ویرایشگر متن ایجاد کند.

3. مشخصات فنی
3.1 محصولات آسیب دیده

نسخه های زیر CP400PB، یک مجموعه نرم افزاری کنترل پنل، تحت تاثیر قرار می گیرند:

CP400PB، پنل ساز برای CP405 و CP408، نسخه 2.0.7.05 و قبل.

3.2 مرور کلی
3.2.1 تایید ورودی IMPROPER CWE-20

این برنامه حاوی یک آسیب پذیری در تجزیه کننده فایل ویرایشگر متن است که در آن برنامه به درستی از وارد کردن فایل های خاص ساخته شده جلوگیری نمی کند.
3.3 نقاط آسیب پذیر
⚠️ بخش های اصلی بحران : مواد شیمیایی، کارخانجات با رده حیاتی، سدها، انرژی، غذا و کشاورزی، آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت: سوئیس

3.4 پژوهشگر

ایوان سانچس از NullCode این آسیب پذیری را گزارش کرد.

4. نحوه رفع مشکل

شرکت ABB به کاربران نسخه های آسیب پذیر 2.0.7.05 و قبل از آن توصیه به روز رسانی به آخرین نسخه 2.1.7.21 می کند که می تواند در محل زیر دریافت شود:

https://new.abb.com/products/ABB1SAP500400R0001

برای اطلاعات بیشتر، ABBVU-IACT-3BSE091042 ABB را در لینک زیر مشاهده کنید:

امنیت - CP400 Panel Builder TextEditor 2.0، آسیب پذیری اعتبار ورودی نامناسب ABBVU-IACT-3BSE091042

شرکت ABB همچنین اقدامات امنیتی زیر و تنظیمات فایروال را برای حفاظت از شبکه های کنترل فرایند از حملات ناشی از خارج از شبکه توصیه می کند:

1️⃣ آموزش و ارتقای آگاهی آموزشی در مورد امنیت سایبری را برای کاربران انجام دهید یا تقویت کنید.
2️⃣ به دنبال توصیه های بهترین تمرین سایبری برای سیستم های کنترل صنعتی بروید.
3️⃣ توجه داشته باشید که ممکن است فایلهای پنل ساز با نرم افزارهای مخرب آلوده شوند.
4️⃣ مراقب فایل های غیر منتظره و / یا منابع غیر منتظره باشید.
5️⃣ هر گونه فایل انتقال یافته بین رایانه ها را دقیقا بررسی کنید و آنها را با نرم افزار ضد ویروس به روز نگه دارید تا فقط فایل های مجاز منتقل شوند.

🛑اطلاعات بیشتر در مورد اقدامات توصیه شده می تواند در مقاله امنیتی سیستم اتوماسیون صنعتی و سیستم های کنترل ABB - 3BSE032547 یافت شود.

✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.

✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber ​​به طور قابل توجهی در دسترس است.

🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.

✅ کانال @ics_cert همچنین توصیه می کند که کاربران اقدامات زیر را برای محافظت از خود در برابر حملات مهندسی اجتماعی انجام دهند:

1️⃣ روی پیوندهای وب کلیک نکنید یا پیوستهای ناخواسته را در پیامهای ایمیل باز نکنید.
2️⃣ برای کسب اطلاعات بیشتر در مورد جلوگیری از کلاهبرداری ایمیل، به تشخیص و جلوگیری از کلاهبرداری ایمیل مراجعه کنید.
3️⃣ برای اطلاعات بیشتر در مورد حملات مهندسی اجتماعی، به «اجتناب از مهندسی اجتماعی و حملات فیشینگ» مراجعه کنید.

🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

🚨 کشف آسیب پذیری در تجهیزات Omron CX-Supervisor

1. خلاصه

توجه : سطح مهارت پایین برای بهره برداری
فروشنده: Omron
تجهیزات: CX-Supervisor
آسیب پذیری: تزریق کد، تزریق فرمان، اUse After Free, Type Confusion

2. ارزیابی خطر

بهره برداری موفق از این آسیب پذیری ها می تواند منجر به denial-of-service و / یا اجازه مهاجم برای دستیابی به اجرای کد با امتیازات درون برنامه باشد.

3. مشخصات فنی
3.1 محصولات آسیب دیده

نسخه های زیر CX-Supervisor تحت تاثیر قرار می گیرند:

CX-Supervisor: نسخه های 3.42 و قبل

3.2 مرور کلی

3.2.1 کنترل قابل ملاحظه تولید کد ('تزریق کد') CWE-94

برنامه می تواند کد را که به یک فایل پروژه تزریق شده اجرا کند. مهاجم می تواند این را برای اجرای کد تحت امتیازات برنامه مورد استفاده قرار دهد.

3.2.2 خنثی سازی نامناسب عناصر خاصی که در کنترل استفاده می شود("تزریق") CWE-77

مهاجم می تواند دستورات را برای حذف فایل ها و / یا حذف محتویات یک فایل بر روی دستگاه از طریق یک فایل پروژه خاص طراحی شده تزریق کند.

3.2.3 خنثی سازی نامناسب عناصر خاصی که در کنترل استفاده می شود("تزریق") CWE-77

مهاجم می تواند دستورات را برای راه اندازی برنامه ها و ایجاد، نوشتن و خواندن فایل ها در دستگاه از طریق یک فایل پروژه خاص طراحی شده تزریق کند. مهاجم می تواند این را برای اجرای کد تحت امتیازات برنامه مورد استفاده قرار دهد.

3.2.4 بهره برداری پس از آزادی CWE-416

چندین بار پس از شناسایی آسیب پذیری های آزادی شناسایی شده اند. هنگام پردازش پرونده های پروژه، برنامه نتواند بررسی کند که آیا آن اشاره به حافظه آزاد شده است. یک مهاجم می تواند از یک فایل پروژه خاص ساخته شده برای استفاده و اجرای کد تحت امتیازات برنامه استفاده کند.

3.2.5 دسترسی منابع با استفاده از نوع غیرمستقیم (CONFUSION TYPE (CWE-843

هنگام پردازش پرونده های پروژه آسیب پذیری سردرگمی وجود دارد. یک مهاجم می تواند از یک فایل پروژه خاص ساخته شده برای استفاده و اجرای کد تحت امتیازات برنامه استفاده کند.

3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFRASTRUCTURE: انرژی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت: ژاپن

4. نحوه رفع مشکل

شرکت Omron نسخه 3.5.0.11 CX-Supervisor را برای رفع آسیب پذیری های گزارش شده منتشر کرده است. برای محافظت از، پروژه های توسعه باید ارتقا داده و ذخیره شده در فرمت جدید، و سپس در آخرین فرمت نسخه 3.5.0.11 بازسازی شود. اطلاعات مربوط به دانلود آخرین نسخه CX Supervisor را می توانید در آدرس زیر پیدا کنید:

https://www.myomron.com/index.php؟action=kb&article=1711

✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.

✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber ​​به طور قابل توجهی در دسترس است.

🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.

🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

🚨 کشف آسیب پذیری در تجهیزات Johnson Controls Facility Explorer

1. خلاصه

توجه: از راه دور قابل استفاده است
فروشنده: جانسون کنترل
تجهیزات: Facility Explorer
آسیب پذیری: مسیر عبور، اعتبار نامناسب

2. ارزیابی خطر

بهره برداری موفق از این آسیب پذیری ها می تواند مهاجم را مجاز به خواندن، نوشتن و حذف فایل های حساس برای به دست آوردن امتیازات مدیر در سیستم Facility Explorer کند.

3. مشخصات فنی
3.1 محصولات آسیب دیده

تسهیلات اکسپلورر فن آوری Tridium Niagara را تحت تاثیر قرار می دهد که این آسیب پذیری ها را تحت تاثیر قرار می دهد. نسخه های زیر از Facility Explorer تحت تاثیر قرار می گیرند:

نسخه های 14.x قبل از 14.4u1، و
نسخه 6.x قبل از 6.6

3.2 مرور کلی

3.2.1 محدودیت قابل ملاحظه ای از یک PATHNAME به یک کتابخانه محدود شده ('TRAVERSAL PATH') CWE-22

یک آسیب پذیری مسیریابی مسیر وجود دارد که مهاجم می تواند در شرایط خاصی از اعتبار پلت فرم معتبر (سرپرست) برای دسترسی به یک فایل یا دایرکتوری خارج از محل محدود استفاده کند.

3.2.2 گواهینامه IMPROPER CWE-287

در شرایط خاص، مهاجم می تواند به پلت فرم محلی Facility Explorer با استفاده از یک نام حساب کاربری غیر فعال و یک کلمه عبور خالی وارد شود و دسترسی مدیر به سیستم Facility Explorer را به دست آورد.

3.3 نقاط آسیب پذیر:

⚠️ بخش های بحرانی INFASTRUCTURE : کارخانجات حیاتی و حساس
⚠️ کشور / منطقه مورد تخریب : در سراسر جهان
⚠️ محل شرکت کشف : ایرلند

3.4 پژوهشگر

Tridium
4. نحوه رفع مشکل

شرکت Johnson Controls این آسیب پذیری ها را در نسخه های زیر کاهش داده است. کاربران باید به یکی از این نسخه های محصول ارتقاء دهند (FX14.6 توصیه می شود):

Facility Explorer 14.6 (منتشر شده در سپتامبر 2018)
Facility Explorer 14.4u1 (منتشر شد اوت 2018)
Facility Explorer 6.6 (منتشر شد اوت 2018)

برای کسب اطلاعات بیشتر، لطفا به امنیت جهانی محصولات امنیتی Johnson Control در https://www.johnsoncontrols.com/buildings/specialty-pages/product-security مراجعه کنید یا یک ایمیل به productsecurity@jci.com ارسال کنید

خدمات و پشتیبانی جانسون کنترل: https://www.johnsoncontrols.com/buildings/hvac-controls

✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.

✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber ​​به طور قابل توجهی در دسترس است.

🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.

🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

🚨 کشف آسیب پذیری در تجهیزات مانیتوریگ پزشکی Dräger Infinity Delta

1. خلاصه :
توجه: سطح مهارت پایین برای بهره برداری
فروشنده: Dräger
تجهیزات: Dräger Infinity Delta
آسیب پذیری: معتبر بودن ورودی نامناسب، افشای اطلاعات از طریق فایل های ورودی، مدیریت مجاز نامناسب

2. ارزیابی خطر

بهره برداری موفق از این آسیب پذیری ها می تواند منجر به افشای اطلاعات از logs دستگاه، انکار سرویس از طریق راه اندازی مجدد دستگاه از مانیتور بیمار و افزایش امتیاز شود.

3. مشخصات فنی

3.1 محصولات آسیب پذیر

نسخه های زیر دستگاه های مراقبت از بیماران Dräger دستگاه های پزشکی تحت تاثیر قرار می گیرند:

الف- Dräger Infinity Delta، تمام نسخه ها
ب- Delta XL، تمام نسخه ها
پ- Kappa، تمام نسخه، و
ت- Infinity Explorer C700، تمام نسخه ها.

3.2 مرور کلی

3.2.1 تایید ورودی IMPROPER CWE-20

یک بسته شبکه ی ناقص ممکن است مانیتور را مجددا راه اندازی کند. با ارسال مکرر بسته ی شبکه ی ناقص، مهاجم ممکن است بتواند مانع از نظارت بر بیمار شود، چرا که مانیتور را به طور مکرر راه اندازی مجدد می کند تا زمانی که به تنظیمات پیش فرض بازگردد و اتصال شبکه را قطع کند.

3.2.2 محدوده اطلاعات از طریق پرونده های ورود به سیستم CWE-532

فایل های ورودی بر روی یک اتصال شبکه نامعتبر قابل دسترسی هستند. با دسترسی به فایل های log، مهاجم می تواند بینش های مربوط به درون مانیتور بیمار، محل مانیتور و پیکربندی شبکه سیمی را بدست آورد.

3.2.3 مديريت مجاز مقتضي CWE-269

از طریق یک دیالوگ خاص می توان از حالت کیوسک خارج شد و به سیستم عامل پایه رسید. با شکستن از حالت کیوسک، مهاجم قادر به کنترل سیستم عامل است.

3.3 نقاط آسیب پذیر:

⚠️ بخش های بحرانی INFASTRUCTURE: بهداشت و درمان و بهداشت عمومی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: آلمان

3.4 پژوهشگر

مارک روف و روکو گالیاری، از scip AG، این آسیب پذیری ها را گزارش کردند.

4. نحوه رفع مشکل:
شرکت Dräger رفع این آسیب پذیری ها را در دسامبر 2018 منتشر کرد. کاربران می توانند نسخه های نرم افزاری Delta / Infinity Explorer VF10.1 را از طریق Dräger ServiceConnect برای اجزای آسیب دیده پیدا کنند.

✅ شرکت Dräger بیشتر توصیه می کند:

1️⃣ به کاربران بررسی پیکربندی تقسیم بندی شبکه توصیه می شود. شبکه Dräger Infinity به صورت منطقی یا دستگاهی جدا از شبکه بیمارستان است.
2️⃣ به کاربران توصیه می شود سطح وصله ویندوز خود را از Infinity Explorer بررسی کنند. نرم افزار Infinity Delta توسط Dräger به صورت ماهانه تأیید شده است که سازگار با تمامی آخرین وصله های سیستم عامل مایکروسافت است. کاربران می توانند گزارش تست را از طریق نمایندگی فروش محلی خود دریافت کنند.

برای گزارش حوادث و آسیب پذیری های بالقوه در دستگاه های Dräger، لطفا به https://static.draeger.com/security مراجعه کنید تا به طور مستقیم با تیم امنیت محصولات ارتباط برقرار کنید.

برای کسب اطلاعات بیشتر در مورد این آسیب پذیری ها و به روز رسانی نرم افزار مربوطه، لطفا مشاوره امنیتی محصول Dräger 201802 را در لینک زیر مشاهده نمایید:

https://static.draeger.com/security

✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.

🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

✔️ تی‌شرت #استاکس‌نت، با عنوان «تور وداع» توسط نمایندگان شرکت اسرائیلی Cybereason وابسته به ارتش اسرائیل در دفکان امسال پوشیده شده بود.
به نام شهرها و تاریخ‌ها توجه کنید

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

🚨 کشف آسیب پذیری در تجهیزات PHOENIX CONTACT FL SWITCH

1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: PHOENIX CONTACT
☣️ تجهیزات: FL SWITCH
☣️ آسیب پذیری: جعل تقاضای Cross-site، محدودیت نامناسب تلاش های احراز هویت بیش از حد، انتقال Cleartext از اطلاعات حساس، Resource Exhaustion، مقصد غلط تعیین شده در یک کانال ارتباطی، ذخیره سازی نامناسب اطلاعات حساس و Corruption حافظه

2. ارزیابی خطر

بهره برداری موفق از این آسیب پذیری ها ممکن است اجازه دهد که مهاجمان دارای امتیازات کاربر، دسترسی به سوئیچ، دسترسی به اعتبار کاربر، دسترسی به سوئیچ یا انجام حملات میان محور در میان باشند.

3. مشخصات فنی
3.1 محصولات آسیب دیده

گزارش های Phoenix Contact گزارش می دهد که آسیب پذیری ها بر محصولات زیر تاثیر می گذارد:

FL SWITCH 3xxx, 4xxx and 48xx versions prior to Version 1.35.
3.2 مرور کلی

3.2.1 تقاضای تقاضای CROSS-SITE

این آسیب پذیری ممکن است به یک مهاجم به فریب مرورگر وب در ارسال دستورات ناخواسته اجازه دهد.

3.2.2 محدودیت نامناسب تلاش های احراز هویت بیش از حد

این سوئیچ دارای یک زمان ورود به سیستم برای جلوگیری از حدس زدن خودکار نام کاربری و رمز عبور خودکار با سرعت بالا است. یک مهاجم ممکن است با استفاده از روش brute forcing به نام کاربری و کلمه عبور دست یابد.

3.2.3 انتقال CLEARTEXT اطلاعات حساس CWE-319

تنظیمات پیش فرض UI وب (HTTP) اجازه می دهد که اعتبار کاربر رمزگذاری نشده باشد.

3.2.4 مصرف منابع منحصربفرد (خروج منابع) CWE-400

مهاجم می تواند یک حمله انکار سرویس وب را با تولید تعداد زیادی از اتصالات UI وب انجام دهد.

3.2.5 ذخیره سازی INSECURE اطلاعات حساس CWE-922

مهاجم ممکن است کلید خصوصی پیش فرض سوئیچ از تصویر سیستم عامل خود را استخراج کند.

3.2.6 محدودیت قابل ملاحظه عملیات در محدوده BUFFER MEMORY (CORRUPTION MEMORY) CWE-119

اشتباهات بافر در کتابخانه امنیتی موجود سوئیچ ممکن است شرایط منع سرویس را اجازه دهد.

3.3 نقاط آسیب پذیر:

⚠️ بخش های بحرانی INFRASTRUCTURE: ارتباطات، کارخانجات حیاتی و حساس، فناوری اطلاعات
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: آلمان

4. نحوه رفع مشکل:
شرکت Phoenix Contact توصیه می کند که کاربران دستگاه های FL SWITCH با نسخه های سیستم عامل دارای آسیب پذیری سیستم عامل را به نسخه 1.35 و بالاتر ارتقاء دهند. نرم افزار به روزرسانی شده میتواند از صفحه سوئیچ مدیریت شده در وب سایت Phoenix Contact دانلود شود. لطفا CERT VDE مشاوره برای این آسیب پذیری ها را برای محل دانلود نرم افزار جدید برای هر محصول خاص مشاهده کنید : https://cert.vde.com/de-de/advisories/vde-2019-001

شرکت Phoenix Contact همچنین توصیه می کند که کاربران با استفاده از اتصالات Phoenix Contact کنترل شده FL SWITCH امنیت HTTP را فعال کنند.
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.

🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.

🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

🚨 کشف آسیب پذیری در تجهیزات Advantech WebAccess / SCADA

1. خلاصه

☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: Advantech
☣️ تجهیزات: WebAccess / SCADA
☣️ آسیب پذیری: احراز هویت نامناسب، دور زدن احراز هویت، تزریق SQL

2. ارزیابی خطر

استفاده موفقیت آمیز از این آسیب پذیری ها ممکن است به مهاجم اجازه داده شود تا اطلاعات حساس دسترسی پیدا کند و دستکاری کند.

3. مشخصات فنی

3.1 محصولات آسیب دیده

نسخه های زیر از WebAccess / SCADA، یک پلت فرم نرم افزاری SCADA، تحت تاثیر قرار می گیرند:

WebAccess / SCADA نسخه 8.3

3.2 مرور کلی
3.2.1 گواهینامه IMPROPER CWE-287

یک آسیب پذیری احراز هویت نامناسب وجود دارد که می تواند اجازه عبور از طریق احراز هویت ممکن را برای مهاجم فراهم کند تا اطلاعات مخرب را بارگذاری کند.

3.2.2 ردیابی مجوز با استفاده از مسیر یا کانال جایگزین CWE-288

درخواست های ویژه ساخته شده می تواند اجازه عبور از طریق احراز هویت را فراهم کند که می تواند به مهاجم اجازه داده شود اطلاعات حساس را دستکاری کند.

3.2.3 ناکارآمدی مؤثر عناصر خاصی که در یک دستور SQL («تزریق SQL») استفاده شده است CWE-89

این نرم افزار ورودی های خود را برای دستورات SQL درست نمی کند.

3.3 نقاط آسیب پذیر:

⚠️ بخش های بحرانی : کارخانجات حیاتی و حساس، انرژی، آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: شرق آسیا، ایالات متحده، اروپا
⚠️ محل شرکت کشف: تایوان

3.4 پژوهشگر

آقای Devesh Logendran از Attila Cybertech Pte. Ltd. این آسیب پذیری ها را به @ics_cert گزارش کرد.

4. نحوه رفع مشکل:

شرکت Advantech نسخه 8.3.5 از WebAccess / SCADA را برای رفع آسیب پذیری های گزارش شده منتشر کرده است. کاربران می توانند آخرین نسخه WebAccess / SCADA را در محل زیر دانلود کنید (ثبت نام لازم است):

https://support.advantech.com/support/DownloadSRDetail_New.aspx؟SR_ID=1-MS9MJV&Doc_Source=Download


✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.

🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

🚨 کشف آسیب پذیری در سیستم AVEVA Wonderware System Platform

1. خلاصه

☣️ توجه: سطح مهارت پایین برای بهره برداری
☣️ فروشنده: AVEVA
☣️ تجهیزات: نرم افزار سیستم Wonderware
☣️ آسیب پذیری: مجوزهای نامناسب محافظت شده

2. ارزیابی خطر

این آسیب پذیری می تواند اجازه دسترسی غیر مجاز به اعتبار را برای حساب کاربری ArchestrA در شبکه ایجاد کند.

3. مشخصات فنی
3.1 محصولات آسیب دیده

نسخه های زیر در پلتفرم Wonderware System، تحت تاثیر قرار می گیرند:

Wonderware Platform Platform 2017 به روز رسانی 2 و قبل.

3.2 مرور کلی
3.2.1 مجوزهای محافظت شده CWE-522 به طور ضعیف

سیستم پلت فرم Wonderware از حساب کاربری شبکه ArchestrA برای احراز هویت پردازش های سیستم و ارتباطات بین گره استفاده می کند. یک کاربر با امتیازات کم میتواند از یک API برای به دست آوردن اعتبار برای این حساب استفاده کند.

3.3 نقاط آسیب پذیر:

⚠️ بخش های اصلی بحرانی: مواد شیمیایی، ساختمانی بحرانی، انرژی، غذا و کشاورزی، آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: انگلستان

3.4 پژوهشگر

ولادیمیر داشچنکو از آزمایشگاه کسپرسکی این آسیب پذیری را به AVEVA گزارش کرده است.

4. نحوه رفع مشکل:

شرکت AVEVA کاربران را به استفاده از Wonderware System Platform 2017 Update 2 توصیه می کند و در اسرع وقت باید به System Platform 2017 Update 3 ارتقاء یابد. این آپدیت را می توانید از محل زیر دانلود کنید (لازم است که بانام کاربری خود وارد شوید):

https://softwaresupportsp.schneider-electric.com/#/producthub/details؟id=52332

✅ شرکت AVEVA بولتن امنیتی LFSEC00000135 را نیز منتشر کرده که می توان در محل زیر پیدا کرد:

https://sw.aveva.com/hubfs/assets-2018/pdf/security-bulletin/SecurityBulletin_LFSec135.pdf

همچنین AVEVA توصیه می کند که کاربران سیستم های کنترل صنعتی را طبق NIST SP 800-82 Rev. 2 ایمن نگه دارند:

https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final

✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.

✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber ​​به طور قابل توجهی در دسترس است.

🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.

🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

🚨 کشف آسیب پذیری در تجهیزات Mitsubishi Electric MELSEC-Q Series PLC

1. خلاصه

☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: میتسوبیشی الکتریک
☣️ تجهیزات: PLC های سری MELSEC-Q
☣️ آسیب پذیری: خستگی منابع

2. ارزیابی خطر

بهره برداری موفق از این آسیب پذیری می تواند به یک مهاجم از راه دور اجازه دهد تا بسته های خاصی را به دستگاه ارسال کند و ارتباطات اترنت را متوقف کند.

3. مشخصات فنی
3.1 محصولات آسیب دیده

تجهیزات PLC های سری MELSEC-Q تحت تاثیر قرار می گیرند:

Q03 / 04/06/13 / 26UDVCPU: شماره سریال 20081 و قبل،
Q04 / 06/13 / 26UDPVCPU: شماره سریال 20081 و قبل، و
Q03UDECPU Q04 / 06/10/13/20/26/50 / 100UDEHCPU: شماره سریال 20101 و قبل.

3.2 مرور کلی
3.2.1 مصرف منابع منحصربفرد ("خروج منابع") CWE-400

یک مهاجم از راه دور می تواند بایت های خاصی را بر روی پورت 5007 ارسال کند که منجر به سقوط پشته اترنت خواهد شد.

3.3 نقاط آسیب پذیر:

⚠️ بخش های بحرانی INFASTRUCTURE: سازمانهای رده حیاتی و حساس
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: ژاپن

3.4 پژوهشگر

گروه Tri Quach از شرکت فناوری امنیتی تامین کننده مشتری آمازون (CFTS) این آسیب پذیری را به @ics_cert گزارش کرد.

4. نحوه رفع مشکل:

میتسوبیشی الکتریک نسخه جدیدی از سیستم عامل را تولید کرده است. اطلاعات اضافی در مورد این آسیب پذیری و یا کنترل جبران کنترل برق Mitsubishi Electric با تماس با یک نماینده Mitsubishi Electric محلی که می تواند در محل زیر یافت شود:

https://us.mitsubishielectric.com/fa/en/about-us/distributors

میتسوبیشی الکتریک به شدت توصیه می کند که کاربران باید دستگاه آسیب دیده را پشت یک دیوار آتش قرار دهند.
شرکت AVEVA بولتن امنیتی LFSEC00000135 را نیز منتشر کرده که می توان در محل زیر پیدا کرد:

https://sw.aveva.com/hubfs/assets-2018/pdf/security-bulletin/SecurityBulletin_LFSec135.pdf

همچنین AVEVA توصیه می کند که کاربران سیستم های کنترل صنعتی را طبق NIST SP 800-82 Rev. 2 ایمن نگه دارند:

https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final

✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.

✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber ​​به طور قابل توجهی در دسترس است.

🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.

🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

🚨 کشف آسیب پذیری در خدمات مدیریت مجوز Yokogawa

1. خلاصه

☣️ توجه : از راه دور قابل استفاده است
☣️ فروشنده : Yokogawa
☣️ تجهیزات : License Manager Service
☣️ آسیب پذیری : آپلود نامحدود از فایل های با نوع خطرناک

2. ارزیابی خطر

بهره برداری موفق از این آسیب پذیری می تواند به مهاجم اجازه دهد فایل ها را از راه دور آپلود کند و اجازه اجرای کد دلخواه را بدهد.

3. مشخصات فنی
3.1 محصولات آسیب دیده

تجهیزات و نسخه های زیر با استفاده از سرویس مجوز Yokogawa License Manager تحت تاثیر قرار می گیرند:

CENTUM VP (R5.01.00 - R6.06.00)،
کلاس ورودی CENTUM VP (R5.01.00 - R6.06.00)،
ProSafe-RS (R3.01.00 - R4.04.00)،
PRM (R4.01.00 - R4.02.00)، و
B / M9000 VP (R7.01.01 - R8.02.03).

3.2 مرور کلی

3.2.1 آپلود مجدد فایل با نوع خطرناک CWE-434

محصولات Yokogawa چندگانه با استفاده از یک سرویس در نظر گرفته شده برای تأیید اعتبار محصولات مجاز استفاده می شود. سرویس در حال اجرا بر روی محصولات آسیب دیده به درستی آپلود فایل های بالقوه مخرب را محدود نمی کند، که می تواند منجر به اجرای کد دلخواه شود.


3.3 نقاط آسیب پذیر:

⚠️ بخش های مهم بحرانی : سازمانهای رده حیاتی و حساس، انرژی، غذا و کشاورزی
⚠️ کشور / منطقه مورد تخریب : در سراسر جهان
⚠️ محل شرکت کشف: ژاپن

3.4 پژوهشگر

آزمایشگاه کسپرسکی این آسیب پذیری را به Yokogawa گزارش کرد .

4. نحوه رفع مشکل:

شرکت Yokogawa توصیه میکند کاربران از دستگاه های و نسخه های آسیب دیده به آخرین نسخه موجود به روز رسانی نمایند. جزئیات مربوط به محصولات، اصلاحیه های آسیب دیده و پیشنهادات مربوط به کاهش در گزارش مشورت امنیتی Yokogawa "YSAR-198-0001: آسیب پذیری کنترل دسترسی در سرویس مجوز مدیریت محصولات Yokogawa" موجود است. این مشاوره را می توان در محل زیر یافت شد:

https://web-material3.yokogawa.com/1/20653/files/YSAR-19-0001-E.pdf

برای سوالات مربوط به این گزارش و جزئیات در مورد نحوه به روز رسانی به جدیدترین تجدید نظر، لطفا از وب سایت امنیتی Yokogawa (ثبت نام مورد نیاز) بازدید کنید : https://contact.yokogawa.com/cs/gw؟c-id=000498

✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.

✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber ​​به طور قابل توجهی در دسترس است.

🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

🚨 کشف آسیب پذیری در تجهیزات پزشکی BD FACSLyric

1. خلاصه
☣️ توجه: سطح مهارت پایین برای بهره برداری
☣️ فروشنده: بکتون، دیکنسون و شرکت (BD)
☣️ تجهیزات: FACSLyric
☣️ آسیب پذیری: کنترل دسترسی نامناسب

2. ارزیابی خطر

بهره برداری موفق از این آسیب پذیری ممکن است به یک مهاجم امکان دهد که دسترسی غیر مجاز به امتیازات سطح مدیریتی در یک ایستگاه کاری را به دست آورد، که می تواند باعث اجرای دستورات دلخواه شود. این آسیب پذیری سیستم BD FACSLyric جریان سیاتومتری را با استفاده از سیستم عامل ویندوز 7 تحت تاثیر قرار نمی دهد.

3. مشخصات فنی
3.1 محصولات آسیب دیده

نسخه های زیر از فلوسایتومتر FACSLyric تحت تاثیر قرار می گیرند:

BD FACSLyric Use Only Research، سیستم عامل حرفه ای ویندوز 10، انتشارات ایالات متحده و مالزی، بین نوامبر 2017 تا نوامبر 2018 و
BD FACSLyric IVD ویندوز 10 حرفه ای سیستم عامل ایالات متحده انتشار.

3.2 مرور کلی
3.2.1 CONTROL ACCESS IMPROPER

این برنامه به طور مناسب کنترل دسترسی کاربران را به حسابهای ممتاز اجرا نمیکند، که ممکن است برای دسترسی غیرمجاز به توابع سطح مدیریتی امکان پذیر باشد.

3.3 نقاط آسیب پذیر:

⚠️ بخش های بحرانی INFASTRUCTURE: بهداشت و درمان و بهداشت عمومی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: ایالات متحده

4. نحوه رفع مشکل:

شرکت BD به طور مستقیم با تمام کاربران آسیب دیده تماس خواهد گرفت تا فعالیت های اصلاحی را انجام دهد. BD حساب مدیریتی را برای کاربران با دستگاه های BD FACSLyric RUO Cell Analyzer که دارای سیستم عامل ویندوز 10 Pro هستند را غیرفعال می کند. BD ارتباط برقرار کرده و ایستگاه های کاری کامپیوتر را برای کاربران آسیب دیده با واحد BD FACSLyric IVD Cell Analyzer با سیستم عامل ویندوز 10 Pro جایگزین کرده است.

برای اطلاعات بیشتر در مورد آسیب پذیری گزارش شده لطفا با BD برای پشتیبانی زیر تماس بگیرید:

برای پشتیبانی فنی لطفا با BD Biosciences General Tech Support - Flow Cytometry از طریق email researchapplications@bd.com یا تلفن 877-232-8995 Option 2 و سپس Option 2 دوباره تماس بگیرید.

برای کسب اطلاعات بیشتر در مورد امنیت محصول BD و مدیریت آسیب پذیری، با دفتر امنیت محصولات BD تماس بگیرید:

https://www.bd.com/productsecurity
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.

✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber ​​به طور قابل توجهی در دسترس است.

🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.

🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

🚨 کشف آسیب پذیری در تختهای پزشکی Stryker

1. خلاصه
☣️ توجه: سوء استفاده عمومی در دسترس است
☣️ فروشنده: Stryker
☣️ تجهیزات: تختخواب امن MedSurg Bed، S3 MedSurg Bed و InTouch ICU Bed
☣️ آسیب پذیری: استفاده مجدد از Nonce

2. ارزیابی خطر

بهره برداری موفق از این آسیب پذیری می تواند دستکاری ترافیک داده ها را به وجود آورد، و در نتیجه، تبادل اطلاعات رمز شده یا تزریق داده ها به طور جزئی رخ می دهد.

3. مشخصات فنی
3.1 محصولات آسیب دیده

تجهیزات پزشکی زیر از زیرمجموعه تجهیزات پزشکی Stryker تحت تاثیر قرار می گیرند:

تختخواب امن II MedSurg Bed (فعال با iBed Wireless)، مدل: 3002،
S3 MedSurg Bed (فعال با iBed Wireless)، مدل ها: 3002 S3، و 3005 S3، و
InTouch ICU Bed (فعال با بی سیم بیرونی)، مدل 2131 و 2141.

3.2 مرور کلی

3.2.1 استفاده مجدد از یک جفت، کلید کلیدی در رمزنگاری CWE-323

یک آسیب پذیری صنعت در سراسر پروتکل WPA و WPA2 که تحت تأثیر حمله های کلید مجدد نصب شده KRACK شناخته می شود وجود دارد. ترافیک چهار طرفه در Wi-Fi محافظت شده دسترسی WPA و پروتکل WPA2 می تواند دستکاری شود تا امکان استفاده مجدد از nonce را داشته باشد، و در نتیجه کلید مجدد نصب می شود. این می تواند به یک مهاجم اجازه دهد که یک حمله "مرد میانی" را اجرا کند و به مهاجم مجوز دهد در محدوده رادیویی مجاز ، رمزگشایی یا جعل دسترسی کند.

دراین خصوص CVE های زیر به این گروه آسیب پذیری اختصاص داده شده است:

CVE-2017-13077: Reinstallation of the pairwise key during the four-way handshake.

CVE-2017-13078: Reinstallation of the group key during the four-way handshake.

CVE-2017-13079: Reinstallation of the Integrity Group Temporal Key (IGTK) during the four-way handshake.

CVE-2017-13080: Reinstallation of the group key during the group key handshake.

CVE-2017-13081: Reinstallation of the IGTK during the group key handshake.

CVE-2017-13082: Reinstallation of the Pairwise Transient Key (PTK) Temporal Key (TK) during the fast BSS transmission (FT) handshake.

CVE-2017-13086: Reinstallation of the Tunneled Direct-Link Setup (TDLS) Peer Key (TPK) during the TDLS handshake.

CVE-2017-13087: Reinstallation of the Group Temporal Key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

CVE-2017-13088: Reinstallation of the IGTK when processing a WNM Sleep Mode Response frame.
3.3 نقاط آسیب پذیر:

⚠️ بخش های بحرانی INFASTRUCTURE: بهداشت و درمان و بهداشت عمومی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: ایالات متحده

4. نحوه رفع مشکل:

شرکت Stryker به روز رسانی نرم افزاری برای محصولات آسیب دیده برای کاهش آسیب پذیری KRACK عرضه کرده است.

دروازه 1.0 - بدون پچ موجود است
دروازه 2.0 - ارتقاء به نسخه نرم افزار 5212-400-905_3.5.002.01
دروازه 3.0 - پچ در نسخه نرم افزار فعلی 5212-500-905_4.3.001.01 وارد شده است

همچنین Stryker توصیه می کند که کاربران اقدامات دفاعی اضافی را برای به حداقل رساندن خطر بهره برداری انجام دهند. به طور خاص، کاربران باید:

✅ در صورت عدم نیاز توسط کاربر، قابلیت بی سیم iBed ممکن است غیرفعال شود.
✅ شرکت Stryker توصیه می کند که این محصولات بر روی یک VLAN جداگانه، در صورت امکان، برای تقسیم بندی امنیت مناسب شبکه، کار کنند.
✅ به عنوان یک احتیاط اضافی، اطمینان از آخرین به روز رسانی های توصیه شده (که شامل پچ KRACK) برای نقاط دسترسی Wi-Fi، در شبکه های فعال Wi-Fi اجرا شده است.

برای سوالات اضافی، کاربران می توانند 1-800-STRYKER، گزینه 2 برای پشتیبانی فنی Stryker تماس بگیرید.

🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.

🔅 این آسیب پذیری از یک شبکه مجاور بهره برداری می شود. سطح مهارت بالا برای بهره برداری مورد نیاز است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

🚨 کشف آسیب پذیری در تجهیزات Schneider Electric EVLink Parking

1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: Schneider Electric
☣️ تجهیزات: پارکینگ EVLink
☣️ آسیب پذیری: استفاده از مجوز های سخت افزاری، تزریق کد، تزریق SQL

2. ارزیابی خطر

بهره برداری موفق از این آسیب پذیری ها می تواند به مهاجم اجازه دهد دستگاه را متوقف کند و از شارژ جلوگیری کند، دستورات دلخواه خود را اجرا کند و دسترسی به رابط وب را با امتیازات کامل به دست آورد.

3. مشخصات فنی
3.1 محصولات آسیب دیده

نسخه های زیر از پارکینگ EVLink که یک ایستگاه شارژ خودرو الکتریکی است، تحت تاثیر قرار می گیرد:

EVLink نسخه پارکینگ 3.2.0-12_v1 و قبل.

3.2 مرور کلی
3.2.1 استفاده از مجوزهای سخت CWE-798

یک آسیب پذیری اعتبارنامه سخت افزاری وجود دارد که می تواند مهاجم را برای دسترسی به دستگاه فعال کند.

3.2.2 کنترل قابل ملاحظه تولید کد ('تزریق کد') CWE-94

یک آسیب پذیری تزریق کد وجود دارد که می تواند امکان اجرای کد با حداکثر امتیاز را فراهم کند.

3.2.3 ناکارآمدی مؤثر عناصر خاصی که در یک دستور SQL («تزریق SQL») استفاده شده است CWE-89

یک آسیب پذیری تزریق SQL وجود دارد که می تواند دسترسی مهاجم به رابط وب را با امتیازات کامل ایجاد کند.

3.3 نقاط آسیب پذیر:

⚠️ بخش های بحرانی : حمل و نقل
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ مکان های کشف شده: فرانسه

4. نحوه رفع مشکل:
شرکت Schneider Electric توصیه می کند که کاربران یک فایروال را تنظیم کنند تا دسترسی از راه دور به ایستگاه های شارژ را توسط کاربران غیر مجاز محدود کند. برای کاهش این آسیب پذیری، به روز رسانی نرم افزاری نیز موجود است:

https://www.schneider-electric.com/en/download/range/60850-EVlink پارکینگ؟ docTypeGroup = 3541958-نرم افزار / نرم افزار

برای اطلاعات بیشتر، اطلاع رسانی امنیتی Schneider Electric را می توانید از لینک زیر مشاهده کنید:

https://www.schneider-electric.com/en/download/document/SEVD-2018-354-01/

همچنین Schneider Electric بهترین شیوه های امنیتی سایبر را ارائه می دهد:

📍 سیستم های کنترل و ایمنی سیستم و دستگاه های از راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
📍 کنترل های فیزیکی باید در محل باشد تا هیچ شخصی غیر مجاز به کنترل کننده های ICS و کنترل کننده ایمنی، تجهیزات جانبی یا ICS و شبکه های ایمنی دسترسی نداشته باشد.
📍 تمام کنترل کننده ها باید در کابین های قفل شده باقی بمانند و هرگز در حالت "برنامه" باقی نمانند.
📍 تمام نرم افزارهای برنامه نویسی باید در کابین های قفل شده نگه داشته شوند و هرگز نباید به هر شبکه دیگری از شبکه متصل شوند.
📍 تمام روشهای تبادل داده های تلفن همراه با شبکه های جدا شده از قبیل سی دی ها، درایوهای USB و غیره باید قبل از استفاده در پایانه ها یا هر گره متصل به این شبکه ها اسکن شوند.
📍 لپ تاپ هایی که به شبکه های دیگر متصل شده اند به هیچ وجه نباید اجازه اتصال به شبکه های ایمنی یا کنترل بدون ایمنی مناسب را داشته باشند.
📍 به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از دسترسی آنها از اینترنت.
📍 هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های خصوصی مجازی (VPN ها) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود در آنها به روز شود. همچنین تشخیص دهید که VPN فقط به عنوان دستگاه های متصل به عنوان امن است.
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.

🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert