کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی:
زیمنس SINUMERIK

1. خلاصه اجرایی
CVSS نسخه 3 7.5
توجه: پیچیدگی حمله از راه دور قابل بهره برداری است
فروشنده: زیمنس
تجهیزات: کنترلرهای SINUMERIK
آسیب پذیری: سرریز بافر مبتنی بر هیپ

2. ارزیابی ریسک
بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری می‌تواند به یک مهاجم احراز هویت نشده، با دسترسی شبکه به دستگاه‌های آسیب‌دیده، اجازه دهد که باعث خرابی سیستم با از دست دادن کامل دسترسی شود.

3. جزئیات فنی
3.1 محصولات تحت تأثیر
نسخه های زیر از کنترل کننده های SINUMERIK تحت تأثیر قرار می گیرند:
SINUMERIK 808D: همه نسخه ها
SINUMERIK 828D: همه نسخه های قبل از نسخه 4.95

3.2 بررسی اجمالی آسیب پذیری
3.2.1 سرریز بافر مبتنی بر HEAP
دستگاه‌های آسیب‌دیده، بسته‌های خاص ساخته‌شده‌ای که به پورت 102/TCP ارسال می‌شوند را به درستی پردازش نمی‌کنند، که می‌تواند به مهاجم اجازه دهد تا شرایط انکار سرویس را در دستگاه ایجاد کند.

3.3 پس زمینه
بخش‌های زیربنایی حیاتی : ساخت و ساز حیاتی
کشورها/مناطق مستقر: در سراسر جهان
محل دفتر مرکزی شرکت: آلمان

4. کاهش آسیب پذیری
برای SINUMERIK 828D زیمنس به کاربران آسیب دیده توصیه می کند به نسخه 4.95 یا نسخه های جدیدتر به روز رسانی کنند. به روز رسانی را می توان از نمایندگی زیمنس یا از طریق خدمات مشتریان زیمنس دریافت کرد.

برای SINUMERIK 808D زیمنس توصیه می کند که کاربران آسیب دیده دسترسی به پورت 102/TCP را به سیستم های قابل اعتماد با فایروال خارجی محدود کنند.

به عنوان یک اقدام امنیتی کلی، زیمنس قویاً محافظت از دسترسی شبکه به دستگاه‌هایی با مکانیسم‌های مناسب را توصیه می‌کند. برای کار با دستگاه‌ها در یک محیط فناوری اطلاعات محافظت شده، زیمنس توصیه می‌کند که محیط را بر اساس دستورالعمل‌های عملیاتی زیمنس برای امنیت صنعتی پیکربندی کنید و توصیه‌های مندرج در دفترچه راهنمای محصول را دنبال کنید.

برای اطلاعات بیشتر، لطفاً به مشاوره امنیتی زیمنس SSA-178380 مراجعه کنید

کانال تخصصی @ICS_CERT به کاربران توصیه می کند برای به حداقل رساندن خطر سوء استفاده از این آسیب پذیری، اقدامات دفاعی انجام دهند. به طور خاص، کاربران باید:
1- قرار گرفتن در معرض شبکه را برای همه دستگاه ها و/یا سیستم های سیستم کنترل به حداقل برسانید و اطمینان حاصل کنید که آنها از طریق اینترنت قابل دسترسی نیستند .
2- شبکه های سیستم کنترل و دستگاه های راه دور را در پشت فایروال ها قرار دهید و آنها را از شبکه تجاری جدا کنید.
3- در صورت نیاز به دسترسی از راه دور، از روش‌های ایمن مانند شبکه‌های خصوصی مجازی (VPN) استفاده کنید، تشخیص VPN‌ها ممکن است آسیب‌پذیری داشته باشند و باید به جدیدترین نسخه موجود به‌روزرسانی شوند. همچنین تشخیص دهید VPN فقط به اندازه دستگاه های متصل آن ایمن است.

کانال تخصصی @ICS_CERT به سازمان ها یادآوری می کند که قبل از به کارگیری اقدامات دفاعی، تجزیه و تحلیل تأثیر و ارزیابی ریسک مناسب را انجام دهند.

در کانال تخصصی @ICS_CERT همچنین چندین روش توصیه شده برای خواندن و دانلود در دسترس است، از جمله بهبود امنیت سایبری سیستم های کنترل صنعتی با استراتژی های دفاعی در عمق .

سازمان‌هایی که هرگونه فعالیت مشکوک مخرب را مشاهده می‌کنند باید از رویه‌های داخلی تعیین‌شده خود پیروی کنند .

هیچ سوء استفاده عمومی شناخته شده ای به طور خاص این آسیب پذیری را هدف قرار نمی دهد.


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی:
زیمنس SINEC NMS

1. خلاصه اجرایی
CVSS نسخه 3 8.8
توجه: پیچیدگی حمله از راه دور قابل بهره برداری است
فروشنده: زیمنس
تجهیزات: نرم افزار مدیریت شبکه SINEC NMS
آسیب‌پذیری‌ها: محدود کردن نامناسب نام مسیر به یک فهرست محدود، مجوز نامناسب، قرار دادن اطلاعات حساس در معرض یک بازیگر غیرمجاز، غیرقابل اعتماد کردن داده‌های غیرقابل اعتماد، خنثی‌سازی نامناسب عناصر ویژه مورد استفاده در یک فرمان SQL

2. ارزیابی ریسک
بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها می‌تواند به یک مهاجم از راه دور احراز هویت شده اجازه دهد تا تحت شرایط خاص، کد دلخواه را با امتیازات سیستم بر روی سیستم اجرا کند.

3. جزئیات فنی
3.1 محصولات تحت تأثیر
نسخه های زیر از نرم افزار Siemens SINEC NMS تحت تأثیر قرار می گیرند:
SINEC NMS: نسخه های قبل از نسخه 1.0 SP2 به روز رسانی 1

3.2 بررسی اجمالی آسیب پذیری
3.2.1 محدود کردن نامناسب یک مسیر به یک فهرست محدود ("PATH TRAVERSAL")
سیستم آسیب‌دیده در هنگام ارسال یک محفظه سیستم عامل دارای یک آسیب‌پذیری پیمایش مسیر است که می‌تواند به یک مهاجم ممتاز و احراز هویت اجازه ایجاد فایل‌های دلخواه در یک سیستم آسیب‌دیده را بدهد.
3.2.2 مجوز نامناسب
یک مهاجم احراز هویت شده می‌تواند پروفایل کاربری هر کاربری را بدون مجوز مناسب تغییر دهد، که می‌تواند به مهاجم اجازه دهد رمز عبور هر کاربر را در سیستم آسیب‌دیده تغییر دهد.
3.2.3 محدود کردن نامناسب یک مسیر به یک فهرست محدود ("PATH TRAVERSAL")
سیستم آسیب‌دیده حاوی یک آسیب‌پذیری حذف دلخواه فایل است که می‌تواند به مهاجم اجازه دهد تا یک فایل یا فهرست دلخواه را در یک مسیر کنترل شده توسط کاربر حذف کند.
3.2.4 محدود کردن نامناسب نام مسیر به یک فهرست محدود ("PATH TRAVERSAL")
سیستم آسیب‌دیده اجازه حذف فایل‌ها یا دایرکتوری‌های دلخواه را در یک مسیر کنترل‌شده توسط کاربر می‌دهد و به درستی بررسی نمی‌کند که آیا مسیر نسبی هنوز در فهرست هدف مورد نظر قرار دارد یا خیر.
3.2.5 محدود کردن نامناسب نام مسیر به فهرستی محدود ('PATH TRAVERSAL')
سیستم آسیب‌دیده امکان دانلود فایل‌های دلخواه را در یک مسیر کنترل‌شده توسط کاربر فراهم می‌کند و به درستی بررسی نمی‌کند که آیا مسیر نسبی هنوز در فهرست هدف مورد نظر قرار دارد یا خیر.

3.2.6 قرار گرفتن در معرض اطلاعات حساس در معرض یک بازیگر غیرمجاز
یک مهاجم احراز هویت می‌تواند نمایه کاربری هر کاربری را دانلود کند و به مهاجم اجازه می‌دهد اطلاعات محرمانه را افشا کند.
3.2.7 غیراصولی کردن داده های غیرقابل اعتماد
سیستم آسیب‌دیده امکان آپلود اشیاء JSON را می‌دهد که در اشیاء جاوا از فهرست خارج شده‌اند. به دلیل سریال‌زدایی ناامن محتوای ارائه‌شده توسط کاربر توسط نرم‌افزار آسیب‌دیده، یک مهاجم ممتاز می‌تواند با ارسال یک شیء جاوا سریال‌سازی‌شده دست‌کاری شده از این آسیب‌پذیری سوء استفاده کند.
3.2.8 خنثی سازی نامناسب عناصر خاص مورد استفاده در یک فرمان SQL ("تزریق SQL")
یک مهاجم احراز هویت شده می تواند ظروف سیستم عامل را به سیستم آسیب دیده وارد کند و دستورات دلخواه را در پایگاه داده محلی اجرا کند.

3.2.9 خنثی سازی نامناسب عناصر خاص مورد استفاده در یک فرمان SQL ("تزریق SQL")
یک مهاجم ممتاز و احراز هویت می‌تواند با ارسال درخواست‌های دستکاری شده به وب سرور برنامه آسیب‌دیده، دستورات دلخواه را در پایگاه داده محلی اجرا کند.
3.2.10 خنثی سازی نامناسب عناصر خاص مورد استفاده در یک فرمان SQL ("تزریق SQL")
یک مهاجم تایید شده ممتاز می تواند با ارسال درخواست های دستکاری شده به وب سرور برنامه آسیب دیده، دستورات دلخواه را در پایگاه داده محلی اجرا کند.
3.2.11 خنثی سازی نامناسب عناصر خاص مورد استفاده در یک فرمان SQL ("تزریق SQL")
یک مهاجم ممتاز و احراز هویت می‌تواند با ارسال درخواست‌های دستکاری شده به وب سرور برنامه آسیب‌دیده، دستورات دلخواه را در پایگاه داده محلی اجرا کند.
3.2.12 خنثی سازی نامناسب عناصر خاص مورد استفاده در یک فرمان SQL ("تزریق SQL")
یک مهاجم ممتاز و احراز هویت می‌تواند با ارسال درخواست‌های دستکاری شده به وب سرور برنامه آسیب‌دیده، دستورات دلخواه را در پایگاه داده محلی اجرا کند.
3.2.13 خنثی سازی نامناسب عناصر خاص مورد استفاده در یک فرمان SQL ("تزریق SQL")
یک مهاجم ممتاز و احراز هویت می‌تواند با ارسال درخواست‌های دستکاری شده به وب سرور برنامه آسیب‌دیده، دستورات دلخواه را در پایگاه داده محلی اجرا کند.
3.2.14 خنثی سازی نامناسب عناصر خاص مورد استفاده در یک فرمان SQL ("تزریق SQL")
یک مهاجم ممتاز و احراز هویت می‌تواند با ارسال درخواست‌های دستکاری شده به وب سرور برنامه آسیب‌دیده، دستورات دلخواه را در پایگاه داده محلی اجرا کند.
3.2.15 خنثی سازی نامناسب عناصر خاص مورد استفاده در یک فرمان SQL ("تزریق SQL")
یک مهاجم ممتاز و احراز هویت می‌تواند با ارسال درخواست‌های دستکاری شده به وب سرور برنامه آسیب‌دیده، دستورات دلخواه را در پایگاه داده محلی اجرا کند.

3.3 پس زمینه
بخش های زیرساختی حیاتی: انرژی
کشورها/مناطق مستقر: در سراسر جهان
محل دفتر مرکزی شرکت: آلمان

4. کاهش آسیب پذیری
زیمنس یک به‌روزرسانی برای SINEC NMS منتشر کرده است و به‌روزرسانی به آخرین نسخه را توصیه می‌کند: v1.0 SP2 Update 1 یا جدیدتر .

زیمنس راه‌حل‌ها و اقدامات کاهشی ویژه زیر را شناسایی کرده است که کاربران می‌توانند برای کاهش خطر اعمال کنند:

دسترسی به سیستم های آسیب دیده، به ویژه به پورت 443/TCP را فقط به آدرس های IP قابل اعتماد محدود کنید.

به عنوان یک اقدام امنیتی کلی، زیمنس قویاً محافظت از دسترسی شبکه به دستگاه‌هایی با مکانیسم‌های مناسب را توصیه می‌کند. برای کار با دستگاه‌ها در یک محیط فناوری اطلاعات محافظت‌شده، زیمنس توصیه می‌کند که محیط را بر اساس دستورالعمل‌های عملیاتی زیمنس برای امنیت صنعتی پیکربندی کنید و توصیه‌های مندرج در دفترچه راهنمای محصول را دنبال کنید.

اطلاعات اضافی در مورد امنیت صنعتی توسط زیمنس را می توان در آدرس زیر مشاهده کرد: https://www.siemens.com/industrialsecurity

برای اطلاعات بیشتر، لطفاً به مشاوره امنیتی زیمنس SSA-163251 مراجعه کنید

در کانال تخصصی @ICS_CERT به کاربران توصیه می کند برای به حداقل رساندن خطر سوء استفاده از این آسیب پذیری، اقدامات دفاعی انجام دهند. به طور خاص، کاربران باید:

1- قرار گرفتن در معرض شبکه را برای همه دستگاه ها و/یا سیستم های سیستم کنترل به حداقل برسانید و اطمینان حاصل کنید که آنها از طریق اینترنت قابل دسترسی نیستند .
2- شبکه های سیستم کنترل و دستگاه های راه دور را در پشت فایروال ها قرار دهید و آنها را از شبکه تجاری جدا کنید.
3- در صورت نیاز به دسترسی از راه دور، از روش‌های ایمن مانند شبکه‌های خصوصی مجازی (VPN) استفاده کنید، تشخیص VPN‌ها ممکن است آسیب‌پذیری داشته باشند و باید به جدیدترین نسخه موجود به‌روزرسانی شوند. همچنین تشخیص دهید VPN فقط به اندازه دستگاه های متصل آن ایمن است.

در کانال تخصصی @ICS_CERT به سازمان ها یادآوری می کند که قبل از به کارگیری اقدامات دفاعی، تجزیه و تحلیل تأثیر و ارزیابی ریسک مناسب را انجام دهند.
سازمان‌هایی که هرگونه فعالیت مشکوک مخرب را مشاهده می‌کنند باید از رویه‌های داخلی تعیین‌شده خود پیروی کنند .

هیچ سوء استفاده عمومی شناخته شده ای به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی:
SCALANCE زیمنس
1. خلاصه اجرایی
CVSS نسخه 3 9.8
توجه: پیچیدگی حمله از راه دور قابل بهره برداری است
فروشنده: زیمنس
تجهیزات: SCALANCE
آسیب پذیری ها: جعل درخواست بین سایتی، تزریق فرمان سیستم عامل، سرریز بافر کلاسیک، تزریق فرمان، پیمایش مسیر، رمزگذاری داده های حساس از دست رفته

2. ارزیابی ریسک
بهره برداری موفقیت آمیز از این آسیب پذیری ها می تواند به مهاجم اجازه دهد تا دستورات را تزریق کند یا سرریز بافر را راه اندازی کند.

3. جزئیات فنی
3.1 محصولات تحت تأثیر
نسخه های زیر SCALANCE W1750D، یک پلت فرم مدیریت نرم افزار، تحت تأثیر قرار می گیرند:
SCALANCE W1750D: تمام نسخه های قبل از نسخه 8.7.1.3
SCALANCE W1750D: نسخه 8.7.1.3 یا بالاتر (فقط تحت تأثیر CVE-2019-5318، CVE-2020-37719، CVE-2021-37717، CVE-2021-37718، CVE-2021-33720، CVE-2021-33720، CVE-2021-33720 -2021-37722، CVE-2021-37728)
3.2 پس زمینه

• بخش های زیرساخت حیاتی: مواد شیمیایی، انرژی، غذا و کشاورزی، مراقبت های بهداشتی و بهداشت عمومی، سیستم های حمل و نقل، و سیستم های آب و فاضلاب
• کشورها /مناطق مستقر: در سراسر جهان
• محل دفتر مرکزی شرکت: آلمان

4. کاهش آسیب پذیری
زیمنس ارتقا SCALANCE W1750 را به نسخه های 8.7.1.3 یا بالاتر توصیه می کند.
زیمنس راه‌حل‌ها و اقدامات کاهشی ویژه زیر را شناسایی کرده است که کاربران می‌توانند برای کاهش خطر اعمال کنند:
1- دسترسی همه کاربران غیرقابل اعتماد به رابط خط فرمان ArubaOS را مسدود کنید.
2- دسترسی همه کاربران غیرقابل اعتماد به رابط مدیریت مبتنی بر وب ArubaOS را مسدود کنید.
3- دسترسی همه کاربران غیرقابل اعتماد به رابط خط فرمان Mobility Conductor را مسدود کنید.
4- فعال کردن ویژگی Enhanced PAPI Security در صورت وجود، از سوء استفاده از این آسیب‌پذیری‌ها جلوگیری می‌کند.
5- بهره برداری نیاز به دسترسی فیزیکی دارد. کنترل کننده ها در محیط های فیزیکی کاملاً کنترل شده در معرض خطر کم هستند.
6- برای به حداقل رساندن احتمال سوء استفاده مهاجم از این آسیب پذیری ها، آروبا توصیه می کند که ارتباط بین Controller/Gateways و Access-Points یا با داشتن یک سگمنت/VLAN اختصاصی لایه 2 محدود شود، یا اگر Controller/Gateways و Access-Points از مرزهای لایه 3 عبور کنند. داشتن خط‌مشی‌های فایروال که ارتباط این دستگاه‌های مجاز را محدود می‌کند. علاوه بر این، فعال کردن ویژگی Enhanced PAPI Security از سوء استفاده از آسیب‌پذیری‌های خاص PAPI در بالا جلوگیری می‌کند.
7- صفحه اصلی RAPConsole یا Local Debug (LD) توسط کاربران در نقش تقسیم یا پل قابل دسترسی است. با پیکربندی یک ACL برای محدود کردن دسترسی به صفحه اصلی LD، که به طور موثر از این مشکل جلوگیری می کند، می توان از این امر جلوگیری کرد. دستورالعمل های دقیق برای اجرای ACL در دسترس است.

به عنوان یک اقدام امنیتی کلی، زیمنس قویاً محافظت از دسترسی شبکه به دستگاه‌هایی با مکانیسم‌های مناسب را توصیه می‌کند. به منظور کار با دستگاه ها در یک محیط IT محافظت شده، زیمنس توصیه می کند که محیط را بر اساس دستورالعمل های عملیاتی زیمنس برای امنیت صنعتی پیکربندی کنید و توصیه های مندرج در دفترچه راهنمای محصول را دنبال کنید.

برای اطلاعات بیشتر، لطفاً به مشاوره امنیتی زیمنس SSA-280624 مراجعه کنید

در کانال تخصصی @ICS_CERT به کاربران توصیه می کند اقدامات دفاعی را برای به حداقل رساندن خطر سوء استفاده از این آسیب پذیری ها انجام دهند. به طور خاص، کاربران باید:
1- قرار گرفتن در معرض شبکه را برای همه دستگاه ها و/یا سیستم های سیستم کنترل به حداقل برسانید و اطمینان حاصل کنید که آنها از طریق اینترنت قابل دسترسی نیستند .
2- شبکه های سیستم کنترل و دستگاه های راه دور را در پشت فایروال ها قرار دهید و آنها را از شبکه تجاری جدا کنید.
3- هنگامی که دسترسی از راه دور مورد نیاز است، از روش‌های ایمن مانند شبکه‌های خصوصی مجازی (VPN) استفاده کنید و متوجه شوید که VPN‌ها ممکن است آسیب‌پذیری داشته باشند و باید به جدیدترین نسخه موجود به‌روزرسانی شوند. همچنین بدانید که VPN فقط به اندازه دستگاه های متصل امن است.

در کانال تخصصی @ICS_CERT به سازمان ها یادآوری می کند که قبل از به کارگیری اقدامات دفاعی، تجزیه و تحلیل تأثیر و ارزیابی ریسک مناسب را انجام دهند.
سازمان‌هایی که هرگونه فعالیت مشکوک مخرب را مشاهده می‌کنند باید از رویه‌های داخلی تعیین‌شده خود پیروی کنند.

هیچ سوء استفاده عمومی شناخته شده ای به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
https://t.me/ics_cert

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

صداوسیما از حمله احتمالی سایبری به سدهای ایران خبر داد / دو هفته است کسی نمی‌داند پشت سدها چقدر آب هست / وزارت نیرو: تکذیب می کنیم
صداوسیما از قول یک منبع آگاه اعلام کرد: در دو هفته گذشته سیستم‌های مربوط به جمع آوری و ارزیابی میزان ذخایر سدهای کشور بطور کامل قطع شده است. این منبع آگاه اعلام کرد: امروز حتی دسترسی کارکنان شرکت نیز به فضای مجازی از جمله نرم‌افزار واتس آپ که تا پیش از این کارکنان شرکت برای برای انتقال اطلاعات استفاده می‌کردند نیز از بین رفته است.
entekhab.ir/002iqj
https://www.donya-e-eqtesad.com/fa/tiny/news-3819092
https://www.isna.ir/news/1400090302545/

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

تکذیب حمله سایبری به اطلاعات سدهای کشور

مدیرکل دفتر مدیریت بحران و پدافند غیرعامل وزارت نیرو ضمن تکذیب اخبار منتشر شده در خصوص حملات سایبری به سیستم اطلاعات سدهای کشور گفت: برخی محدودیت‌ها از سوی وزارت نیرو برای افراد خارج از سیستم به منظور دسترسی به اطلاعات اعمال شده است.

سید اعتضاد مقیمی در گفت‌وگو با ایسنا، با بیان اینکه وزارت نیرو به صورت خودخواسته محدودیت‌هایی را برای عموم و دسترسی به اطلاعات سدها ایجاد کرده است و این موضوع هیچ ارتباطی با موضوعات مطرح شده ندارد، اظهار کرد: هیچ اتفاق خاصی نیفتاده است و از داخل سیستم دسترسی ها وجود دارد.

وی با تاکید بر اینکه هیچ حمله سایبری رخ نداده و اساس این صحبت ها کذب است، تصریح کرد: وزارت نیرو این محدودیت ها را ایجاد کرده و همه چیز تحت کنترل است و هیچ مشکلی وجود ندارد.

به گزارش ایسنا، در برخی رسانه‌ها موضوع حملات سایبری به سیستم اطلاعات سدهای کشور مطرح و اعلام شده که در دو هفته گذشته سیستم‌های مربوط به جمع آوری و ارزیابی میزان ذخایر سدهای کشور بطور کامل قطع شده به نحوی که در این مدت هیچ گونه دسترسی به میزان ذخایر سدهای کشور وجود نداشته است.

شرکت مدیریت منابع آب ایران هم طی اطلاعیه‌ای اعلام کرده که هیچ گونه حمله سایبری وجود نداشته و همکاران ما در بخش صنعت آب برای ایمن سازی سامانه های اطلاعات و آمار این حوزه برخی دسترسی ها را به این سایت ها محدود کردند. زیرا این سایت ها در دسترس هستند و این اقدام، امری معمولی است.
https://www.isna.ir/news/1400090302545/
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

✔️این سند جدید امنیت سایبری راه‌آهن در مورد شیوه‌های خوب در #امنیت_سایبری #مدیریت ریسک برای زیرساخت‌های راه‌آهن میباشد.

🚅با الزامات جدید #صنعت راه آهن #امنیت سایبری در #ایالات متحده آمریکا

👇این گزارش در مورد نحوه شروع بحث می کند
🔒در 8 زمینه داخلی و خارجی و مدیریت ریسک (رویکرد، معیارهای تعیین ارزیابی ریسک، معیارهای تاثیر و معیارهای پذیرش ریسک)، محدوده و مرزها را مشخص کنید.
🔒بعد، یک #ارزیابی ریسک و اولویت بندی ریسک بر اساس #شناسایی ریسک #تحلیل ریسک و #ارزیابی ریسک انجام دهید.
🔒مراحل زیر درمان ریسک، تحلیل ریسک و ارزیابی ریسک است.
👫اگر مایل به گفتگو هستید با ما تماس بگیرید، شروع کنید، مانند برخی توصیه ها.

#زیرساختهای_بحرانی #حفاظت_از_زیرساختهای_حیاتی #سیستمهای راه آهن #ایستگاههای_راه_آهن #امنیت_سایبری_صنعتی #سیستمهای_کنترل_صنعتی #اتوماسیون_صنعتی #industria40
#ics #امنیت_سایبری #


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

🔴 هشدار در خصوص سوءاستفاده از آسیب پذیری بحرانی Apache
📝 آسیب پذیری جدید کتابخانه Log4j2 در Apache امکان اجرای کد از راه دور را برای مهاجم فراهم می کند.
شناسه آسیب­ پذیری:
CVE-2021-44228

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

فوری: بنیاد آپاچی وصله جدیدی (CVE-2021-45046) برای ابزار #Log4j منتشر کرده است، پس از اینکه وصله قبلی برای بهره برداری #Log4Shell اخیراً فاش شده (CVE-2021-44228) در پیکربندی های غیر پیش فرض ناقص تلقی شد.

جزئیات: https://lnkd.in/eFjkK6Zv

#infosec #امنیت سایبری #امنیت کامپیوتری #فناوری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

هشدار بسیار مهم :
آسیب‌پذیری Log4j اکنون به بخش صنعتی ضربه می‌زند، از کاربران می‌خواهم محصولات آسیب‌دیده را شناسایی، کاهش دهند، وصله کنند.

زیمنس روز دوشنبه وجود آسیب‌پذیری Apache Log4j را در برخی از خطوط تولید خود شناسایی کرد که به طور بالقوه می‌تواند توسط مهاجمان احراز هویت نشده از راه دور برای اجرای کد روی سیستم‌های آسیب‌پذیر مورد سوء استفاده قرار گیرد. محصولات آسیب دیده عبارتند از:
ادامه مطلب در لینک زیر:
‏https://lnkd.in/daAMKVBG

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

خطرات آسیب پذیری Log4Shell برای محیط های OT - و چگونه می توانید بهتر در برابر آنها محافظت کنید
برای آموزش روشهای محافظت محیط عملیاتی در مقابل آسیب پذیری جدید این مقاله را مطالعه کنید:
https://lnkd.in/dHzfmNHV
#امنیت_اتوماسیون_صنعتی #امنیت_سایبری #Log4Shell #icssecurity #otsecurity


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

آژانس های امنیت سایبری جهانی نگرانی های فزاینده در مورد آسیب پذیری Log4j، از جمله در بخش OT را اعلام می کنند.
ادامه مقاله از لینک زیر:
https://lnkd.in/duJMyb3u

#امنیت_سایبری
#otsecurity
#icssecurity
#log4j

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

شجره نامه آسیب پذیری ها: چگونه یک مؤلفه آسیب پذیر منفرد (یعنی log4j) کل شجره نامه نرم افزارهای آسیب پذیر را رشد می دهد

#امنیت_اتوماسیون_صنعتی #امنیت_سایبری #Log4Shell #icssecurity #otsecurity


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

نمای دیگری از بازار جهانی OT Security توسط ISG (گروه خدمات اطلاعات)

#امنیت_سایبری
#otsecurity
#icssecurity

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

چرا باید ساکت ترین فرد در اتاق در زمینه امنیت سایبری باشید؟
نویسنده: پدرام کیانی

همه ما با "آن مرد" که به نظر می رسد باهوش ترین و پر سر و صداترین فرد اتاق است در جلسات بوده ایم. او سال ها در این زمینه بوده است، تجربه زیادی دارد.

روحیه در تیم IT پایین است. مدیران سیستم سعی می کنند در مورد برنامه ای صحبت کنند که تیم امنیتی آنها را مجبور به خاموش کردن آن می کند، اما صدای آنها شنیده نمی شود.

روحیه در تیم توسعه وب پایین است. آنها در مورد کدهایی که تیم امنیتی آنها را تغییر می دهد ابراز نگرانی می کنند، اما امنیت نمی خواهد آن را بشنود.

کاربران نهایی به دلیل رویه جدیدی که امنیت آنها را تحت فشار قرار می دهد و کار آنها را سخت تر می کند ناامید هستند، اما نگرانی های آنها بیهوده به نظر می رسد.

در این زمینه باید یاد بگیریم که به تک تک دغدغه ها گوش کنیم. دوباره تکرارش میکنم در این زمینه ما باید به تک تک دغدغه ها «گوش» بدهیم.

در طول سالها یاد گرفتم که پر سر و صداترین فرد اتاق نباشم. عقب می نشینم و گوش می دهم. بعد بیشتر گوش میدم سعی می کنم اطلاعاتی را که به من می رسد پردازش کنم.

سپس صحبت می کنم، اما به جای کارگردانی، سوال می پرسم. من سوال می پرسم تا بتوانم همه ناامیدی ها را بفهمم و عقب نشینی کنم.

پس از پرسیدن سوالات، بیشتر به پاسخ های آنها و راه حل های جایگزین ممکن گوش می دهم.

در نهایت، من صحبت می کنم و مطمئن می شوم که آنها می دانند که من نه تنها به آنها گوش می دهم، بلکه می شنوم.

من به نگرانی های آنها اهمیت می دهم. من به روحیه اهمیت می دهم. من به انجام کارها به عنوان یک "تیم" و نه به تنهایی اهمیت می دهم.

ساکت ترین فرد در اتاق باشید.

وقتی مردم شنیده شوند و احساس ارزشمندی کنند، اتفاقات رخ خواهد داد.

#امنیت سایبری #infosec #رهبری
#امنیت_سایبری
#otsecurity
#icssecurity

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

حملات سایبری همچنان بر شرکت های حمل و نقل و ذخیره سازی نفت در سراسر اروپا تاثیر گذاشته است.

در همان زمان، مقامات می گویند که یک حمله سایبری در مقیاس بزرگ، #تاسیسات بندری در بلژیک، آلمان و هلند را نیز هدف قرار داده است.

سیستم‌های فناوری اطلاعات در SEA-invest در بلژیک و Evos در هلند مختل شده‌اند، در حالی که گزارش‌های تایید نشده حاکی از آن است که باج‌افزار #BlackCat ممکن است سیستم‌های گروه Oiltanking و Mabanaft Deutschland GmbH & Co. KG در آلمان را در معرض خطر قرار داده باشد.

علیرغم ارتباط ظاهری بین این حملات سایبری، مقامات امنیت سایبری کشورهای آسیب دیده روز پنجشنبه گفتند که دلیلی برای این باور ندارند که این حملات به یکدیگر مرتبط هستند. مرکز ملی امنیت سایبری هلند در بیانیه‌ای اعلام کرد که حملاتی را که بخش نفت و #شیمیایی در هلند، بلژیک و آلمان را هدف قرار می‌دهند، مرتبط نمی‌داند. همچنین اضافه کرد که به نظر نمی رسد این حملات سایبری با هکرهای دولت ملت مرتبط باشد.

مهاجمان سایبری همچنین اسنک‌های تولیدکننده اسنک‌های خوش طعم بریتانیا را مورد هدف قرار داده‌اند. این شرکت جمعه گذشته متوجه شد که قربانی یک حمله باج افزار شده است، زمانی که هکرها به یک شبکه دسترسی پیدا کردند و داده ها را گروگان نگه داشتند. این حمله سایبری منجر به اختلال در زنجیره تامین در سراسر بریتانیا شده است و برخی گزارش‌ها حاکی از آن است که مشکلات کمبود عرضه می‌تواند تا پایان ماه مارس ادامه داشته باشد.

حمله باج‌افزار KP Snacks یادآوری دیگری از نیاز به پروتکل‌های امنیتی قوی است زیرا شبکه‌های فناوری اطلاعات و OT سازمان‌ها به همگرایی ادامه می‌دهند." «بیشتر حملات باج‌افزاری از عدم رعایت امنیت سایبری سوء استفاده می‌کنند و عوامل تهدید در انتظار بهره‌برداری هستند. سازمان‌ها باید با انجام اصول اولیه به‌خوبی از خود محافظت کنند - شروع با داشتن دید کامل به همه دارایی‌ها، از جمله ابر، فناوری اطلاعات و OT.»

#امنیت_سایبری
#otsecurity
#icssecurity

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

تاریخ
آینده پژوهی

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

زیمنس اصلاحیه‌هایی را برای تعدادی آسیب‌پذیری جدی اعلام کرده است که می‌توانند برای RCE (اجرای کد از راه دور) برخی از محصولات SIMATIC خود مورد سوء استفاده قرار گیرند.

در روز سه‌شنبه ۹ توصیه برای رسیدگی به ۲۷ آسیب‌پذیری منتشر کرد. یکی از این توصیه‌ها برای سه آسیب‌پذیری بسیار مهم است که می‌تواند توسط یک مهاجم از راه دور و احراز هویت نشده برای راه‌اندازی حملات انکار سرویس (DoS) علیه برخی محصولات زیمنس PLC (کنترل‌کننده‌های منطقی قابل برنامه‌ریزی) استفاده شود.
در یک محیط صنعتی در دنیای واقعی، خرابی PLC می تواند تأثیر جدی داشته باشد و باعث قطعی قابل توجهی شود.

آسیب پذیری های زیمنس SIMATIC S7-1200 و S7-1500 PLC، SIMATIC Drive Controller، ET 200SP Open Controller، S7-1500 Software Controller، SIMATIC S7-PLCSIM Advanced، TIM 1531 IRC ماژول ارتباطی و SIPLUS اعلام کردند که بر محصولات افراطی خود تأثیر می گذارد.
گائو جیان، محقق امنیتی ICS می‌گوید که تنها تعداد کمی از هشت آسیب‌پذیری گزارش شده وجود دارد، در حالی که مسائل دیگر در حال بررسی هستند. گائو جیان در یک github منتشر کرد که او شروع به گزارش یافته‌ها به زیمنس در آگوست 2021 کرد که آن را S7+:Crash نامید که مربوط به پروتکل ارتباطی OMS+ مورد استفاده محصولات زیمنس است.

S7+: Crash می تواند توسط یک عامل تهدید با دسترسی به دستگاه مورد نظر در پورت TCP 102 مورد سوء استفاده قرار گیرد. اگر PLC به دلیل پیکربندی اشتباه در معرض دید قرار گیرد، استفاده مستقیم از اینترنت نیز ممکن است امکان پذیر باشد.

RCE:
CVE-2021-37185
CVE-2021-37204
CVE-2021-37205
لینک خبر:
https://bit.ly/3BixbpQ
https://bit.ly/3LvHTxR
https://bit.ly/3HNL5CO


#OT#ICS #زیرساخت_بحرانی #انرژی #اتوماسیون #PLC #زیمنس #RCE #آسیب_پذیری #زیرساخت

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

Don't forget to make backup before weekend

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert