🚨 کشف آسیب پذیری در تجهیزات مانیتوریگ پزشکی Dräger Infinity Delta
1. خلاصه :
توجه: سطح مهارت پایین برای بهره برداری
فروشنده: Dräger
تجهیزات: Dräger Infinity Delta
آسیب پذیری: معتبر بودن ورودی نامناسب، افشای اطلاعات از طریق فایل های ورودی، مدیریت مجاز نامناسب
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند منجر به افشای اطلاعات از logs دستگاه، انکار سرویس از طریق راه اندازی مجدد دستگاه از مانیتور بیمار و افزایش امتیاز شود.
3. مشخصات فنی
3.1 محصولات آسیب پذیر
نسخه های زیر دستگاه های مراقبت از بیماران Dräger دستگاه های پزشکی تحت تاثیر قرار می گیرند:
الف- Dräger Infinity Delta، تمام نسخه ها
ب- Delta XL، تمام نسخه ها
پ- Kappa، تمام نسخه، و
ت- Infinity Explorer C700، تمام نسخه ها.
3.2 مرور کلی
3.2.1 تایید ورودی IMPROPER CWE-20
یک بسته شبکه ی ناقص ممکن است مانیتور را مجددا راه اندازی کند. با ارسال مکرر بسته ی شبکه ی ناقص، مهاجم ممکن است بتواند مانع از نظارت بر بیمار شود، چرا که مانیتور را به طور مکرر راه اندازی مجدد می کند تا زمانی که به تنظیمات پیش فرض بازگردد و اتصال شبکه را قطع کند.
3.2.2 محدوده اطلاعات از طریق پرونده های ورود به سیستم CWE-532
فایل های ورودی بر روی یک اتصال شبکه نامعتبر قابل دسترسی هستند. با دسترسی به فایل های log، مهاجم می تواند بینش های مربوط به درون مانیتور بیمار، محل مانیتور و پیکربندی شبکه سیمی را بدست آورد.
3.2.3 مديريت مجاز مقتضي CWE-269
از طریق یک دیالوگ خاص می توان از حالت کیوسک خارج شد و به سیستم عامل پایه رسید. با شکستن از حالت کیوسک، مهاجم قادر به کنترل سیستم عامل است.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFASTRUCTURE: بهداشت و درمان و بهداشت عمومی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: آلمان
3.4 پژوهشگر
مارک روف و روکو گالیاری، از scip AG، این آسیب پذیری ها را گزارش کردند.
4. نحوه رفع مشکل:
شرکت Dräger رفع این آسیب پذیری ها را در دسامبر 2018 منتشر کرد. کاربران می توانند نسخه های نرم افزاری Delta / Infinity Explorer VF10.1 را از طریق Dräger ServiceConnect برای اجزای آسیب دیده پیدا کنند.
✅ شرکت Dräger بیشتر توصیه می کند:
1️⃣ به کاربران بررسی پیکربندی تقسیم بندی شبکه توصیه می شود. شبکه Dräger Infinity به صورت منطقی یا دستگاهی جدا از شبکه بیمارستان است.
2️⃣ به کاربران توصیه می شود سطح وصله ویندوز خود را از Infinity Explorer بررسی کنند. نرم افزار Infinity Delta توسط Dräger به صورت ماهانه تأیید شده است که سازگار با تمامی آخرین وصله های سیستم عامل مایکروسافت است. کاربران می توانند گزارش تست را از طریق نمایندگی فروش محلی خود دریافت کنند.
برای گزارش حوادث و آسیب پذیری های بالقوه در دستگاه های Dräger، لطفا به https://static.draeger.com/security مراجعه کنید تا به طور مستقیم با تیم امنیت محصولات ارتباط برقرار کنید.
برای کسب اطلاعات بیشتر در مورد این آسیب پذیری ها و به روز رسانی نرم افزار مربوطه، لطفا مشاوره امنیتی محصول Dräger 201802 را در لینک زیر مشاهده نمایید:
https://static.draeger.com/security
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه :
توجه: سطح مهارت پایین برای بهره برداری
فروشنده: Dräger
تجهیزات: Dräger Infinity Delta
آسیب پذیری: معتبر بودن ورودی نامناسب، افشای اطلاعات از طریق فایل های ورودی، مدیریت مجاز نامناسب
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند منجر به افشای اطلاعات از logs دستگاه، انکار سرویس از طریق راه اندازی مجدد دستگاه از مانیتور بیمار و افزایش امتیاز شود.
3. مشخصات فنی
3.1 محصولات آسیب پذیر
نسخه های زیر دستگاه های مراقبت از بیماران Dräger دستگاه های پزشکی تحت تاثیر قرار می گیرند:
الف- Dräger Infinity Delta، تمام نسخه ها
ب- Delta XL، تمام نسخه ها
پ- Kappa، تمام نسخه، و
ت- Infinity Explorer C700، تمام نسخه ها.
3.2 مرور کلی
3.2.1 تایید ورودی IMPROPER CWE-20
یک بسته شبکه ی ناقص ممکن است مانیتور را مجددا راه اندازی کند. با ارسال مکرر بسته ی شبکه ی ناقص، مهاجم ممکن است بتواند مانع از نظارت بر بیمار شود، چرا که مانیتور را به طور مکرر راه اندازی مجدد می کند تا زمانی که به تنظیمات پیش فرض بازگردد و اتصال شبکه را قطع کند.
3.2.2 محدوده اطلاعات از طریق پرونده های ورود به سیستم CWE-532
فایل های ورودی بر روی یک اتصال شبکه نامعتبر قابل دسترسی هستند. با دسترسی به فایل های log، مهاجم می تواند بینش های مربوط به درون مانیتور بیمار، محل مانیتور و پیکربندی شبکه سیمی را بدست آورد.
3.2.3 مديريت مجاز مقتضي CWE-269
از طریق یک دیالوگ خاص می توان از حالت کیوسک خارج شد و به سیستم عامل پایه رسید. با شکستن از حالت کیوسک، مهاجم قادر به کنترل سیستم عامل است.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFASTRUCTURE: بهداشت و درمان و بهداشت عمومی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: آلمان
3.4 پژوهشگر
مارک روف و روکو گالیاری، از scip AG، این آسیب پذیری ها را گزارش کردند.
4. نحوه رفع مشکل:
شرکت Dräger رفع این آسیب پذیری ها را در دسامبر 2018 منتشر کرد. کاربران می توانند نسخه های نرم افزاری Delta / Infinity Explorer VF10.1 را از طریق Dräger ServiceConnect برای اجزای آسیب دیده پیدا کنند.
✅ شرکت Dräger بیشتر توصیه می کند:
1️⃣ به کاربران بررسی پیکربندی تقسیم بندی شبکه توصیه می شود. شبکه Dräger Infinity به صورت منطقی یا دستگاهی جدا از شبکه بیمارستان است.
2️⃣ به کاربران توصیه می شود سطح وصله ویندوز خود را از Infinity Explorer بررسی کنند. نرم افزار Infinity Delta توسط Dräger به صورت ماهانه تأیید شده است که سازگار با تمامی آخرین وصله های سیستم عامل مایکروسافت است. کاربران می توانند گزارش تست را از طریق نمایندگی فروش محلی خود دریافت کنند.
برای گزارش حوادث و آسیب پذیری های بالقوه در دستگاه های Dräger، لطفا به https://static.draeger.com/security مراجعه کنید تا به طور مستقیم با تیم امنیت محصولات ارتباط برقرار کنید.
برای کسب اطلاعات بیشتر در مورد این آسیب پذیری ها و به روز رسانی نرم افزار مربوطه، لطفا مشاوره امنیتی محصول Dräger 201802 را در لینک زیر مشاهده نمایید:
https://static.draeger.com/security
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
✔️ تیشرت #استاکسنت، با عنوان «تور وداع» توسط نمایندگان شرکت اسرائیلی Cybereason وابسته به ارتش اسرائیل در دفکان امسال پوشیده شده بود.
به نام شهرها و تاریخها توجه کنید
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
به نام شهرها و تاریخها توجه کنید
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
🚨 کشف آسیب پذیری در تجهیزات PHOENIX CONTACT FL SWITCH
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: PHOENIX CONTACT
☣️ تجهیزات: FL SWITCH
☣️ آسیب پذیری: جعل تقاضای Cross-site، محدودیت نامناسب تلاش های احراز هویت بیش از حد، انتقال Cleartext از اطلاعات حساس، Resource Exhaustion، مقصد غلط تعیین شده در یک کانال ارتباطی، ذخیره سازی نامناسب اطلاعات حساس و Corruption حافظه
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها ممکن است اجازه دهد که مهاجمان دارای امتیازات کاربر، دسترسی به سوئیچ، دسترسی به اعتبار کاربر، دسترسی به سوئیچ یا انجام حملات میان محور در میان باشند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
گزارش های Phoenix Contact گزارش می دهد که آسیب پذیری ها بر محصولات زیر تاثیر می گذارد:
FL SWITCH 3xxx, 4xxx and 48xx versions prior to Version 1.35.
3.2 مرور کلی
3.2.1 تقاضای تقاضای CROSS-SITE
این آسیب پذیری ممکن است به یک مهاجم به فریب مرورگر وب در ارسال دستورات ناخواسته اجازه دهد.
3.2.2 محدودیت نامناسب تلاش های احراز هویت بیش از حد
این سوئیچ دارای یک زمان ورود به سیستم برای جلوگیری از حدس زدن خودکار نام کاربری و رمز عبور خودکار با سرعت بالا است. یک مهاجم ممکن است با استفاده از روش brute forcing به نام کاربری و کلمه عبور دست یابد.
3.2.3 انتقال CLEARTEXT اطلاعات حساس CWE-319
تنظیمات پیش فرض UI وب (HTTP) اجازه می دهد که اعتبار کاربر رمزگذاری نشده باشد.
3.2.4 مصرف منابع منحصربفرد (خروج منابع) CWE-400
مهاجم می تواند یک حمله انکار سرویس وب را با تولید تعداد زیادی از اتصالات UI وب انجام دهد.
3.2.5 ذخیره سازی INSECURE اطلاعات حساس CWE-922
مهاجم ممکن است کلید خصوصی پیش فرض سوئیچ از تصویر سیستم عامل خود را استخراج کند.
3.2.6 محدودیت قابل ملاحظه عملیات در محدوده BUFFER MEMORY (CORRUPTION MEMORY) CWE-119
اشتباهات بافر در کتابخانه امنیتی موجود سوئیچ ممکن است شرایط منع سرویس را اجازه دهد.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFRASTRUCTURE: ارتباطات، کارخانجات حیاتی و حساس، فناوری اطلاعات
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: آلمان
4. نحوه رفع مشکل:
شرکت Phoenix Contact توصیه می کند که کاربران دستگاه های FL SWITCH با نسخه های سیستم عامل دارای آسیب پذیری سیستم عامل را به نسخه 1.35 و بالاتر ارتقاء دهند. نرم افزار به روزرسانی شده میتواند از صفحه سوئیچ مدیریت شده در وب سایت Phoenix Contact دانلود شود. لطفا CERT VDE مشاوره برای این آسیب پذیری ها را برای محل دانلود نرم افزار جدید برای هر محصول خاص مشاهده کنید : https://cert.vde.com/de-de/advisories/vde-2019-001
شرکت Phoenix Contact همچنین توصیه می کند که کاربران با استفاده از اتصالات Phoenix Contact کنترل شده FL SWITCH امنیت HTTP را فعال کنند.
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: PHOENIX CONTACT
☣️ تجهیزات: FL SWITCH
☣️ آسیب پذیری: جعل تقاضای Cross-site، محدودیت نامناسب تلاش های احراز هویت بیش از حد، انتقال Cleartext از اطلاعات حساس، Resource Exhaustion، مقصد غلط تعیین شده در یک کانال ارتباطی، ذخیره سازی نامناسب اطلاعات حساس و Corruption حافظه
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها ممکن است اجازه دهد که مهاجمان دارای امتیازات کاربر، دسترسی به سوئیچ، دسترسی به اعتبار کاربر، دسترسی به سوئیچ یا انجام حملات میان محور در میان باشند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
گزارش های Phoenix Contact گزارش می دهد که آسیب پذیری ها بر محصولات زیر تاثیر می گذارد:
FL SWITCH 3xxx, 4xxx and 48xx versions prior to Version 1.35.
3.2 مرور کلی
3.2.1 تقاضای تقاضای CROSS-SITE
این آسیب پذیری ممکن است به یک مهاجم به فریب مرورگر وب در ارسال دستورات ناخواسته اجازه دهد.
3.2.2 محدودیت نامناسب تلاش های احراز هویت بیش از حد
این سوئیچ دارای یک زمان ورود به سیستم برای جلوگیری از حدس زدن خودکار نام کاربری و رمز عبور خودکار با سرعت بالا است. یک مهاجم ممکن است با استفاده از روش brute forcing به نام کاربری و کلمه عبور دست یابد.
3.2.3 انتقال CLEARTEXT اطلاعات حساس CWE-319
تنظیمات پیش فرض UI وب (HTTP) اجازه می دهد که اعتبار کاربر رمزگذاری نشده باشد.
3.2.4 مصرف منابع منحصربفرد (خروج منابع) CWE-400
مهاجم می تواند یک حمله انکار سرویس وب را با تولید تعداد زیادی از اتصالات UI وب انجام دهد.
3.2.5 ذخیره سازی INSECURE اطلاعات حساس CWE-922
مهاجم ممکن است کلید خصوصی پیش فرض سوئیچ از تصویر سیستم عامل خود را استخراج کند.
3.2.6 محدودیت قابل ملاحظه عملیات در محدوده BUFFER MEMORY (CORRUPTION MEMORY) CWE-119
اشتباهات بافر در کتابخانه امنیتی موجود سوئیچ ممکن است شرایط منع سرویس را اجازه دهد.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFRASTRUCTURE: ارتباطات، کارخانجات حیاتی و حساس، فناوری اطلاعات
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: آلمان
4. نحوه رفع مشکل:
شرکت Phoenix Contact توصیه می کند که کاربران دستگاه های FL SWITCH با نسخه های سیستم عامل دارای آسیب پذیری سیستم عامل را به نسخه 1.35 و بالاتر ارتقاء دهند. نرم افزار به روزرسانی شده میتواند از صفحه سوئیچ مدیریت شده در وب سایت Phoenix Contact دانلود شود. لطفا CERT VDE مشاوره برای این آسیب پذیری ها را برای محل دانلود نرم افزار جدید برای هر محصول خاص مشاهده کنید : https://cert.vde.com/de-de/advisories/vde-2019-001
شرکت Phoenix Contact همچنین توصیه می کند که کاربران با استفاده از اتصالات Phoenix Contact کنترل شده FL SWITCH امنیت HTTP را فعال کنند.
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Vde
PHOENIX CONTACT Multiple Vulnerabilities in FL SWITCH 3xxx, 4xxx and 48xx — German (Germany)
This advisory describes multiple vulnerabilities. Please refer to section "impact" for details.
🚨 کشف آسیب پذیری در تجهیزات Advantech WebAccess / SCADA
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: Advantech
☣️ تجهیزات: WebAccess / SCADA
☣️ آسیب پذیری: احراز هویت نامناسب، دور زدن احراز هویت، تزریق SQL
2. ارزیابی خطر
استفاده موفقیت آمیز از این آسیب پذیری ها ممکن است به مهاجم اجازه داده شود تا اطلاعات حساس دسترسی پیدا کند و دستکاری کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از WebAccess / SCADA، یک پلت فرم نرم افزاری SCADA، تحت تاثیر قرار می گیرند:
WebAccess / SCADA نسخه 8.3
3.2 مرور کلی
3.2.1 گواهینامه IMPROPER CWE-287
یک آسیب پذیری احراز هویت نامناسب وجود دارد که می تواند اجازه عبور از طریق احراز هویت ممکن را برای مهاجم فراهم کند تا اطلاعات مخرب را بارگذاری کند.
3.2.2 ردیابی مجوز با استفاده از مسیر یا کانال جایگزین CWE-288
درخواست های ویژه ساخته شده می تواند اجازه عبور از طریق احراز هویت را فراهم کند که می تواند به مهاجم اجازه داده شود اطلاعات حساس را دستکاری کند.
3.2.3 ناکارآمدی مؤثر عناصر خاصی که در یک دستور SQL («تزریق SQL») استفاده شده است CWE-89
این نرم افزار ورودی های خود را برای دستورات SQL درست نمی کند.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی : کارخانجات حیاتی و حساس، انرژی، آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: شرق آسیا، ایالات متحده، اروپا
⚠️ محل شرکت کشف: تایوان
3.4 پژوهشگر
آقای Devesh Logendran از Attila Cybertech Pte. Ltd. این آسیب پذیری ها را به @ics_cert گزارش کرد.
4. نحوه رفع مشکل:
شرکت Advantech نسخه 8.3.5 از WebAccess / SCADA را برای رفع آسیب پذیری های گزارش شده منتشر کرده است. کاربران می توانند آخرین نسخه WebAccess / SCADA را در محل زیر دانلود کنید (ثبت نام لازم است):
https://support.advantech.com/support/DownloadSRDetail_New.aspx؟SR_ID=1-MS9MJV&Doc_Source=Download
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: Advantech
☣️ تجهیزات: WebAccess / SCADA
☣️ آسیب پذیری: احراز هویت نامناسب، دور زدن احراز هویت، تزریق SQL
2. ارزیابی خطر
استفاده موفقیت آمیز از این آسیب پذیری ها ممکن است به مهاجم اجازه داده شود تا اطلاعات حساس دسترسی پیدا کند و دستکاری کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از WebAccess / SCADA، یک پلت فرم نرم افزاری SCADA، تحت تاثیر قرار می گیرند:
WebAccess / SCADA نسخه 8.3
3.2 مرور کلی
3.2.1 گواهینامه IMPROPER CWE-287
یک آسیب پذیری احراز هویت نامناسب وجود دارد که می تواند اجازه عبور از طریق احراز هویت ممکن را برای مهاجم فراهم کند تا اطلاعات مخرب را بارگذاری کند.
3.2.2 ردیابی مجوز با استفاده از مسیر یا کانال جایگزین CWE-288
درخواست های ویژه ساخته شده می تواند اجازه عبور از طریق احراز هویت را فراهم کند که می تواند به مهاجم اجازه داده شود اطلاعات حساس را دستکاری کند.
3.2.3 ناکارآمدی مؤثر عناصر خاصی که در یک دستور SQL («تزریق SQL») استفاده شده است CWE-89
این نرم افزار ورودی های خود را برای دستورات SQL درست نمی کند.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی : کارخانجات حیاتی و حساس، انرژی، آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: شرق آسیا، ایالات متحده، اروپا
⚠️ محل شرکت کشف: تایوان
3.4 پژوهشگر
آقای Devesh Logendran از Attila Cybertech Pte. Ltd. این آسیب پذیری ها را به @ics_cert گزارش کرد.
4. نحوه رفع مشکل:
شرکت Advantech نسخه 8.3.5 از WebAccess / SCADA را برای رفع آسیب پذیری های گزارش شده منتشر کرده است. کاربران می توانند آخرین نسخه WebAccess / SCADA را در محل زیر دانلود کنید (ثبت نام لازم است):
https://support.advantech.com/support/DownloadSRDetail_New.aspx؟SR_ID=1-MS9MJV&Doc_Source=Download
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
🚨 کشف آسیب پذیری در سیستم AVEVA Wonderware System Platform
1. خلاصه
☣️ توجه: سطح مهارت پایین برای بهره برداری
☣️ فروشنده: AVEVA
☣️ تجهیزات: نرم افزار سیستم Wonderware
☣️ آسیب پذیری: مجوزهای نامناسب محافظت شده
2. ارزیابی خطر
این آسیب پذیری می تواند اجازه دسترسی غیر مجاز به اعتبار را برای حساب کاربری ArchestrA در شبکه ایجاد کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر در پلتفرم Wonderware System، تحت تاثیر قرار می گیرند:
Wonderware Platform Platform 2017 به روز رسانی 2 و قبل.
3.2 مرور کلی
3.2.1 مجوزهای محافظت شده CWE-522 به طور ضعیف
سیستم پلت فرم Wonderware از حساب کاربری شبکه ArchestrA برای احراز هویت پردازش های سیستم و ارتباطات بین گره استفاده می کند. یک کاربر با امتیازات کم میتواند از یک API برای به دست آوردن اعتبار برای این حساب استفاده کند.
3.3 نقاط آسیب پذیر:
⚠️ بخش های اصلی بحرانی: مواد شیمیایی، ساختمانی بحرانی، انرژی، غذا و کشاورزی، آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: انگلستان
3.4 پژوهشگر
ولادیمیر داشچنکو از آزمایشگاه کسپرسکی این آسیب پذیری را به AVEVA گزارش کرده است.
4. نحوه رفع مشکل:
شرکت AVEVA کاربران را به استفاده از Wonderware System Platform 2017 Update 2 توصیه می کند و در اسرع وقت باید به System Platform 2017 Update 3 ارتقاء یابد. این آپدیت را می توانید از محل زیر دانلود کنید (لازم است که بانام کاربری خود وارد شوید):
https://softwaresupportsp.schneider-electric.com/#/producthub/details؟id=52332
✅ شرکت AVEVA بولتن امنیتی LFSEC00000135 را نیز منتشر کرده که می توان در محل زیر پیدا کرد:
https://sw.aveva.com/hubfs/assets-2018/pdf/security-bulletin/SecurityBulletin_LFSec135.pdf
همچنین AVEVA توصیه می کند که کاربران سیستم های کنترل صنعتی را طبق NIST SP 800-82 Rev. 2 ایمن نگه دارند:
https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: سطح مهارت پایین برای بهره برداری
☣️ فروشنده: AVEVA
☣️ تجهیزات: نرم افزار سیستم Wonderware
☣️ آسیب پذیری: مجوزهای نامناسب محافظت شده
2. ارزیابی خطر
این آسیب پذیری می تواند اجازه دسترسی غیر مجاز به اعتبار را برای حساب کاربری ArchestrA در شبکه ایجاد کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر در پلتفرم Wonderware System، تحت تاثیر قرار می گیرند:
Wonderware Platform Platform 2017 به روز رسانی 2 و قبل.
3.2 مرور کلی
3.2.1 مجوزهای محافظت شده CWE-522 به طور ضعیف
سیستم پلت فرم Wonderware از حساب کاربری شبکه ArchestrA برای احراز هویت پردازش های سیستم و ارتباطات بین گره استفاده می کند. یک کاربر با امتیازات کم میتواند از یک API برای به دست آوردن اعتبار برای این حساب استفاده کند.
3.3 نقاط آسیب پذیر:
⚠️ بخش های اصلی بحرانی: مواد شیمیایی، ساختمانی بحرانی، انرژی، غذا و کشاورزی، آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: انگلستان
3.4 پژوهشگر
ولادیمیر داشچنکو از آزمایشگاه کسپرسکی این آسیب پذیری را به AVEVA گزارش کرده است.
4. نحوه رفع مشکل:
شرکت AVEVA کاربران را به استفاده از Wonderware System Platform 2017 Update 2 توصیه می کند و در اسرع وقت باید به System Platform 2017 Update 3 ارتقاء یابد. این آپدیت را می توانید از محل زیر دانلود کنید (لازم است که بانام کاربری خود وارد شوید):
https://softwaresupportsp.schneider-electric.com/#/producthub/details؟id=52332
✅ شرکت AVEVA بولتن امنیتی LFSEC00000135 را نیز منتشر کرده که می توان در محل زیر پیدا کرد:
https://sw.aveva.com/hubfs/assets-2018/pdf/security-bulletin/SecurityBulletin_LFSec135.pdf
همچنین AVEVA توصیه می کند که کاربران سیستم های کنترل صنعتی را طبق NIST SP 800-82 Rev. 2 ایمن نگه دارند:
https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد. این آسیب پذیری ها از راه دور قابل بهره برداری نیستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
🚨 کشف آسیب پذیری در تجهیزات Mitsubishi Electric MELSEC-Q Series PLC
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: میتسوبیشی الکتریک
☣️ تجهیزات: PLC های سری MELSEC-Q
☣️ آسیب پذیری: خستگی منابع
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند به یک مهاجم از راه دور اجازه دهد تا بسته های خاصی را به دستگاه ارسال کند و ارتباطات اترنت را متوقف کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
تجهیزات PLC های سری MELSEC-Q تحت تاثیر قرار می گیرند:
Q03 / 04/06/13 / 26UDVCPU: شماره سریال 20081 و قبل،
Q04 / 06/13 / 26UDPVCPU: شماره سریال 20081 و قبل، و
Q03UDECPU Q04 / 06/10/13/20/26/50 / 100UDEHCPU: شماره سریال 20101 و قبل.
3.2 مرور کلی
3.2.1 مصرف منابع منحصربفرد ("خروج منابع") CWE-400
یک مهاجم از راه دور می تواند بایت های خاصی را بر روی پورت 5007 ارسال کند که منجر به سقوط پشته اترنت خواهد شد.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFASTRUCTURE: سازمانهای رده حیاتی و حساس
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: ژاپن
3.4 پژوهشگر
گروه Tri Quach از شرکت فناوری امنیتی تامین کننده مشتری آمازون (CFTS) این آسیب پذیری را به @ics_cert گزارش کرد.
4. نحوه رفع مشکل:
میتسوبیشی الکتریک نسخه جدیدی از سیستم عامل را تولید کرده است. اطلاعات اضافی در مورد این آسیب پذیری و یا کنترل جبران کنترل برق Mitsubishi Electric با تماس با یک نماینده Mitsubishi Electric محلی که می تواند در محل زیر یافت شود:
https://us.mitsubishielectric.com/fa/en/about-us/distributors
میتسوبیشی الکتریک به شدت توصیه می کند که کاربران باید دستگاه آسیب دیده را پشت یک دیوار آتش قرار دهند.
شرکت AVEVA بولتن امنیتی LFSEC00000135 را نیز منتشر کرده که می توان در محل زیر پیدا کرد:
https://sw.aveva.com/hubfs/assets-2018/pdf/security-bulletin/SecurityBulletin_LFSec135.pdf
همچنین AVEVA توصیه می کند که کاربران سیستم های کنترل صنعتی را طبق NIST SP 800-82 Rev. 2 ایمن نگه دارند:
https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: میتسوبیشی الکتریک
☣️ تجهیزات: PLC های سری MELSEC-Q
☣️ آسیب پذیری: خستگی منابع
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند به یک مهاجم از راه دور اجازه دهد تا بسته های خاصی را به دستگاه ارسال کند و ارتباطات اترنت را متوقف کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
تجهیزات PLC های سری MELSEC-Q تحت تاثیر قرار می گیرند:
Q03 / 04/06/13 / 26UDVCPU: شماره سریال 20081 و قبل،
Q04 / 06/13 / 26UDPVCPU: شماره سریال 20081 و قبل، و
Q03UDECPU Q04 / 06/10/13/20/26/50 / 100UDEHCPU: شماره سریال 20101 و قبل.
3.2 مرور کلی
3.2.1 مصرف منابع منحصربفرد ("خروج منابع") CWE-400
یک مهاجم از راه دور می تواند بایت های خاصی را بر روی پورت 5007 ارسال کند که منجر به سقوط پشته اترنت خواهد شد.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFASTRUCTURE: سازمانهای رده حیاتی و حساس
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: ژاپن
3.4 پژوهشگر
گروه Tri Quach از شرکت فناوری امنیتی تامین کننده مشتری آمازون (CFTS) این آسیب پذیری را به @ics_cert گزارش کرد.
4. نحوه رفع مشکل:
میتسوبیشی الکتریک نسخه جدیدی از سیستم عامل را تولید کرده است. اطلاعات اضافی در مورد این آسیب پذیری و یا کنترل جبران کنترل برق Mitsubishi Electric با تماس با یک نماینده Mitsubishi Electric محلی که می تواند در محل زیر یافت شود:
https://us.mitsubishielectric.com/fa/en/about-us/distributors
میتسوبیشی الکتریک به شدت توصیه می کند که کاربران باید دستگاه آسیب دیده را پشت یک دیوار آتش قرار دهند.
شرکت AVEVA بولتن امنیتی LFSEC00000135 را نیز منتشر کرده که می توان در محل زیر پیدا کرد:
https://sw.aveva.com/hubfs/assets-2018/pdf/security-bulletin/SecurityBulletin_LFSec135.pdf
همچنین AVEVA توصیه می کند که کاربران سیستم های کنترل صنعتی را طبق NIST SP 800-82 Rev. 2 ایمن نگه دارند:
https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Distributor Locator | Mitsubishi Electric Automation
Factory Automation - Mitsubishi Electric Automation
We offer a comprehensive line of factory automation solutions. Solutions include robots, automation platforms, sequence controllers, human-machine interfaces, variable frequency drives, servo amplifiers and motors, motion controllers, computer numerical control…
🚨 کشف آسیب پذیری در خدمات مدیریت مجوز Yokogawa
1. خلاصه
☣️ توجه : از راه دور قابل استفاده است
☣️ فروشنده : Yokogawa
☣️ تجهیزات : License Manager Service
☣️ آسیب پذیری : آپلود نامحدود از فایل های با نوع خطرناک
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند به مهاجم اجازه دهد فایل ها را از راه دور آپلود کند و اجازه اجرای کد دلخواه را بدهد.
3. مشخصات فنی
3.1 محصولات آسیب دیده
تجهیزات و نسخه های زیر با استفاده از سرویس مجوز Yokogawa License Manager تحت تاثیر قرار می گیرند:
CENTUM VP (R5.01.00 - R6.06.00)،
کلاس ورودی CENTUM VP (R5.01.00 - R6.06.00)،
ProSafe-RS (R3.01.00 - R4.04.00)،
PRM (R4.01.00 - R4.02.00)، و
B / M9000 VP (R7.01.01 - R8.02.03).
3.2 مرور کلی
3.2.1 آپلود مجدد فایل با نوع خطرناک CWE-434
محصولات Yokogawa چندگانه با استفاده از یک سرویس در نظر گرفته شده برای تأیید اعتبار محصولات مجاز استفاده می شود. سرویس در حال اجرا بر روی محصولات آسیب دیده به درستی آپلود فایل های بالقوه مخرب را محدود نمی کند، که می تواند منجر به اجرای کد دلخواه شود.
3.3 نقاط آسیب پذیر:
⚠️ بخش های مهم بحرانی : سازمانهای رده حیاتی و حساس، انرژی، غذا و کشاورزی
⚠️ کشور / منطقه مورد تخریب : در سراسر جهان
⚠️ محل شرکت کشف: ژاپن
3.4 پژوهشگر
آزمایشگاه کسپرسکی این آسیب پذیری را به Yokogawa گزارش کرد .
4. نحوه رفع مشکل:
شرکت Yokogawa توصیه میکند کاربران از دستگاه های و نسخه های آسیب دیده به آخرین نسخه موجود به روز رسانی نمایند. جزئیات مربوط به محصولات، اصلاحیه های آسیب دیده و پیشنهادات مربوط به کاهش در گزارش مشورت امنیتی Yokogawa "YSAR-198-0001: آسیب پذیری کنترل دسترسی در سرویس مجوز مدیریت محصولات Yokogawa" موجود است. این مشاوره را می توان در محل زیر یافت شد:
https://web-material3.yokogawa.com/1/20653/files/YSAR-19-0001-E.pdf
برای سوالات مربوط به این گزارش و جزئیات در مورد نحوه به روز رسانی به جدیدترین تجدید نظر، لطفا از وب سایت امنیتی Yokogawa (ثبت نام مورد نیاز) بازدید کنید : https://contact.yokogawa.com/cs/gw؟c-id=000498
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه : از راه دور قابل استفاده است
☣️ فروشنده : Yokogawa
☣️ تجهیزات : License Manager Service
☣️ آسیب پذیری : آپلود نامحدود از فایل های با نوع خطرناک
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند به مهاجم اجازه دهد فایل ها را از راه دور آپلود کند و اجازه اجرای کد دلخواه را بدهد.
3. مشخصات فنی
3.1 محصولات آسیب دیده
تجهیزات و نسخه های زیر با استفاده از سرویس مجوز Yokogawa License Manager تحت تاثیر قرار می گیرند:
CENTUM VP (R5.01.00 - R6.06.00)،
کلاس ورودی CENTUM VP (R5.01.00 - R6.06.00)،
ProSafe-RS (R3.01.00 - R4.04.00)،
PRM (R4.01.00 - R4.02.00)، و
B / M9000 VP (R7.01.01 - R8.02.03).
3.2 مرور کلی
3.2.1 آپلود مجدد فایل با نوع خطرناک CWE-434
محصولات Yokogawa چندگانه با استفاده از یک سرویس در نظر گرفته شده برای تأیید اعتبار محصولات مجاز استفاده می شود. سرویس در حال اجرا بر روی محصولات آسیب دیده به درستی آپلود فایل های بالقوه مخرب را محدود نمی کند، که می تواند منجر به اجرای کد دلخواه شود.
3.3 نقاط آسیب پذیر:
⚠️ بخش های مهم بحرانی : سازمانهای رده حیاتی و حساس، انرژی، غذا و کشاورزی
⚠️ کشور / منطقه مورد تخریب : در سراسر جهان
⚠️ محل شرکت کشف: ژاپن
3.4 پژوهشگر
آزمایشگاه کسپرسکی این آسیب پذیری را به Yokogawa گزارش کرد .
4. نحوه رفع مشکل:
شرکت Yokogawa توصیه میکند کاربران از دستگاه های و نسخه های آسیب دیده به آخرین نسخه موجود به روز رسانی نمایند. جزئیات مربوط به محصولات، اصلاحیه های آسیب دیده و پیشنهادات مربوط به کاهش در گزارش مشورت امنیتی Yokogawa "YSAR-198-0001: آسیب پذیری کنترل دسترسی در سرویس مجوز مدیریت محصولات Yokogawa" موجود است. این مشاوره را می توان در محل زیر یافت شد:
https://web-material3.yokogawa.com/1/20653/files/YSAR-19-0001-E.pdf
برای سوالات مربوط به این گزارش و جزئیات در مورد نحوه به روز رسانی به جدیدترین تجدید نظر، لطفا از وب سایت امنیتی Yokogawa (ثبت نام مورد نیاز) بازدید کنید : https://contact.yokogawa.com/cs/gw؟c-id=000498
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
🚨 کشف آسیب پذیری در تجهیزات پزشکی BD FACSLyric
1. خلاصه
☣️ توجه: سطح مهارت پایین برای بهره برداری
☣️ فروشنده: بکتون، دیکنسون و شرکت (BD)
☣️ تجهیزات: FACSLyric
☣️ آسیب پذیری: کنترل دسترسی نامناسب
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ممکن است به یک مهاجم امکان دهد که دسترسی غیر مجاز به امتیازات سطح مدیریتی در یک ایستگاه کاری را به دست آورد، که می تواند باعث اجرای دستورات دلخواه شود. این آسیب پذیری سیستم BD FACSLyric جریان سیاتومتری را با استفاده از سیستم عامل ویندوز 7 تحت تاثیر قرار نمی دهد.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از فلوسایتومتر FACSLyric تحت تاثیر قرار می گیرند:
BD FACSLyric Use Only Research، سیستم عامل حرفه ای ویندوز 10، انتشارات ایالات متحده و مالزی، بین نوامبر 2017 تا نوامبر 2018 و
BD FACSLyric IVD ویندوز 10 حرفه ای سیستم عامل ایالات متحده انتشار.
3.2 مرور کلی
3.2.1 CONTROL ACCESS IMPROPER
این برنامه به طور مناسب کنترل دسترسی کاربران را به حسابهای ممتاز اجرا نمیکند، که ممکن است برای دسترسی غیرمجاز به توابع سطح مدیریتی امکان پذیر باشد.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFASTRUCTURE: بهداشت و درمان و بهداشت عمومی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: ایالات متحده
4. نحوه رفع مشکل:
شرکت BD به طور مستقیم با تمام کاربران آسیب دیده تماس خواهد گرفت تا فعالیت های اصلاحی را انجام دهد. BD حساب مدیریتی را برای کاربران با دستگاه های BD FACSLyric RUO Cell Analyzer که دارای سیستم عامل ویندوز 10 Pro هستند را غیرفعال می کند. BD ارتباط برقرار کرده و ایستگاه های کاری کامپیوتر را برای کاربران آسیب دیده با واحد BD FACSLyric IVD Cell Analyzer با سیستم عامل ویندوز 10 Pro جایگزین کرده است.
برای اطلاعات بیشتر در مورد آسیب پذیری گزارش شده لطفا با BD برای پشتیبانی زیر تماس بگیرید:
برای پشتیبانی فنی لطفا با BD Biosciences General Tech Support - Flow Cytometry از طریق email researchapplications@bd.com یا تلفن 877-232-8995 Option 2 و سپس Option 2 دوباره تماس بگیرید.
برای کسب اطلاعات بیشتر در مورد امنیت محصول BD و مدیریت آسیب پذیری، با دفتر امنیت محصولات BD تماس بگیرید:
https://www.bd.com/productsecurity
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: سطح مهارت پایین برای بهره برداری
☣️ فروشنده: بکتون، دیکنسون و شرکت (BD)
☣️ تجهیزات: FACSLyric
☣️ آسیب پذیری: کنترل دسترسی نامناسب
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ممکن است به یک مهاجم امکان دهد که دسترسی غیر مجاز به امتیازات سطح مدیریتی در یک ایستگاه کاری را به دست آورد، که می تواند باعث اجرای دستورات دلخواه شود. این آسیب پذیری سیستم BD FACSLyric جریان سیاتومتری را با استفاده از سیستم عامل ویندوز 7 تحت تاثیر قرار نمی دهد.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از فلوسایتومتر FACSLyric تحت تاثیر قرار می گیرند:
BD FACSLyric Use Only Research، سیستم عامل حرفه ای ویندوز 10، انتشارات ایالات متحده و مالزی، بین نوامبر 2017 تا نوامبر 2018 و
BD FACSLyric IVD ویندوز 10 حرفه ای سیستم عامل ایالات متحده انتشار.
3.2 مرور کلی
3.2.1 CONTROL ACCESS IMPROPER
این برنامه به طور مناسب کنترل دسترسی کاربران را به حسابهای ممتاز اجرا نمیکند، که ممکن است برای دسترسی غیرمجاز به توابع سطح مدیریتی امکان پذیر باشد.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFASTRUCTURE: بهداشت و درمان و بهداشت عمومی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: ایالات متحده
4. نحوه رفع مشکل:
شرکت BD به طور مستقیم با تمام کاربران آسیب دیده تماس خواهد گرفت تا فعالیت های اصلاحی را انجام دهد. BD حساب مدیریتی را برای کاربران با دستگاه های BD FACSLyric RUO Cell Analyzer که دارای سیستم عامل ویندوز 10 Pro هستند را غیرفعال می کند. BD ارتباط برقرار کرده و ایستگاه های کاری کامپیوتر را برای کاربران آسیب دیده با واحد BD FACSLyric IVD Cell Analyzer با سیستم عامل ویندوز 10 Pro جایگزین کرده است.
برای اطلاعات بیشتر در مورد آسیب پذیری گزارش شده لطفا با BD برای پشتیبانی زیر تماس بگیرید:
برای پشتیبانی فنی لطفا با BD Biosciences General Tech Support - Flow Cytometry از طریق email researchapplications@bd.com یا تلفن 877-232-8995 Option 2 و سپس Option 2 دوباره تماس بگیرید.
برای کسب اطلاعات بیشتر در مورد امنیت محصول BD و مدیریت آسیب پذیری، با دفتر امنیت محصولات BD تماس بگیرید:
https://www.bd.com/productsecurity
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Bd
Product Security and Privacy - BD
Learn about BD product security and privacy.
🚨 کشف آسیب پذیری در تختهای پزشکی Stryker
1. خلاصه
☣️ توجه: سوء استفاده عمومی در دسترس است
☣️ فروشنده: Stryker
☣️ تجهیزات: تختخواب امن MedSurg Bed، S3 MedSurg Bed و InTouch ICU Bed
☣️ آسیب پذیری: استفاده مجدد از Nonce
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند دستکاری ترافیک داده ها را به وجود آورد، و در نتیجه، تبادل اطلاعات رمز شده یا تزریق داده ها به طور جزئی رخ می دهد.
3. مشخصات فنی
3.1 محصولات آسیب دیده
تجهیزات پزشکی زیر از زیرمجموعه تجهیزات پزشکی Stryker تحت تاثیر قرار می گیرند:
تختخواب امن II MedSurg Bed (فعال با iBed Wireless)، مدل: 3002،
S3 MedSurg Bed (فعال با iBed Wireless)، مدل ها: 3002 S3، و 3005 S3، و
InTouch ICU Bed (فعال با بی سیم بیرونی)، مدل 2131 و 2141.
3.2 مرور کلی
3.2.1 استفاده مجدد از یک جفت، کلید کلیدی در رمزنگاری CWE-323
یک آسیب پذیری صنعت در سراسر پروتکل WPA و WPA2 که تحت تأثیر حمله های کلید مجدد نصب شده KRACK شناخته می شود وجود دارد. ترافیک چهار طرفه در Wi-Fi محافظت شده دسترسی WPA و پروتکل WPA2 می تواند دستکاری شود تا امکان استفاده مجدد از nonce را داشته باشد، و در نتیجه کلید مجدد نصب می شود. این می تواند به یک مهاجم اجازه دهد که یک حمله "مرد میانی" را اجرا کند و به مهاجم مجوز دهد در محدوده رادیویی مجاز ، رمزگشایی یا جعل دسترسی کند.
دراین خصوص CVE های زیر به این گروه آسیب پذیری اختصاص داده شده است:
CVE-2017-13077: Reinstallation of the pairwise key during the four-way handshake.
CVE-2017-13078: Reinstallation of the group key during the four-way handshake.
CVE-2017-13079: Reinstallation of the Integrity Group Temporal Key (IGTK) during the four-way handshake.
CVE-2017-13080: Reinstallation of the group key during the group key handshake.
CVE-2017-13081: Reinstallation of the IGTK during the group key handshake.
CVE-2017-13082: Reinstallation of the Pairwise Transient Key (PTK) Temporal Key (TK) during the fast BSS transmission (FT) handshake.
CVE-2017-13086: Reinstallation of the Tunneled Direct-Link Setup (TDLS) Peer Key (TPK) during the TDLS handshake.
CVE-2017-13087: Reinstallation of the Group Temporal Key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
CVE-2017-13088: Reinstallation of the IGTK when processing a WNM Sleep Mode Response frame.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFASTRUCTURE: بهداشت و درمان و بهداشت عمومی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: ایالات متحده
4. نحوه رفع مشکل:
شرکت Stryker به روز رسانی نرم افزاری برای محصولات آسیب دیده برای کاهش آسیب پذیری KRACK عرضه کرده است.
دروازه 1.0 - بدون پچ موجود است
دروازه 2.0 - ارتقاء به نسخه نرم افزار 5212-400-905_3.5.002.01
دروازه 3.0 - پچ در نسخه نرم افزار فعلی 5212-500-905_4.3.001.01 وارد شده است
همچنین Stryker توصیه می کند که کاربران اقدامات دفاعی اضافی را برای به حداقل رساندن خطر بهره برداری انجام دهند. به طور خاص، کاربران باید:
✅ در صورت عدم نیاز توسط کاربر، قابلیت بی سیم iBed ممکن است غیرفعال شود.
✅ شرکت Stryker توصیه می کند که این محصولات بر روی یک VLAN جداگانه، در صورت امکان، برای تقسیم بندی امنیت مناسب شبکه، کار کنند.
✅ به عنوان یک احتیاط اضافی، اطمینان از آخرین به روز رسانی های توصیه شده (که شامل پچ KRACK) برای نقاط دسترسی Wi-Fi، در شبکه های فعال Wi-Fi اجرا شده است.
برای سوالات اضافی، کاربران می توانند 1-800-STRYKER، گزینه 2 برای پشتیبانی فنی Stryker تماس بگیرید.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅 این آسیب پذیری از یک شبکه مجاور بهره برداری می شود. سطح مهارت بالا برای بهره برداری مورد نیاز است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: سوء استفاده عمومی در دسترس است
☣️ فروشنده: Stryker
☣️ تجهیزات: تختخواب امن MedSurg Bed، S3 MedSurg Bed و InTouch ICU Bed
☣️ آسیب پذیری: استفاده مجدد از Nonce
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند دستکاری ترافیک داده ها را به وجود آورد، و در نتیجه، تبادل اطلاعات رمز شده یا تزریق داده ها به طور جزئی رخ می دهد.
3. مشخصات فنی
3.1 محصولات آسیب دیده
تجهیزات پزشکی زیر از زیرمجموعه تجهیزات پزشکی Stryker تحت تاثیر قرار می گیرند:
تختخواب امن II MedSurg Bed (فعال با iBed Wireless)، مدل: 3002،
S3 MedSurg Bed (فعال با iBed Wireless)، مدل ها: 3002 S3، و 3005 S3، و
InTouch ICU Bed (فعال با بی سیم بیرونی)، مدل 2131 و 2141.
3.2 مرور کلی
3.2.1 استفاده مجدد از یک جفت، کلید کلیدی در رمزنگاری CWE-323
یک آسیب پذیری صنعت در سراسر پروتکل WPA و WPA2 که تحت تأثیر حمله های کلید مجدد نصب شده KRACK شناخته می شود وجود دارد. ترافیک چهار طرفه در Wi-Fi محافظت شده دسترسی WPA و پروتکل WPA2 می تواند دستکاری شود تا امکان استفاده مجدد از nonce را داشته باشد، و در نتیجه کلید مجدد نصب می شود. این می تواند به یک مهاجم اجازه دهد که یک حمله "مرد میانی" را اجرا کند و به مهاجم مجوز دهد در محدوده رادیویی مجاز ، رمزگشایی یا جعل دسترسی کند.
دراین خصوص CVE های زیر به این گروه آسیب پذیری اختصاص داده شده است:
CVE-2017-13077: Reinstallation of the pairwise key during the four-way handshake.
CVE-2017-13078: Reinstallation of the group key during the four-way handshake.
CVE-2017-13079: Reinstallation of the Integrity Group Temporal Key (IGTK) during the four-way handshake.
CVE-2017-13080: Reinstallation of the group key during the group key handshake.
CVE-2017-13081: Reinstallation of the IGTK during the group key handshake.
CVE-2017-13082: Reinstallation of the Pairwise Transient Key (PTK) Temporal Key (TK) during the fast BSS transmission (FT) handshake.
CVE-2017-13086: Reinstallation of the Tunneled Direct-Link Setup (TDLS) Peer Key (TPK) during the TDLS handshake.
CVE-2017-13087: Reinstallation of the Group Temporal Key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
CVE-2017-13088: Reinstallation of the IGTK when processing a WNM Sleep Mode Response frame.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFASTRUCTURE: بهداشت و درمان و بهداشت عمومی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل شرکت کشف: ایالات متحده
4. نحوه رفع مشکل:
شرکت Stryker به روز رسانی نرم افزاری برای محصولات آسیب دیده برای کاهش آسیب پذیری KRACK عرضه کرده است.
دروازه 1.0 - بدون پچ موجود است
دروازه 2.0 - ارتقاء به نسخه نرم افزار 5212-400-905_3.5.002.01
دروازه 3.0 - پچ در نسخه نرم افزار فعلی 5212-500-905_4.3.001.01 وارد شده است
همچنین Stryker توصیه می کند که کاربران اقدامات دفاعی اضافی را برای به حداقل رساندن خطر بهره برداری انجام دهند. به طور خاص، کاربران باید:
✅ در صورت عدم نیاز توسط کاربر، قابلیت بی سیم iBed ممکن است غیرفعال شود.
✅ شرکت Stryker توصیه می کند که این محصولات بر روی یک VLAN جداگانه، در صورت امکان، برای تقسیم بندی امنیت مناسب شبکه، کار کنند.
✅ به عنوان یک احتیاط اضافی، اطمینان از آخرین به روز رسانی های توصیه شده (که شامل پچ KRACK) برای نقاط دسترسی Wi-Fi، در شبکه های فعال Wi-Fi اجرا شده است.
برای سوالات اضافی، کاربران می توانند 1-800-STRYKER، گزینه 2 برای پشتیبانی فنی Stryker تماس بگیرید.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅 این آسیب پذیری از یک شبکه مجاور بهره برداری می شود. سطح مهارت بالا برای بهره برداری مورد نیاز است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
🚨 کشف آسیب پذیری در تجهیزات Schneider Electric EVLink Parking
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: Schneider Electric
☣️ تجهیزات: پارکینگ EVLink
☣️ آسیب پذیری: استفاده از مجوز های سخت افزاری، تزریق کد، تزریق SQL
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند به مهاجم اجازه دهد دستگاه را متوقف کند و از شارژ جلوگیری کند، دستورات دلخواه خود را اجرا کند و دسترسی به رابط وب را با امتیازات کامل به دست آورد.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از پارکینگ EVLink که یک ایستگاه شارژ خودرو الکتریکی است، تحت تاثیر قرار می گیرد:
EVLink نسخه پارکینگ 3.2.0-12_v1 و قبل.
3.2 مرور کلی
3.2.1 استفاده از مجوزهای سخت CWE-798
یک آسیب پذیری اعتبارنامه سخت افزاری وجود دارد که می تواند مهاجم را برای دسترسی به دستگاه فعال کند.
3.2.2 کنترل قابل ملاحظه تولید کد ('تزریق کد') CWE-94
یک آسیب پذیری تزریق کد وجود دارد که می تواند امکان اجرای کد با حداکثر امتیاز را فراهم کند.
3.2.3 ناکارآمدی مؤثر عناصر خاصی که در یک دستور SQL («تزریق SQL») استفاده شده است CWE-89
یک آسیب پذیری تزریق SQL وجود دارد که می تواند دسترسی مهاجم به رابط وب را با امتیازات کامل ایجاد کند.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی : حمل و نقل
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ مکان های کشف شده: فرانسه
4. نحوه رفع مشکل:
شرکت Schneider Electric توصیه می کند که کاربران یک فایروال را تنظیم کنند تا دسترسی از راه دور به ایستگاه های شارژ را توسط کاربران غیر مجاز محدود کند. برای کاهش این آسیب پذیری، به روز رسانی نرم افزاری نیز موجود است:
https://www.schneider-electric.com/en/download/range/60850-EVlink پارکینگ؟ docTypeGroup = 3541958-نرم افزار / نرم افزار
برای اطلاعات بیشتر، اطلاع رسانی امنیتی Schneider Electric را می توانید از لینک زیر مشاهده کنید:
https://www.schneider-electric.com/en/download/document/SEVD-2018-354-01/
همچنین Schneider Electric بهترین شیوه های امنیتی سایبر را ارائه می دهد:
📍 سیستم های کنترل و ایمنی سیستم و دستگاه های از راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
📍 کنترل های فیزیکی باید در محل باشد تا هیچ شخصی غیر مجاز به کنترل کننده های ICS و کنترل کننده ایمنی، تجهیزات جانبی یا ICS و شبکه های ایمنی دسترسی نداشته باشد.
📍 تمام کنترل کننده ها باید در کابین های قفل شده باقی بمانند و هرگز در حالت "برنامه" باقی نمانند.
📍 تمام نرم افزارهای برنامه نویسی باید در کابین های قفل شده نگه داشته شوند و هرگز نباید به هر شبکه دیگری از شبکه متصل شوند.
📍 تمام روشهای تبادل داده های تلفن همراه با شبکه های جدا شده از قبیل سی دی ها، درایوهای USB و غیره باید قبل از استفاده در پایانه ها یا هر گره متصل به این شبکه ها اسکن شوند.
📍 لپ تاپ هایی که به شبکه های دیگر متصل شده اند به هیچ وجه نباید اجازه اتصال به شبکه های ایمنی یا کنترل بدون ایمنی مناسب را داشته باشند.
📍 به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از دسترسی آنها از اینترنت.
📍 هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های خصوصی مجازی (VPN ها) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود در آنها به روز شود. همچنین تشخیص دهید که VPN فقط به عنوان دستگاه های متصل به عنوان امن است.
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: Schneider Electric
☣️ تجهیزات: پارکینگ EVLink
☣️ آسیب پذیری: استفاده از مجوز های سخت افزاری، تزریق کد، تزریق SQL
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند به مهاجم اجازه دهد دستگاه را متوقف کند و از شارژ جلوگیری کند، دستورات دلخواه خود را اجرا کند و دسترسی به رابط وب را با امتیازات کامل به دست آورد.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از پارکینگ EVLink که یک ایستگاه شارژ خودرو الکتریکی است، تحت تاثیر قرار می گیرد:
EVLink نسخه پارکینگ 3.2.0-12_v1 و قبل.
3.2 مرور کلی
3.2.1 استفاده از مجوزهای سخت CWE-798
یک آسیب پذیری اعتبارنامه سخت افزاری وجود دارد که می تواند مهاجم را برای دسترسی به دستگاه فعال کند.
3.2.2 کنترل قابل ملاحظه تولید کد ('تزریق کد') CWE-94
یک آسیب پذیری تزریق کد وجود دارد که می تواند امکان اجرای کد با حداکثر امتیاز را فراهم کند.
3.2.3 ناکارآمدی مؤثر عناصر خاصی که در یک دستور SQL («تزریق SQL») استفاده شده است CWE-89
یک آسیب پذیری تزریق SQL وجود دارد که می تواند دسترسی مهاجم به رابط وب را با امتیازات کامل ایجاد کند.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی : حمل و نقل
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ مکان های کشف شده: فرانسه
4. نحوه رفع مشکل:
شرکت Schneider Electric توصیه می کند که کاربران یک فایروال را تنظیم کنند تا دسترسی از راه دور به ایستگاه های شارژ را توسط کاربران غیر مجاز محدود کند. برای کاهش این آسیب پذیری، به روز رسانی نرم افزاری نیز موجود است:
https://www.schneider-electric.com/en/download/range/60850-EVlink پارکینگ؟ docTypeGroup = 3541958-نرم افزار / نرم افزار
برای اطلاعات بیشتر، اطلاع رسانی امنیتی Schneider Electric را می توانید از لینک زیر مشاهده کنید:
https://www.schneider-electric.com/en/download/document/SEVD-2018-354-01/
همچنین Schneider Electric بهترین شیوه های امنیتی سایبر را ارائه می دهد:
📍 سیستم های کنترل و ایمنی سیستم و دستگاه های از راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
📍 کنترل های فیزیکی باید در محل باشد تا هیچ شخصی غیر مجاز به کنترل کننده های ICS و کنترل کننده ایمنی، تجهیزات جانبی یا ICS و شبکه های ایمنی دسترسی نداشته باشد.
📍 تمام کنترل کننده ها باید در کابین های قفل شده باقی بمانند و هرگز در حالت "برنامه" باقی نمانند.
📍 تمام نرم افزارهای برنامه نویسی باید در کابین های قفل شده نگه داشته شوند و هرگز نباید به هر شبکه دیگری از شبکه متصل شوند.
📍 تمام روشهای تبادل داده های تلفن همراه با شبکه های جدا شده از قبیل سی دی ها، درایوهای USB و غیره باید قبل از استفاده در پایانه ها یا هر گره متصل به این شبکه ها اسکن شوند.
📍 لپ تاپ هایی که به شبکه های دیگر متصل شده اند به هیچ وجه نباید اجازه اتصال به شبکه های ایمنی یا کنترل بدون ایمنی مناسب را داشته باشند.
📍 به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از دسترسی آنها از اینترنت.
📍 هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های خصوصی مجازی (VPN ها) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود در آنها به روز شود. همچنین تشخیص دهید که VPN فقط به عنوان دستگاه های متصل به عنوان امن است.
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Schneider-Electric
Downloads for EVlink Parking | Schneider Electric
Downloads for EVlink Parking - Download
🚨 کشف آسیب پذیری در تجهیزات IDenticard PremiSys
1. خلاصه
☣️ توجه: سطح سواد اطلاعاتی / آسیب پذیری قابل استفاده از راه دور / پایین به طور عمومی افشا شده است
☣️ فروشنده: IDenticard
☣️ تجهیزات: PremiSys
☣️ آسیب پذیری ها: استفاده از مجوز های سخت افزاری، استفاده از کلمه رمز سخت افزاری، قدرت رمزگذاری نامناسب
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند به مهاجم امکان دهد که اطلاعات حساس از طریق پشتیبان گیری را مشاهده کند، دسترسی به اعتبار ها را به دست آورد و / یا دسترسی کامل به سیستم را با امتیازات مدیریتی به دست آورد.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از IDenticard PremiSys، یک سیستم کنترل دسترسی، تحت تاثیر قرار می گیرند:
PremiSys تمام نسخه های قبل از 4.1
3.2 مرور کلی
3.2.1 استفاده از مجوزهای سخت CWE-798
این سیستم دارای اعتبارهای سخت افزاری است که اجازه دسترسی مدیر به تمام سرویس را از طریق نقطه پایانی Service PremiSys WCF فراهم می کند، که ممکن است کنترل کاملی را با امتیازات مدیریت داشته باشد.
3.2.2 استحکام ناپیوندی CWE-326 INADEQUATE ENCRYPTION STRENGTH
این سیستم اعتبارنامه کاربر و سایر اطلاعات حساس را با یک روش رمزنگاری ضعیف شناخته شده، که ممکن است باعث رمزگشایی و قرار گرفتن در معرض اطلاعات حساس شود.
3.2.3 استفاده از رمز عبور سخت افزاری CWE-259
سیستم فایل های پشتیبان را به عنوان فایل های زیپ رمزگذاری شده ذخیره می کند. رمز عبور برای فایل زیپ سخت و غیر قابل تغییر است، که ممکن است اجازه دسترسی به اطلاعاتی که در آنها وجود دارد.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFRASTRUCTURE: امکانات تجاری، امکانات دولتی، بهداشت و درمان و بهداشت عمومی، سیستم های آب و فاضلاب.
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: ایالات متحده
4. نحوه رفع مشکل:
شرکت IDenticard نرم افزار به روز رسانی شده نسخه 4.1 را برای رفع آسیب پذیری اعتبار سخت افزاری (CVE-2019-3906) منتشر کرده است. قدرت رمزگذاری نامناسب (CVE-2019-3907) و استفاده از کلمه رمز سخت افزاری (CVE-2019-3908) در فوریه 2019 در حال بروز رسانی است. این به روز رسانی های نرم افزاری به صورت رایگان ارائه می شود. اطلاعات اضافی را می توان با تماس با تیم پشتیبانی فنی IDenticard در (800) 220-8096 دریافت کنید.
همچنین IDenticard نیز توصیه می کند که کاربران نام کاربری و رمز عبور پیش فرض پایگاه داده را تغییر دهند.
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
✅کانال @ics_cert همچنین توصیه می کند که کاربران اقدامات زیر را برای محافظت از خود از حملات مهندسی اجتماعی انجام دهند:
1️⃣ روی پیوندهای وب کلیک نکنید یا پیوستهای ناخواسته را در پیامهای ایمیل باز کنید.
2️⃣ برای کسب اطلاعات بیشتر در مورد جلوگیری از کلاهبرداری ایمیل، به تشخیص و جلوگیری از کلاهبرداری ایمیل مراجعه کنید.
3️⃣ برای اطلاعات بیشتر در مورد حملات مهندسی اجتماعی، به « اجتناب از مهندسی اجتماعی و حملات فیشینگ» مراجعه کنید.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: سطح سواد اطلاعاتی / آسیب پذیری قابل استفاده از راه دور / پایین به طور عمومی افشا شده است
☣️ فروشنده: IDenticard
☣️ تجهیزات: PremiSys
☣️ آسیب پذیری ها: استفاده از مجوز های سخت افزاری، استفاده از کلمه رمز سخت افزاری، قدرت رمزگذاری نامناسب
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند به مهاجم امکان دهد که اطلاعات حساس از طریق پشتیبان گیری را مشاهده کند، دسترسی به اعتبار ها را به دست آورد و / یا دسترسی کامل به سیستم را با امتیازات مدیریتی به دست آورد.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از IDenticard PremiSys، یک سیستم کنترل دسترسی، تحت تاثیر قرار می گیرند:
PremiSys تمام نسخه های قبل از 4.1
3.2 مرور کلی
3.2.1 استفاده از مجوزهای سخت CWE-798
این سیستم دارای اعتبارهای سخت افزاری است که اجازه دسترسی مدیر به تمام سرویس را از طریق نقطه پایانی Service PremiSys WCF فراهم می کند، که ممکن است کنترل کاملی را با امتیازات مدیریت داشته باشد.
3.2.2 استحکام ناپیوندی CWE-326 INADEQUATE ENCRYPTION STRENGTH
این سیستم اعتبارنامه کاربر و سایر اطلاعات حساس را با یک روش رمزنگاری ضعیف شناخته شده، که ممکن است باعث رمزگشایی و قرار گرفتن در معرض اطلاعات حساس شود.
3.2.3 استفاده از رمز عبور سخت افزاری CWE-259
سیستم فایل های پشتیبان را به عنوان فایل های زیپ رمزگذاری شده ذخیره می کند. رمز عبور برای فایل زیپ سخت و غیر قابل تغییر است، که ممکن است اجازه دسترسی به اطلاعاتی که در آنها وجود دارد.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFRASTRUCTURE: امکانات تجاری، امکانات دولتی، بهداشت و درمان و بهداشت عمومی، سیستم های آب و فاضلاب.
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: ایالات متحده
4. نحوه رفع مشکل:
شرکت IDenticard نرم افزار به روز رسانی شده نسخه 4.1 را برای رفع آسیب پذیری اعتبار سخت افزاری (CVE-2019-3906) منتشر کرده است. قدرت رمزگذاری نامناسب (CVE-2019-3907) و استفاده از کلمه رمز سخت افزاری (CVE-2019-3908) در فوریه 2019 در حال بروز رسانی است. این به روز رسانی های نرم افزاری به صورت رایگان ارائه می شود. اطلاعات اضافی را می توان با تماس با تیم پشتیبانی فنی IDenticard در (800) 220-8096 دریافت کنید.
همچنین IDenticard نیز توصیه می کند که کاربران نام کاربری و رمز عبور پیش فرض پایگاه داده را تغییر دهند.
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
✅کانال @ics_cert همچنین توصیه می کند که کاربران اقدامات زیر را برای محافظت از خود از حملات مهندسی اجتماعی انجام دهند:
1️⃣ روی پیوندهای وب کلیک نکنید یا پیوستهای ناخواسته را در پیامهای ایمیل باز کنید.
2️⃣ برای کسب اطلاعات بیشتر در مورد جلوگیری از کلاهبرداری ایمیل، به تشخیص و جلوگیری از کلاهبرداری ایمیل مراجعه کنید.
3️⃣ برای اطلاعات بیشتر در مورد حملات مهندسی اجتماعی، به « اجتناب از مهندسی اجتماعی و حملات فیشینگ» مراجعه کنید.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Kunbus PR100088 Modbus Gateway (Update A)
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: کونباس
☣️ تجهیزات: دروازه Modbus PR100088
☣️ آسیب پذیری ها: تأیید صحت نامناسب، نمایش اطلاعات از طریق رشته های درخواستی در درخواست GET، عدم تایید هویت برای عملکردهای حیاتی، تایید ورودی نامناسب، ذخیره سازی خام اطلاعات حساس
2. اطلاعات تکمیلی
این مشاوره به روز شده پیگیری مشاور اصلی ICSA-19-036-05 Kunbus PR100088 Modbus Gateway است که در 5 فوریه 2019 در کانال @ics_cert منتشر شد.
3. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند به مهاجم اجازه دهد تا اجرای کد از راه دور و / یا ایجاد شرایط انکار سرویس را ایجاد کند.
4. مشخصات فنی
4.1 محصولات آسیب دیده
نسخه های زیر از دروازه Modbus PR100088 تحت تاثیر قرار می گیرند:
PR100088 دروازه مودباس: تمام نسخه های قبل از انتشار R02 (یا نرم افزار نسخه 1.1.13166)
4.2 آسیب پذیریها
4.2.1 گواهینامه IMPROPER CWE-287
یک مهاجم ممکن است قادر به تغییر رمز عبور برای یک کاربر مدیر که در حال حاضر یا قبلا وارد سیستم شده است شود، در صورتی که دستگاه راه اندازی مجدد نشده است.
4.2.2 نامعتبر بودن برای عملکرد CWE-306
قابلیت ثبت برای ذخیره مقادیر Modbus قابل خواندن و نوشته شدن از رابط وب بدون احراز هویت است.
4.2.3 تایید ورودی IMPROPER CWE-20
مهاجم می تواند به طور خاص یک درخواست FTP را ایجاد کند که می تواند دستگاه را خراب کند.
4.2.4 قرار گرفتن در معرض اطلاعات از طریق کوئری استرلینگ در درخواست CWE-598
مهاجم می تواند کلمه عبور را از یک درخواست HTTP GET بازیابی کند اگر مهاجم در موقعیت MITM باشد.
4.2.5 نگهداری CLEARTEXT اطلاعات حساس CWE-312
مهاجم می تواند اعتبار ساده متن ذخیره شده در فایل XML را از طریق FTP بازیابی کند.
4.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی: ارتباطات
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: آلمان
4.4 پژوهشگر
نیکولاس مرل خطر کاربردی این آسیب پذیری ها را گزارش کرد.
5. نحوه رفع مشکل:
کونباس توصیه می کند:
بروز رسانی به نسخه R02؛ فایل به روز شده را می توان از لینک زیر دریافت کرد (دستورالعمل نصب را می توان در فایل Readme موجود در دانلود یافت):
https://www.kunbus.com/productsecurity/security-topic-1.html?file=files/media/bugfixes/SU_100088_R02.zip
این دستگاه ها در یک شبکه عمومی مورد استفاده قرار نمی گیرند. در عوض، این دستگاه ها برای استفاده در یک محیط صنعتی با معماری شبکه محافظت شده طراحی شده اند.
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: کونباس
☣️ تجهیزات: دروازه Modbus PR100088
☣️ آسیب پذیری ها: تأیید صحت نامناسب، نمایش اطلاعات از طریق رشته های درخواستی در درخواست GET، عدم تایید هویت برای عملکردهای حیاتی، تایید ورودی نامناسب، ذخیره سازی خام اطلاعات حساس
2. اطلاعات تکمیلی
این مشاوره به روز شده پیگیری مشاور اصلی ICSA-19-036-05 Kunbus PR100088 Modbus Gateway است که در 5 فوریه 2019 در کانال @ics_cert منتشر شد.
3. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند به مهاجم اجازه دهد تا اجرای کد از راه دور و / یا ایجاد شرایط انکار سرویس را ایجاد کند.
4. مشخصات فنی
4.1 محصولات آسیب دیده
نسخه های زیر از دروازه Modbus PR100088 تحت تاثیر قرار می گیرند:
PR100088 دروازه مودباس: تمام نسخه های قبل از انتشار R02 (یا نرم افزار نسخه 1.1.13166)
4.2 آسیب پذیریها
4.2.1 گواهینامه IMPROPER CWE-287
یک مهاجم ممکن است قادر به تغییر رمز عبور برای یک کاربر مدیر که در حال حاضر یا قبلا وارد سیستم شده است شود، در صورتی که دستگاه راه اندازی مجدد نشده است.
4.2.2 نامعتبر بودن برای عملکرد CWE-306
قابلیت ثبت برای ذخیره مقادیر Modbus قابل خواندن و نوشته شدن از رابط وب بدون احراز هویت است.
4.2.3 تایید ورودی IMPROPER CWE-20
مهاجم می تواند به طور خاص یک درخواست FTP را ایجاد کند که می تواند دستگاه را خراب کند.
4.2.4 قرار گرفتن در معرض اطلاعات از طریق کوئری استرلینگ در درخواست CWE-598
مهاجم می تواند کلمه عبور را از یک درخواست HTTP GET بازیابی کند اگر مهاجم در موقعیت MITM باشد.
4.2.5 نگهداری CLEARTEXT اطلاعات حساس CWE-312
مهاجم می تواند اعتبار ساده متن ذخیره شده در فایل XML را از طریق FTP بازیابی کند.
4.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی: ارتباطات
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: آلمان
4.4 پژوهشگر
نیکولاس مرل خطر کاربردی این آسیب پذیری ها را گزارش کرد.
5. نحوه رفع مشکل:
کونباس توصیه می کند:
بروز رسانی به نسخه R02؛ فایل به روز شده را می توان از لینک زیر دریافت کرد (دستورالعمل نصب را می توان در فایل Readme موجود در دانلود یافت):
https://www.kunbus.com/productsecurity/security-topic-1.html?file=files/media/bugfixes/SU_100088_R02.zip
این دستگاه ها در یک شبکه عمومی مورد استفاده قرار نمی گیرند. در عوض، این دستگاه ها برای استفاده در یک محیط صنعتی با معماری شبکه محافظت شده طراحی شده اند.
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Siemens SIMATIC S7-1500 CPU
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: زیمنس
☣️ تجهیزات: CPU SIMATIC S7-1500
☣️ آسیب پذیری: اعتبار ورودی نامناسب
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند موجب انکار سرویس وضعیت دستگاه شود.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از CPU SIMATIC S7-1500 تحت تاثیر قرار می گیرند:
SIMATIC S7-1500 CPU تمام نسخه های v1.8.5 و قبل، و
SIMATIC S7-1500 CPU تمام نسخه های قبل از v2.5 به و از جمله v2.0.
3.2 مرور کلی آسیب پذیریها
3.2.1 تایید ورودی IMPROPER CWE-20
یک مهاجم غیرقانونی که ارسال بسته های شبکه مخصوص به دست آمده را به پورت 80 / tcp یا 443 / tcp ارسال می کند ممکن است منع خدمات را در دستگاه ایجاد کند.
3.2.2 تایید ورودی IMPROPER CWE-20
یک مهاجم غیرقانونی که ارسال بسته های شبکه مخصوص به دست آمده را به پورت 80 / tcp یا 443 / tcp ارسال می کند ممکن است منع خدمات را در دستگاه ایجاد کند.
3.3نقاط آسیب پذیر:
⚠️ بخش های اصلی بحران : مواد شیمیایی، کارخانجات حیاتی و حساس، انرژی، غذا و کشاورزی، سیستم های آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: آلمان
3.4 پژوهشگر
جورجی زایسف، دیمیتری اسکلیاروف، دروژینین اوگنی، ایلیا کارپف و ماکسیم گوریایچی، این آسیب پذیری ها را به زیمنس گزارش کردند.
4. نحوه رفع مشکل:
زیمنس توصیه می کند کاربران به نسخه 2.5 یا جدیدتر ارتقاء دهند. کاربرانی که نمیتوانند به دلیل محدودیتهای سخت افزاری ارتقاء دهند توصیه میشوند تا پارامترهای دستی را اعمال کنند. به روز رسانی برای دانلود از لینک زیر در دسترس است:
https://support.industry.siemens.com/cs/de/en/view/109478459
زیمنس همچنین توصیه می کند که کاربران اقدامات زیر را به صورت دستی انجام دهند:
حفاظت از دسترسی به شبکه به پورت 80 / TCP و پورت 443 / TCP دستگاه های معیوب.
اعمال cell protection concept.
اعمال دفاع در عمق.
به عنوان یک اقدام کلی امنیتی، زیمنس به شدت توصیه می کند که دسترسی به شبکه را به دستگاه هایی با مکانیزم های مناسب محافظت کند. برای استفاده از دستگاه ها در یک محیط محافظت شده IT، زیمنس توصیه می کند محیط را طبق دستورالعمل عملیاتی زیمنس برای امنیت صنعتی ایمن نمایید (دانلود: https://www.siemens.com/cert/operational-guidelines-industrial-security ) و نیز پیروی از توصیه های دفترچه های محصول.
اطلاعات اضافی در مورد امنیت صنعتی برای دستگاه های زیمنس می توان در لینک زیر دریافت کرد:
https://www.siemens.com/Industrialsecurity
برای کسب اطلاعات بیشتر در مورد این آسیب پذیری ها و دستورالعمل های دقیق تر رفع اشکال، لطفا مشاوره SSA-180635 را در محل زیر مشاهده کنید:
http://www.siemens.com/cert/advisories
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: زیمنس
☣️ تجهیزات: CPU SIMATIC S7-1500
☣️ آسیب پذیری: اعتبار ورودی نامناسب
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند موجب انکار سرویس وضعیت دستگاه شود.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از CPU SIMATIC S7-1500 تحت تاثیر قرار می گیرند:
SIMATIC S7-1500 CPU تمام نسخه های v1.8.5 و قبل، و
SIMATIC S7-1500 CPU تمام نسخه های قبل از v2.5 به و از جمله v2.0.
3.2 مرور کلی آسیب پذیریها
3.2.1 تایید ورودی IMPROPER CWE-20
یک مهاجم غیرقانونی که ارسال بسته های شبکه مخصوص به دست آمده را به پورت 80 / tcp یا 443 / tcp ارسال می کند ممکن است منع خدمات را در دستگاه ایجاد کند.
3.2.2 تایید ورودی IMPROPER CWE-20
یک مهاجم غیرقانونی که ارسال بسته های شبکه مخصوص به دست آمده را به پورت 80 / tcp یا 443 / tcp ارسال می کند ممکن است منع خدمات را در دستگاه ایجاد کند.
3.3نقاط آسیب پذیر:
⚠️ بخش های اصلی بحران : مواد شیمیایی، کارخانجات حیاتی و حساس، انرژی، غذا و کشاورزی، سیستم های آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: آلمان
3.4 پژوهشگر
جورجی زایسف، دیمیتری اسکلیاروف، دروژینین اوگنی، ایلیا کارپف و ماکسیم گوریایچی، این آسیب پذیری ها را به زیمنس گزارش کردند.
4. نحوه رفع مشکل:
زیمنس توصیه می کند کاربران به نسخه 2.5 یا جدیدتر ارتقاء دهند. کاربرانی که نمیتوانند به دلیل محدودیتهای سخت افزاری ارتقاء دهند توصیه میشوند تا پارامترهای دستی را اعمال کنند. به روز رسانی برای دانلود از لینک زیر در دسترس است:
https://support.industry.siemens.com/cs/de/en/view/109478459
زیمنس همچنین توصیه می کند که کاربران اقدامات زیر را به صورت دستی انجام دهند:
حفاظت از دسترسی به شبکه به پورت 80 / TCP و پورت 443 / TCP دستگاه های معیوب.
اعمال cell protection concept.
اعمال دفاع در عمق.
به عنوان یک اقدام کلی امنیتی، زیمنس به شدت توصیه می کند که دسترسی به شبکه را به دستگاه هایی با مکانیزم های مناسب محافظت کند. برای استفاده از دستگاه ها در یک محیط محافظت شده IT، زیمنس توصیه می کند محیط را طبق دستورالعمل عملیاتی زیمنس برای امنیت صنعتی ایمن نمایید (دانلود: https://www.siemens.com/cert/operational-guidelines-industrial-security ) و نیز پیروی از توصیه های دفترچه های محصول.
اطلاعات اضافی در مورد امنیت صنعتی برای دستگاه های زیمنس می توان در لینک زیر دریافت کرد:
https://www.siemens.com/Industrialsecurity
برای کسب اطلاعات بیشتر در مورد این آسیب پذیری ها و دستورالعمل های دقیق تر رفع اشکال، لطفا مشاوره SSA-180635 را در محل زیر مشاهده کنید:
http://www.siemens.com/cert/advisories
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی WECON LeviStudioU
1. خلاصه
☣️ توجه: سطح مهارت پایین برای بهره برداری
☣️ فروشنده: WECON Technology Co.، Ltd (WECON)
☣️ تجهیزات: LeviStudioU
☣️ آسیب پذیری: سرریز بافر مبتنی بر پشته، سرریز بافر بوسیله حفره، Memory Corruption
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند مهاجمین را قادر به اجرای کد دلخواه کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از LeviStudioU تحت تاثیر قرار می گیرند:
نسخه های LeviStudioU 1.8.56 و قبل.
3.2 مرور کلی آسیب پذیریها
3.2.1 BUFFER HEPA-BASED OVERFLOW
چندین آسیب پذیری سرریز بافر بر اساس حفره شناسایی شده است، که ممکن است باعث اجرای کد دلخواه شود.
3.2.2 BUFFER OVERFLOW CWE-121 مبتنی بر STACK-BASED
هنگام تجزیه رشته ها در فایل های پروژه، آسیب پذیری های سرریز بافر چندگانه مبتنی بر چندگانه ممکن است مورد سوء استفاده قرار گیرد. فرایند طول داده های ارائه شده توسط کاربر به درستی تایید نمی شود قبل از کپی کردن آن به یک بافر ثابت بر پایه پشته. مهاجم می تواند این آسیب پذیری ها را برای اجرای کد در زیر فرایند فعلی مورد استفاده قرار دهد.
3.2.3 CORRUPTION MEMORY CWE-119
یک آسیب پذیری تخریب حافظه شناسایی شده است، که ممکن است باعث اجرای کد دلخواه شود.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی : سیستم های تولید حیاتی، انرژی، آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: چین
3.4 پژوهشگر
مات پاول، Ziad Badawi و ناتنائل سامسون در حال کار با Trend Micro Initial Day Zero، این آسیب پذیری ها را گزارش کردند.
4. حوه رفع مشکل:
شرکت WECON یک نسخه به روز شده برای رفع مشکلات گزارش شده را تهیه کرده است. برای کسب اطلاعات بیشتر در مورد نحوه به دست آوردن نسخه به روز، لطفا با سرویس WECON تماس بگیرید.
وبسایت: http://www.we-con.com.cn/en/download_45.html
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: سطح مهارت پایین برای بهره برداری
☣️ فروشنده: WECON Technology Co.، Ltd (WECON)
☣️ تجهیزات: LeviStudioU
☣️ آسیب پذیری: سرریز بافر مبتنی بر پشته، سرریز بافر بوسیله حفره، Memory Corruption
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند مهاجمین را قادر به اجرای کد دلخواه کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از LeviStudioU تحت تاثیر قرار می گیرند:
نسخه های LeviStudioU 1.8.56 و قبل.
3.2 مرور کلی آسیب پذیریها
3.2.1 BUFFER HEPA-BASED OVERFLOW
چندین آسیب پذیری سرریز بافر بر اساس حفره شناسایی شده است، که ممکن است باعث اجرای کد دلخواه شود.
3.2.2 BUFFER OVERFLOW CWE-121 مبتنی بر STACK-BASED
هنگام تجزیه رشته ها در فایل های پروژه، آسیب پذیری های سرریز بافر چندگانه مبتنی بر چندگانه ممکن است مورد سوء استفاده قرار گیرد. فرایند طول داده های ارائه شده توسط کاربر به درستی تایید نمی شود قبل از کپی کردن آن به یک بافر ثابت بر پایه پشته. مهاجم می تواند این آسیب پذیری ها را برای اجرای کد در زیر فرایند فعلی مورد استفاده قرار دهد.
3.2.3 CORRUPTION MEMORY CWE-119
یک آسیب پذیری تخریب حافظه شناسایی شده است، که ممکن است باعث اجرای کد دلخواه شود.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی : سیستم های تولید حیاتی، انرژی، آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: چین
3.4 پژوهشگر
مات پاول، Ziad Badawi و ناتنائل سامسون در حال کار با Trend Micro Initial Day Zero، این آسیب پذیری ها را گزارش کردند.
4. حوه رفع مشکل:
شرکت WECON یک نسخه به روز شده برای رفع مشکلات گزارش شده را تهیه کرده است. برای کسب اطلاعات بیشتر در مورد نحوه به دست آوردن نسخه به روز، لطفا با سرویس WECON تماس بگیرید.
وبسایت: http://www.we-con.com.cn/en/download_45.html
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Rockwell Automation EtherNet/IP Web Server Modules
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: Rockwell Automation
☣️ تجهیزات: ماژول های وب سرور EtherNet / IP
☣️ آسیب پذیری: اعتبار ورودی نامناسب
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند به یک مهاجم از راه دور اجازه دهد تا ارتباط با سرویس پروتکل مدیریت ساده شبکه (SNMP) را انکار کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از ماژول وب سرور EtherNet / IP، یک ماژول وب سرور، تحت تاثیر قرار می گیرند:
1756-EWEB (شامل 1756-EWEBK) نسخه 5.001 و قبل از آن، و
CompactLogix 1768-EWEB نسخه 2.005 و قبل از آن.
3.2 مرور کلی آسیب پذیریها
3.2.1 تایید ورودی IMPROPER
یک مهاجم از راه دور می تواند یک بسته UDP ساخته شده را به سرویس SNMP بفرستد و باعث ایجاد شرایط سرویس انکار سرویس می شود تا محصول آسیب دیده مجددا راه اندازی شود.
3.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFASTRUCTURE: تولید بحرانی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: فرانسه
4. نحوه رفع مشکل:
شرکت Rockwell Automation توصیه می کند که کاربران سرویس معکوس SNMP را غیر فعال کنند.
برای اطلاعات بیشتر، لطفا به مشاوره امنیتی Rockwell Automation در لینک زیر (نیاز به وارد شدن) مراجعه کنید:
https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1084268
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: Rockwell Automation
☣️ تجهیزات: ماژول های وب سرور EtherNet / IP
☣️ آسیب پذیری: اعتبار ورودی نامناسب
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند به یک مهاجم از راه دور اجازه دهد تا ارتباط با سرویس پروتکل مدیریت ساده شبکه (SNMP) را انکار کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از ماژول وب سرور EtherNet / IP، یک ماژول وب سرور، تحت تاثیر قرار می گیرند:
1756-EWEB (شامل 1756-EWEBK) نسخه 5.001 و قبل از آن، و
CompactLogix 1768-EWEB نسخه 2.005 و قبل از آن.
3.2 مرور کلی آسیب پذیریها
3.2.1 تایید ورودی IMPROPER
یک مهاجم از راه دور می تواند یک بسته UDP ساخته شده را به سرویس SNMP بفرستد و باعث ایجاد شرایط سرویس انکار سرویس می شود تا محصول آسیب دیده مجددا راه اندازی شود.
3.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFASTRUCTURE: تولید بحرانی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: فرانسه
4. نحوه رفع مشکل:
شرکت Rockwell Automation توصیه می کند که کاربران سرویس معکوس SNMP را غیر فعال کنند.
برای اطلاعات بیشتر، لطفا به مشاوره امنیتی Rockwell Automation در لینک زیر (نیاز به وارد شدن) مراجعه کنید:
https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1084268
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی AVEVA InduSoft Web Studio and InTouch Edge HMI
1. خلاصه
☣️ توجه : بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده : AVEVA Software، LLC (AVEVA)
☣️ تجهیزات : InduSoft Web Studio و InTouch Edge HMI (قبلا InTouch Machine Edition)
☣️ آسیب پذیری ها : عدم تایید هویت برای عملکرد حیاتی، تزریق منابع
2. ارزیابی خطر
استفاده موفقیت آمیز از این آسیب پذیری ها می تواند به یک مهاجم از راه دور اجازه دهد فرآیند دلخواه را با استفاده از یک پرونده پیکربندی اتصال به پایگاه داده مخصوص ایجاد کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر محصولات AVEVA تحت تاثیر قرار می گیرند:
InduSoft Web Studio قبل از نسخه 8.1 SP3، و
InTouch Edge HMI (قبل از InTouch Machine Edition) قبل از به روز رسانی نسخه 2017
3.2 مرور کلی آسیب پذیریها
3.2.1 MISSING AUTHENTICATION FOR CRITICAL FUNCTION CWE-306
کد تحت برنامه های زمان اجرا برنامه اجرا می شود، که می تواند منجر به سازش دستگاه شود.
3.2.2 کنترل قابل ملاحظه شناسایی منابع ('تزریق منابع') CWE-99
یک کاربر از راه دور غیرقابل اعتبار میتواند از یک پرونده پیکربندی مرتبط با پایگاه داده خاص برای اجرای یک فرآیند دلخواه در دستگاه سرور استفاده کند.
3.3نقاط آسیب پذیر:
⚠️ بخش های مهم بحرانی : مواد شیمیایی، امکانات تجاری، تولید بحرانی، انرژی، غذا و کشاورزی، سیستم های حمل و نقل و آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب : در سراسر جهان
⚠️ محل کشف: انگلستان
4. نحوه رفع مشکل:
شرکت AVEVA توصیه می کند کاربران آسیب دیده به آخرین نسخه محصولات ارتقا یابند. به روز رسانی های امنیتی زیر آسیب پذیری هایی که در این مشاوره مطرح شده اند را در بر می گیرد. به روز رسانی نرم افزار می توانید از منطقه پشتیبانی مشتری "پشتیبانی نرم افزار" و یا از لینک زیر دانلود کنید:
آخرین نسخه InduSoft Web Studio را می توانید در اینجا پیدا کنید:
http://download.indusoft.com/81.3.0/IWS81.3.0.zip
آخرین نسخه InTouch Edge HMI در (ورود به سیستم مورد نیاز): https://softwaresupportsp.schneider-electric.com/#/producthub/details؟id=52354
برای اطلاعات در مورد چگونگی دستیابی به پشتیبانی AVEVA برای یک محصول خاص، لطفا به این لینک مراجعه کنید:
نرم افزار AVEVA Global Customer Support و پشتیبانی InduSoft .
برای آخرین اطلاعات امنیتی و به روز رسانی های امنیتی، لطفا از مرکز امنیتی AVEVA (ورود به سیستم) و به روز رسانی امنیتی InduSoft بازدید کنید .
شرکت AVEVA بولتن امنیتی LFSEC00000133 را در وب سایت خود در محل زیر منتشر کرده است: https://sw.aveva.com/hubfs/assets-2018/pdf/security-bulletin/SecurityBulletin_LFSec133.pdf
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه : بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده : AVEVA Software، LLC (AVEVA)
☣️ تجهیزات : InduSoft Web Studio و InTouch Edge HMI (قبلا InTouch Machine Edition)
☣️ آسیب پذیری ها : عدم تایید هویت برای عملکرد حیاتی، تزریق منابع
2. ارزیابی خطر
استفاده موفقیت آمیز از این آسیب پذیری ها می تواند به یک مهاجم از راه دور اجازه دهد فرآیند دلخواه را با استفاده از یک پرونده پیکربندی اتصال به پایگاه داده مخصوص ایجاد کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر محصولات AVEVA تحت تاثیر قرار می گیرند:
InduSoft Web Studio قبل از نسخه 8.1 SP3، و
InTouch Edge HMI (قبل از InTouch Machine Edition) قبل از به روز رسانی نسخه 2017
3.2 مرور کلی آسیب پذیریها
3.2.1 MISSING AUTHENTICATION FOR CRITICAL FUNCTION CWE-306
کد تحت برنامه های زمان اجرا برنامه اجرا می شود، که می تواند منجر به سازش دستگاه شود.
3.2.2 کنترل قابل ملاحظه شناسایی منابع ('تزریق منابع') CWE-99
یک کاربر از راه دور غیرقابل اعتبار میتواند از یک پرونده پیکربندی مرتبط با پایگاه داده خاص برای اجرای یک فرآیند دلخواه در دستگاه سرور استفاده کند.
3.3نقاط آسیب پذیر:
⚠️ بخش های مهم بحرانی : مواد شیمیایی، امکانات تجاری، تولید بحرانی، انرژی، غذا و کشاورزی، سیستم های حمل و نقل و آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب : در سراسر جهان
⚠️ محل کشف: انگلستان
4. نحوه رفع مشکل:
شرکت AVEVA توصیه می کند کاربران آسیب دیده به آخرین نسخه محصولات ارتقا یابند. به روز رسانی های امنیتی زیر آسیب پذیری هایی که در این مشاوره مطرح شده اند را در بر می گیرد. به روز رسانی نرم افزار می توانید از منطقه پشتیبانی مشتری "پشتیبانی نرم افزار" و یا از لینک زیر دانلود کنید:
آخرین نسخه InduSoft Web Studio را می توانید در اینجا پیدا کنید:
http://download.indusoft.com/81.3.0/IWS81.3.0.zip
آخرین نسخه InTouch Edge HMI در (ورود به سیستم مورد نیاز): https://softwaresupportsp.schneider-electric.com/#/producthub/details؟id=52354
برای اطلاعات در مورد چگونگی دستیابی به پشتیبانی AVEVA برای یک محصول خاص، لطفا به این لینک مراجعه کنید:
نرم افزار AVEVA Global Customer Support و پشتیبانی InduSoft .
برای آخرین اطلاعات امنیتی و به روز رسانی های امنیتی، لطفا از مرکز امنیتی AVEVA (ورود به سیستم) و به روز رسانی امنیتی InduSoft بازدید کنید .
شرکت AVEVA بولتن امنیتی LFSEC00000133 را در وب سایت خود در محل زیر منتشر کرده است: https://sw.aveva.com/hubfs/assets-2018/pdf/security-bulletin/SecurityBulletin_LFSec133.pdf
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Siemens EN100 Ethernet Module
1. خلاصه
☣️ توجه : بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده : زیمنس
☣️ تجهیزات : ماژول اترنت EN100
☣️ آسیب پذیری : اعتبار ورودی نامناسب
2. ارزیابی خطر
ماژول EN100 Ethernet برای پلت فرم مدیریت SWT 3000 آسیب پذیری های امنیتی را تحت تاثیر قرار می دهد که می تواند مهاجم را مجاز به انجام حمله انکار سرویس در شبکه کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از ماژول اترنت EN100، یک ماژول ارتباطی برای پلت فرم مدیریت SWT 3000، تحت تاثیر قرار می گیرند:
نوع نرم افزار IEC 61850 برای مدل EN100 اترنت قبل از 4.33
3.2 مرور کلی آسیب پذیریها
3.2.1 تایید ورودی IMPROPER
بسته های ویژه ساخته شده به پورت 102 / TCP می تواند وضعیت سرویس انکار سرویس را در محصولات آسیب دیده ایجاد کند. برای بازیابی عملکرد ماژول EN100 دستگاه های تحت تأیید نیاز به راه اندازی مجدد دستی لازم است.
3.2.2 تایید ورودی IMPROPER
بسته های ویژه ساخته شده به پورت 102 / TCP می تواند در شرایطی که ماژول EN100 در حال اجرا است، وضعیت انکار سرویس را در ماژول EN100 ایجاد کند. برای بازیابی عملکرد ماژول EN100 لازم است که مجددا راه اندازی مجدد شود.
3.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFRASTRUCTURE : انرژی
⚠️ کشور / منطقه مورد تخریب : در سراسر جهان
⚠️ محل کشف : آلمان
3.4 پژوهشگر
ویکتور نیکیتین، ولادیسلاو سوسکوف و ایلیا کارپف از ScadaX این آسیب پذیری ها را به زیمنس گزارش کردند.
4. نحوه رفع مشکل:
زیمنس به روز رسانی v4.33 را برای چند محصول آسیب دیده منتشر کرده است، در حال کار بر روی به روز رسانی برای محصولات باقی مانده تحت تاثیر است و توصیه های امنیت تا زمان اتمام به روز رسانی ها در لینک زیر در دسترس است:
https://support.industry.siemens.com/cs/us/en/view/109745821
زیمنس راه حل های ویژه زیر را شناسایی کرده است و کاربران می توانند برای کاهش خطر استفاده کنند:
✅ دسترسی به پورت 102 / TCP را مسدود کنید.
برای اطلاعات بیشتر، مشاوره امنیتی Siemens SSA-325546 را در محل زیر مشاهده کنید:
http://www.siemens.com/cert/en/cert-security-advisories.htm
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه : بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده : زیمنس
☣️ تجهیزات : ماژول اترنت EN100
☣️ آسیب پذیری : اعتبار ورودی نامناسب
2. ارزیابی خطر
ماژول EN100 Ethernet برای پلت فرم مدیریت SWT 3000 آسیب پذیری های امنیتی را تحت تاثیر قرار می دهد که می تواند مهاجم را مجاز به انجام حمله انکار سرویس در شبکه کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از ماژول اترنت EN100، یک ماژول ارتباطی برای پلت فرم مدیریت SWT 3000، تحت تاثیر قرار می گیرند:
نوع نرم افزار IEC 61850 برای مدل EN100 اترنت قبل از 4.33
3.2 مرور کلی آسیب پذیریها
3.2.1 تایید ورودی IMPROPER
بسته های ویژه ساخته شده به پورت 102 / TCP می تواند وضعیت سرویس انکار سرویس را در محصولات آسیب دیده ایجاد کند. برای بازیابی عملکرد ماژول EN100 دستگاه های تحت تأیید نیاز به راه اندازی مجدد دستی لازم است.
3.2.2 تایید ورودی IMPROPER
بسته های ویژه ساخته شده به پورت 102 / TCP می تواند در شرایطی که ماژول EN100 در حال اجرا است، وضعیت انکار سرویس را در ماژول EN100 ایجاد کند. برای بازیابی عملکرد ماژول EN100 لازم است که مجددا راه اندازی مجدد شود.
3.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFRASTRUCTURE : انرژی
⚠️ کشور / منطقه مورد تخریب : در سراسر جهان
⚠️ محل کشف : آلمان
3.4 پژوهشگر
ویکتور نیکیتین، ولادیسلاو سوسکوف و ایلیا کارپف از ScadaX این آسیب پذیری ها را به زیمنس گزارش کردند.
4. نحوه رفع مشکل:
زیمنس به روز رسانی v4.33 را برای چند محصول آسیب دیده منتشر کرده است، در حال کار بر روی به روز رسانی برای محصولات باقی مانده تحت تاثیر است و توصیه های امنیت تا زمان اتمام به روز رسانی ها در لینک زیر در دسترس است:
https://support.industry.siemens.com/cs/us/en/view/109745821
زیمنس راه حل های ویژه زیر را شناسایی کرده است و کاربران می توانند برای کاهش خطر استفاده کنند:
✅ دسترسی به پورت 102 / TCP را مسدود کنید.
برای اطلاعات بیشتر، مشاوره امنیتی Siemens SSA-325546 را در محل زیر مشاهده کنید:
http://www.siemens.com/cert/en/cert-security-advisories.htm
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
siemens.com Global Website
Siemens ProductCERT and Siemens CERT
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services, or infrastructure.
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Siemens SICAM A8000 RTU Series
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: زیمنس
☣️ تجهیزات: SICAM A8000 RTU
☣️ آسیب پذیری: Uncaught Exception
2. ارزیابی خطر
سری SICAM A8000 RTU آسیب پذیری امنیتی را تحت تاثیر قرار می دهد که می تواند باعث ایجاد کاربران دلخواه ناشناس شود که شرایط ایجاد انکار سرویس در سرور وب محصولاترا بوجود آورند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر SICAM A8000 RTU، دستگاه کنترل و کنترل خودکار، تحت تاثیر قرار می گیرند:
نسخه SICAM A8000 CP-8000 قبل از v14،
نسخه های SICAM A8000 CP-802X قبل از v14 و
نسخه SICAM A8000 CP-8050 قبل از v2
3.2 مرور کلی آسیب پذیریها
3.2.1 EXCEPTION UNCAUGHT
بسته های اختصاص داده شده شبکه ای که به Ports 80 / TCP یا 443 / TCP ارسال می شوند می توانند به یک مهاجم از راه دور غیرقابل اعتماد منجر شوند که شرایط ایجاد انکار سرویس را در یک سرور وب ایجاد کند.
3.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFRASTRUCTURE: انرژی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف : آلمان
3.4 پژوهشگر
امانوئل دوس و نیکلاس هینگر از Compass Security این آسیب پذیری را به زیمنس گزارش کردند.
4. نحوه رفع مشکل:
زیمنس به روز رسانی ها را برای تمام انواع محصولات منتشر کرده و کاربران را به نسخه های جدید به روز رسانی می کند:
https://support.industry.siemens.com/cs/search؟search=a8000٪20cp8000
زیمنس راه حل های ویژه زیر را شناسایی کرده است و کاربران می توانند از کاهش خطر استفاده کنند:
✅ محدود کردن دسترسی به وب سرور در پورت های 80 / TCP و 443 / TCP با یک فایروال خارجی.
✅ اعمال یک استراتژی دفاع در عمق.
برای اطلاعات بیشتر، مشاوره امنیتی Siemens SSA-579309 را در محل زیر مشاهده کنید:
http://www.siemens.com/cert/en/cert-security-advisories.htm
✅ کانال تخصصی @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال تخصصی @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال تخصصی @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: زیمنس
☣️ تجهیزات: SICAM A8000 RTU
☣️ آسیب پذیری: Uncaught Exception
2. ارزیابی خطر
سری SICAM A8000 RTU آسیب پذیری امنیتی را تحت تاثیر قرار می دهد که می تواند باعث ایجاد کاربران دلخواه ناشناس شود که شرایط ایجاد انکار سرویس در سرور وب محصولاترا بوجود آورند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر SICAM A8000 RTU، دستگاه کنترل و کنترل خودکار، تحت تاثیر قرار می گیرند:
نسخه SICAM A8000 CP-8000 قبل از v14،
نسخه های SICAM A8000 CP-802X قبل از v14 و
نسخه SICAM A8000 CP-8050 قبل از v2
3.2 مرور کلی آسیب پذیریها
3.2.1 EXCEPTION UNCAUGHT
بسته های اختصاص داده شده شبکه ای که به Ports 80 / TCP یا 443 / TCP ارسال می شوند می توانند به یک مهاجم از راه دور غیرقابل اعتماد منجر شوند که شرایط ایجاد انکار سرویس را در یک سرور وب ایجاد کند.
3.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFRASTRUCTURE: انرژی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف : آلمان
3.4 پژوهشگر
امانوئل دوس و نیکلاس هینگر از Compass Security این آسیب پذیری را به زیمنس گزارش کردند.
4. نحوه رفع مشکل:
زیمنس به روز رسانی ها را برای تمام انواع محصولات منتشر کرده و کاربران را به نسخه های جدید به روز رسانی می کند:
https://support.industry.siemens.com/cs/search؟search=a8000٪20cp8000
زیمنس راه حل های ویژه زیر را شناسایی کرده است و کاربران می توانند از کاهش خطر استفاده کنند:
✅ محدود کردن دسترسی به وب سرور در پورت های 80 / TCP و 443 / TCP با یک فایروال خارجی.
✅ اعمال یک استراتژی دفاع در عمق.
برای اطلاعات بیشتر، مشاوره امنیتی Siemens SSA-579309 را در محل زیر مشاهده کنید:
http://www.siemens.com/cert/en/cert-security-advisories.htm
✅ کانال تخصصی @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال تخصصی @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال تخصصی @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
siemens.com Global Website
Siemens ProductCERT and Siemens CERT
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services, or infrastructure.
🚨 کشف آسیب پذیری در 86 تجهیز مختلف اتوماسیون صنعتی Siemens
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: زیمنس
☣️ تجهیزات: 86 تجهیز مختلف اتوماسیون صنعتی Siemens
☣️ آسیب پذیری: انکار سرویس
2. ارزیابی خطر
چندین دستگاه صنعتی تحت تأثیر دو آسیب پذیری قرار می گیرند که مهاجم می تواند در شرایط خاصی از طریق بسته های شبکه PROFINET DCP منجر به وضعیت انکار سرویس شود. پیش شرط لازم برای این سناریو یک لایه 2 مستقیم به محصولات آسیب دیده است. رابط های PROFIBUS تحت تاثیر قرار نمی گیرند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
86 تجهیز مختلف اتوماسیون صنعتی Siemens
4. نحوه رفع مشکل:
زیمنس به روز رسانی ها را برای چندین محصول آسیب دیده منتشر کرده است، در حال کار بر روی به روز رسانی برای محصولات باقی مانده تحت تاثیر است و توصیه های امنیتی زیر را نیز برای هر تجهیز بطور جداگانه ارایه کرده است:
https://cert-portal.siemens.com/productcert/pdf/ssa-293562.pdf
✅ کانال تخصصی @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال تخصصی @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال تخصصی @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: زیمنس
☣️ تجهیزات: 86 تجهیز مختلف اتوماسیون صنعتی Siemens
☣️ آسیب پذیری: انکار سرویس
2. ارزیابی خطر
چندین دستگاه صنعتی تحت تأثیر دو آسیب پذیری قرار می گیرند که مهاجم می تواند در شرایط خاصی از طریق بسته های شبکه PROFINET DCP منجر به وضعیت انکار سرویس شود. پیش شرط لازم برای این سناریو یک لایه 2 مستقیم به محصولات آسیب دیده است. رابط های PROFIBUS تحت تاثیر قرار نمی گیرند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
86 تجهیز مختلف اتوماسیون صنعتی Siemens
4. نحوه رفع مشکل:
زیمنس به روز رسانی ها را برای چندین محصول آسیب دیده منتشر کرده است، در حال کار بر روی به روز رسانی برای محصولات باقی مانده تحت تاثیر است و توصیه های امنیتی زیر را نیز برای هر تجهیز بطور جداگانه ارایه کرده است:
https://cert-portal.siemens.com/productcert/pdf/ssa-293562.pdf
✅ کانال تخصصی @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال تخصصی @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال تخصصی @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
شکاف امنیتی در سیستمهای کنترل دما
محققان امنیتی در Safty Detective شکافهای امنیتی را در سیستمهای کنترل دمای فریزرهای فروشگاهی کشف کردهاند که امکان نفوذ به هکرها میدهد.
تحقیقات کارشناسان امنیتی نشان می دهد شکاف امنیتی در سیستمهای کنترل دمای یک شرکت انگلیسی به راحتی به هکرها اجازه میدهد کنترل مانند فریزرهای فروشگاهی را به دست گیرند.
محققان امنیتی در Safty Detective شکافهای امنیتی را در سیستمهای کنترل دمای فریزرهای فروشگاهی کشف کردهاند.
این شکاف های امنیتی به حملهکنندگان اجازه میدهد کنترل دستگاه را به دست گیرند و محتوای سیستم را نابود کنند. این شکاف امنیتی که از پسوردهای ضعیف ناشی میشود، روی ترموستاتهای متصل به اینترنتی تاثیر میگذارد که در شرکت Resource Data Management ساخته شدهاند.
محصولات این شرکت در سوپرمارکتها و شرکتهای دارویی مورد استفادهاست. محققان در این پژوهش متوجه شدند بیش از ۷۴۱۹ محصول این شرکت دچار شکاف امنیتی هستند و بسیاری از آنها چند دستگاه را کنترل میکنند.
در بیشتر ترموستاتها هنوز هم از پسوردهای پیشفرض استفاده میشود و به همین دلیل هکرها بهراحتی میتوانند آن را کنترل کنند. هنگامی که یک هکر کنترل دستگاه را به دست گیرد، میتواند دما و زنگهای هشدار را تغییر دهد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
محققان امنیتی در Safty Detective شکافهای امنیتی را در سیستمهای کنترل دمای فریزرهای فروشگاهی کشف کردهاند که امکان نفوذ به هکرها میدهد.
تحقیقات کارشناسان امنیتی نشان می دهد شکاف امنیتی در سیستمهای کنترل دمای یک شرکت انگلیسی به راحتی به هکرها اجازه میدهد کنترل مانند فریزرهای فروشگاهی را به دست گیرند.
محققان امنیتی در Safty Detective شکافهای امنیتی را در سیستمهای کنترل دمای فریزرهای فروشگاهی کشف کردهاند.
این شکاف های امنیتی به حملهکنندگان اجازه میدهد کنترل دستگاه را به دست گیرند و محتوای سیستم را نابود کنند. این شکاف امنیتی که از پسوردهای ضعیف ناشی میشود، روی ترموستاتهای متصل به اینترنتی تاثیر میگذارد که در شرکت Resource Data Management ساخته شدهاند.
محصولات این شرکت در سوپرمارکتها و شرکتهای دارویی مورد استفادهاست. محققان در این پژوهش متوجه شدند بیش از ۷۴۱۹ محصول این شرکت دچار شکاف امنیتی هستند و بسیاری از آنها چند دستگاه را کنترل میکنند.
در بیشتر ترموستاتها هنوز هم از پسوردهای پیشفرض استفاده میشود و به همین دلیل هکرها بهراحتی میتوانند آن را کنترل کنند. هنگامی که یک هکر کنترل دستگاه را به دست گیرد، میتواند دما و زنگهای هشدار را تغییر دهد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
دفاع در عمق چیست؟
#دفاع_درعمق
سیستم های کنترل صنعتی (ICS ها) بخشی جدایی ناپذیر از زیرساخت های حیاتی هستند که به تسهیل عملیات در صنایع حیاتی مانند برق، نفت و گاز، آب، حمل و نقل، تولید و تولید مواد شیمیایی کمک می کند. مسئله فزاینده امنیت سایبری و تاثیر آن بر ICS خطرات اساسی را برای زیرساخت های حیاتی کشور نشان می دهد. مسائل مربوط به امنیت سایبری ICS به طور موثر نیاز به درک دقیق از چالش های امنیتی فعلی و اقدامات ضد دفاعی خاص دارد. یک رویکرد جامع - یک روش که با استفاده از اقدامات خاصی که در لایه ها ایجاد شده است برای ایجاد یک وضعیت امنیتی مبتنی بر ریسک تجمیع شده - کمک می کند تا از تهدیدات امنیتی و آسیب پذیری هایی که می تواند بر این سیستم ها تاثیر بگذارد جلوگیری کند. این رویکرد، که اغلب به عنوان دفاع در عمق خوانده می شود، یک چارچوب انعطاف پذیر و قابل استفاده برای بهبود حفاظت از امنیت سایبری در هنگام استفاده از سیستم های کنترل فراهم می کند.
این سند تمرین توصیه شده، راهنمایی برای ایجاد استراتژی های کاهش تهدیدات خاص سایبری و راهنمایی در مورد چگونگی ایجاد یک برنامه امنیتی در عمق برای محیط سیستم های کنترل است. این سند این اطلاعات را در چهار قسمت ارائه می دهد:
1) «سابقه و مرور» وضعیت کنونی امنیت سایبری ICS را شرح می دهد و یک مرور کلی از آنچه که عمیقا دقت در درون یک سیستم کنترل است، ارائه می دهد؛
2) "استراتژی دفاع در عمق ICS" استراتژی هایی برای تأمین محیط سیستم های کنترل فراهم می کند؛
3) "حملات امنیتی" مشخص می کند که چگونه بازیگران تهدید می توانند حملات علیه زیرساخت های حیاتی و تاثیر بالقوه را برای ICS ها و شبکه ها انجام دهند؛
4) "توصیه هایی برای حفاظت از ICS" منابع را برای تأمین ICS بر اساس روش های فعلی پیشرفته و درس های آموخته شده از فعالیت های@ICS_CERT ، استانداردهای ملی و خاص برای امنیت ICS و ابزار و خدمات در دسترس فراهم می کند.
توضیحات جامع در خصوص هریک از روشهای فوق به مرور در کانال تخصصی @ICS_CERT برای بهبود وضعیت امنیتی محیط های ICS منتشر میگردد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
#دفاع_درعمق
سیستم های کنترل صنعتی (ICS ها) بخشی جدایی ناپذیر از زیرساخت های حیاتی هستند که به تسهیل عملیات در صنایع حیاتی مانند برق، نفت و گاز، آب، حمل و نقل، تولید و تولید مواد شیمیایی کمک می کند. مسئله فزاینده امنیت سایبری و تاثیر آن بر ICS خطرات اساسی را برای زیرساخت های حیاتی کشور نشان می دهد. مسائل مربوط به امنیت سایبری ICS به طور موثر نیاز به درک دقیق از چالش های امنیتی فعلی و اقدامات ضد دفاعی خاص دارد. یک رویکرد جامع - یک روش که با استفاده از اقدامات خاصی که در لایه ها ایجاد شده است برای ایجاد یک وضعیت امنیتی مبتنی بر ریسک تجمیع شده - کمک می کند تا از تهدیدات امنیتی و آسیب پذیری هایی که می تواند بر این سیستم ها تاثیر بگذارد جلوگیری کند. این رویکرد، که اغلب به عنوان دفاع در عمق خوانده می شود، یک چارچوب انعطاف پذیر و قابل استفاده برای بهبود حفاظت از امنیت سایبری در هنگام استفاده از سیستم های کنترل فراهم می کند.
این سند تمرین توصیه شده، راهنمایی برای ایجاد استراتژی های کاهش تهدیدات خاص سایبری و راهنمایی در مورد چگونگی ایجاد یک برنامه امنیتی در عمق برای محیط سیستم های کنترل است. این سند این اطلاعات را در چهار قسمت ارائه می دهد:
1) «سابقه و مرور» وضعیت کنونی امنیت سایبری ICS را شرح می دهد و یک مرور کلی از آنچه که عمیقا دقت در درون یک سیستم کنترل است، ارائه می دهد؛
2) "استراتژی دفاع در عمق ICS" استراتژی هایی برای تأمین محیط سیستم های کنترل فراهم می کند؛
3) "حملات امنیتی" مشخص می کند که چگونه بازیگران تهدید می توانند حملات علیه زیرساخت های حیاتی و تاثیر بالقوه را برای ICS ها و شبکه ها انجام دهند؛
4) "توصیه هایی برای حفاظت از ICS" منابع را برای تأمین ICS بر اساس روش های فعلی پیشرفته و درس های آموخته شده از فعالیت های@ICS_CERT ، استانداردهای ملی و خاص برای امنیت ICS و ابزار و خدمات در دسترس فراهم می کند.
توضیحات جامع در خصوص هریک از روشهای فوق به مرور در کانال تخصصی @ICS_CERT برای بهبود وضعیت امنیتی محیط های ICS منتشر میگردد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir