Hi everyone
This channel is for ICS CERT.

ICS-CERT issued updated advisory ICSA-17-129-02H Siemens devices using the PROFINET Discovery and Configuration Protocol to the ICS-CERT web site -
https://t.co/c1MuEuQiLs
Join us:
https://t.me/ics_cert

ICS-CERT issued updated alert ICS-ALERT-18-011-01B Meltdown and Spectre Vulnerabilities to ICS-CERT web site -
https://t.co/DuAl9xBw2J
Join us:
https://t.me/ics_cert

📣پیدا شدن یک آسیب‌پذیری بحرانی در بیش از ۱۰۰ سامانه‌ی کنترل صنعتی (ICS)

🔶این آسیب‌پذیری مولفه‌ی کارگزار وبِ محصول CODESYS WebVisu شرکت 3S-Smart را تحت تاثیر قرار می‌دهد، این محصول به کاربران اجازه می‌دهد تا رابط‌های انسان-دستگاهِ کنترل‌های منطقی قابل برنامه‌ریزی (PLCs) را در یک مرورگر وب ببینند.
🔶بر اساس وب‌گاه CODESYS، محصول WebVisu در ۱۱۶ PLC و رابط‌های انسان-دستگاه ۵۰ فروشنده از جمله Schneider Electric، WAGO، Hitachi، Advantech، Beck IPC، Berghof Automation، Hans Turck، NEXCOM مورد استفاده قرار گرفته است.
🔶این آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۸-۵۴۴۰ ردیابی می‌شود. نسخه‌ی ۱.۱.۹.۱۹ و نسخه‌های پیش از آن کارگزارهای وب CODESYS v۲.۳ که به صورت مستقل یا بخشی از سامانه‌ی زمان اجرای CODESYS روی تمام نسخه‌های ویندوز اجرا می‌شوند، تحت تاثیر این آسیب‌پذیری قرار دارند. این اشکال در نسخه‌ی ۱.۱.۹.۱۹ که بخشی از نسخه‌ی ۲.۳.۹.۵۶ CODESYS نیز است، وصله شده است.

https://t.me/ics_cert

Cryptocurrency Mining Software Found on SCADA System
(February 7, 2018)

Cryptocurrency mining software has been found on the Industrial Control System (ICS) of a water utility in Europe. Radiflow, the company that detected the mining software says it is the first case they have seen of such malware on an industrial system. Radiflow detected the malware with its intrusion detection system.

Editor's Note

[Ullrich]
Are you looking for crypto miners yet in your environment? You should! It is a relatively easy thing to find and can easily be used to pinpoint vulnerable systems. If they can install a crypto miner, then they will probably be able to install more nefarious tools as well. At the internet storm center, we offer a feed of IP addresses associated with crypto mining pools: isc.sans.edu/api/threatlist/miner. (See isc.sans.edu/api for details)

[Murray]
Most industrial control systems should be configured as single-application-only systems. The ability to run additional applications should be hidden.

Read more in:
- www.eweek.com: Water Utility in Europe Hit by Cryptocurrency Malware Mining Attack

👉🏻 https://t.me/ics_cert

💡چرا واکنش به رخدادها برای سیستم های کنترل صنعتی مشکل است؟
پاسخ حادثه در یک سیستم کنترل صنعتی (ICS) به دلیل محیط پیچیده آن مشکل است. بخشهایی از برنامه پاسخ حادثه در محیط های IT به خوبی به محیط ICS ترجمه نمی شوند. علاوه بر این، کاربران شبکه های نیروگاهها و کارخانجات تولیدی ممکن است تمایل به اعمال Patch ها به دلیل ترس از خرابی یا اختلال را نداشته باشند.
منبع برای مطالعه بیشتر:
http://www.darkreading.com/perimeter/how-incident-response-fails-in-industrial-control-system-networks/d/d-id/1324094
@ICT_security
📌👈🏻برای آگاهی رسانی بیشتر, دیگر دوستانتان را نیز به عضویت این کانال دعوت کنید.

آسیب‌پذیری در سیستم کنترل ایمنی Triconex اشنایدر الکتریک
در ماه آوریل سال ۲۰۱۸ میلادی در حین بررسی آسیب پذیری HatMan توسط شرکت اشنایدار الکتریک و NCCIC آسیب پذیری دیگری در سیستم های کنترل ایمنی Triconex کشف شده است. این آسیب پذیری از محدودسازی نامناسب عملکردهای درون بافر حافظه نشأت می گیرد. اکسپلویت موفقیت آمیز این آسیب پذیری می تواند منجر به اجرای کد دلخواه گردد و کنترل سیستم SIS را در اختیار مهاجم قرار دهد. به این ترتیب مهاجم می‌تواند سیستم کنترل ایمنی را متوقف کند و سیستم ها را در معرض خطر قرار دهد. با توجه به اینکه کاربرد اصلی این سیستم در زیرساخت‌های حیاتی و صنعتی بزرگ است، توصیه می شود دارندگان آن، با مشورت سازنده اقدامات مناسب جهت مقابله را انجام دهند.

سیستم ایمنی Triconex
برای آشنایی بیشتر با سابقه حمله به سیستم کنترل ایمنی Triconex اشنایدر الکتریک، به بخش آرشیو اخبار مرکز از طریق لینک زیر مراجعه کنید:
http://www.afta.gov.ir/Portal/Home/ShowPage.aspx?Object=News&ID=ad۴۱۴d۲۳-۲۹a۵-۴۰۳۴-abfb-d۱f۱ca۹e۸cf۶&LayoutID=۳۴۸b۰bab-۷۹۸۹-۴e۱d-۹d۵۲-۱f۶a۶۰۴b۰۴e۹&CategoryID=fe۹۱۷b۳e-۴a۴۸-۴d۷۷-۹۲۹۶-d۱۸d۶۵۹۸۲ce۶&SearchKey=

نحوه آلودگی
شناسه اولین آسیب پذیری کشف شده CVE-۲۰۱۸-۸۸۷۲ می‌باشد و امتیاز CVSS v۳ ۱۰,۰ برای آن محاسبه شده است. این آسیب پذیری از محدودسازی نامناسب عملکردهای درون بافر حافظه نشأت می گیرد. فراخوانی سیستم بدون هیچ گونه اعتبارسنجی و به طور مستقیم با خواندن آدرس های حافظه انجام می شود. لذا دستکاری آن می تواند به مهاجم اجازه دهد تا دادۀ دلخواه خود را در هر جایی از حافظه کپی نماید. علاوه بر این، زمانی که یک فراخوانی انجام می شود، رجیسترها در محل ثابتی از حافظه ذخیره می شوند. تغییر این اطلاعات می تواند به حمله کننده اجازه دهد تا به سطح دسترسی سوپروایزر دست یافته و حالت‌های سیستم را کنترل کند. به این آسیب پذیری شناسه CVE-۲۰۱۸-۷۵۲۲ اطلاق گردیده و امتیاز CVSS v۳ ۷.۹ برای آن محاسبه شده است. اکسپلویت موفقیت آمیز این آسیب پذیری ها می تواند منجر به کنترل سیستم SIS و در نتیجه اجرای کد دلخواه، خاموشی سیستم شده و در مجموع ایمنی سیستم ها را در معرض خطر قرار دهد.

محصولات متاثر
این آسیب پذیری سیستم Triconex Tricon شرکت اشنایدر الکتریک را تحت تاثیر قرار می دهد:
• مدل MP ۳۰۰۸ نسخه های ۱۰,۰ تا ۱۰.۴

راه های مقابله
با توجه به هشدارهای اعلام شده و نیز با در نظر گرفتن این که حتی مهاجمان کم تجربه هم قادرند از این آسیب پذیری سوء استفاده نمایند، توصیه می شود اقدامات زیر اتخاذ گردد:
• ایزولاسیون شبکه سیستم های کنترل ایمنی با دیگر شبکه‌ها(توصیه می‌گردد شبکه کنترل فرآیند و کنترل ایمنی نیز از یکدیگر مجزا باشند.)
• اجرای حفاظت فیزیکی به منظور جلوگیری از دسترسی افراد غیرمجاز به کنترلرهای ایمنی، تجهیزات جانبی آن یا شبکه ایمنی
• قرار دادن تمامی کنترلرها در کابینت های قفل دار با کنترل دسترسی مناسب
• تغییر وضعیت کنترلرها از مود کاری program به مود کاری run
• تولید آلارم در سمت ایستگاه کاربری در زمان قرارگیری کنترلرهای Triconex در مود کاری program
• اسکن تمام رسانه‌های قابل حمل(نظیر لپ‌تاپ، حافظه جانبی و ...) پیش از اتصال به شبکه های صنعتی با آنتی ویروس های به روزرسانی شده
• جلوگیری از اتصال تمام ایستگاه های مهندسی TriStation به شبکه ای جز شبکه ایمنی

مراجع:
.http://www.afta.gov.ir/Portal/Home/ShowPage.aspx?Object=News&ID=ad۴۱۴d۲۳-۲۹a۵-۴۰۳۴-abfb-d۱f۱ca۹e۸cf۶&LayoutID=۳۴۸b۰bab-۷۹۸۹-۴e۱d-۹d۵۲-۱f۶a۶۰۴b۰۴e۹&CategoryID=fe۹۱۷b۳e-۴a۴۸-۴d۷۷-۹۲۹۶-d۱۸d۶۵۹۸۲ce۶&SearchKey=
https://ics-cert.us-cert.gov/advisories/ICSA-۱۸-۱۰۷-۰۲
http://www.isssource.com/schneider-updates-its-triconex-tricon
📌👈🏻برای آگاهی رسانی بیشتر, دیگر دوستانتان را نیز به عضویت این کانال دعوت کنید.
@ICT_security

حمله یک گروه APT به سرور شرکت‌های بخش صنعتی و انرژی
به تازگی یک گروه APT با عنوان Energetic Bear/Crouching Yeti سرورهای شرکت‌های مختلف بخش صنعت و انرژی را مورد هدف قرار داده است. این گروه که از سال ۲۰۱۰ فعالیت می‌کند، شرکت‌های مختلفی در سراسر جهان را مورد حمله قرار داده است که تمرکز بیشتر حملات روی کشورهای اروپایی و امریکا بوده است. همچنین، در سال ۲۰۱۶ و ۲۰۱۷ تعداد حملات این گروه روی سرورهای کشور ترکیه رشد قابل توجهی داشته است.
رویکردهای اصلی این گروه شامل ارسال ایمیل‌های فیشینگ حاوی اسناد مخرب و آلوده‌سازی سرورهای مختلف است. این گروه از از سرورهای آلوده به منظور استقرار ابزارهای گوناگون و در برخی موارد جهت اجرای حملات waterhole استفاده می‌کنند. waterhole به حمله‌ای گفته می‌شود که مهاجم سایت‌هایی که فرد یا گروه‌های قربانی بطور روزمره بازدید می‌کند را با بدافزار آلوده می‌کند.
باتوجه به گزارش کسپرسکی، قربانیان حملاتی که اخیرا صورت گرفته است فقط محدود به شرکت‌های صنعتی نمی‌شود و کشورهای روسیه، اکراین، انگلستان، آلمان، ترکیه، یونان و امریکا را شامل می‌شود. به عنوان مثال نوع سرورهایی که در کشور روسیه مورد هدف قرار گرفته است شامل وب‌سایت‌های سیاسی، بنگاه‌های املاک، باشگاه فوتبال و ... است.
https://tinyurl.com/y9wsczww
نکته قابل توجه در مورد این حملات این است که تمامی سرورهایی که هدف حمله waterhole قرار گرفته‌اند با الگو یکسانی آلوده شده‌اند. در این الگو، یک لینک در یک صفحه وب و یا فایل جاوا اسکریپت تزریق شده است که حاوی آدرس فایل بصورت file://IP/filename.png است که به منظور ارسال یک درخواست برای یک فایل تصویری است و موجب می‌شود تا کاربر از طریق پروتکل SMB به یک سرور کنترل از راه دور متصل شود.

بنابر گزارش کسپرسکی، در برخی از موارد مهاجمین از سرورهای آلوده جهت حمله به سایر منابع استفاده می‌کنند که برای این امر پس از دسترسی به سرورها، لازم است ابزارهای مورد نیاز خود را نصب شوند. در سرورهای بررسی شده ابزارهای متن باز زیر مشاهده شده است:
Nmap •
Dirsearch •
Sqlmap •
Sublist۳r •
Wpscan •
Impacket •
SMBTrap •
Commix •
Subbrute •
PHPMailer •
باتوجه به تحلیل‌های انجام شده می‌توان دریافت که مهاجمین از ابزارهای دردسترس عموم و متن باز استفاده می‌کنند. همچنین، مهاجمان در اکثر سرورهای هدف به دنبال یافتن آسیب‌پذیری‌ها و سرقت اطلاعات احرازهویت کاربران هستند.
📌خبر را برای دوستان خود بازنشر کنید.

🦁کانال تخصصی امنیت سایبری«کتاس»
‏http://t.me/ict_security
کتاس در سروش:
‏🦁 http://sapp.ir/ict.sec

🦁کتاس در آپارات :
https://www.aparat.com/ict_security
🦁 تماس با ادمین کتاس:
ict.sec@outlook.com

وصله امنیتی در تجهیزات اتوماسیون صنعتی اشنایدر

Schneider Releases Fixes for Critical Flaws in ICS Software
(May 2, 2018)

Researchers from Tenable have found a critical flaw in Schneider Electric industrial control software that could be exploited to disrupt or shut down operations at facilities where the software is in use. The vulnerability affects Schneider Electric's InduSoft Web Studio and InTouch Machine Edition products. Schneider has released fixes for the flaws.

Read more in:
- software.schneider-electric.com: InduSoft Web Studio and InTouch Machine Edition - Remote Code Execution Vulnerability (PDF)
- www.tenable.com: Tenable Research Advisory: Critical Schneider Electric InduSoft Web Studio and InTouch Machine Edition Vulnerability
- www.scmagazine.com: Zero-Day vulnerability found in two Schneider Electric ICS products
- www.zdnet.com: A critical security flaw in popular industrial software put power plants at risk
- www.cyberscoop.com: New vuln discovered in Schneider Electric software, patches already issued

📌👈🏻برای آگاهی رسانی بیشتر, دیگر دوستانتان را نیز به عضویت کانال دعوت کنید.
https://t.me/ics_cert

خطر حملات DoS برای رله‌های محافظتی زیمنس


زیمنس تایید کرد که رله‌های محافظتی زیمنس در معرض حملات DoS قرار گرفته‌اند.
اخیرا زیمنس مشتریان خود را نسبت به آسیب‌پذیری برخی از رله‌های محافظتی SIPROTEC آگاه کرده‌است. این آسیب‌پذیری در ماژول ارتباطی EN۱۰۰ وجود دارد و باعث بروز وضعیت انکار سرویس (DoS) می‌شود.

دستگاه‌های SIPROTEC وظیفه کنترل، حفاظت، اندازه‌گیری و عملگرهای اتوماسیون را برای ایستگاه‌های برق برعهده دارند. این محصولات از ماژول Ethernet EN۱۰۰ برای ارتباطات IEC ۶۱۸۵۰ ،PROFINET IO ،Modbus ،DNP۳ و IEC ۱۰۴ استفاده می‌کنند.

محققان ScadaX، گروه مستقلی از متخصصان که بر امنیت ICS و IoT تمرکز دارند، کشف کردند که ماژول EN۱۰۰ و رله SIPROTEC ۵ نسبت به دو آسیب‌پذیری DoS تحت‌تاثیر قرار می‌گیرند که می‌توانند از طریق فرستادن بسته‌های ویژه ساخته‌شده به پورت ۱۰۲ TCP دستگاه هدف، مورد سوء‌استفاده قرارگیرند.

بهره‌برداری از این نقص‌ها باعث می‌شود که عملکرد شبکه دستگاه به وضعیت DoS وارد شود. زیمنس اعلام کرده‌است که این وضعیت در دسترس بودن سیستم را مختل می‌کند. بازگرداندن سرویس‌های آسیب‌دیده تنها به‌صورت دستی امکان‌پذیر است.

برای بهره‌برداری از نقص‌ها، مهاجم نیاز دارد تا به شبکه سازمان هدف دسترسی داشته‌باشد و باید ارتباط IEC ۶۱۸۵۰-MMS فعال باشد، اما هیچ تعامل کاربری نیاز نیست. آسیب‌پذیری‌های کشف‌شده، مشابه هستند، اما یکی از آنها که با (CVE-۲۰۱۸-۱۱۴۵۱) شناسه می‌شود با درجه حساسیت «بالا» رده‌بندی می‌شود.

آسیب‌پذیری دیگر (CVE-۲۰۱۸-۱۱۴۵۲) که با درجه حساسیت «متوسط» رده‌بندی می‌شود، ماژول EN۱۰۰ را در صورتی که oscilographها در حال اجرا باشند، تحت‌تاثیر قرار می‌دهد. زیمنس خاطرنشان کرد که تنها رله SIPROTEC ۵ از نقص جدی برخوردار است.

زیمنس برای رفع این نقص‌ها به‌روزرسانی‌هایی را برای برخی از دستگاه‌های آسیب‌دیده خود، منتشر و به کاربران توصیه کرد تا دسترسی به پورت ۱۰۲ را توسط یک فایروال خارجی ببندند تا دستگاه‌هایی که هنوز برای آنها وصله‌ای ارائه نشده‌است نسبت به حملات امن بمانند.

متخصصان صنعتی اغلب هشدار می‌دهند که آسیب‌پذیری‌های DoS در سیستم‌های کنترل صنعتی در مقایسه با سیستم‌های اطلاعاتی عادی به دلیل این که در محیط‌های صنعتی در دسترس بودن دارای اهمیت بالایی است، جزو اولویت‌های بالا در نظر گرفته‌می‌شوند.
📌👈🏻برای آگاهی رسانی بیشتر, دیگر دوستانتان را نیز به عضویت کانال دعوت کنید.
https://t.me/ics_cert

آسیب‌پذیری در نرم افزار مهندسی ABB Panel Builder ۸۰۰
یک آسیب‌پذیری خطرناک در نرم‌افزار مهندسی Panel Builder ۸۰۰ که در دستگاه ABB Panel ۸۰۰ HMI اجرا می‌گردد شناسایی شده است. تحت شرایط خاص، اکسپلویت آن می‌تواند مهاجمان را به اجرای کد دلخواه در رایانه‌هایی که نرم‌افزار آسیب‌پذیر نصب شده است قادر سازد.
این آسیب پذیری که CVE-۲۰۱۸-۱۰۶۱۶ به آن اختصاص داده شده است، با اعتبار ورودی نامناسب، توسط تجزیه‌کننده فایل ایجاد شده است و بر تمام نسخه‌های Panel Builder ۸۰۰ تأثیر می‌گذارد. برای بهره‌برداری از آسیب‌پذیری، مهاجم باید کاربر را به باز کردن یک فایل خاص فریب دهد. هنگامی که یک کاربر محلی، یک محصول آسیب‌پذیر را اجرا کرده و یک فایل ساختگی خاص را باز می‌کند، یک اکسپلویت می‌تواند راه‌اندازی شود. آسیب‌پذیری مذکور قابلیت اکسپلویت از راه دور را ندارد.
ABB در حال تحقیق این موضوع است و توصیه می‌کند اقدامات پیشگیرانه زیر، تا زمانی که وصله در دسترس است انجام گیرد:
• آموزش آگاهی بیشتر در مورد امنیت سایبری برای کاربران Panel Builder ۸۰۰ شامل توصیه‌های امنیتی بهترین راهکار برای سیستم‌های کنترل صنعتی و اطلاع‌رسانی به کاربران که فایل‌های Panel Builder ۸۰۰ می‌تواند با نرم‌افزارهای مخرب آلوده شود.
• بررسی دقیق همه‌ی فایل‌های منتقل‌شده بین رایانه‌ها، از جمله اسکن آن‌ها با نرم‌افزار آنتی‌ویروس به‌روز، و استفاده از مراقبت ویژه در هنگام کار با فایل‌های دریافت‌شده از منابع نامشخص.
• پیاده‌سازی مدیریت حساب کاربری مناسب و استفاده از رویه‌های تصدیق و مدیریت دسترسی مناسب بر اساس اصل کمترین امتیاز.

منبع:
https://ics-cert.kaspersky.com/news/2018/07/19/abb/

📌👈🏻برای آگاهی رسانی بیشتر, دیگر دوستانتان را نیز به عضویت کانال دعوت کنید.
https://t.me/ics_cert

نسخه‌های جدید آسیب‌پذیری‌های Meltdown و Spectre
پس از کشف نسخه های جدید آسیب‌پذیری های Meltdown و Spectre، زیمنس اطلاعیه های امنیتی جدیدی را برای این دو آسیب‌پذیری، به ویژه برای LazyFP و Spectre ۱,۱ منتشر کرده است.
برخی تولیدکننده های سیستم های کنترل صنعتی (ICS) توصیه های امنیتی را برای نقص های پردازنده منتشر کرده اند. زیمنس یک اطلاعیه امنیتی را برای آسیب‌پذیری های مربوط به ویژگی Speculative در ۱۱ ژانویه منتشر ساخته است.
در اواخر ماه می، این شرکت اطلاعیه خود را بروز کرد و به آن جزئیاتی را از آسیب‌پذیری های نوع ۳a و نوع ۴ که با نام Spectre-NG نیز شناخته می شوند، افزود. در روز پنجشنبه، زیمنس بار دیگر اطلاعاتی را به آن اضافه کرد که این بار توضیحات مربوط به LazyLP، یک آسیب‌پذیری مشابه Meltdown با درجه حساسیت متوسط و شناسه CVE-۲۰۱۸-۳۶۶۵، و Spectre ۱,۱، که در اوایل ماه جاری کشف شد و با CVE-۲۰۱۷-۵۷۵۳ شناسه می شود، به آن اضافه شده است.
زیمنس به کاربران توصیه کرده است که نسبت به بروزرسانی های نرم افزاری و Firmwareهای سیستم عامل ها و پردازنده ها آگاه باشند. با این حال، ممکن است برخی از این آسیب‌پذیری ها، دارای مشکلاتی در سازگاری، عملکرد باشند.
نقص های اولیه Meltdown و Spectre برخی محصولات زیمنس از قبیل SIMATIC، RUGGEDCOM، SIMOTION، SINEMA و SINUMERIK را تحت تاثیر قرار داده است. این شرکت برای این محصولات بروزرسانی های نرم افزاری، BIOS و روش هایی برای کاهش اثرات، ارائه کرده است.


منبع:
https://www.securityweek.com/siemens-informs-customers-new-meltdown-spectre-variants

🦁«کتاس»
‏http://t.me/ict_security

رفع آسیب‌پذیری‌های بحرانی در ابزارهای HMI/SCADA
شرکت تولیدکننده نرم افزار صنعتی AVEVA، دو آسیب‌پذیری بحرانی اجرای کد از راه دور را برطرف ساخته است. این آسیب‌پذیری ها توسط پژوهشگران و در ابزارهای توسعه InduSoft و InTouch این شرکت کشف شده است. در اوایل سال میلادی جاری، AVEVA با Schneider Electric ادغام شد و نام های تجاری Avantis و Wonderware مستقر در فرانسه را در برگرفت. از محصولات Wonderware می توان به InduSoft Web Studio و نرم افزار InTouch Machine Edition HMI/SCADA اشاره کرد.
طبق اعلام پژوهشگری از CyberX، بعضی از نسخه های InTouch ۲۰۱۴ و ۲۰۱۷ تحت تاثیر یک آسیب‌پذیری بحرانی سرریز بافر پشته با شناسه CVE-۲۰۱۸-۱۰۶۲۸ قرار گرفته اند. این آسیب‌پذیری نمره CVSS ۹,۸ را به خود اختصاص داده است. شرکت AVEVA در توصیه امنیتی خود گفته است که یک کاربر احرازهویت نشده می تواند با ارسال یک بسته مخصوص، از آسیب‌پذیری سرریز بافر پشته بهره برداری کند. پژوهشگر امنیتی CyberX معتقد است که در صورت دسترسی سیستم به اینترنت، می توان از آسیب‌پذیری با کنترل از راه دور بهره برداری کرد. مهاجم می تواند با ارسال مستقیم بسته های ساخته شده بخصوصی، HMI را تحت کنترل خود درآورد. حمله نیز می‌تواند حاوی بدافزاری باشد که به منظور ارسال بسته های مخرب طراحی شده باشد. این امر باعث می شود تا مهاجم کنترل کامل فرآیند ICS را بدست بگیرد و او را قادر می‌سازد تا پارامترهای فرآیند را دستکاری کند و به طور بالقوه باعث اقدامات مخربی مانند افزایش بیش از حد فشار یا درجه حرارت در یک مخزن شود.
در تاریخ ۱۳ جولای، AVEVA نسخه InTouch ۲۰۱۷ Update ۲ HF-۱۷_۲ /CR۱۴۹۷۰۶ و InTouch ۲۰۱۴ R۲ SP۱ HF-۱۱_۱_SP۱ /CR۱۴۹۷۰۵ را برای رفع این آسیب‌پذیری منتشر کرده است. آسیب‌پذیری دیگر، CVE-۲۰۱۸-۱۰۶۲۰ با نمره CVSS ۹,۸ است که یک نقص بحرانی اجرای کد از راه دور است که InTouch Machine Edition و InduSoft Web Studio را تحت تاثیر قرار می‌دهد. آسیب‌پذیری با انتشار Hotfix ۸۱.۱.۰۰.۰۸ برای هر یک از محصولات آسیب‌دیده در ۱۳ جولای، برطرف شده است. مشابه آسیب‌پذیری قبلی، مهاجم می تواند با ارسال یک بسته بخصوص، در حین اقداماتی مانند خواندن یا نوشتن برچسب ها و نظارت بر هشدارها، از آسیب‌پذیری سرریز بافر پشته بهره برداری کند.
این آسیب‌پذیری‌ها باعث می شود تا ماشین های سرور InduSoft Web Studio یا InTouch Machine Edition، نسبت به مهاجم با دسترسی از راه دور و احرازهویت نشده آسیب‌پذیر شوند و مهاجم می تواند از آنها استفاده کند تا کد دلخواه را اجرا کند و کنترل کامل سیستم را به دست بگیرد.
منبع:
https://www.securityweek.com/aveva-patches-critical-flaws-hmiscada-tools-following-schneider-merger
📌👈🏻برای آگاهی رسانی بیشتر, دیگر دوستانتان را نیز به عضویت کانال دعوت کنید.
https://t.me/ics_cert

چندین هشدار در خصوص وجود آسیب‌پذیری در برخی محصولات زیمنس منتشر شده، لیست محصولات و جزئیات آسیب‌پذیری‌ها بصورت زیر است:
📌👈🏻دوستانتان را نیز به عضویت کانال دعوت کنید.
https://t.me/ics_cert

متداول‌ترین مخاطرات امنیتی در ICS و رویکردهای کاهش اثر آن‌ها
پژوهشگران FireEye با تحلیل نتایج هزاران ارزیابی سلامت امنیت سیستم‌های کنترل صنعتی (ICS)، فراگیرترین و پر اهمیت‌ترین مخاطرات امنیتی در تسهیلات صنعتی را شناسایی کردند. این ارزیابی‌ها توسط Mandiant، تیم مشاوره FireEye انجام شده است. اطلاعات از ارزیابی‌هایی که در چند سال گذشته انجام گرفته بدست آمده و از طیف گستردهای از صنایع از جمله تولید، معدن، خودرو، انرژی، شیمیایی، گاز طبیعی، و آب و برق، حاصل شده است. FireEye در گزارشی جزئیات این مخاطرات را ارائه کرده و بهترین شیوه‌ها و توصیه‌ها برای کاهش خطرات را بیان کرده است.
بررسی سلامت امنیت توسط Mandiant و آزمون‌های نفوذ، ارزیابی‌هایی هستند که در محل و روی سیستم‌های ICS و شبکه IT مشتریان انجام می‌شوند. در این راستا، Mandiant درک فنی از سیستم کنترل توسعه می‌دهد، نمودار شبکه سیستم کنترل را ایجاد می‌کند، تهدیدها و آسیب‌پذیری‌های بالقوه را تحلیل می‌کند و با ارائه رویکردهای دفاعی اولویت‌بندی شده، به حفاظت از محیط صنعتی کمک می‌کند.
Mandiant مخاطرات را به چهار دسته (۱) بحرانی و با درجه اهمیت زیاد، (۲) با درجه اهمیت متوسط، (۳) با درجه اهمیت کم و (۴) جهت اطلاع یا informational تقسیم می‌کند. این رده‌بندی با در نظر گرفتن اثرات آسیب‌پذیری یا خطر، که از طریق شناسایی نهادهای آسیب‌دیده و میزان صدمات بالقوه یک حمله شناسایی می‌شوند، و قابلیت بهره‌برداری از آسیب‌پذیری، که از طریق میزان سادگی شناسایی آسیب‌پذیری و انجام حمله و اندازه و سطح دسترسی گروه مهاجمین شناسایی می‌شود، تعیین می‌شوند.
بر اساس یافته‌های FireEye، تقریبا ۳۳ درصد از مخاطرات امنیتی در محیط‌های ICS بحرانی و با درجه اهمیت زیاد هستند. از این رو، وقوع حملات جدی که منجر به اختلال در سیستم‌ها شود زیاد است.
شرکت امنیتی FireEye توصیه‌هایی را برای کاهش اثرات کرده است.
مخاطرات متداول مربوط به آسیب‌پذیری‌ها، وصله‌ها و بروزرسانی‌ها که مورد اول جدول است، شامل موارد زیر است:
• وجود رویه‌های نامکرر برای بروزرسانی ؛
• وجود firmware، سخت‌افزار و سیستم‌عامل‌های قدیمی در دستگاه‌های شبکه، دیوارهای آتش، مسیریاب‌ها، تجهیزات سخت‌افزاری مانند کنترل‌کننده‌های منطقی قابل برنامه‌ریزی (PLC) و غیره؛
• وجود آسیب‌پذیری در نرم‌افزارها و تجهیزات‌ها و عدم اعمال وصله‌های برطرف‌کننده آن‌ها؛
• عدم وجود آزمون‌های محیطی برای تحلیل وصله‌ها و بروزرسانی‌ها، قبل از پیاده‌سازی آن‌ها.

رویکردهای کاهش اثرات این مخاطرات:
• ایجاد یک استراتژی مدیریت جامع آسیب‌پذیری در ICS و درج رویه‌هایی برای پیاده‌سازی وصله‌ها و بروزرسانی‌ها روی دارای‌های کلیدی در این استراتژی.
• در صورتی که وصله یا بروزرسانی برای برای زیر ساخت‌های کلیدی ارائه نشده باشد، یکی از دو مورد زیر انجام شود:
o داراییهای آسیب‌دیده در یک محیط امنیتی قرار داده شوند، برای مثال از یک دیوار آتش برای کنترل دسترسی و فیلتر ترافیک استفاده شود.
o دستگاه‌های آسیب‌دیده و قدیمی که ممکن است برای نفوذ به شبکه از آنها سوء استفاده شود را حذف کنید.
• سیستم‌های توسعه یا آزمایشگاه‌هایی برای دستگاه‌های در حال اجرا ICS و IT ایجاد شوند.

مخاطرات متداول مربوط به مدیریت دسترسی و شناسایی که مورد دوم جدول است، مربوط به نقص‌هایی است که درباره مدیریت گذرواژه‌ها و اطلاعات احرازهویت می‌شود. این مخاطرات شامل موارد زیر است:
• نبود احرازهویت چند عاملی برای حساب‌های بحرانی و دسترسی از راه دور؛
• نبود سیاست تعیین گذرواژه قوی و جامع (استفاده از گذرواژه٬های ضعیف، عدم تغییر مداوم گذرواژه‌ها و تعیین یک گذرواژه برای چند حساب)؛
• نمایش گذرواژه٬ها؛
• وجود گذرواژههای پیشفرض و شناخته شده در دستگاه‌ها؛
• استفاده از اطلاعات احرازهویت اشتراکی.

رویکردهای کاهش اثرات این مخاطرات:
• پیاده‌سازی احرازهویت دو عاملی؛
• جلوگیری از کپی گذرواژه‌ها و نمایش آن‌ها؛
• تعیین سیاست گذرواژه که ملزم به استفاده از گذرواژه قوی می‌کند؛
• عدم استفاده از نام‌های کاربری متداول مانند admin، administer و غیره،
• جلوگیری از استفاده از حساب‌های اشتراکی.
ادامه در آدرس زیر:
https://t.me/ics_cert/19
📌👈🏻برای آگاهی رسانی بیشتر, دیگر دوستانتان را نیز به عضویت کانال دعوت کنید.
https://t.me/ics_cert

مخاطرات متداول مربوط به معماری و تقسیم‌بندی شبکه که مورد سوم جدول است، شانس گسترش بدافزار و دسترسی از راه دور مهاجم را افزایش می‌دهد. این مخاطرات شامل موارد زیر است:
• سیستم‌های صنعتی از سیستم‌های شرکت قابل دسترسی هستند. همچنین وجود آسیب‌پذیری در دستگاه‌های پل (Bridged)؛
• سیستم‌های Dual-homde؛
• شبکه‌های صنعتی به طور مستقیم قابل دسترسی از اینترنت هستند.
رویکردهای کاهش اثرات این مخاطرات:
• تمامی دسترسی‌ها به ICS با یک شبکه DMZ تقسیم‌بندی شوند؛
o تعداد پورت‌ها، سرویس‌ها و پروتکل‌های استفاده شده برای ارتباط بین ICS و شبکه شرکت محدود شوند،
o استفاده از قوانین دیوار آتش برای فیلتر ترافیک‌های ورودی و خروجی ICS،
• ایزوله کردن شبکه‌های کنترل از اینترنت؛
• اطمینان حاصل شود تا از دیوارهای آتش مستقل که مرتب بروزرسانی و اصلاح می‌شوند، برای جدا کردن شبکه شرکت از شبکه ICS و DMZ استفاده می‌شود؛
• شناسایی و انتقال تمامی ترافیک‌های غیر کنترلی که شبکه صنعتی را پیمایش می‌کنند؛
• حذف تمامی هاست‌ها و سرورهای dual-homed.

این رویکردهای کاهشی مربوط به سه مورد از بیشترین مخاطرات موجود در رده بحرانی بودند که توسط FireEye ارائه شدند. سایر رویکردها نیز در گزارش این گروه منتشر شده است.
منبع:
https://www.fireeye.com/blog/threat-research/۲۰۱۸/۱۰/ics-tactical-security-trends-analysis-of-security-risks-observed-in-field.html
📌👈🏻برای آگاهی رسانی بیشتر, دیگر دوستانتان را نیز به عضویت کانال دعوت کنید.
https://t.me/ics_cert

کشف نزدیک به ۱۳ آسیب‌پذیری حیاتی در سامانه عامل های دستگاه‌های کنترل صنعتی، مخابراتی/شبکه ای و iot، امنیت هزاران سیستم و شبکه را به خطر انداخته است.
آسیب‌پذیری ها در سیستم عامل های RTOS و در ماژول های پردازش شبکه و TCP/IP کشف شده است.
https://blog.zimperium.com/freertos-tcpip-stack-vulnerabilities-put-wide-range-devices-risk-compromise-smart-homes-critical-infrastructure-systems/

📌👈🏻دوستانتان را نیز به عضویت کانال دعوت کنید.
https://t.me/ics_cert