РМ
Специалисты ЛК сообщают об уязвимостях напрямую разработчикам ПО в соответствии с политикой Responsible Disclosure
это хорошо ) но я не про наполнение, а про организацию самого БДУ
Size: a a a
2020 February 13
AI
Что будет больше внимания уделено техникам и сценариям
РМ
Нет, он сказал, что полностью все переделают ))
ну возможно, тут всегда есть что улучшить
JG
JG
Вот по типу такого
AS
ID:249353852
Так мы тут про угрозы или про уязвимости?
Пришел Роман и все перемешал. Теперь мы про все. Но БДУ ФСТЭК (угрозы) менее практичны чем MITRE ATT&CK (в которой хоть где-то залинкованы меры предотвращения, источники детекта, аналитики детекта, готовые BASы/тесты для проверки)
PD
Нечто ближе к vulners надо строить, только более структурированно. Нечто по типу MISP или Hive
+, но сомневаюсь, что такое появится
AS
Абсолютно верно! Это лучше чем ничего! И как я сказал про MITRE, и тоже самое про БДУ ФСТЭК, нужно смотреть не только в них. Но спасибо что они есть, но есть куда совершенствоваться. И именно из-за несовершеннства баз данных уязвимостей Kaspersky ICS CERT и запустил свой сервис ICS Vulnerability Database, призванный устранить недостатки существующих баз данных уязвимостей
☝️Вот же я написал что идет работа над этим. Для ICS
AS
Полный трэш и это вчера признал Лютиков ))
А есть вроде запись, можешь показать где он сказал?
AS
ТБ ФОРУМ. Актуальные вопросы защиты информации.
📽Выступление В.С. Лютикова (ФСТЭК России), включающее блок ответов на вопросы из зала.
📽Выступление В.С. Лютикова (ФСТЭК России), включающее блок ответов на вопросы из зала.
AI
А есть вроде запись, можешь показать где он сказал?
Ближе к концу первого выступления, кажется, там где он говорил про задачи и критику
AI
Тут?
Не уверен. Пока неудобно, потом укажу место
NK
ICSA-20-042-01 : Synergy Systems & Solutions HUSKY RTU
IMPROPER AUTHENTICATION (неправильная аутентификация) CWE-287 Уязвимый продукт HUSKY RTU 6049-E70 не требует адекватной аутентификации, которая может позволить злоумышленнику прочитать конфиденциальную информацию или выполнить произвольный код.
НЕПРАВИЛЬНАЯ ВХОДНАЯ ВАЛИДАЦИЯ CWE-20 намеренно скомпонованные вредоносные пакеты могут вызвать отключение активных аутентичных соединений или перезагрузку устройства.
Лечение - обновлением до последних версий прошивок, использование SSL и т.д.. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-01
ICSA-20-042-02 : Siemens Industrial Products SNMP Vulnerabilities
DATA PROCESSING ERRORS CWE-19 Ошибка в обработке сообщений SNMP-сообщений позволяет удаленным злоумышленникам вызвать условие отказа в обслуживании и выполнить произвольный код через специально созданный пакет, отправленный через порт 161 / UDP (SNMP).
NULL POINTER DEREFERENCE CWE-476 Ошибка исключения указателя NULL в коде обработки SMNP позволяет аутентифицированному злоумышленнику удаленно вызывать условие отказа в обслуживании через специально созданный пакет, отправленный через порт 161 / UDP (SNMP).
ICSA-20-042-03 : Siemens SIMATIC CP 1543-1
IMPROPER ACCESS CONTROL CWE-284 неправильный контроль доступа Уязвимость CVE-2019-12815 копирования файлов в mod_copy встроенного FTP-сервера делает возможным удаленное выполнение кода и утечки информации без аутентификации.
LOOP WITH UNREACHABLE EXIT CONDITION Петля с недостижимым условием выхода CWE-835 Некорректная обработка слишком длинных команд во встроенном FTP-сервере позволяет злоумышленнику спровоцировать DoS (отказ в обслуживании) введя бесконечный цикл. CVE-2019-18217
Лечение - обновлением до последних версий прошивок, отключение встроенного FTP-сервера, ограничение доступа к порту 21/TCP для доверенных IP-адресов. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-03
ICSA-20-042-04 : Siemens PROFINET-IO Stack UNCONTROLLED RESOURCE CONSUMPTION – Неконтролируемое исчерпание ресурсов CWE-400. Версии стека Profinet-IO (PNIO) до v06.00 некорректно ограничивают распределение внутренних ресурсов, если на интерфейс DCE-RPC отправляются несколько корректных запросов пакета диагностики. Это может привести к DoS (отказ в обслуживании) из-за нехватки ресурса памяти для устройств с уязвимыми версиями стека. Уязвимость CVE-2019-13946 касается широкого ряда SCALANCE, процессорных модулей S300,400, ET200, RUGGEDCOM. Лечение - обновлением до последних версий прошивок. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-04
ICSA-20-042-05 : Siemens SIMATIC S7 UNCONTROLLED RESOURCE CONSUMPTION (‘RESOURCE EXHAUSTION’) – Неконтролируемое исчерпание ресурсов CWE-400 - намеренно созданные пакеты HTTP, отправленные на порты 80/TCP 443 / TCP, вызывают DoS (состояние отказа в обслуживании веб-сервера.) Уязвимость https://www.us-cert.gov/ics/advisories/icsa-20-042-05 касается широкого ряда версий S71200, 300, 400. Лечение - обновлением до последних версий прошивок для S71200, для остальных – ограничение доступа к веб серверу по указанным портам или его отключение. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-05
IMPROPER AUTHENTICATION (неправильная аутентификация) CWE-287 Уязвимый продукт HUSKY RTU 6049-E70 не требует адекватной аутентификации, которая может позволить злоумышленнику прочитать конфиденциальную информацию или выполнить произвольный код.
НЕПРАВИЛЬНАЯ ВХОДНАЯ ВАЛИДАЦИЯ CWE-20 намеренно скомпонованные вредоносные пакеты могут вызвать отключение активных аутентичных соединений или перезагрузку устройства.
Лечение - обновлением до последних версий прошивок, использование SSL и т.д.. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-01
ICSA-20-042-02 : Siemens Industrial Products SNMP Vulnerabilities
DATA PROCESSING ERRORS CWE-19 Ошибка в обработке сообщений SNMP-сообщений позволяет удаленным злоумышленникам вызвать условие отказа в обслуживании и выполнить произвольный код через специально созданный пакет, отправленный через порт 161 / UDP (SNMP).
NULL POINTER DEREFERENCE CWE-476 Ошибка исключения указателя NULL в коде обработки SMNP позволяет аутентифицированному злоумышленнику удаленно вызывать условие отказа в обслуживании через специально созданный пакет, отправленный через порт 161 / UDP (SNMP).
ICSA-20-042-03 : Siemens SIMATIC CP 1543-1
IMPROPER ACCESS CONTROL CWE-284 неправильный контроль доступа Уязвимость CVE-2019-12815 копирования файлов в mod_copy встроенного FTP-сервера делает возможным удаленное выполнение кода и утечки информации без аутентификации.
LOOP WITH UNREACHABLE EXIT CONDITION Петля с недостижимым условием выхода CWE-835 Некорректная обработка слишком длинных команд во встроенном FTP-сервере позволяет злоумышленнику спровоцировать DoS (отказ в обслуживании) введя бесконечный цикл. CVE-2019-18217
Лечение - обновлением до последних версий прошивок, отключение встроенного FTP-сервера, ограничение доступа к порту 21/TCP для доверенных IP-адресов. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-03
ICSA-20-042-04 : Siemens PROFINET-IO Stack UNCONTROLLED RESOURCE CONSUMPTION – Неконтролируемое исчерпание ресурсов CWE-400. Версии стека Profinet-IO (PNIO) до v06.00 некорректно ограничивают распределение внутренних ресурсов, если на интерфейс DCE-RPC отправляются несколько корректных запросов пакета диагностики. Это может привести к DoS (отказ в обслуживании) из-за нехватки ресурса памяти для устройств с уязвимыми версиями стека. Уязвимость CVE-2019-13946 касается широкого ряда SCALANCE, процессорных модулей S300,400, ET200, RUGGEDCOM. Лечение - обновлением до последних версий прошивок. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-04
ICSA-20-042-05 : Siemens SIMATIC S7 UNCONTROLLED RESOURCE CONSUMPTION (‘RESOURCE EXHAUSTION’) – Неконтролируемое исчерпание ресурсов CWE-400 - намеренно созданные пакеты HTTP, отправленные на порты 80/TCP 443 / TCP, вызывают DoS (состояние отказа в обслуживании веб-сервера.) Уязвимость https://www.us-cert.gov/ics/advisories/icsa-20-042-05 касается широкого ряда версий S71200, 300, 400. Лечение - обновлением до последних версий прошивок для S71200, для остальных – ограничение доступа к веб серверу по указанным портам или его отключение. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-05
NK
ICSA-20-042-06 : Siemens SIMATIC PCS 7, SIMATIC WinCC, and SIMATIC NET PC INCORRECT CALCULATION OF BUFFER SIZE CWE-131 неправильный расчет размера буфера - злоумышленник с доступом к сети, при помощи намеренно созданных сообщений, в условиях шифрованного трафика, может вызвать DoS (отказ в обслуживании), сделав систему недоступной. Уязвимость касается широкого ряда версий WinCC, Simatic PCS7, Open PCS7, SIMATIC NET PC, SIMATIC BATCH, SIMATIC Route Control. Лечение - обновлением до последних версий прошивок для SIMATIC WinCC, для остальных систем – применение концепции «сотовой защиты», использование VPN между «сотами», эшелонированную «глубокую защиту». Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-06
ICSA-20-042-07 : Siemens SCALANCE X Switches PROTECTION MECHANISM FAILURE (отказ механизма защиты) CWE-693 Устройство не отсылает заголовок X-Frame-Option на веб-интерфейс администрирования, что делает его уязвимым для атак типа Clickjacking (захват клика). Уязвимость касается SCALANCE X-200, X-200IRT, X300. Лечение - обновлением до последних версий прошивок и не переходить по незнакомым ссылкам. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-07
ICSA-20-042-08 : Siemens SIPORT MP INSUFFICIENT LOGGING CWE-778-малоэффективная регистрация - Уязвимые системы контроля доступа в зданиях позволяют создавать специальные учетные записи с административными привилегиями, которые могут позволить удаленному злоумышленнику, прошедшему проверку подлинности, выполнять действия, которые невидимы для других пользователей системы, такие как предоставление лицам доступа к защищенной области. Лечение - обновлением до последних версий прошивок. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-08
ICSA-20-042-09 : Siemens OZW Web Server INFORMATION DISCLOSURE (утечка информации) CWE-552 Уязвимые версии веб-сервера OZW, коммуникационных модулей комнатных KNX контроллеров (BMS)используют предсказуемые имена путей для файлов проекта, создаваемыми с помощью функции экспорта приложения, которые были легально аутентифицированы пользователями. Получив доступ к определенному унифицированному указателю ресурсов на веб-сервере, злоумышленник удаленно сможет загрузить файл проекта без предварительной проверки подлинности. Уязвимость CVE-2019-13941 касается OZW672 и OZW772. Лечение - обновлением до последних версий прошивок. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-09
ICSA-20-042-10 : Siemens SCALANCE S-600 CROSS-SITE SCRIPTING CWE-80 (межсайтовый сценарий) при переходе ползователя по вредоносной ссылке встроенный веб-сервер может разрешать атаки с использованием межсайтовых сценариев (XSS)
UNCONTROLLED RESOURCE CONSUMPTION CWE-400 Неконтролируемое исчерпание ресурсов - намеренно созданные пакеты, отправленные на порт 443 / TCP, вызывают DoS (состояние отказа в обслуживании веб-сервера.)
UNCONTROLLED RESOURCE CONSUMPTION CWE-400 Неконтролируемое исчерпание ресурсов намеренно созданные пакеты, отправленные на порт 443 / TCP, вызывают DoS (состояние отказа в обслуживании веб-сервера.) Для восстановления работоспособности устройства требуется холодная перезагрузка.
Уязвимости CVE-2019-6585, CVE-2019-13925, CVE-2019-13926 касаются SCALANCE S602, SCALANCE S612, SCALANCE S623, SCALANCE S627-2M. Лечение – не переходить по незнакомым ссылкам для S602. Для S612, S623, S627-2M миграция на SCALANCE SC-600 Industrial Security Appliances.
ICSA-20-042-11 : Siemens SIMATIC S7-1500 UNCONTROLLED RESOURCE CONSUMPTION (‘RESOURCE EXHAUSTION’) – Неконтролируемое исчерпание ресурсов CWE-400 Злоумышленник, не прошедший проверку подлинности и отправляющий большое количество намеренно созданных пакетов UDP, может вызвать условие DoS (отказ в обслуживании). Уязвимость CVE-2019-19281 касается всего семейства S1500. Лечение - обновлением до последних версий прошивок. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-11
ICSA-20-042-07 : Siemens SCALANCE X Switches PROTECTION MECHANISM FAILURE (отказ механизма защиты) CWE-693 Устройство не отсылает заголовок X-Frame-Option на веб-интерфейс администрирования, что делает его уязвимым для атак типа Clickjacking (захват клика). Уязвимость касается SCALANCE X-200, X-200IRT, X300. Лечение - обновлением до последних версий прошивок и не переходить по незнакомым ссылкам. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-07
ICSA-20-042-08 : Siemens SIPORT MP INSUFFICIENT LOGGING CWE-778-малоэффективная регистрация - Уязвимые системы контроля доступа в зданиях позволяют создавать специальные учетные записи с административными привилегиями, которые могут позволить удаленному злоумышленнику, прошедшему проверку подлинности, выполнять действия, которые невидимы для других пользователей системы, такие как предоставление лицам доступа к защищенной области. Лечение - обновлением до последних версий прошивок. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-08
ICSA-20-042-09 : Siemens OZW Web Server INFORMATION DISCLOSURE (утечка информации) CWE-552 Уязвимые версии веб-сервера OZW, коммуникационных модулей комнатных KNX контроллеров (BMS)используют предсказуемые имена путей для файлов проекта, создаваемыми с помощью функции экспорта приложения, которые были легально аутентифицированы пользователями. Получив доступ к определенному унифицированному указателю ресурсов на веб-сервере, злоумышленник удаленно сможет загрузить файл проекта без предварительной проверки подлинности. Уязвимость CVE-2019-13941 касается OZW672 и OZW772. Лечение - обновлением до последних версий прошивок. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-09
ICSA-20-042-10 : Siemens SCALANCE S-600 CROSS-SITE SCRIPTING CWE-80 (межсайтовый сценарий) при переходе ползователя по вредоносной ссылке встроенный веб-сервер может разрешать атаки с использованием межсайтовых сценариев (XSS)
UNCONTROLLED RESOURCE CONSUMPTION CWE-400 Неконтролируемое исчерпание ресурсов - намеренно созданные пакеты, отправленные на порт 443 / TCP, вызывают DoS (состояние отказа в обслуживании веб-сервера.)
UNCONTROLLED RESOURCE CONSUMPTION CWE-400 Неконтролируемое исчерпание ресурсов намеренно созданные пакеты, отправленные на порт 443 / TCP, вызывают DoS (состояние отказа в обслуживании веб-сервера.) Для восстановления работоспособности устройства требуется холодная перезагрузка.
Уязвимости CVE-2019-6585, CVE-2019-13925, CVE-2019-13926 касаются SCALANCE S602, SCALANCE S612, SCALANCE S623, SCALANCE S627-2M. Лечение – не переходить по незнакомым ссылкам для S602. Для S612, S623, S627-2M миграция на SCALANCE SC-600 Industrial Security Appliances.
ICSA-20-042-11 : Siemens SIMATIC S7-1500 UNCONTROLLED RESOURCE CONSUMPTION (‘RESOURCE EXHAUSTION’) – Неконтролируемое исчерпание ресурсов CWE-400 Злоумышленник, не прошедший проверку подлинности и отправляющий большое количество намеренно созданных пакетов UDP, может вызвать условие DoS (отказ в обслуживании). Уязвимость CVE-2019-19281 касается всего семейства S1500. Лечение - обновлением до последних версий прошивок. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-11
NK
ICSA-20-042-12 : Siemens SIPROTEC 4 and SIPROTEC Compact IMPROPER INPUT VALIDATION CWE-20 (некорректная входная проверка) Намеренно созданные пакеты, отсылаемые на порт 50000 / UDP модулей связи EN100 Ethernet SIPROTEC 4 и SIPROTEC Compacе, могут вызывают DoS (отказ в обслуживании) на атакуемом устройстве. Для восстановления работы требуется ручная перезагрузка устройства. Лечение – ограничение доступа к порту, использование DTLS и общие требования к безопасности. Подробнее https://www.us-cert.gov/ics/advisories/icsa-20-042-12
ICSA-20-042-13 : Digi ConnectPort LTS 32 MEI
UNRESTRICTED UPLOAD OF FILE WITH DANGEROUS TYPE CWE-434 НЕОГРАНИЧЕННАЯ ЗАГРУЗКА ФАЙЛА С ОПАСНЫМ ТИПОМ CWE-434 уязвимости может позволить злоумышленнику загрузить вредоносный файл в приложение.
IMPROPER NEUTRALIZATION OF INPUT DURING WEB PAGE GENERATION ('CROSS-SITE SCRIPTING') CWE-79 неправильная нейтрализация входа во время генерации веб-страницы (межсайтовый скриптинг) Множественные уязвимости межсайтового скриптинга, которые могут позволить злоумышленнику спровоцировать DoS (отказ в обслуживании). Лечение - обновлением до последних версий прошивок. Подробнее
ICSA-20-042-13 : Digi ConnectPort LTS 32 MEI
UNRESTRICTED UPLOAD OF FILE WITH DANGEROUS TYPE CWE-434 НЕОГРАНИЧЕННАЯ ЗАГРУЗКА ФАЙЛА С ОПАСНЫМ ТИПОМ CWE-434 уязвимости может позволить злоумышленнику загрузить вредоносный файл в приложение.
IMPROPER NEUTRALIZATION OF INPUT DURING WEB PAGE GENERATION ('CROSS-SITE SCRIPTING') CWE-79 неправильная нейтрализация входа во время генерации веб-страницы (межсайтовый скриптинг) Множественные уязвимости межсайтового скриптинга, которые могут позволить злоумышленнику спровоцировать DoS (отказ в обслуживании). Лечение - обновлением до последних версий прошивок. Подробнее
MR
NK
Вакансия в Step Logic
Системный архитектор по информационной безопасности (АСУ ТП)
https://hh.ru/vacancy/35828796
Системный архитектор по информационной безопасности (АСУ ТП)
https://hh.ru/vacancy/35828796
NK
Вакансия в НТЦ ЕВРААС
Специалист по безопасности критической информационной инфраструктуры
https://hh.ru/vacancy/35824200
Специалист по безопасности критической информационной инфраструктуры
https://hh.ru/vacancy/35824200