CISA publikuje trzy nowe alerty dla systemów ICS (28 października 2025) - Security Bez Tabu

CISA publikuje trzy nowe alerty dla systemów ICS (28 października 2025)

Wprowadzenie do problemu / definicja luki

Amerykańska CISA poinformowała o trzech doradcach bezpieczeństwa dla środowisk ICS/OT opublikowanych 28 października 2025 r.. Pakiet obejmuje jeden nowy doradca ICS dotyczący rozwiązań Schneider Electric EcoStruxure, jeden doradca ICS Medical dla Vertikal Systems (zaplecze systemu Hospital Manager) oraz aktualizację wcześniejszego doradcy dot. sterowników Schneider Electric Modicon. Doradcy CISA są krótkimi, technicznymi streszczeniami podatności i zaleceń łagodzących dla operatorów infrastruktury krytycznej.

W skrócie

  • Nowy doradca ICS: ICSA-25-301-01 — Schneider Electric EcoStruxure (szczegóły techniczne i środki zaradcze).
  • Doradca ICS Medical: ICSMA-25-301-01 — Vertikal Systems Hospital Manager Backend Services (podatności informacyjne w zapleczu systemu szpitalnego).
  • Aktualizacja wcześniejszego doradcy ICS: ICSA-24-352-04 — Schneider Electric Modicon (Update B) — przypomnienie o ryzykach i aktualnych zaleceniach dla linii Modicon.

Kontekst / historia / powiązania

Październik 2025 r. przyniósł wzmożoną liczbę publikacji CISA dla ICS — agencja już 21 i 23 października wydała odpowiednio 10 i 8 doradców. Trend ten odzwierciedla rosnącą powierzchnię ataku w OT oraz dużą aktywność producentów i badaczy zgłaszających luki.

Analiza techniczna / szczegóły luki

1) ICSA-25-301-01 — Schneider Electric EcoStruxure
Tytuł doradcy wskazuje na komponent(y) z rodziny EcoStruxure. Doradca zawiera standardowo: listę wspieranych wersji, oceny CVSS, wektor ataku (zwykle zdalny, niska złożoność), skutki (np. RCE/eskalacja uprawnień/DoS) oraz działania naprawcze producenta (aktualizacje, re-konfiguracje). Oficjalna karta doradcy (ICSA-25-301-01) jest potwierdzona przez CISA.

2) ICSMA-25-301-01 — Vertikal Systems Hospital Manager Backend Services (ICS Medical)
Doradca medyczny wskazuje na podatności ujawnienia informacji w zapleczu aplikacji (m.in. wycieki danych sesji, nagłówków autoryzacyjnych, stosów błędów, ścieżek wewnętrznych). Japońskie JVN (Japan Vulnerability Notes) publikuje zbieżny opis ryzyka dla tego produktu (CWE-497, CWE-209), co wzmacnia wagę ostrzeżenia CISA. Wersje sprzed 19 września 2025 r. są podatne.

3) ICSA-24-352-04 — Schneider Electric Modicon (Update B)
To aktualizacja doradcy z 2024 r., odświeżona w 2025 r. (ostatnia rewizja 18 marca 2025). Dotyczy sterowników Modicon (np. serie M241/M251/M258/LMC058), gdzie wcześniej raportowano m.in. błędy walidacji danych mogące prowadzić do RCE lub zakłóceń procesu. CISA utrzymuje stronę doradcy i aktualizuje zalecenia.

Uwaga: CISA ma obecnie ograniczony dostęp publiczny (część stron może zwracać błąd 403), jednak metadane doradców — numery, daty i tytuły — są widoczne w indeksie i wpisach przeglądowych.

Praktyczne konsekwencje / ryzyko

  • Ryzyko dla ciągłości procesu: luki w EcoStruxure/Modicon mogą dotyczyć sterowania liniami produkcyjnymi, energetyką czy gospodarką wodno-ściekową — skutkiem może być nieautoryzowana zmiana parametrów procesu, przestój lub manipulacja odczytami.
  • Ryzyko dla danych medycznych: ujawnienia informacji w Vertikal Systems mogą ułatwić pivoting w sieci szpitalnej i naruszenia poufności danych pacjentów, nawet jeśli luka nie jest od razu RCE.

Rekomendacje operacyjne / co zrobić teraz

Natychmiast (0–24 h):

  1. Identyfikacja ekspozycji: skoreluj inwentarz OT/ICS z numerami doradców (ICSA-25-301-01, ICSMA-25-301-01, ICSA-24-352-04). Ustal, czy komponenty EcoStruxure/Modicon oraz Vertikal Systems są obecne w Twojej sieci.
  2. Segmentacja i minimalizacja dostępu: wymuś separację stref (ISA/IEC 62443), zablokuj nieużywane porty/protokoły, ogranicz management interfaces wyłącznie do sieci uprzywilejowanych/VPN. (CISA konsekwentnie rekomenduje segmentację i kontrolę dostępu w doradcach ICS).
  3. Twarde reguły w zaporach: domyślnie blokuj Modbus/TCP 502 oraz inne protokoły ICS na granicach stref; tylko allow-list. (Zalecenie spójne z praktykami CISA/producentów).

Krótki termin (1–2 tygodnie):
4. Patching / aktualizacje producenta: zastosuj łatki i hot-fixy publikowane przez Schneider Electric (EcoStruxure/Modicon) oraz poprawki/konfiguracje od Vertikal Systems; w razie braku łatek — zastosuj obejścia z doradców (defense-in-depth).
5. Hardening aplikacji webowych w sieci medycznej: wyłącz ujawnianie stack trace’ów i wersji frameworków (ASP.NET customErrors), wdroż WAF z regułami dla wycieków nagłówków/autoryzacji.
6. Monitoring & detekcja: wzbogacisz reguły IDS/IPS o sygnatury dla protokołów ICS oraz reguły anomalii (np. nieoczekiwane funkcje Modbus). Odnieś się do ATT&CK for ICS przy budowie scenariuszy detekcji.

Średni termin (≤ 30 dni):
7. Testy regresyjne na kopiach / OT lab: zanim wdrożysz łatki do produkcji, przetestuj wpływ na proces. (Najlepsza praktyka potwierdzana w materiałach producentów i społeczności ICS).
8. Przegląd architektury stref i kanałów zdalnych: ogranicz zdalne dostępy serwisowe dostawców (jump hosty, PAM, JIT).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • ICS vs ICS Medical: doradca ICSMA (Vertikal Systems) dotyczy systemu klasy HIS/HMS. Tu skutki dominują w obszarze ujawnienia informacji i przyspieszenia rekonesansu, a nie bezpośredniego RCE — w przeciwieństwie do wielu doradców ICS (EcoStruxure/Modicon), gdzie częściej spotyka się RCE/eskalację i zakłócenia procesu.
  • Nowy doradca vs aktualizacja: ICSA-25-301-01 to nowa publikacja; ICSA-24-352-04 (Update B) rewiduje istniejące zalecenia, co bywa równie istotne dla długowiecznych instalacji OT, które nie mogły wdrożyć poprawek w 2024 r.

Podsumowanie / kluczowe wnioski

  • 28.10.2025 CISA wydała trzy istotne doradcy obejmujące EcoStruxure, Vertikal Systems (ICSMA) oraz Modicon (aktualizacja).
  • Operatorzy OT/ICS i placówki medyczne powinni natychmiast sprawdzić ekspozycję, wdrożyć segmentację i update’y oraz poprawić konfiguracje ujawniające informacje.
  • Nawet „tylko informacyjne” wycieki (jak w Vertikal Systems) realnie obniżają koszt ataku i mogą prowadzić do eskalacji w sieci OT/IT.

Źródła / bibliografia

  1. CISA — Alert: „CISA Releases Three Industrial Control Systems Advisories”, 28 października 2025. (potwierdza zestaw trzech doradców i datę) (CISA)
  2. CISA — ICS Advisory: ICSA-25-301-01 „Schneider Electric EcoStruxure”. (strona doradcy) (CISA)
  3. CISA — ICS Medical Advisory: ICSMA-25-301-01 „Vertikal Systems Hospital Manager Backend Services”. (strona doradcy) (CISA)
  4. JVN (Japan Vulnerability Notes): opis podatności Vertikal Systems (CWE-497, CWE-209, wersje sprzed 2025-09-19). (potwierdzenie technicznych szczegółów ICSMA) (jvn.jp)
  5. CISA — ICS Advisory (aktualizacja): ICSA-24-352-04 „Schneider Electric Modicon (Update B)”, ostatnia rewizja 18.03.2025. (tło i bieżące zalecenia) (CISA)
  6. WaterISAC — przegląd publikacji CISA (TLP:CLEAR) — trend październikowych doradców ICS. (kontekst operacyjny) (WaterISAC)