Meldung

Sicherheitslücken in Siemens-Automatisierungskomponente

Das Forschungsteam von OTORIO hat zwei Schwachstellen in der Siemens-Automation-License-Manager-Komponente entdeckt, die in einer Vielzahl von Produkten wie TIA, WinCC, Historian und PCS7-Servern verwendet wird. Angreifer könnten hierüber die Kontrolle über industrielle Umgebungen übernehmen.
In der Siemens-Automation-License-Manager-Komponente wurden zwei Schwachstellen entdeckt.
Die CISA (Cybersecurity and Infrastructure Security Agency) hat eine CVE-Advisory herausgegeben, in der die Benutzer aufgefordert werden, die anfällige Komponente zu aktualisieren. Recherchen von OTORIO [1], einem Anbieter von Cybersicherheit für OT-Umgebungen, haben ergeben, dass die Automation-License-Manager-(ALM)-Komponente in vielen modernen Siemens-Automatisierungsprogrammen wie HMI, Historian, Engineering-Software und Distributed Control System (DCS) eingesetzt wird.

Die OT-Security-Experten fanden heraus, dass die Schwachstellen zu Remotecodeausführung (RCE) und Privilegien-Erweiterung (PE) auf jedem PCS 7-Server führen können, der mit der Standardkonfiguration getestet wurde, die auf Windows Server läuft. Diese Ergebnisse sind nach Meinung von OTORIO besorgniserregend, da sie es Hackern ermöglichen könnten, die Kontrolle über Engineering-, Steuerungs- und Überwachungsserver in Produktionsumgebungen zu erlangen.

OTORIO rät Unternehmen, die Siemens-Automatisierungstechnologien einsetzen, dringend, die Informationen der CISA zu lesen und ihre Systeme sofort zu aktualisieren, wenn sie davon betroffen sind.
20.01.2023/dr

Tipps & Tools

Im Test: senhasegura GO Endpoint Manager 3 [2.02.2023]

Der senhasegura GO Endpoint Manager kümmert sich um die Verwaltung und die zielgerichtete Verwendung administrativer Zugangsdaten und Berechtigungen. Das System führt Applikationen mit erhöhten Rechten aus, ohne dass Endanwender dazu dauerhaft privilegierte Rechte benötigen. Im Test zeigte sich, dass diese Rechtevergabe detailliert und flexibel hilft, die Sicherheit zu verbessern. [mehr]

Download der Woche: Writemonkey [1.02.2023]

Der Begriff "Neue Einfachheit" kommt eigentlich aus der Musik, trifft auf die schnörkellose Textverarbeitung Writemonkey aber ebenso zu. Das kostenfreie Tool reduziert die Bedienoberfläche, um das Geschriebene in den Fokus zu stellen. Die Texteingabe erfolgt im Vollbildmodus auf einem komplett schwarzen oder weißen Hintergrund. [mehr]

Anzeigen