Meldung

Sicherheitslücken in Siemens-Automatisierungskomponente

Das Forschungsteam von OTORIO hat zwei Schwachstellen in der Siemens-Automation-License-Manager-Komponente entdeckt, die in einer Vielzahl von Produkten wie TIA, WinCC, Historian und PCS7-Servern verwendet wird. Angreifer könnten hierüber die Kontrolle über industrielle Umgebungen übernehmen.
In der Siemens-Automation-License-Manager-Komponente wurden zwei Schwachstellen entdeckt.
Die CISA (Cybersecurity and Infrastructure Security Agency) hat eine CVE-Advisory herausgegeben, in der die Benutzer aufgefordert werden, die anfällige Komponente zu aktualisieren. Recherchen von OTORIO [1], einem Anbieter von Cybersicherheit für OT-Umgebungen, haben ergeben, dass die Automation-License-Manager-(ALM)-Komponente in vielen modernen Siemens-Automatisierungsprogrammen wie HMI, Historian, Engineering-Software und Distributed Control System (DCS) eingesetzt wird.

Die OT-Security-Experten fanden heraus, dass die Schwachstellen zu Remotecodeausführung (RCE) und Privilegien-Erweiterung (PE) auf jedem PCS 7-Server führen können, der mit der Standardkonfiguration getestet wurde, die auf Windows Server läuft. Diese Ergebnisse sind nach Meinung von OTORIO besorgniserregend, da sie es Hackern ermöglichen könnten, die Kontrolle über Engineering-, Steuerungs- und Überwachungsserver in Produktionsumgebungen zu erlangen.

OTORIO rät Unternehmen, die Siemens-Automatisierungstechnologien einsetzen, dringend, die Informationen der CISA zu lesen und ihre Systeme sofort zu aktualisieren, wenn sie davon betroffen sind.
20.01.2023/dr

Tipps & Tools

Im Test: senhasegura GO Endpoint Manager 3 [2.02.2023]

Der senhasegura GO Endpoint Manager kümmert sich um die Verwaltung und die zielgerichtete Verwendung administrativer Zugangsdaten und Berechtigungen. Das System führt Applikationen mit erhöhten Rechten aus, ohne dass Endanwender dazu dauerhaft privilegierte Rechte benötigen. Im Test zeigte sich, dass diese Rechtevergabe detailliert und flexibel hilft, die Sicherheit zu verbessern. [mehr]

Download der Woche: Alle meine Passworte [25.01.2023]

IT-Profis bewahren ihre Zugangsdaten meist in einem Passwortmanager auf. Ein solcher ist "Alle meine Passworte". Das Tool bringt neben seiner Kostenfreiheit als weitere Vorteile eine Exportfunktion sowie mehrere Verschlüsselungsarten mit. Ebenso möglich ist das automatische Einfügen der relevanten Daten in die entsprechenden Eingabefelder. [mehr]

Fachartikel

Sicherheit mit Penetrationstests erhöhen [1.02.2023]

Jedes Unternehmen kann zum Ziel eines Cyberangriffs werden. Externe Fachleute, sogenannte Ethical Hacker oder White Hats, führen deshalb Penetrationstests durch, um die Verwundbarkeit der IT einer Organisationen auf den Prüfstand zu stellen. Aber viele IT-Entscheider scheuen den Aufwand und die Kosten. Für eine solide Cyberresilienz ist Ethical Hacking aber unverzichtbar. Der Artikel liefert sechs Argumente, warum Pentesting sinnvoll ist. [mehr]

Anzeigen