Eine bereits 2021 bekannte Sicherheitslücke in Rockwell-Automation-Produkten wird nun aktiv für Angriffe auf Industriekontrollsysteme missbraucht. Die US-Behörde CISA fordert Bundesbehörden auf, die Schwachstelle bis Ende März zu beheben.
Eine Sicherheitslücke in Industriekontrollsystemen von Rockwell Automation wird Berichten zufolge aktiv ausgenutzt. Sowohl der Hersteller als auch die Cybersicherheitsbehörde CISA bestätigen die laufenden Angriffe. Die Schwachstelle CVE-2021-22681 wurde nun in den Katalog der Known Exploited Vulnerabilities aufgenommen und Bundesbehörden wurden aufgefordert, Abhilfemaßnahmen bis zum 26. März umzusetzen.
Betroffen sind die Studio 5000 Logix Designer-Software sowie verschiedene Logix-Speicherprogrammierbare Steuerungen (SPS), darunter CompactLogix, ControlLogix, DriveLogix, FlexLogix, GuardLogix und SoftLogix. Die Lücke wurde bereits im Februar 2021 offengelegt, damals mit Mitigationen durch Rockwell versehen. Soonchunhyang University in Südkorea, Kaspersky und Claroty erhielten damals Credit für die Meldung – obwohl Claroty angab, das Problem bereits 2019 an Rockwell gemeldet zu haben.
Die Schwachstelle beruht auf einem unzureichend geschützten kryptografischen Schlüssel und ermöglicht es Angreifern ohne Authentifizierung, sich als Engineering-Workstation auszugeben und sich mit einer SPS zu verbinden. Im industriellen Umfeld könnte dies zu Manipulation der SPS-Logik, Produktionsunterbrechungen oder sogar physischen Schäden an Maschinen führen.
Rockwell aktualisierte seinen Advisory am Donnerstag mit Hinweisen auf die aktive Ausnutzung, teilte aber keine Details über die tatsächlichen Angriffe mit. Eine Shodan-Suche zeigt derzeit knapp 6.000 internet-exponierte Rockwell-Geräte, unklar ist jedoch, wie viele von CVE-2021-22681 betroffen sein könnten.
Bemerkenswert ist, dass Rockwell 2024 eine Sicherheitsmitteilung veröffentlichte, in der Kunden aufgefordert wurden, ICS-Geräte nicht mit dem Internet zu verbinden – auch CVE-2021-22681 war Teil dieser Warnung. Dies deutet darauf hin, dass der Hersteller böswillige Ausnutzung nicht ausgeschlossen hatte. 2023 hatten Rockwell und CISA bereits vor einer anderen Sicherheitslücke (CVE-2023-3595) eines unbenannten APT gewarnt, es gab damals aber keine Hinweise auf tatsächliche Angriffe.
CVE-2021-22681 ist derzeit die einzige Rockwell-Produktschwachstelle in CISAs KEV-Katalog.
Quelle: SecurityWeek