SchwachstellenIoT-SicherheitCloud-Sicherheit

ICS Patch Tuesday: Kritische Schwachstellen von Siemens, Schneider, Moxa und Mitsubishi patcht

ICS Patch Tuesday: Kritische Schwachstellen von Siemens, Schneider, Moxa und Mitsubishi patcht
Zusammenfassung

Siemens, Schneider Electric, Mitsubishi Electric und Moxa haben kritische Sicherheitslücken in ihren Industriesteuerungssystemen gepatcht. Die Schwachstellen ermöglichen Angreifern Remote-Code-Execution, Denial-of-Service und Authentifizierungsumgehung. Betroffen sind Millionen Betriebsanlagen in kritischen Infrastrukturen weltweit. Die Patches sind notwendig, um Sabotage, Produktionsausfälle und physische Schäden durch unbefugte Fernzugriffe zu verhindern.

Im Rahmen des regelmäßigen Patch-Tuesday haben vier Industriegiganten neue Sicherheitsadvisorien für Schwachstellen in ihren ICS-Produkten (Industrial Control Systems) veröffentlicht.

Schneider Electric hat sechs neue Hinweise publiziert, darunter mehrere kritische Probleme in seinen Automation- und Energy-Management-Lösungen. Das Unternehmen warnt vor hartcodierten Anmeldedaten in EcoStruxure IT Data Center Expert, vor Befugnisfehlern in EcoStruxure Power Monitoring Expert sowie vor Fehler bei der Befehlsausführung in EcoStruxure Automation Expert, die zu vollständiger Systemkompromittierung führen können. Auch die Modicon-Steuerungen wurden von dem Anbieter aktualisiert, um DoS-Anfälligkeit und Account-Übernahmevektoren zu beheben.

Siemens adressiert in seiner Patch-Mitteilung ebenfalls sechs Schwachstellen, darunter eine kritische Stored-XSS-Lücke in Simatic S7-1500-Geräten. Zudem informierte das Unternehmen über Sicherheitsprobleme in Mendix-Anwendungen und in der Heliox-Ladelösung für Elektrofahrzeuge. Mehrere Lücken stammen aus der Verwendung von Fremdkomponenten wie Fortinet und OpenSSL.

Mitsubishi Electric veröffentlichte einen neuen Advisory bezüglich einer remote ausnutzbaren DoS-Schwachstelle in seinen Numerical-Control-Systemen (C80, M800, M800V, M700V Serie). Das Unternehmen hatte Anfang des Monats bereits vor mehreren ähnlichen Problemen in seinen MELSEC iQ-F Controllern gewarnt.

Moxa publizierte vier neue Advisories, drei davon betreffen Schwachstellen in Intel-Produkten. In einer weiteren Mitteilung informiert der Anbieter, dass seine Produkte nicht von einer GNU-Inetutils-Lücke betroffen sind.

Auch die US-Cybersicherheitsbehörde CISA veröffentlichte mehrere ICS-Advisories. Diese behandeln Anfälligkeit in Funk-Produkten von Ceragon und Lantronix-Geräten sowie in Apeman-Kameras. CISA warnte außerdem vor einer Schwachstelle in Honeywell-Gebäudesteuerungen, bei der Hersteller und Sicherheitsforscher über deren Kritikalität unterschiedlicher Meinung sind.

Auch Deutschlands VDE-CERT veröffentlichte mehrere Warnungen für Produkte von Codesys, Janitza und Weidmüller. Einige dieser Lücken ermöglichen es unauthentifizierten Angreifern aus der Ferne, die betroffenen Systeme vollständig zu kompromittieren.

Ähnliche Artikel