Vision PLC and HMI

Die Schwachstelle betrifft die speicherprogrammierbaren Steuerungen (PLCs) und Bedienpanels (HMIs) der Vision-Reihe von Unitronics, die über die zugehörige Projektierungssoftware programmiert werden. Der Defekt besteht darin, dass diese Geräte mit einem fest hinterlegten Standard-Administratorkennwort ausgeliefert werden. Bleibt dieses Kennwort unverändert, kann ein Angreifer es nutzen, um sich unautorisiert anzumelden. Der Angriff erfordert keine gültigen, individuellen Zugangsdaten und keine vorherige Authentifizierung – ein bloßer Netzwerkzugriff auf das Gerät genügt. Damit übernimmt der Angreifer die administrative Kontrolle über das System und kann aus der Ferne Befehle auf der Steuerung ausführen. Da es sich um industrielle Steuerungstechnik handelt, die Maschinen und physische Prozesse steuert, betrifft eine solche Übernahme nicht nur die Daten des Geräts, sondern potenziell auch den gesteuerten Anlagenbetrieb. Besonders kritisch ist dies, wo solche Geräte direkt aus dem Netz erreichbar sind.