Neue Löcher in Kraftwerk- und Industrie-Software

Einst waren Kraftwerke und Industrieanlagen und eben auch die Steuerungssysteme isolierte Inseln. In einer modernen vernetzten Welt aber bekommen auch die Sicherheitslecks in den Kontrollsystemen solcher Anlagen ein neues Gewicht.

Erst vergangene Woche warnte das U.S. ICS-CERT (Industrial Control System Computer Emergency Response Team) in verschiedenen Advisories vor Schwachstellen in SCADA-Software (supervisory control and data acquisition). Ein Leck befand sich in der ActiveXcontrol in WellinTech KingView V6.53, einer Schnittstellen-Software, die in Kraft- und Wasserwerken sowie Industrieanlagen eingesetzt wird. Die Wissenschaftler haben einen Exploid-Code veröffentlicht und der Hersteller hat mit einem Update das Leck gestopft. Die HMI-Software Movicon 11, die hauptsächlich in Italien genutzt wird, wurde nun ebenfalls vom Hersteller Progea gepatcht.

Erst vor wenigen Stunden hat ICS-CERT ein weiteres Advisory veröffentlicht, in dem es vor einem SQL-Leck in Ecava IntegraX oder dem entsprechenden Schnittstellenprodukt warnt. Das Leck erlaube neben Manipulationen auch das Ausführen beliebigen Codes sowie das Abführen von Daten.

Vergangene Woche veröffentlichte ein russischer Sicherheitsforscher 11 ungepatchte Lecks in verschiedenen Industrieanlagen-Lösungen. Vor wenigen Tagen veröffentlichte ein italienischer Forscher dutzende Lecks in vier verschiedenen Produkten sowie gleichzeitig auch verschiedene Exploit-Codes. Zu Beginn der Woche veröffentlichte der spanische Sicherheitsforscher Ruben Santamarta in der BugTraq-Liste, ein Leck in BroadWin WebAccess, eine browserbasierte Nutzerschnittstelle von dem Hersteller Advantech, die in Nordamerika, Asien, Nordafrika und im Mittleren Osten in verschiedenen Industrieanlagen zum Einsatz kommt.

Es ist auffällig, dass derzeit zahlreiche Lecks veröffentlicht werden. Unbekannt ist aber, wie viele dieser Lecks bereits für Angriffe auf Anlagen missbraucht wurden.