Siemens schließt Leck in Gebäudeautomatisierung

Siemens München (Bild: Siemens)

Zahlreiche Geräte der Desigo PX Controler-Hardware, die hauptsächlich für die Steuerung smarter Gebäude eingesetzt werden, litten an einem Leck, das ohne Authentifizierung via Fernzugriff ausgenutzt werden konnte.

Siemens veröffentlicht Firmware-Updates für zahlreiche Geräte aus der Familie Desigo PX. Diese Hardware-Komponenten werden in erster Linie für die Gebäudeautomatisierung eingesetzt. Diese Geräte litten an einer “Insuffcient Entropy Vulnerability”, die sich remote ausnutzen ließ. Jetzt hat Siemens zusammen mit ICS-CERT in einem Advisory vor diesem Problem gewarnt (ICSA-16-355-01).

desigo_smart_building_siemens
Mit der Desigo-Famile stellt Siemens Hardware für die Steuerung gewerblich genutzter Gebäude bereit. (Bild: Siemens)

Über die Sicherheitslücke können Angreifer eine Web-Session über ein Netzwerk kapern. Aufgrund des Fehlers kann der Angriff ohne Authentifizierung erfolgen. Der Fehler liegt in dem Zufallsgenerator. Dadurch werden nicht wirklich zufällige Zahlen für die HTTPS-Zertifikate ausgegeben. Ein Angreifer kann daher den korrespondierenden privaten HTTPS-Schlüssel rekonstruieren.

“Ein erfolgreiches Ausnutzen dieses Lecks erlaubt es einem Angreifer, private Schlüssel aufzurufen, die für HTTPS in dem integrierten Web Server verwendet werden”, teilt Siemens in dem Advisory mit. Betroffen sind laut der Meldung die Desigo-PX-Web-Modules PXA40-W0, PXA40-W1 und PXA40-W2 für die Desigo-Automatisierungsstuerungen PXC00-E.D, PXC50-E.D, PXC100-E.D und PXC200-E.D, sowie die Web-Module PXA30-W0, PXA30-W1 und PXA30-W2 für die Steuerungen PXC00-U, PXC64-U und PXC128-U. Betroffen seien sämtliche Geräte, die Firmware-Versionen verwenden, die älter als Version V6.00.046 sind.

Ausgewähltes Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Mit den Desigo PX Web Modulen ermöglicht Siemens die Steuerung gewerblich genutzter Gebäude. So genannte HVAC-Systeme sind für die Steuerung von Alarmanlagen bis zur Regelung der Heizung und Beleuchtung verantwortlich. Über diese Web-Module können Anwender auch über das Internet die Regelungstechnik steuern und damit zum Beispiel die Beleuchtung eines Raums anpassen.

Über die von dem Leck betroffenen Web-Module lässt sich beispielsweise die Heizung von Sitzungsräumen steuern. (Bild: Siemens)
Über die von dem Leck betroffenen Web-Module lässt sich beispielsweise die Heizung von Sitzungsräumen steuern. (Bild: Siemens)

Laut der Siemens-Meldung werde das Leck durch das Update vollständig behoben. Zudem seien derzeit keine Angriffe auf das Leck bekannt. Auch sei das erfolgreiche Ausnutzen dieses Lecks mit gewissen Schwierigkeiten verbunden. Daher vergibt Siemens für die Lücke mit der Kennung CVE-2016-9154 auch nur einen CVSS-Base-Score von 5.9. Den Hinweis auf den Fehler erhielt Siemens von einem Forscher-Team der Universität Pennsylvania, die das Leck direkt an Siemens gemeldet haben.