Siemens behebt mit einem Advisory in dem SCADA-System SIMATIC WinCC Open Architecture ein Sicherheitsleck, das über den Heartbleed-Bug in OpenSSL in der Software auftritt.
SCADA steht für Supervisory Control and Data Acquisition. Die SIMATIC-Software wird in vielen Branchen für die Steuerung von Prozessen, Maschinen oder Fertigungsanlagen eingesetzt.
WinCC OA sowie eLAN-8.2 bis 8.3.3 hat Siemens bereits am Freitag gepatcht. Dafür hat es die Version WinCC OA 3.12-P006 veröffentlicht. Diese Version behebt den Fehler in WinCC OA 3.12, die laut Siemens einzige betroffene Version.
Des Weiteren sind die Produkte S7-1500 V1.5, CP1543-1 V1.1 und APE 2.0 unter bestimmten Bedingungen betroffen. An Patches für diese Produkte arbeite Siemens derzeit. eLAN-Anwender, dieses Produkt ist betroffen, wenn RIP aktiviert ist, können das Leck auch beheben, indem sie auf die Version 8.3.3 migrieren.
Darüber hinaus schlägt Siemens noch weitere Workarounds für die Minimierung des Risikos vor. So rät der Hersteller in dem Advisory, den Zugriff auf Webserver in S7-1500 zu beschränken oder zu deaktivieren. In CP1543-1 sollte der Zugriff auf FTPS beschränkt oder deaktiviert werden.
Anwender von APE 2.0 können zudem die OpenSSL Installation auf Version 1.0.1g aktualisieren. Details dazu liefert Siemens auf der Seite RuggedCom.
Heartbleed gilt als einer der schwerwiegendsten Sicherheitsfehler der vergangenen Jahre. Der Fehler tritt in OpenSSL auf, einer weit verbreiteten Implementierung von TLS und SSL (Transport Layer Security/ Secure Socket Layer). Server, die OpenSSL zur Verschlüsselung nutzen, können über den Bug Informationen wie Passwörter oder Anmeldedaten Preis geben.
In erster Linie sind natürlich Web-Server von dem Problem betroffen. Daneben sind auch Router, Appliances, mobile Anwendungen und nun eben auch industrielle Steuerungen von dem Problem betroffen. Damit gefährdet Heartbleed nicht nur Web-Server und mobile Anwendungen, sondern auch kritische Infrastrukturen wie Kraftwerke oder Industrieanlagen.
Tipp: Wie gut kennen Sie Hightech-Firmen, die an der Börse notiert sind? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
Absicherung der IT-Infrastruktur erfolgt über die Zero Trust Exchange-Plattform von Zscaler.
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…