Siemens veröffentlicht Firmware-Updates für zahlreiche Geräte aus der Familie Desigo PX. Diese Hardware-Komponenten werden in erster Linie für die Gebäudeautomatisierung eingesetzt. Diese Geräte litten an einer “Insuffcient Entropy Vulnerability”, die sich remote ausnutzen ließ. Jetzt hat Siemens zusammen mit ICS-CERT in einem Advisory vor diesem Problem gewarnt (ICSA-16-355-01).
Über die Sicherheitslücke können Angreifer eine Web-Session über ein Netzwerk kapern. Aufgrund des Fehlers kann der Angriff ohne Authentifizierung erfolgen. Der Fehler liegt in dem Zufallsgenerator. Dadurch werden nicht wirklich zufällige Zahlen für die HTTPS-Zertifikate ausgegeben. Ein Angreifer kann daher den korrespondierenden privaten HTTPS-Schlüssel rekonstruieren.
“Ein erfolgreiches Ausnutzen dieses Lecks erlaubt es einem Angreifer, private Schlüssel aufzurufen, die für HTTPS in dem integrierten Web Server verwendet werden”, teilt Siemens in dem Advisory mit. Betroffen sind laut der Meldung die Desigo-PX-Web-Modules PXA40-W0, PXA40-W1 und PXA40-W2 für die Desigo-Automatisierungsstuerungen PXC00-E.D, PXC50-E.D, PXC100-E.D und PXC200-E.D, sowie die Web-Module PXA30-W0, PXA30-W1 und PXA30-W2 für die Steuerungen PXC00-U, PXC64-U und PXC128-U. Betroffen seien sämtliche Geräte, die Firmware-Versionen verwenden, die älter als Version V6.00.046 sind.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Mit den Desigo PX Web Modulen ermöglicht Siemens die Steuerung gewerblich genutzter Gebäude. So genannte HVAC-Systeme sind für die Steuerung von Alarmanlagen bis zur Regelung der Heizung und Beleuchtung verantwortlich. Über diese Web-Module können Anwender auch über das Internet die Regelungstechnik steuern und damit zum Beispiel die Beleuchtung eines Raums anpassen.
Laut der Siemens-Meldung werde das Leck durch das Update vollständig behoben. Zudem seien derzeit keine Angriffe auf das Leck bekannt. Auch sei das erfolgreiche Ausnutzen dieses Lecks mit gewissen Schwierigkeiten verbunden. Daher vergibt Siemens für die Lücke mit der Kennung CVE-2016-9154 auch nur einen CVSS-Base-Score von 5.9. Den Hinweis auf den Fehler erhielt Siemens von einem Forscher-Team der Universität Pennsylvania, die das Leck direkt an Siemens gemeldet haben.
Drei Bausteine bilden die Grundlage für eine KI-Governance: Dokumentation von KI-Projekten, Model Evaluation und Monitoring…
Eine Harmonisierung der Vorschriften für RIDP-Prozesse wird dazu beitragen, Angriffe künftig besser abwehren zu können,…
Die Übernahme der Metaal Kennis Groep soll den Zugang zur Metallindustrie verbessern. Im Fokus stehen…
EY hat Mitarbeitende in neun europäischen Ländern dazu befragt, wie stark KI ihren Arbeitsalltag verändert.
Kann die Privatwirtschaft mit DePINs – dezentralen, physischen Infrastrukturnetzwerken – erreichen, was Gaia-X bislang vergeblich…
Analyse zur Anfälligkeit von MFA auf Basis von 15.000 Push-basierten Angriffen. Größte Schwachstelle ist die…
