Siemens schließt Leck in Gebäudeautomatisierung

Siemens veröffentlicht Firmware-Updates für zahlreiche Geräte aus der Familie Desigo PX. Diese Hardware-Komponenten werden in erster Linie für die Gebäudeautomatisierung eingesetzt. Diese Geräte litten an einer “Insuffcient Entropy Vulnerability”, die sich remote ausnutzen ließ. Jetzt hat Siemens zusammen mit ICS-CERT in einem Advisory vor diesem Problem gewarnt (ICSA-16-355-01).

Mit der Desigo-Famile stellt Siemens Hardware für die Steuerung gewerblich genutzter Gebäude bereit. (Bild: Siemens)

Über die Sicherheitslücke können Angreifer eine Web-Session über ein Netzwerk kapern. Aufgrund des Fehlers kann der Angriff ohne Authentifizierung erfolgen. Der Fehler liegt in dem Zufallsgenerator. Dadurch werden nicht wirklich zufällige Zahlen für die HTTPS-Zertifikate ausgegeben. Ein Angreifer kann daher den korrespondierenden privaten HTTPS-Schlüssel rekonstruieren.

“Ein erfolgreiches Ausnutzen dieses Lecks erlaubt es einem Angreifer, private Schlüssel aufzurufen, die für HTTPS in dem integrierten Web Server verwendet werden”, teilt Siemens in dem Advisory mit. Betroffen sind laut der Meldung die Desigo-PX-Web-Modules PXA40-W0, PXA40-W1 und PXA40-W2 für die Desigo-Automatisierungsstuerungen PXC00-E.D, PXC50-E.D, PXC100-E.D und PXC200-E.D, sowie die Web-Module PXA30-W0, PXA30-W1 und PXA30-W2 für die Steuerungen PXC00-U, PXC64-U und PXC128-U. Betroffen seien sämtliche Geräte, die Firmware-Versionen verwenden, die älter als Version V6.00.046 sind.

Ausgewähltes Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Mit den Desigo PX Web Modulen ermöglicht Siemens die Steuerung gewerblich genutzter Gebäude. So genannte HVAC-Systeme sind für die Steuerung von Alarmanlagen bis zur Regelung der Heizung und Beleuchtung verantwortlich. Über diese Web-Module können Anwender auch über das Internet die Regelungstechnik steuern und damit zum Beispiel die Beleuchtung eines Raums anpassen.

Über die von dem Leck betroffenen Web-Module lässt sich beispielsweise die Heizung von Sitzungsräumen steuern. (Bild: Siemens)

Laut der Siemens-Meldung werde das Leck durch das Update vollständig behoben. Zudem seien derzeit keine Angriffe auf das Leck bekannt. Auch sei das erfolgreiche Ausnutzen dieses Lecks mit gewissen Schwierigkeiten verbunden. Daher vergibt Siemens für die Lücke mit der Kennung CVE-2016-9154 auch nur einen CVSS-Base-Score von 5.9. Den Hinweis auf den Fehler erhielt Siemens von einem Forscher-Team der Universität Pennsylvania, die das Leck direkt an Siemens gemeldet haben.

Redaktion

Recent Posts

Gigabit-Datenraten im Zug

Projekt aus Bahn-, Mobilfunk- und Funkmastbranche zieht Zwischenbilanz. Start von Praxistests in erstem 5G-Korridor an…

10 Stunden ago

E-Health: Langzeitpflege mit KI

Das Fraunhofer-Institut entwickelt eine Pflegeplanung, die mit Künstlicher Intelligenz arbeiten wird. Ziel ist es, Pflegekräfte…

11 Stunden ago

Malware Mai 2024: Androxgh0st-Botnet breitet sich weiter aus

Die Lockbit3 Ransomware-Gruppe ist mittlerweile für ein Drittel der veröffentlichten Ransomware-Angriffe verantwortlich / Details zum…

16 Stunden ago

Vernetztes Fahren: Jeder zweite befürchtet Sicherheitsdefizite

Laut Kaspersky haben 52 Prozent der IT-Entscheider im Automobilbau ernsthafte Bedenken, dass vernetzte Fahrzeuge ausreichend…

17 Stunden ago

Unternehmen unterschätzen Komplexität der Digitalisierung

Studie: Projekte zur digitalen Transformation sind meist komplexer und zeitaufwändiger als erwartet.

19 Stunden ago

KI-basierte Übersetzung von Produktinformationen

Durch Anbindung des PIM-Systems an die KI-basierte Übersetzungslösung DeepL spart die J. Schmalz jährlich rund…

2 Tagen ago