Siemens schließt Leck in Gebäudeautomatisierung

Siemens veröffentlicht Firmware-Updates für zahlreiche Geräte aus der Familie Desigo PX. Diese Hardware-Komponenten werden in erster Linie für die Gebäudeautomatisierung eingesetzt. Diese Geräte litten an einer “Insuffcient Entropy Vulnerability”, die sich remote ausnutzen ließ. Jetzt hat Siemens zusammen mit ICS-CERT in einem Advisory vor diesem Problem gewarnt (ICSA-16-355-01).

Mit der Desigo-Famile stellt Siemens Hardware für die Steuerung gewerblich genutzter Gebäude bereit. (Bild: Siemens)

Über die Sicherheitslücke können Angreifer eine Web-Session über ein Netzwerk kapern. Aufgrund des Fehlers kann der Angriff ohne Authentifizierung erfolgen. Der Fehler liegt in dem Zufallsgenerator. Dadurch werden nicht wirklich zufällige Zahlen für die HTTPS-Zertifikate ausgegeben. Ein Angreifer kann daher den korrespondierenden privaten HTTPS-Schlüssel rekonstruieren.

“Ein erfolgreiches Ausnutzen dieses Lecks erlaubt es einem Angreifer, private Schlüssel aufzurufen, die für HTTPS in dem integrierten Web Server verwendet werden”, teilt Siemens in dem Advisory mit. Betroffen sind laut der Meldung die Desigo-PX-Web-Modules PXA40-W0, PXA40-W1 und PXA40-W2 für die Desigo-Automatisierungsstuerungen PXC00-E.D, PXC50-E.D, PXC100-E.D und PXC200-E.D, sowie die Web-Module PXA30-W0, PXA30-W1 und PXA30-W2 für die Steuerungen PXC00-U, PXC64-U und PXC128-U. Betroffen seien sämtliche Geräte, die Firmware-Versionen verwenden, die älter als Version V6.00.046 sind.

Ausgewähltes Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Mit den Desigo PX Web Modulen ermöglicht Siemens die Steuerung gewerblich genutzter Gebäude. So genannte HVAC-Systeme sind für die Steuerung von Alarmanlagen bis zur Regelung der Heizung und Beleuchtung verantwortlich. Über diese Web-Module können Anwender auch über das Internet die Regelungstechnik steuern und damit zum Beispiel die Beleuchtung eines Raums anpassen.

Über die von dem Leck betroffenen Web-Module lässt sich beispielsweise die Heizung von Sitzungsräumen steuern. (Bild: Siemens)

Laut der Siemens-Meldung werde das Leck durch das Update vollständig behoben. Zudem seien derzeit keine Angriffe auf das Leck bekannt. Auch sei das erfolgreiche Ausnutzen dieses Lecks mit gewissen Schwierigkeiten verbunden. Daher vergibt Siemens für die Lücke mit der Kennung CVE-2016-9154 auch nur einen CVSS-Base-Score von 5.9. Den Hinweis auf den Fehler erhielt Siemens von einem Forscher-Team der Universität Pennsylvania, die das Leck direkt an Siemens gemeldet haben.

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Wie der Sprung zum Smart Manufacturing gelingt

Welche Rolle IIoT-Plattformen und die Cloud in der Ära der Industrie 4.0 einnimmt, erklärt Raymond…

1 Stunde ago

Samsung meldet erstmals seit drei Jahren Gewinnrückgang

Der operative Profit soll um mehr als 30 Prozent einbrechen. Die Nachfrage nach Speicherchips sowie…

5 Stunden ago

Klimasimulation mit Künstlicher Intelligenz

Forscher der TU München und des Potsdamer Institut für Klimafolgenforschung setzen zur Verbesserung der Klimamodellierung…

6 Stunden ago

Mit 5G ohne Fahrer im Auto auf die Straße

Teleoperiertes Auto von MIRA fährt in Köln zum ersten Mal öffentlich vor Publikum.

6 Stunden ago

Wie die EU für Security Skills sorgen will

Ohne die richtige Strategie kann der Fachkräftemangel in der Cybersicherheit nicht gemindert werden. Die EU…

7 Stunden ago

Wie KI die Bearbeitung von Kfz-Schadenfällen beschleunigt

Eine Machine-Learning-Lösung verkürzt den Prozess der Bearbeitung bei carexpert KFZ-Sachverständigen signifikant

22 Stunden ago