Kritische Updates für Siemens-Industriesteuerungen
Ein Update soll kritisches Sicherheitslücken in der Software Simatic WinCC schließen, die als Kontrollzentrum für die Überwachung und Steuerung industrieller Anlagen zum Einsatz kommt. Allerdings gibt es das Update noch nicht für alle Versionen.
Das Windows Control Center – kurz WinCC ist in vielen industriellen Anlagen die zentrale Schnittstelle zwischen Maschinen und Mensch; in vielen Anlagen wird es als eigenständiges SCADA-System genutzt. Die Software kommt sehr viel im Energiesektor, der chemischen Industrie und bei der Wasserversorgung zum Einsatz. Siemens hat jetzt Updates für WinCC veröffentlicht, die zwei kritische Lücken darin schließen.
Die erste der nicht näher beschriebenen Lücken erlaubt es einem Angreifer, übers Netz eigenen Code in das System einzuschleusen und auszuführen; die zweite ermöglicht es, über spezielle Pakete beliebige Dateien vom Server auszulesen. Das amerikanische ICS-CERT warnt in seinem Advisory, dass selbst ein Angreifer mit wenig Kenntnissen ("low skill") diese Schwachstellen ausnutzen könnte. Einzige Einschränkung: Er braucht dazu einen Zugang zum Netz in dem WinCC-Systeme aktiv sind.
Die Updates stehen für Versionen von Simatic WinCC selbst, Simatic PCS 7 und TIA Portal bereit. Letztere enthalten zumindest Teile der betroffenen WinCC-Software. Problematisch ist, dass sich damit offenbar längst nicht alle gefährdeten System abdichten lassen: "Siemens bereitet Updates für die anderen betroffenen Produkte vor" heißt es im Siemens Security Advisory SSA-134508: Vulnerabilities in SIMATIC WinCC, PCS 7 and WinCC in TIA Portal (PDF). Siemens und das ICS-CERT empfehlen dringend, zusätzliche Sicherungsmaßnahmen zu ergreifen, also insbesondere WinCC-Server nur in speziell gesicherten Netzen zu betreiben. (ju)
