SCADA-System durch ActiveX-Control angreifbar

Das auf Kontrollsysteme spezialisierte ICS-CERT warnt erneut vor einer kritischen Lücke im webbasierten SCADA-Prozessleitsystem Genesis (32 und 64) von Iconics. Durch die Buffer-Overflow-Lücke im ActiveX-Control (GenVersion.dll) können Angreifer Schadcode in den Steuerrechner einschleusen. Es genügt, den Nutzer des Rechners auf eine verseuchte Webseite zu locken. Ist der Steuerrechner erst einmal infiziert, kann der Angreifer unter Umständen die Kontrolle über die mit Genesis gesteuerten Industrieanlagen gewinnen – etwa in einem Kraftwerk oder in einer Fabrik.

Ende vergangenen Monats wurde die Lücke durch die Sicherheitsforscher von Security Assessment entdeckt, die daraufhin ein Advisory sowie einen Exploit auf Basis von JavaScript veröffentlichten. Der Hersteller hat die Schwachstelle inzwischen mit dem Update WebHMI V9.21 geschlossen. Auch Nutzer der Auswertungssoftware BizViz des gleichen Hersteller sollten das Update installieren, da BizViz ebenfalls das verwundbare ActiveX-Control mitbringt.

Erst vor zwei Monaten warnte das amerikanische ICS-CERT eindringlich vor insgesamt 35 Lücken in SCADA-Systemen. Auch damals war Iconics Genesis betroffen. (rei)