Kritische Lücke in Industriesteuerungs-Software

Die weltweit verbreitete SCADA-Software von Sunway, die Anlagen von Industriebetrieben und Energieversorgern steuert, ist anfällig für Buffer-Overflows.

In Pocket speichern vorlesen Druckansicht 42 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Herbert Braun

Das ICS-CERT (Industrial Control Systems Cyber Emergency Response Team), eine Behörde im US-Ministerium für Homeland Security, warnt (PDF) vor Sicherheitslücken in einer weltweit verbreiteten Steuersoftware für Industrieanlagen. Betroffen sind die Produkte ForceControl 6.1 und pNetPower 6 des chinesischen Herstellers Sunway, die weltweit in unterschiedlichen Branchen im Einsatz sind.

Beide Produkte besitzen Server-Komponenten zur Fernsteuerung, in denen spezielle HTTP- beziehungsweise UDP-Pakete einen Buffer-Overflow auslösen können. Angreifer könnten die damit gesteuerten Anlagen lahmlegen und dort vermutlich auch beliebigen Code einschleusen. Ein Exploit ist nach bisherigen Erkenntnissen noch nicht in Umlauf. Der Hersteller bietet seit einem Monat Patches für ForceControl und pNet Power an.

Aufgespürt hat die Sicherheitslücke Dillon Beresford von NSS Labs, der kürzlich auch auf Schwachstellen in Steuersoftware von Siemens hingewiesen hatte. Auch der bekannteste Fall eines Hacks von SCADA-Software (Supervisory Control and Data Acquisition) ging auf Kosten von Siemens: Stuxnet, das zwar gezielt eine einzelne iranische Atomanlage sabotierte, das sich aber in zahlreichen Infrastruktur-Betrieben verbreitete und enormen Schaden hätte anrichten können.

SCADA-Software steht erst seit kurzer Zeit unter verschärfter Beobachtung in Sachen Sicherheit und wurde in der Vergangenheit nach Einschätzung von Beresford nicht ausreichend getestet. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf die zunehmende Gefährdung von Industrieanlagen durch Hacker-Angriffe hin und fordert die Hersteller auf, diese Systeme von den sonstigen Netzen möglichst zu isolieren. Am Donnerstag hatte Bundesinnenminister Hans-Peter Friedrich ein "Nationales Cyber-Abwehrzentrum" eröffnet. (heb)