Lizenz-Management Codemeter mit "License To Kill"

Forscher der Firma Claroty entdeckten im Lizenz-Management Codemeter sechs Schwachstellen, die etwa das ICS-CERT mit der höchsten Gefahrenstufe CVSS 10,0 bewertet. Das Lizenz-Management der deutschen Firma Wibu Systems soll die rechtmäßige Nutzung eines Produkts sicherstellen. Es kommt vor allem im Bereich Industriesteuerungssysteme (ICS) großflächig zum Einsatz.

Angreifer könnten durch die Schwachstellen übers Netz eigenen Code in Systeme einschleusen und ausführen. So könnten sie etwa die Kontrolle über Mensch-Maschine-Schnittstellen (human-machine interface, HMI) übernehmen, erklären die Claroty-Forscher in ihrem Blog-Beitrag zur Problematik, die sie "License to Kill" getauft haben. Im schlimmsten Fall können solche Angriffe bereits durch den Besuch einer bösartigen Webseite ausgelöst werden, die dann via JavaScript Codemeters WebSocket API angreift (CVE-2020-14519).

Weit verbreitet in ICS-Netzen

Anfällig ist die Laufzeit-Umgebung Codemeter auf allen Plattformen (Windows, macOS, Linux). Die einzelnen Versionen sind unterschiedlich von den verschiedenen Lücken betroffen; Version 7.10a beseitigt die Schwachstellen. Der Hersteller Wibu empfiehlt die Aktualisierung auf diese Version.

Um zumindest Angriffe durch Webseiten zu verhindern, könne man das WebSocket-API deaktivieren, erklären sie in der Frage&Antwort-Sektion ihrer Security-Seite. Dies lässt sich auch auf einer Test-Seite von Claroty überprüfen, die versucht Codemeter auf dem TCP-Port 22350 zu erreichen (via ws://127.0.0.1:22350/CmWebSocket).

Ein großes Problem ist, dass Codemeter Bestandteil vieler Lösungen ist und Anwender unter Umständen gar nicht wissen, dass sie dieses Lizenz-Management einsetzen. So hat etwa Siemens ein eigenes Security-Advisory für Siemens- und Siemens-Energy-Produkte wie Simatic WinCC herausgegeben; das ICS-CERT listet noch eine Reihe weiterer Hersteller wie Codesys, Pepperl+Fuchs und Pilz auf.

(ju)