Schneider Electric sichert diverse ICS-Komponenten gegen Schwachstellen ab
Für Hard- und Software zur Konfiguration und Verwaltung industrieller Steuerungssysteme von Schneider Electric sind wichtige Sicherheitsupdates verfügbar.
(Bild: Shutterstock)
Der Elektrotechnik-Konzern Schneider Electric hat vor ein paar Tagen insgesamt 13 Security Advisories neu veröffentlicht oder aktualisiert, die sich mit teils kritischen Sicherheitslücken in verschiedenen Hardware-Komponenten und Software für industrielle Steuerungsanlagen befassen.
Administratoren und IT-/OT-Sicherheitsverantwortliche sollten zeitnah einen Blick in die Veröffentlichungen werfen, die darin beschriebenen Maßnahmen zur Absicherung treffen und, soweit notwendig, die verfügbaren Sicherheitsupdates einspielen.
Diese Meldung verlinkt Advisories zu Lücken mit Risikoeinstufungen von "High" bis "Critical". Einen Überblick über alle Advisories bietet Schneider Electrics "Cybersecurity Support Portal".
Critical: Easergy T300 & PLC Simulator-Feature
Zwei der Advisories warnen vor insgesamt drei kritischen Sicherheitslücken, von denen zwei mit dem höchstmöglichen CVSS-Score 10.0 bewertet wurden.
Eine von ihnen (CVE-2020-7561, 10.0) steckt in der Remote Terminal Unit (RTU) der Plattform Easergy T300. Fehlerhafte Mechanismen zur Zugriffskontrolle in Firmware-Versionen bis einschließlich 2.7 könnten einem Angreifer unter bestimmten Voraussetzungen den Zugriff auf Informationen, das Ausführen von Befehlen oder das Provozieren eines Denial-of-Service-Zustands ermöglichen. Schneider Electric rät dringend zum Firmware-Update auf 2.7., verfügbar im Customer Care Center.
Die beiden anderen kritischen Lücken (CVE-2020-7559, 10.0 / CVE-2020-28212, 9.1) betreffen das PLC Simulator-Feature der Software "Ecostruxure Control Expert" zum Testen von Konfigurationsdateien. Erfolgreiche Angriffe könnten unter anderem zum Absturz der Simulator-Komponente und führen und die unbefugte Befehlsausführung ermöglichen. Verwundbar sind Software-Versionen vor 15.0. Schneider Electric rät deshalb zum Download von EcoStruxure Control Expert 15.0. Die neue Version beseitigt zusätzlich auch noch drei Sicherheitslücken mit "High"-Einstufung – Details nennt das Advisory.
Sicherheitslücken mit "High"-Einstufung
Sechs Advisories fassen Sicherheitslücken zusammen, von denen ein hohes Risiko ausgeht. Zu insgesamt vier Sicherheitslücken in PLC der Serie Modicon M221 liegt neben einer Veröffentlichung von Schneider Electric auch noch detaillierte Beschreibungen zweier IT-Sicherheitsfirmen vor, die die Lücken entdeckt beziehungsweise sich näher mit ihnen befasst haben.
Nachfolgend haben wir die Advisories und Analysen absteigend nach dem jeweils höchsten angegebenen Bedrohungsgrad sortiert. Zu beachten ist, dass es sich in einigen Fällen um ältere Advisories handelt, die angesichts neuer Entwicklungen und/oder Updates aktualisiert wurden.
Aktualisierte Advisories:
- Web Server on Modicon M580 controller and its Communication Module (CVSS 8.6)
- Modicon Controllers, EcoStruxure™ Control Expert and Unity Pro Programming Software (8.2)
- EcoStruxure™ Operator Terminal Expert (Vijeo XD) (7.7)
Neue Advisories:
- Interactive Graphical SCADA System (IGSS) (7.8)
- EcoStruxure™ Operator Terminal Expert (Vijeo XD) (7.4)
- Modicon M221 Programmable Logic Controller (7.1) (Analysen: Trustwave | Claroty)
Sicherheitshinweise zu "Drovorub" und "Ripple20"
Weiterhin weist Schneider Electric in einem Advisory auf eine generelle Angreifbarkeit der Produkte Trio Q Data Radio und Trio J Data Radio mit der Linux-Malware "Drovorub" hin. Das Advisory nennt erste Sicherheitsmaßnahmen und soll zu einem späteren Zeitpunkt aktualisiert werden.
Bereits um Zusatzinformationen ergänzt wurde ein älteres Advisory zu den "Ripple20"-Sicherheitslücken: Offenbar gibt es neue, abgesicherte Firmware für mehrere Produkte. Bei heise online haben wir sowohl Drovorub als auch Ripple20 in eigenen Meldungen thematisiert.
- Advisory: Trio Q and J Data Radios / Drovorub
- Advisory zu Ripple20-Updates
- "Drovorub"-Meldung bei heise online
- "Ripple20"-Meldung bei heise online
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ovw)
