Wago: Updates fixen gefährliche Lücken in industriellen Steuerungssystemen
Seit Mai veröffentlicht Wago nach und nach wichtige Firmware-Updates gegen kritische Lücken in speicherprogrammierbaren Steuerungen (PLC) der Serie 750.
(Bild: Photon photo/Shutterstock.com)
Die Firma Wago hat wichtige Update-Hinweise für speicherprogrammierbare Steuerungen (Programmable Logic Controller, PLC) der Serie 750 veröffentlicht: Aktualisierte Firmware-Versionen für zahlreiche Modelle schließen insgesamt zwölf teils übers Internet oder aus benachbarten Netzwerken ausnutzbare Sicherheitslücken. Fünf Lücken wurden als kritisch bewertet, dreien dieser Lücken wurde gar der höchstmögliche CVSS-Score 10.0 zugewiesen. Die PLC kommen nach Herstellerangaben für verschiedene Aufgaben in der Industrie-, Prozess- und Gebäudeautomation zum Einsatz.
Prozessunterbrechungen und Unfallgefahr
Details zu betroffenen PLC-Modellen, Sicherheitslücken und abgesicherter Firmware sowie zusätzliche Handlungsempfehlungen (im Abschnitt "Mitigation") nennt Wagos Sicherheitshinweis VDE-2021-014. Der stammt zwar schon von Ende Mai, bleibt jedoch weiterhin relevant, da die Firmware für einige Geräte erst im laufenden Monat oder gar im August erscheinen wird. Zudem hat das Unternehmen Positive Technologies, dessen Mitarbeiter zwei der Sicherheitslücken entdeckt haben, am gestrigen Montag nochmals auf die möglichen Gefahren hingewiesen und dringend dazu geraten, Wagos Handlungsempfehlungen zu folgen.
Die zwölf Lücken steck(t)en durchweg in der externen Komponente Codesys 2.3 Runtime, also der Laufzeitumgebung für die Geräteprogrammierung mit Codesys. Dementsprechend hat das Unternehmen Codesys Runtime-Aktualisierungen sowie eigene Advisories veröffentlicht, die in Wagos Sicherheitshinweis verlinkt sind.
Angreifer mit Netzwerkzugriff auf verwundbare Controller könnten die Lücken unter anderem missbrauchen, um Denial-of-Service-Zustände oder Pufferüberläufe herbeizuführen, unbefugt lesend und schreibend aufs Dateisystem der Controller zuzugreifen oder gar Code auszuführen. Die meisten dieser Angriffsszenarien erfordern keine initiale Authentifizierung des Angreifers. Mögliche Konsequenzen sind laut Positive Technologies unter anderem Störungen und plötzliche Unterbrechungen technischer Prozesse, die schlimmstenfalls auch die Gefahr von Unfällen bergen können.
(ovw)