Denial-of-Service-Lücke in WonderWare-SCADA-Systemen
Angreifer können eine Lücke in einer Komponente der nach Unternehmensangaben weit verbreiteten SCADA-Systeme des Anbieters WonderWare für einen Denial-of-Service-Angriff missbrauchen.
Der Hersteller WonderWare bietet Software für industrielle Automatisierung und Informationssysteme an. In einer Komponente der Software für Windows haben die Sicherheitsexperten von Core Security eine Schwachstelle entdeckt, durch die Angreifer mit manipulierten Paketen aus dem Netz die WonderWare-Systeme zum Absturz bringen können. Laut Eigenauskunft nutzen ein Drittel aller Kraftwerke weltweit WonderWare-Produkte, aber auch andere Industriezweige wie Öl und Gas, Nahrung und Getränke, Werkzeuge, Pharmazie, Elektronik, Metallverarbeitung, Automobilindustrie.
Mehrere der WonderWare-Systeme nutzen unter Windows den SuiteLink-Dienst (slssvc.exe) für die Kommunikation zwischen Komponenten mit einem proprietären, auf TCP/IP basierenden Protokoll. Dieser lauscht auf dem TCP-Port 5413 auf eingehende Verbindungen aus dem Netz. Laut Sicherheitsmeldung von Core Security kann der Dienst bei der Verarbeitung eines präparierten Registrierungspaketes mit einem gefälschten Eintrag im Längen-Feld bei einer Speicheranforderung einen NULL-Pointer zurückliefern, der später ungeprüft als Ziel einer Kopieraktion genutzt wird. Dadurch stürzt die Anwendung ab. Dass dabei auch eingeschleuster Code ausgeführt werden kann, schließt Core Security nicht aus, weist es jedoch auch nicht nach.
WonderWare hat den Fehler mit einem Software-Update behoben. Administratoren eines WonderWare-Systems sollten beim Hersteller rasch die Version 2.0 Patch 01 von SuiteLink herunterladen und einspielen. Das Update steht für registrierte Anwender zum Download bereit.
Siehe dazu auch:
- Wonderware SuiteLink Denial of Service vulnerability, Sicherheitsmeldung von Core Security
- Tech Alert 106, Fehlerbericht von WonderWare (nur für registrierte Nutzer)
(dmk)