Siemens SICAM: Angreifer können Admin-Passwort zurücksetzen

Einige SICAM-Produkte von Siemens sind über zwei Softwareschwachstellen attackierbar. Unter bestimmten Bedingungen können sich Angreifer administrativen Zugriff verschaffen.

Über Supervisory-Control-and-Data-Acquisition-Systeme (SCADA) überwachen Angestellte in kritischen Infrastrukturen etwa Industriemaschinen. Die SICAM-Reihe von Siemens überwacht Systeme bei Energieversorgern. Eine erfolgreiche Attacke kann weitreichende Folgen haben.

Admin-Sicherheitslücke

In einer Warnmeldung gibt der Hersteller an, dass die SICAM-Produkte SICAM A8000 Device firmware CPCI85 for CP-8031/CP-8050, SICAM EGS Device firmware CPCI85 und SICAM 8 Software Solution SICORE verwundbar sind. Die Firmwares CPCI85 V5.40 und SICORE V1.4.0 sollen abgesichert sein. Alle vorigen Ausgaben sollen bedroht sein.

Eine Lücke (CVE-2024-37998) gilt als "kritisch". Klappt eine Attacke, sollen Angreifer Account-Passwörter zurücksetzen können, um im Anschluss Zugriff als Admin zu bekommen. Das ist aber nur gegeben, wenn die Auto-Login-Funktion aktiv ist. Wenn Admins den Sicherheitspatch derzeit nicht installieren, können sie dieses Feature zum Schutz von Systemen temporär deaktivieren.

Gefährliches Downgrade möglich

Zum Ausnutzen der zweiten Schwachstelle (CVE-2024-39601 "mittel") muss ein Angreifer entweder authentifiziert sein, oder unangemeldet physischen Zugriff auf ein verwundbares SCADA-System haben. Ist das gegeben, kann er dem Hersteller zufolge einen Downgrade der Firmware vornehmen, um so etwa eine ältere, verwundbare Version zu installieren. Bislang gibt es keine Berichte zu bereits laufenden Attacken.

Außerdem weist Siemens darauf hin, dass Admins ihre SICAM-Instanzen ausreichend vor Zugriffen von außen über etwa Firewalls und VPN-Verbindungen schützen sollten, um die Angriffsfläche zu minimieren. Der Zugriff sollte ausschließlich für befugte Personen möglich sein.

(des)