Alert!

Schneider Electric sichert diverse ICS-Komponenten gegen Schwachstellen ab

Für Hard- und Software zur Konfiguration und Verwaltung industrieller Steuerungssysteme von Schneider Electric sind wichtige Sicherheitsupdates verfügbar.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 7 Beiträge

(Bild: Shutterstock)

Von
  • Olivia von Westernhagen

Der Elektrotechnik-Konzern Schneider Electric hat vor ein paar Tagen insgesamt 13 Security Advisories neu veröffentlicht oder aktualisiert, die sich mit teils kritischen Sicherheitslücken in verschiedenen Hardware-Komponenten und Software für industrielle Steuerungsanlagen befassen.

Administratoren und IT-/OT-Sicherheitsverantwortliche sollten zeitnah einen Blick in die Veröffentlichungen werfen, die darin beschriebenen Maßnahmen zur Absicherung treffen und, soweit notwendig, die verfügbaren Sicherheitsupdates einspielen.

Diese Meldung verlinkt Advisories zu Lücken mit Risikoeinstufungen von "High" bis "Critical". Einen Überblick über alle Advisories bietet Schneider Electrics "Cybersecurity Support Portal".

Zwei der Advisories warnen vor insgesamt drei kritischen Sicherheitslücken, von denen zwei mit dem höchstmöglichen CVSS-Score 10.0 bewertet wurden.

Eine von ihnen (CVE-2020-7561, 10.0) steckt in der Remote Terminal Unit (RTU) der Plattform Easergy T300. Fehlerhafte Mechanismen zur Zugriffskontrolle in Firmware-Versionen bis einschließlich 2.7 könnten einem Angreifer unter bestimmten Voraussetzungen den Zugriff auf Informationen, das Ausführen von Befehlen oder das Provozieren eines Denial-of-Service-Zustands ermöglichen. Schneider Electric rät dringend zum Firmware-Update auf 2.7., verfügbar im Customer Care Center.

Die beiden anderen kritischen Lücken (CVE-2020-7559, 10.0 / CVE-2020-28212, 9.1) betreffen das PLC Simulator-Feature der Software "Ecostruxure Control Expert" zum Testen von Konfigurationsdateien. Erfolgreiche Angriffe könnten unter anderem zum Absturz der Simulator-Komponente und führen und die unbefugte Befehlsausführung ermöglichen. Verwundbar sind Software-Versionen vor 15.0. Schneider Electric rät deshalb zum Download von EcoStruxure Control Expert 15.0. Die neue Version beseitigt zusätzlich auch noch drei Sicherheitslücken mit "High"-Einstufung – Details nennt das Advisory.

Sechs Advisories fassen Sicherheitslücken zusammen, von denen ein hohes Risiko ausgeht. Zu insgesamt vier Sicherheitslücken in PLC der Serie Modicon M221 liegt neben einer Veröffentlichung von Schneider Electric auch noch detaillierte Beschreibungen zweier IT-Sicherheitsfirmen vor, die die Lücken entdeckt beziehungsweise sich näher mit ihnen befasst haben.

Nachfolgend haben wir die Advisories und Analysen absteigend nach dem jeweils höchsten angegebenen Bedrohungsgrad sortiert. Zu beachten ist, dass es sich in einigen Fällen um ältere Advisories handelt, die angesichts neuer Entwicklungen und/oder Updates aktualisiert wurden.

Aktualisierte Advisories:

Neue Advisories:

Weiterhin weist Schneider Electric in einem Advisory auf eine generelle Angreifbarkeit der Produkte Trio Q Data Radio und Trio J Data Radio mit der Linux-Malware "Drovorub" hin. Das Advisory nennt erste Sicherheitsmaßnahmen und soll zu einem späteren Zeitpunkt aktualisiert werden.

Bereits um Zusatzinformationen ergänzt wurde ein älteres Advisory zu den "Ripple20"-Sicherheitslücken: Offenbar gibt es neue, abgesicherte Firmware für mehrere Produkte. Bei heise online haben wir sowohl Drovorub als auch Ripple20 in eigenen Meldungen thematisiert.

(ovw)