Menü
Security

Kritisches Sicherheitsupdate für 200.000 Industriesteuerungen

vorlesen Drucken Kommentare lesen 14 Beiträge

Der Schweizer Hersteller Saia-Burgess hat ein Firmware-Update für seine Industriesteuerungen veröffentlicht, das die von heise Security dokumentierte Schwachstelle bei der Authentifizierung des Fernwartungszugangs endlich beheben soll – über ein halbes Jahr, nachdem wir das Unternehmen über das Problem informiert haben. Allerdings bleibt es auch nach Installation der abgesicherten Firmware-Version leichtsinnig, diese Systeme direkt über das Internet erreichbar zu machen.

Die von uns aufgespürte Steuerungsanlage einer hessischen Justizvollzugsanstalt hätte man über das Internet kontrollieren können.

Industriesteuerung von Saia-Burgess erfreuen sich offenbar großer Beliebtheit: Sie schalten und walten in Rechenzentren, Wasserwerken, Gefängnissen und sogar Kirchen. Nach Herstellerangaben sollen über 200.000 dieser Regler mit Netzwerkanschluss weltweit im Einsatz sein. Wie c't und heise Security im Mai berichteten, werden solche Steuerungen allerdings häufig achtlos direkt mit dem Internet verbunden. Dadurch kann jedermann die mitunter sicherheitskritischen Systeme aus der Ferne auf Schwachstellen abklopfen. Eine solche klafft in den Saia-Burgess-Steuerungen, was fatale Folgen hat: Unbefugte können über das Internet kinderleicht die Kontrolle übernehmen.

Dies soll nun die COSinus genannte Steuerungs-Firmware in Version 1.22 verhindern. Der Hersteller verspricht, dass man nach dem Update das Admin-Passwort der Anlage nicht mehr länger im Klartext aus der Ferne auslesen kann. Darüber hinaus soll die Authentifizierung der Web-Oberfläche nun innerhalb der Steuerung stattfinden, statt wie bisher über ein Java-Applet, das auf dem Rechner dessen läuft, der sich Zutritt verschaffen will.

Außerdem hat Saia-Burgess noch einige weitere Änderungen zugunsten der Sicherheit vorgenommen: Im Auslieferungszustand sind jetzt der Webserver sowie FTP- und SSH-Zugänge nicht mehr über einen immer gleichen Standardzugang erreichbar, sondern schlicht deaktiviert. Außerdem wurden fehlerhafte Code-Signing-Zertifikate ersetzt, so dass es nun nicht mehr erforderlich ist, die Java-Sicherheitsebene des Clients herabzusetzen, um auf die Steuerungen zuzugreifen.

Fernsteuerbares Gotteshaus Hörst Du nicht die Glocken? Auch die Glocken- und Lichtsteuerung einer Kirche in Beckum konnten wir über das Internet aufspüren.

Auch wenn Saia-Burgess einige grundlegende Fehler im Sicherheitskonzept seiner Industriesteuerungen beseitigt hat, sollte man tunlichst davon absehen, die Systeme direkt über das Internet erreichbar zu machen. Die kleinen Embedded-Rechner der Steuerungen haben Angriffen aus dem Internet wenig entgegenzusetzen. Das gilt freilich nicht nur für die Steuerungen von Saia-Burgess, sondern für alle. Es gibt nur einen Weg, um Industrieanlagen sicher über das Internet fernzuwarten: Den konsequenten Einsatz eines verschlüsselnden VPN-Tunnels und darüber hinaus die strikte Trennung von normalen Firmen- und dem Anlagennetzwerk.

Diesen Schritt geht jetzt auch der Heizungshersteller Vaillant, dessen vernetzte ecoPower-Heizungen ebenfalls von dem Sicherheitsleck der Saia-Regler betroffen sind. Vaillant hat kürzlich – über einen Monate später als angekündigt – damit begonnen, die mit einem Saia-Regler ausgestatteten Heizungen kostenlos mit einer VPN-Box nachzurüsten. Darüber hinaus installieren die Vaillant-Techniker die abgesicherte Heizungsfirmware in Version 2.05, die die von Saia-Burgess durchgeführten Änderungen enthält. Für die etwa 1.500 von diesen Maßnahmen betroffenen Kunden, hat Vaillant unter der Rufnummer 0800-9999-3000 eine Hotline eingerichtet, die werktags von 8 bis 18 Uhr für weitere Informationen erreichbar ist.

Siehe hierzu auch:

(Louis-F. Stahl) / (rei)