SCADA-Software: 23 weitere Schwachstellen entdeckt

Wie Computerworld berichtet, reagiert Aaron Portnoy, Vizepräsident des Start-ups Exodus Intelligence, damit auf die Weigerung des Sicherheitsunternehmens ReVuln, seine in SCADA-Anwendungen entdeckten Löcher an die jeweiligen Hersteller weiterzuleiten.

“Ich habe entschieden, SCADA-Software zu untersuchen, nachdem ich die entsprechenden Artikel gelesen habe”, schreibt Portnoy in einer E-Mail an Computerworld. “Ich dachte, es ist gefährlich, Anbieter zum Kauf von ReVulns Feed zu zwingen, damit sie kritische Infrastrukturen schützen können.”

Einem Blogeintrag von Portnoy zufolge lassen sich sieben Anfälligkeiten zum Einschleusen von Schadcode ausnutzen. 14 Schwachstellen ermöglichen Denial-of-Service-Angriffe. Andere Lücken erlauben es einem Angreifer, die vollständige Kontrolle über ein System zu übernehmen, auf dem die anfällige Software ausgeführt wird.

“Die interessanteste Sache an diesen Fehler war, wie einfach sie zu finden waren”, heißt es weiter in Portnoys Blogeintrag. Für die erste ausnutzbare Zero-Day-Lücke habe er nur sieben Minuten benötigt. Im Vergleich zu Enterprise- und Consumer-Software sei das Auffinden von Schwachstellen in SCADA-Software absurd einfach. Es sei wesentlich schwieriger gewesen, an die SCADA-Software zu kommen, als die Lücken aufzudecken.

Portnoy hofft dem Bericht zufolge, dass sich zumindest einige der von ihm ermittelten Fehler mit den von ReVuln entdeckten Lücken überschneiden. Er werde die Details zu den Anfälligkeiten an die für Industriekontrollsysteme zuständige ICS-CERT weiterleiten, die das weitere Vorgehen mit den Herstellern koordiniere.

Ähnlich wie ReVuln verkauft auch Exodus Intelligence sein Wissen über ungepatchte Sicherheitslücken an Firmen und Organisationen. Allerdings sollen die Daten von Exodus den Kunden des Unternehmens nur dabei helfen, sich vor zielgerichteten Angriffen zu schützen, bis ein Patch des Herstellers zur Verfügung steht. ReVulns Geschäftsmodell basiert jedoch darauf, keine Daten an Hersteller weiterzugeben und somit auch langfristig nur die eigenen Kunden zu schützen.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Redaktion

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago