Wie Computerworld berichtet, reagiert Aaron Portnoy, Vizepräsident des Start-ups Exodus Intelligence, damit auf die Weigerung des Sicherheitsunternehmens ReVuln, seine in SCADA-Anwendungen entdeckten Löcher an die jeweiligen Hersteller weiterzuleiten.
“Ich habe entschieden, SCADA-Software zu untersuchen, nachdem ich die entsprechenden Artikel gelesen habe”, schreibt Portnoy in einer E-Mail an Computerworld. “Ich dachte, es ist gefährlich, Anbieter zum Kauf von ReVulns Feed zu zwingen, damit sie kritische Infrastrukturen schützen können.”
Einem Blogeintrag von Portnoy zufolge lassen sich sieben Anfälligkeiten zum Einschleusen von Schadcode ausnutzen. 14 Schwachstellen ermöglichen Denial-of-Service-Angriffe. Andere Lücken erlauben es einem Angreifer, die vollständige Kontrolle über ein System zu übernehmen, auf dem die anfällige Software ausgeführt wird.
“Die interessanteste Sache an diesen Fehler war, wie einfach sie zu finden waren”, heißt es weiter in Portnoys Blogeintrag. Für die erste ausnutzbare Zero-Day-Lücke habe er nur sieben Minuten benötigt. Im Vergleich zu Enterprise- und Consumer-Software sei das Auffinden von Schwachstellen in SCADA-Software absurd einfach. Es sei wesentlich schwieriger gewesen, an die SCADA-Software zu kommen, als die Lücken aufzudecken.
Portnoy hofft dem Bericht zufolge, dass sich zumindest einige der von ihm ermittelten Fehler mit den von ReVuln entdeckten Lücken überschneiden. Er werde die Details zu den Anfälligkeiten an die für Industriekontrollsysteme zuständige ICS-CERT weiterleiten, die das weitere Vorgehen mit den Herstellern koordiniere.
Ähnlich wie ReVuln verkauft auch Exodus Intelligence sein Wissen über ungepatchte Sicherheitslücken an Firmen und Organisationen. Allerdings sollen die Daten von Exodus den Kunden des Unternehmens nur dabei helfen, sich vor zielgerichteten Angriffen zu schützen, bis ein Patch des Herstellers zur Verfügung steht. ReVulns Geschäftsmodell basiert jedoch darauf, keine Daten an Hersteller weiterzugeben und somit auch langfristig nur die eigenen Kunden zu schützen.
[Mit Material von Stefan Beiersmann, ZDNet.de]
Bombardier will den Entwicklungsprozess von Flugzeugen mit Siemens Xcelerator digitalisieren – vom Konzept bis zur…
Automatisierte Softwareverteilung, zentralisierte Updates und ein optimiertes Lizenzmanagement entlasten die IT-Abteilung.
Großbank wird auf die Infrastruktur, Künstliche Intelligenz und Datenanalyselösungen von Google Cloud zurückgreifen.
Neue Lünendonk-Studie: Wie Managed Services die digitale Transformation beschleunigen und dem Fachkräftemangel entgegenwirken.
Fraunhofer hat eine KI-basierte Produktionsüberwachung und -steuerung für mittelständische Industriebetriebe entwickelt.
Jedes fünfte Unternehmen hat seine Regelungen für mobile Heimarbeit abgeschafft, ein weiteres Fünftel will sie…