Siemens behebt Lecks in WinCC SCADA

Angreifer können über die beiden Lecks remote beliebigen Code auf einem angegriffenen SCADA-System ausführen oder Dateien stehlen. Das Leck wird bereits seit einigen Monaten aktiv genutzt. Siemens rät daher zu einem schnellen Upgrade.

Siemens behebt mehrere Lecks in verschiedenen Versionen der Industrie-Steuerungs-Software Simatic WinCC SCADA. Siemens hatte bereits vor zwei Monaten Lecks in der Software behoben, allerdings konnte der Hersteller damals nicht alle Lecks beheben.

Beide Lecks lassen sich remote ausnutzen und können bei Unternehmen, die betroffene Versionen einsetzen, möglicherweise erheblichen Schaden anrichten, wie es in einem Advisory des Herstellers heißt. Ein Fehler erlaubt das Ausführen von beliebigen Code, der zweite Fehler ermöglicht unautorisierten Personen, Dateien von einem betroffenen WinCC-Server herunter zu laden. Damit ein Angreifer Code auf dem Server ausführen kann, müssen spezielle Pakete an den WinCC-Server geschickt werden, wie Siemens in einem Advisory mitteilt. Auch der zweite Fehler lässt sich mit manipulierten Paketen ausnutzen.

Siemens warnt vor einem schweren Sicherheitsleck in Simatic WinCC in verschiedenen Versionen. (Bild: Siemens)
Siemens schließt weitere Lecks in Simatic WinCC in verschiedenen Versionen. (Bild: Siemens)

Seit einigen Monaten kursieren bereits entsprechende Exploits für die Lecks. Bereits im Herbst hatte das ICS-CERT davor gewarnt, dass diese Lecks aktiv für Angriffskampagnen genutzt werden.

Die Siemens-Software WinCC ist eine Industrie-Software, mit der sich Anlagen wie Kraftwerke, Wasserwerke, Raffinerien oder petrochemische Anlagen betreiben lassen.

Siemens hatte bereits im November Notfall-Patches für diese Schwachstellen veröffentlicht. Allerdings konnte Siemens das Update nicht für alle Komponenten und Versionen liefern. So waren bislang einige Versionen von WinCC sowie TIA Portal und PCS 7 nach wie vor für die Fehler anfällig.

Siemens rät allen betroffenen Nutzern schnell die Updates aufzuspielen. Sollte das nicht möglich sein, sollten die WinCC Server und Engineering Stations innerhalb eines vertrauenswürdigen Netzwerkes gehalten werden. Zudem sollten der WinCC Server und die Engineering Station stets verschlüsselt oder über einen VPN-Tunnel kommunizieren.

Betroffen bei SIMATIC WinCC sind die Version 7.0 mit SP 3 und ältere Versionen, bei Version 7.2 sind alle Versionen älter als V7.2 Update 9 und bei Version 7.3 sind alle Versionen älter V7.3 Update 2 betroffen. Bei SIMATIC PCS 7 (wenn WinCC vorhanden) sind die Versionen 7.1 SP4 und ältere Versionen für den Fehler anfällig. Zudem weisen alle Versionen älter als V8.0 SP2 mit WinCC V7.2 Update 9 sowie Version 8.1 mit WinCC V7.3 und älter als Update 2 den Fehler auf. Im TIA Portal sind sämtliche Versionen von V13, die WinCC Professional Runtime enthalten, bis zu Version V13 Update 6 betroffen.