Siemens veröffentlicht Firmware-Updates für zahlreiche Geräte aus der Familie Desigo PX. Diese Hardware-Komponenten werden in erster Linie für die Gebäudeautomatisierung eingesetzt. Diese Geräte litten an einer “Insuffcient Entropy Vulnerability”, die sich remote ausnutzen ließ. Jetzt hat Siemens zusammen mit ICS-CERT in einem Advisory vor diesem Problem gewarnt (ICSA-16-355-01).
Über die Sicherheitslücke können Angreifer eine Web-Session über ein Netzwerk kapern. Aufgrund des Fehlers kann der Angriff ohne Authentifizierung erfolgen. Der Fehler liegt in dem Zufallsgenerator. Dadurch werden nicht wirklich zufällige Zahlen für die HTTPS-Zertifikate ausgegeben. Ein Angreifer kann daher den korrespondierenden privaten HTTPS-Schlüssel rekonstruieren.
“Ein erfolgreiches Ausnutzen dieses Lecks erlaubt es einem Angreifer, private Schlüssel aufzurufen, die für HTTPS in dem integrierten Web Server verwendet werden”, teilt Siemens in dem Advisory mit. Betroffen sind laut der Meldung die Desigo-PX-Web-Modules PXA40-W0, PXA40-W1 und PXA40-W2 für die Desigo-Automatisierungsstuerungen PXC00-E.D, PXC50-E.D, PXC100-E.D und PXC200-E.D, sowie die Web-Module PXA30-W0, PXA30-W1 und PXA30-W2 für die Steuerungen PXC00-U, PXC64-U und PXC128-U. Betroffen seien sämtliche Geräte, die Firmware-Versionen verwenden, die älter als Version V6.00.046 sind.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Mit den Desigo PX Web Modulen ermöglicht Siemens die Steuerung gewerblich genutzter Gebäude. So genannte HVAC-Systeme sind für die Steuerung von Alarmanlagen bis zur Regelung der Heizung und Beleuchtung verantwortlich. Über diese Web-Module können Anwender auch über das Internet die Regelungstechnik steuern und damit zum Beispiel die Beleuchtung eines Raums anpassen.
Laut der Siemens-Meldung werde das Leck durch das Update vollständig behoben. Zudem seien derzeit keine Angriffe auf das Leck bekannt. Auch sei das erfolgreiche Ausnutzen dieses Lecks mit gewissen Schwierigkeiten verbunden. Daher vergibt Siemens für die Lücke mit der Kennung CVE-2016-9154 auch nur einen CVSS-Base-Score von 5.9. Den Hinweis auf den Fehler erhielt Siemens von einem Forscher-Team der Universität Pennsylvania, die das Leck direkt an Siemens gemeldet haben.
Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.
Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…
Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.
Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.
KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…
Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…
