SAE IT-systems
Im Gewerbegebiet Pesch 14 50767 Köln, Deutschland
0221 598080 0221 5980860 DE812996839 Dipl.-Ing Joachim Schuster

Sicherheitsmeldungen

Webseite auf abgekündigter series5 kompromittierbar

ICSA-20-126-02 | CVE-2020-10630, CVE-2020-10634 | CSW-2020-208439

Am 5 Mai veröffentlichte US-CERT bzw. CISA das Schwachstellen Advisory ICSA-20-126-02 und deckt eine Lücke im Webserver der abgekündigten series5 Stationen auf. Das BSI hat die Meldung CSW-2020-208439 am 13. Mai ergänzt.

Die Meldung bezieht sich auf einen Fehler in der Befehlsverarbeitung der Webseite der bereits abgekündigten 1. Generation der series5 Fernwirkstationen mit eco920 CPU-Kern. Durch Cross-site-Scripting können Befehle auf der Webseite ausgeführt werden, die die Anlage kompromittieren können und durch Path-Traversal unerlaubte Einsicht in das Dateisystem der RTU ermöglicht werden; die genauere Beschreibung können Sie der Meldung entnehmen. Die Benutzerverwaltung der Webseite - der Zugang über Benutzer und Passwort - helfen hier nicht.

Ist die Webseite in der Stationskonfiguration deaktiviert, der Webserver also abgeschaltet, dann bestehen diese Schwachstellen nicht.

Die Mitteilung bezieht sich auf FW-50 series5 mit CPU-5B, die im Zeitraum 2009 bis etwa 2015 geliefert wurden; entgegen der Angaben spielt die Version des CPLD keine Rolle. Neben dem FW-50 gehört auch das net-line FW-5 bzw. net-line FW-5-BT und das net-line FW-5000 zu series5.

Neue Stationen vom Typ series5+ oder series5e sind nicht betroffen wie etwa:

  • net-line FW-5 series5+, net-line FW-5 series5e
  • net-line FW-5-GATE, net-line FW-5-GATE series5e, Protokollkonverter
  • net-line FW-5-GATE-4G series5e, net-line FW-5-GATE-450 series5e
  • net-line FW-50 series5+, net-line FW-50 series5e
  • net-line FW-5000 series5+, net-line FW-5000 series5e
  • net-line BCU-50 series5+, net-line BCU-50 series5e

Das FW-50 wie auch die kompakte Station FW-5 und den Fernwirkkopf FW-5000 gibt es in den Generationen series5, series5+ und series5e; damit ist jeweils eine entsprechende Hardwareausstattung und CPU verbunden. Die aktuelle Version ist die series5e, die series5+ ist noch in der Pflege, die series5 ist ausgelaufen.

Die in der ICSA angesprochene Schwachstelle verweist auf ein abgekündigtes Produkt der series5, dass im Jahr 2015 aus dem Service gegangen ist. Stationen dieser Generation können zwar noch mit aktueller Software konfiguriert werden, aber Änderungen an der Firmware sind nicht mehr möglich.

Warum kommt jetzt diese Mitteilung?

Eine Anlage in der Türkei ist nicht unseren Empfehlungen nach aufgerüstet worden bzw. die Informationen sind nicht weitergeleitet oder beim Verkauf der untersuchten Anlagenteile verloren gegangen. Der neue Betreiber hat eine Firma zur Überprüfung des Assets beauftragt und uns wurde eine entsprechende Mitteilung zugespielt. Wir haben wiederum auf unsere allgemeinen Empfehlungen, die Abschaltung der Webseite und das Alter der Anlage verwiesen, konnten aber die Schwachstelle aus obigen Gründen nicht schließen - wir empfahlen dringend, die Anlagen upzugraden, falls der Webserver eine betriebliche Relevanz aufweist.

Handlungsempfehlung

Die aufgeführten Lücken sind nur unter gewissen Bedingungen erreichbar und können auch durch andere Maßnahmen wie etwa Abschalten des Webservers geschlossen werden. Weiterhin gelten die Empfehlungen aus der Checkliste_IT-Sicherheit_bei_SAE_IT-systems. Ansonsten gelten die im Advisory aufgeführten Maßnahmen wie upgrade auf series5e und update der setIT Version. Bei FW-50 muss typischerweise nur die CPU getauscht werden - selten auch der BGT, falls dieser kein aktueller BGT-x-USB sein sollte, bei FW-5(-BT) die RTU-Einheit; Ein/Ausgabekarten und Schnittstellen müssen nicht getauscht werden.

"Die CISA empfiehlt den Nutzern, Schutzmaßnahmen zur Minimierung der Risiken einzuleiten. Im Speziellen sollten Nutzer:

  • die Netzwerkpräsenz für alle Geräte und/oder Systeme des Steuerungssystems minimieren und sicherstellen, dass diese nicht über das Internet zugänglich sind.
  • Leitsystemnetzwerke und Fernwirkgeräte hinter Firewalls positionieren und diese vom Unternehmensnetzwerk isolieren.
  • Wenn ein Fernzugriff erforderlich ist, sichere Methoden verwenden, wie z.B. Virtual Private Networks (VPNs), und dabei beachten, dass VPNs Schwachstellen aufweisen können und jeweils auf die aktuellste verfügbare Version aktualisiert werden sollten. Beachten Sie auch, dass VPNs nur so sicher sind, wie die daran angeschlossenen Geräte.

Der CISA erinnert Organisationen daran, vor dem Einsatz von Abwehrmaßnahmen eine ordnungsgemäße Schutzanalyse und Risikobewertung durchzuführen." Quelle ICSA frei übersetzt

Wie geht es weiter?

In zukünftigen setIT Versionen wird beim Generieren von series5 Stationen auf den Einsatz von Systemen außerhalb der Pflege mit möglichen Sicherheitsmängeln hingewiesen.
Wir bedauern den Vorfall sehr und entschuldigen uns, falls entsprechende Unannehmlichkeiten ausgelöst wurden. Mit unseren Maßnahmen, Empfehlungen und umfangreichen Versionsnotizen zu den Updates versuchen wir, Sie immer transparent auf dem neusten Stand zu halten. Falls Verbesserungsvorschläge zur Umsetzung dieser Informationskette vorliegen, würden wir uns über eine Rückmeldung sehr freuen.
Bei Fragen zu den genannten Themen stehen wir jederzeit zur Verfügung.

Weitere Informationen:
https://www.us-cert.gov/ics/advisories/ICSA2012602
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ICS/ICS-Security_kompendium_pdf.html

Download

Array

pdf - 638.09 KB
Download

Bilder

Kontakt

SAE IT-systems GmbH & Co. KG
Im Gewerbegebiet Pesch 14
50767 Köln

Tel.: 0221 / 59 808-0
Fax: 0221 / 59 808-60
E-Mail: info( at )sae-it.de

Hotline
Gibt es technische Probleme?
Wir helfen gerne!

Tel.: 0221 / 59 808-55
Tel.: 0700 / SAESERVICE
E-Mail: service( at )sae-it.de

Kontaktformular

Was können wir für Sie tun?
Sie haben eine Frage, wünschen nähere Informationen oder möchten uns einfach Ihre Meinung sagen?
Die Datenschutzbestimmungen akzeptiere ich. Ich stimme weiterhin der Erhebung und utzung meines Klickverhaltens zu, so dass SAE mir in unregelmäßigen Abständen Inhalte angepasst auf meine Präferenzen, aber auch Hinweise auf Termine, Downloads, neue Produkte u.Ä. per E-Mail zusenden kann. Diesen Service sowie die damit verbundene Erklärung kann ich in jeder Ausgabe des Newsletters oder jederzeit über ontaktaufnahme mit marketing@sae-it.de widerrufen.

*=Pflichtfeld

Reparaturanmeldung
Wenn Sie uns eine Reparatur melden möchten, benutzen Sie bitte unser Formular Reparaturanmeldung.

Bei Fragen wenden Sie sich bitte an unsere Reparatur & Service-Abteilung: 0221/59808-55

Top