SAE IT-systems
Im Gewerbegebiet Pesch 14 50767 Köln, Deutschland
0221 598080 0221 5980860 DE812996839 Dipl.-Ing Joachim Schuster

News

BSI CSW-Nr. 2017-244497-10k3 | Kritische CODESYS Schwachstellen bei Marktbegleitern

unter der Kennung 'CSW-Nr. 2017-244497-10k3' hat das BSI eine Schwachstelle der CODESYS Laufzeitumgebung bekannt gemacht, die u.a. in diversen Controllern von Marktbegleitern eingesetzt wird.

Diese Mitteilung unterliegt jedoch der Kennzeichnung TLP-Green und darf daher nicht weiter von uns veröffentlicht werden; wir informieren nur über den Sachverhalt. Weitere Informationen finden Sie offiziell unter:

https://www.sec-consult.com/en/blog/advisories/wago-pfc-200-series-critical-codesys-vulnerabilities/index.html
https://ics-cert.us-cert.gov/advisories/ICSA-13-011-01
Anmerkung: Das Advisory ICSA-13-011-01 stammt aus dem Jahre 2013; es wurden bereits Mitteilungen veröffentlicht unter: CODESYS ICSA-15-288-01, Sicherheitslücke in CODESYS gefixt

Auch wir verwenden die Laufzeitumgebung unter dem Namen codeIT, setzen dies aber in völlig anderer Art und Weise ein. Wir geben Ihnen einen kurzen Überblick:
codeIT ist in allen series5, series5+ und series5e Feldgeräten als programmierbare Applikation optional einsetzbar. Anders als bei Marktbegleitern ist codeIT aber nicht die Basis der Feldgeräte, sondern lediglich die Applikationssteuerung der SPS-Schicht. Es werden nur E/A-Beziehungen aufgebaut; es findet keinerlei Kommunikation außer während der Programmierung selber statt. Schon im Jahr 2013 wurden die Grundsteine zur Abwehr dieser Mitteilung gelegt. Daher ist die Lösung auch unabhängig von der eingesetzten codeIT Version. codeIT alias CODESYS ist bei uns so stark gekapselt, dass etwaige Authentifizierungsprobleme allenfalls während der Programmerstellung auftreten könnten. Hier gibt es eine Reihe von Maßnahmen, dieses zu verhindern:

Das BSI empfiehlt (4.12.2017):

  • Netzwerksegmentierung
  • Der Zugriff auf die Steuerungskomponenten sollte strengreglementiert und überwacht werden.
  • Port 2455 sollte geschlossen werden.
  • Steuerungskomponenten sollten nicht direkt ans Internet angeschlossen werden.
  • Sofern möglich sollten alle verwendeten Komponenten zeitnah aktualisiert werden (Updates / Patches).

Maßnahmen & Stellungnahmen

  • Seit 2015 empfehlen wir, die SPS-Applikation als Programm auf einem Test-Zielsystem zu erstellen, zu prüfen und diese dann nach Freigabe signiert mit der Firmware zusammen durch setIT in die Station zu hinterlegen. Ein Zugriff auf die Programmieroberfläche ist dann gar nicht mehr erforderlich. Sollte dennoch ein Zugriff notwendig werden, so ist kann dieser zeitlich so stark eingeschränkt werden, dass wiederum kaum Angriffsfläche vorhanden ist.
  • Die Netzwerksegmentierung und die Trennung vom Internet gehören zu den bekannten Empfehlungen, die auch wir immer wieder ansprechen.
  • Port 2455 wird nicht von codeIT eingesetzt. Zusätzlich werden alle Ports außer den im Projekt freigeschalteten grundsätzlich blockiert (Empfehlung BDEW Whitepaper).
  • Für die Verbindung mit dem Feldgerät kann ein Zugang/die Kommunikation zusätzlich auf dringend benötigte Verbindungswege in den erweiterten Firewall-Einstellungen beschränkt oder ganz blockiert werden.
  • codeIT - also die SPS-Applikation in den SAE Systemen - hat während des normalen Betriebes keinen Zugang zu einer Kommunikation, da nur E/A-Daten ausgetauscht werden.
    Anders als Marktbegleiter setzen wir die Umgebung nicht als Kern des Fernwirksystems ein, sondern kapseln dies auf eine minimale Angriffsfläche.
  • Das Ausführen von externen Befehlen wurde im Laufzeitsystem von CODESYS über die Funktion COMMAND BROWSER durchgeführt. Diese Funktion wurde disabled, sodass keine externen Kommandos ausgeführt werden. Der Zugriff auf das Dateisystem wurde begrenzt; Es kann nur auf freigebenden Dateien zugegriffen werden.
  • Der Programmiermodus auf die codeIT Applikation kann im Betrieb abgeschaltet bzw. auf 'aktivierbar' gesetzt werden; so wird die Kommunikation nur über einen speziellen Systembefehl für eine begrenzte Zeit freigeschaltet. Hierzu ist mindestens eine setIT V4.008 erforderlich, wir empfehlen setIT V5.004.03.

In Summe gibt es also mehrere Hürden, die eine Kommunikation mit dem Zielsystem und damit eine Ausnutzung des beschriebenen 'read/write/delete' Leaks effektiv verhindern. Es bleibt die Empfehlung, immer eine aktuelle setIT Version einzusetzen, um im Bereich der IT-Sicherheit immer auf dem neusten Stand zu bleiben. Ein Update von codeIT ist aus unserer Sicht nicht erforderlich.

Bildnachweis

© https://www.sae-it.com/

Bilder

Kontakt

SAE IT-systems GmbH & Co. KG
Im Gewerbegebiet Pesch 14
50767 Köln

Tel.: 0221 / 59 808-0
Fax: 0221 / 59 808-60
E-Mail: info(at)sae-it.de

Hotline
Gibt es technische Probleme?
Wir helfen gerne!

Tel.: 0221 / 59 808-55
Tel.: 0700 / SAESERVICE
E-Mail: service(at)sae-it.de

Kontaktformular

Was können wir für Sie tun?
Sie haben eine Frage, wünschen nähere Informationen oder möchten uns einfach Ihre Meinung sagen?
Die Datenschutzbestimmungen akzeptiere ich. Ich stimme weiterhin der Erhebung und utzung meines Klickverhaltens zu, so dass SAE mir in unregelmäßigen Abständen Inhalte angepasst auf meine Präferenzen, aber auch Hinweise auf Termine, Downloads, neue Produkte u.Ä. per E-Mail zusenden kann. Diesen Service sowie die damit verbundene Erklärung kann ich in jeder Ausgabe des Newsletters oder jederzeit über ontaktaufnahme mit marketing@sae-it.de widerrufen.

*=Pflichtfeld

Reparaturanmeldung
Wenn Sie uns eine Reparatur melden möchten, benutzen Sie bitte unser Formular Reparaturanmeldung.

Bei Fragen wenden Sie sich bitte an unsere Reparatur & Service-Abteilung: 0221/59808-55

Top