Das Unternehmen digital bond hat eine Sicherheitslücke in dem Steuerungssystem CODESYS V2.3 entdeckt, wenn dieses in einer offenen Umgebung betrieben wird; das BSI - Bundesamt für Sicherheit in der Informationstechnik - hat uns als Anbieter aufgefordert, der Sache nachzugehen.

Die Lücke ist gechlossen und eine gefixte runtime (Laufzeitsystem im Betriebssystem der series5 Stationen) kann zur Verfügung gestellt werden. Diese ist nun mit der Version setIT V4.007.03 verfügbar.

Gerne stellen wir Ihnen die neue Version zur Verfügung. Sende Sie eine formlose mail an info( at )sae-it.de

Weitere Informationen zur Sicherheitslücke:

Da CODESYS baugleich mit unserer SPS-Programmiersoftware codeIT ist, trifft diese Aussage grundsätzlich auch auf Applikationen mit codeIT zu. Allerdings muss eine Anlage von Außen erreichbar sein, um die Sicherheitslücke ausnutzen zu können. So betrifft dies nur series5Fernwirkstationen, die:

  • mit einer runtime von codeIT ausgestattet sind und bei denen eine SPS Applikation aktiviert wurde
  • die über TCP/IP basiertes Protokoll kommunizieren
  • die in einem offen Netzwerk erreichbar sind

Es betrifft ausdrücklich keine System4 Geräte (FW-40) und Stationen, die - wie grundsätzlich empfohlen - in einem geschlossenen Netzwerk betrieben werden bzw. über VPN- Tunnelung abgesichert sind.

Das offizielle Statement vom Hersteller lautet:

Folgende Kriterien sollen Ihnen die Entscheidung für ein Update des Security Patch auf Ihrer Steuerung vereinfachen:

  1. Die Steuerung ist durch ein Passwort geschützt--> Update empfohlen
  2. Die Steuerung ist nicht durch ein Passwort geschützt--> Update nicht erforderlich
  3. Die Steuerung bietet einen direkten oder einen indirekten Programmierzugang über das Internet, ist jedoch nicht über VPN geschützt: --> Update und Passwordschutz empfohlen UND Installation eines VPN-Zugriffschutzes absolut erforderlich. Oder Sie entfernen den Programmierzugang über das Internet!


Uns ist keine Anlage mit codeIT-Applikation bekannt, die in einem offenen Netzwerk ohne weiteren Schutz wissentlich betrieben wird.
Dennoch empfehlen wir bei Bedenken ein Update auf die aktuelle Version.

Weitere Informationen erhalten Sie u.a. auf der Seite des CODESYS-Herstellers:
http://www.3s-software.com/index.shtml?de_news&news=Security1012

Bilder