IT-Sicherheit bei Sprecher Automation
Sie finden auf dieser Seite regelmäßig Informationen über aktuelle Security-Themen und die entsprechenden Produkte von Sprecher.
Bitte wenden Sie sich bei weiteren Fragen an:
info@sprecher-automation.com (Allgemeine Anfragen)
sprecon@sprecher-automation.com (Anfragen zu SPRECON)
News
Security Advisory, Konfigurationsdatei Inputvalidierungsschwachstelle
Titel | Security Advisory, Konfigurationsdatei Inputvalidierungsschwachstelle |
Datum | 14. Oktober 2020 |
Relevanz | SPRECON-E: betroffen, nicht kritisch SPRECON-V: nicht betroffen |
CVE-Code | CVE-2020-11496 |
Beschreibung | Bezugnehmend auf den am 3.April 2020 veröffentlichten Artikel mit dem Titel: "Risikoeinschätzung von gespeicherten SPRECON-E Konfigurationsdaten" wurden Sicherheitsverbesserungen für die SPRECON-E Control Firmware Version 8.64b angekündigt. Diese möchte Sprecher Automation mit diesem Advisory bekanntmachen und die fehlenden Sicherheitsverbesserungen in den Vorgängerversionen als Schwachstelle mit der CVE-2020-11496 deklarieren. Danke an Gregor Bonney, Mitarbeiter der CyberRange-e der Innogy für die verantwortungsvolle Kommunikation und Koordination der Veröffentlichung nach verfügbarem Firmwareupdate 8.64b.
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11496
|
Vulnerabilities in Wibu Systems CodeMeter Runtime Software
Titel | Vulnerabilities in Wibu Systems CodeMeter Runtime Software |
Datum | 10. September 2020 |
Relevanz | SPRECON-E: nicht betroffen SPRECON-V: betroffen |
CVE-Code | CVE-2020-14513, 14519, 14509, 14517, 16233, und 14515. |
Beschreibung | Security Advisory, SPRECON-V460 Produkte die WIBU SYSTEMS CodeMeter Komponenten einsetzen Mitigationsmaßnahmen siehe angehängtes File.
|
Risikoeinschätzung von gespeicherten SPRECON-E Konfigurationsdaten
Titel | Risikoeinschätzung von gespeicherten SPRECON-E Konfigurationsdaten |
Datum | 03. April 2020 |
Beschreibung | Sprecher Automation möchte mit dieser Mitteilung explizit darauf hinweisen, dass Konfigurationsdaten stets gesichert abzulegen sind und durch unberechtigten Zugriff auf abgelegte Daten ein möglicher Angriffsvektor entsteht. |
Gegenmaßnahmen |
|
Ausblick | Sprecher Automation wird zusätzliche Sicherheitsmechanismen in die Gerätefirmware implementieren um mittels zusätzlicher Validierung potentiell manipulierte Befehle/Konfigurationen zu erkennen und ein Laden zu unterbinden. Diese Mechanismen werden ab SPRECON-E Control Firmware 8.64b zur Verfügung stehen. Weitere Informationen stellt Sprecher Automation gerne auf Anfrage zur Verfügung. |
SPRECON-V460 Editor: Uncontrolled Search Path Vulnerability
Titel | SPRECON-V460 Editor: Uncontrolled Search Path Vulnerability |
Datum | 12. Dezember 2019 |
Relevanz | SPRECON-E: nicht betroffen |
CVE Code | CVE-201915638 |
Beschreibung | Im SPRECON-V460 Editor wurde eine Schwachstelle entdeckt, welche in den Versionen bis 8.10 existiert. Unter bestimmten Umständen kann das manuelle Öffnen von .wsp6 Dateien dazu führen, dass von einem Angreifer manipulierte und am Host-System abgelegte DLLs geladen und ausgeführt werden. |
Urgent 11 in Wind River VxWorks
Titel | Urgent 11 in Wind River VxWorks |
Datum | 14. August 2019 |
Relevanz | SPRECON-E: nicht betroffen |
CVE Code | CVE-2019-12255 bis CVE-2019-12265 |
Beschreibung | Diese Information bezieht sich auf die aktuell kritischen Schwachstellen in Wind River VxWorks. Während SPRECON Produkte diese Software nicht einsetzen und somit nicht betroffen sind, können im Lieferumfang von Sprecher Automation eingesetzte Drittprodukte diese Schwachstellen aufweisen.
|
TCP SACK PANIC: Analyse zu SPRECON
Titel | TCP SACK PANIC: Analyse zu SPRECON |
Datum | 30. Juni 2019 |
Relevanz | SPRECON-E: teilweise betroffen |
CVE Code | CVE-2019-11477, CVE-2019-11478, CVE-2019-11479 |
Beschreibung | Netflix hat eine kritische Schwachstelle im Zusammenspiel von TCP Selective Acknowledgement (SACK) und der TCP Minimum Segment Size (MSS) im Linux Kernel gefunden. Durch das Senden einer spezifischen Abfolge von TCP SACK Paketen mit niedriger MSS kann es zu einem Integer-Overflow kommen, der eine Kernel-Panic auslöst. Es handelt sich also um einen Denial-of-Service Angriff, der somit unter Umständen zur Nicht-Verfügbarkeit eines Gerätes führen kann.
|
Security Updates für Meinberg LANTIME Firmware und NTP für Windows
Titel | Security Updates für Meinberg LANTIME Firmware und NTP für Windows |
Datum | 30. März 2019 |
Relevanz | SPRECON-E: nicht betroffen |
CVE Code | siehe Beschreibung |
Beschreibung | Meinberg veröffentlicht Software Updates welche jeweils eine Schwachstelle in NTP und OpenSSL beheben. Meinberg empfiehlt ein Update auf die gefixten Versionen. |
SPRECON-E: Authenticated path traversal vulnerability
Titel | SPRECON-E: Authenticated path traversal vulnerability |
Datum | 31. März 2019 |
Relevanz | SPRECON-E: betroffen |
CVE Code | - |
Beschreibung | Im Web-Interface (“SPRECON Webserver”) wurde eine Path Traversal Schwachstelle gefunden und behoben. Ein Angreifer mit gültigen Benutzerdaten kann diese Schwachstelle ausnutzen um Dateizugriff außerhalb der Web-Oberfläche zu erlangen, ausschließlich mit den Berechtigungen des Webservers. Auswirkung:
Einschränkung:
Lösung & Workaround: Die Schwachstelle ist ab Firmware 8.62 behoben, und wird in den Longterm Versionen 8.52g sowie 8.56f ebenfalls behoben.
CVSSv2 Base Score: 2.1 Weitere Details sind im angehängten Security Advisory zu finden.
|
Sicherheitslücken in Wibu Systems Wibukey Software
Titel | Sicherheitslücken in Wibu Systems Wibukey Software |
Datum | 26. Februar 2019 |
Relevanz | SPRECON-E: nicht betroffen |
CVE Code | CVE-2018-3989, CVE-2018-3990, CVE-2018-3991 |
Beschreibung | Die WibuKey-Software wird für die Dongle-Lizenzierung vom SPRECON-V460-Editor, der SPRECON-V460-Runtime, dem SPRECON-V460 Webserver, der SPRECON-V460 Logic Runtime, der Straton Runtime, der SPRECON-V460 Logic Workbench und der Straton Workbench verwendet. Einige Versionen sind Bestandteil der Installation der Softwareprodukte. SPRECON-V460-Versionen 8.00 und höher verwenden ausschließlich die CodeMeter-Software von Wibu Systems und sind von diesen Sicherheitsanfälligkeiten nicht betroffen. Der SPRECON-V460 Analyzer verwendet ausschließlich die CodeMeter-Software von Wibu Systems und ist von diesen Problemen nicht betroffen.
Betroffene Versionen:
Patch Verfügbarkeit: Wibu Systems bietet eine aktualisierte Version 6.50b – build 3323 der WibuKey-Software an, mit der die gemeldeten Sicherheitsanfälligkeiten behoben werden. Wibu Systems hatte bereits im Dezember 2018 eine aktualisierte Version 6.50 der WibuKey-Software bereitgestellt, die auch die gemeldeten Sicherheitsanfälligkeiten behebt, jedoch Interoperabilitätsprobleme mit SPRECON-V460-Produkten und parallelen Dongles enthält. Die Software-Version 6.50b „WibuKey Runtime für Windows“ kann unter folgendem Link heruntergeladen werden: https://www.wibu.com/support/user/downloads-user-software.html
Bekannte Probleme: Die Version 6.50 Build 3307 der WibuKey Runtime für Windows-Software hat ein bekanntes Problem mit parallelen WibuKey-Dongles. Beim Starten des SPRECON-V460-Editors oder der SPRECON-V460-Laufzeit wird eine Fehlermeldung mit der Meldung angezeigt „Lizenzierung fehlgeschlagen: Funktion = WkbSelect2 () Der angegebene Parameter ist ungültig (4)“. Wenn die Meldung bestätigt wird, wird die Anwendung mit der intakten Lizenz normal gestartet. Dieses Problem wurde mit der WibuKey Runtime für Windows Version 6.50b behoben.
Umgehungslösungen: Bei den Versionen SPRECON-V460 7.20 und älter wird die WibuKey Runtime-Software automatisch durch das Setup-Verfahren installiert, um WibuKey-Dongles verwenden zu können, ohne dass diese Software manuell installiert werden muss. Wenn das installierte Produkt entweder einen CodeMeter-Dongle oder eine Softwarelizenz verwendet, wird die WibuKey Runtime-Software nicht benötigt und kann über die Windows-Systemsteuerung deinstalliert werden. Durch die Deinstallation der WibuKey Runtime-Software werden die Sicherheitsanfälligkeiten beseitigt. Wenn das installierte Produkt einen WibuKey-Dongle verwendet, werden durch die Deinstallation der WibuKey Runtime-Software die Sicherheitsanfälligkeiten beseitigt, das Produkt kann jedoch nicht mit einer gültigen Dongle-Lizenz gestartet werden. In diesem Fall gibt es keine Schadensbegrenzung und die aktualisierte Version muss installiert werden. Bei den Versionen SPRECON-V460 7.50 und 7.60 wird die WibuKey Runtime-Software im Rahmen des Setups nicht mehr automatisch installiert, sondern zusammen mit den Installationsmedien ausgeliefert. Es ist daher möglich, dass die WibuKey Runtime-Software zu einem bestimmten Zeitpunkt manuell installiert wurde, aber möglicherweise nicht mehr benötigt wird.
Generelle Empfehlungen: Sprecher Automation empfiehlt generell, den lokalen physischen Zugriff nur auf autorisierte Personen zu beschränken. Der Netzwerkzugriff beschränkt sich auf die Kommunikation, die unbedingt erforderlich ist. Durch die Verwendung von VLANs und Firewalls zur Segmentierung des Netzwerkverkehrs und zum Erstellen von Zonen und Kanälen wird die Gefährdung anfälliger Systeme reduziert. Der Zugriff auf einen WibuKey WkLAN-Server kann nur auf die Systeme beschränkt werden, die tatsächlich einen Netzwerk-Dongle verwenden. Es wird empfohlen, dass Systeme, die einen WibuKey WkLAN-Server hosten, nicht auf externe Netzwerke zugreifen. Sprecher Automation empfiehlt weiterhin die Verwendung von Anwendungs-Whitelists, um die Ausführung von Anwendungen auf die Anwendungen zu beschränken, die für den Betrieb des Systems erforderlich sind.
DETAILS: siehe Anhang |
Cisco: Überblick über relevante Schwachstellen der vergangenen 3 Monate
Titel | Cisco: Überblick über relevante Schwachstellen der vergangenen 3 Monate |
Datum | 30. November 2018 |
Relevanz | SPRECON-E: nicht betroffen |
CVE Code | siehe Beschreibung |
Beschreibung | Cisco veröffentlichte mehrere Schwachstellen für ASA Produkte:
Die Schwachstellen CVE-2018-15397, CVE-2018-15399, CVE-2018-15454, und CVE-2018-15383 können für Denial of Service (DoS) Angriffe verwendet werden, wobei diese teilweise von Cisco mit hoher Kritikalität eingestuft werden.
|
Meinberg Security Advisory [MBGSA-1802]
Titel | Meinberg Security Advisory [MBGSA-1802] |
Datum | 30. November 2018 |
Relevanz | SPRECON-E: nicht betroffen |
CVE Code | CVE-2018-12327, CVE-2018-7170, CVE-2018-0732 |
Beschreibung | Meinberg hat Schwachstellen sowohl in der verwendeten NTP-Implementierung als auch in OpenSSL festgestellt und via Firmware-Patches behoben.
Die NTP-Schwachstelle CVE-2018-12327 wird als kritisch angesehen, da diese unter bestimmten Umständen zur Remote Code Execution führen kann. Allerdings besteht seitens Meinberg keine Information ob bzw. in welchen Situationen diese Schwachstelle auch tatsächlich relevant ist.
|
SPRECON-E Kernel Update
Titel | SPRECON-E Kernel Update |
Datum | 7 August 2018 |
Relevanz | SPRECON-E: teilweise betroffen |
CVE Code | - |
Beschreibung | SPRECON-E: Kernel Update mit Firmware 8.59 Die Aktualisierung des Betriebssystem-Kernel von SPRECON-E wurde durchgeführt. Die Aktualisierung des Linux-Kernels verbessert das Defence-In-Depth Konzept von SPRECON-E. |
Cisco: Überblick über relevante Schwachstellen der vergangenen 3 Monate
Titel | Cisco: Überblick über relevante Schwachstellen der vergangenen 3 Monate |
Datum | 7. August 2018 |
Relevanz | SPRECON-E: nicht betroffen |
CVE Code | siehe Beschreibung |
Beschreibung | Mehrere Schwachstellen in CISCO ASA CISCO veröffentlicht mehrere Schwachstellen in CISCO ASA Produkten. Betreiber sollten prüfen welche ASA Versionen im Einsatz sind bzw. ob die jeweiligen Schwachstellen relevant sind: • Denial-of-Service via Web, CVE-2018-0296 Access Control Flaw in CISCO Industrial Ethernet Switch CISCO hat eine Schwachstelle in den IE Switches veröffentlicht. Über das Device Manager Web Interface könnte ein nicht-authentifizierter Angreifer aus der Ferne Cross-Site Request Forgery (CSRF) Attacken ausführen. Mehrere Schwachstellen in CISCO IOS / IOS XE / IOS XR Es wurden mehrere teils kritische Schwachstellen in CISCO IOS Software Versionen veröffentlicht. CISCO IOS befindet sich auf unterschiedlichen Geräteserien im Einsatz. Betreiber von CISCO Geräten sollten prüfen, ob die verwundbaren Versionen im Einsatz sind bzw. ob die Schwachstellen ein Risiko verursachen Übersicht über die Schwachstellen:
https://tools.cisco.com/security/center/publicationListing.x |
Hirschmann Classic Platform Switches: Mehrere Schwachstellen
Titel | Hirschmann Classic Platform Switches: Mehrere Schwachstellen |
Datum | 4. August 2018 |
Relevanz | SPRECON-E: nicht betroffen |
CVE Code | siehe Beschreibung |
Beschreibung | In mehreren Switch-Familien der Firma Hirschmann wurde Schwachstellen veröffentlicht. Diese betreffen: a) „Session Fixation“ Schwachstelle, CVE-2018-5465,CVSS 3.0 Base Score 8.8 b) „Information Exposure“ Schwachstelle, CVE-2018-5467, CVSS 3.0 Base Score 6.5 c) Cleartext Transmission of Sensitive Information, CVE-2018-5471, CVSS 3.0 Base Score 5.9 d) Inadequate Encryption Strength, CVE-2018-5461, CVSS 3.0 Base Score 6.5 e) “Improper Restriction of Excessive Authentication Attempt” Schwachstelle, CVE-2018-5469, CVSS 3.0 Base Score 9.8
Gegenmaßnahme:
|
SPRECON-V460: Meltdown / Spectre
Titel | SPRECON-V460: Meltdown / Spectre |
Datum | 12. Jänner 2018 |
Aktualisiert | 23. Februar 2018 |
Relevanz | SPRECON-V: teilweise betroffen |
CVE Code | CVE-2017-5753, CVE-2017-5715, etc. |
AKTUALISIERUNG 1: | Wir können bestätigen, dass die folgenden Aktualisierungen mehrere Probleme beheben, die durch die zu Beginn des Jahres 2018 erfolgten Microsoft Sicherheitsupdates verursacht wurden.
|
Beschreibung | Wie aus den Medien bekannt, sind mehrere CPU-Generationen namhafter Chiphersteller (Intel, MD, etc.) betroffen. Meltdown und Spectre nutzen Lücken u.A. im Kernel-Mapping zum Auslesen des Speichers, wodurch letztlich ein Zugriff auf beliebige Speicherbereiche und somit potentiell sensitive Informationen möglich ist. ! Aktuell wurde festgestellt, dass die verfügbaren Microsoft Patches zu Problemen führen. Es wird daher nicht empfohlen die Patches direkt im Operativsystem einzuspielen. Falls diese angewendet werden sollen, wird empfohlen vor dem Einspielen der Patches ein Backup der Systeme zu erstellen und die Patches zuerst auf einem Testsystem einzuspielen und die prinzipielle Funktion der Systeme zu prüfen. Alternativmaßnahmen wie unten beschrieben können ergriffen werden. ! Um festzustellen, ob ein bestimmter PC von den Schwachstellen betroffen ist, stellt Microsoft Windows ein Tool bereit - dies wird in untenstehendem Link ebenfalls beschrieben.
Gegenmaßnahme:
|
Cisco ASA Double-Free Memory Error in SSL VPN Lets Remote Users Execute Arbitrary Code on the Target System
Titel | Cisco ASA Double-Free Memory Error in SSL VPN Lets Remote Users Execute Arbitrary Code on the Target System |
Datum | 8. Februar 2018 |
Relevanz | SPRECON-E: nicht betroffen |
CVE Code | CVE-2018-0101 |
Beschreibung | Über das Senden von speziellen XML Paketen an das webvpn-interface kann ein Speicherfehler (double free memory error) in der SSL VPN Funktion hervorgerufen werden, welcher es dem Angreifer ermöglichen kann Code auf dem Zielsystem auszufüren.
Gegenmaßnahme:
|
Cisco ASR 9000 Series Router IOS XR IPv6 Packet Processing Flaw Lets Remote Users Cause the Target System to Reload
Titel | Cisco ASR 9000 Series Router IOS XR IPv6 Packet Processing Flaw Lets Remote Users Cause the Target System to Reload |
Datum | 8. Februar 2018 |
Relevanz | SPRECON-E: nicht betroffen |
CVE Code | CVE-2018-0136 |
Beschreibung | Über diese Schwachstelle könnte ein Angreifer aus der Ferne einen Geräteneustart erreichen. Durch spezielle IPv6 Pakete mit fragment header extension zu oder durch „trident Based“ line cards wird ein reload dieses Netzwerkmoduls erreicht.
Gegenmaßnahme:
|
Schwachstellen in SPRECON-E Firmware vor 8.49
Titel | Schwachstellen in SPRECON-E Firmware vor 8.49 |
Datum | 31. Jänner 2018 |
Relevanz | SPRECON-E: betroffen |
CVE Code | - |
Beschreibung | Das Unternehmen SEC Consult hat in einer Untersuchung 5 Findings zu SPRECON-E Produkten publiziert. Diese Stellungnahme soll Kunden von Sprecher Automation unterstützen diese Findings besser einzuordnen und ggf. Maßnahmen ergreifen zu können. Die Übertragung der Daten geschieht mit dem Systemuser des Webservers. Da dieser am System nur eingeschränkte Rechte aufweist (Security-by-Design), und auch keine Möglichkeit besteht eventuell geladenen Code auszuführen, ist das Risiko durch diese Schwachstelle als gering einzuschätzen. Diese Schwachstelle betrifft ausschließlich das Feature Webserver. Der Webserver ist im Standardzustand deaktiviert und muss vom Anwender dezidiert aktiviert werden. Zusätzlich wurde die Schwachstelle ab Firmware 8.49 behoben.
Dies setzt voraus, dass der Angreifer zuvor an die richtigen Passwort-Hashes gelangt. Das davon ausgehende Risiko wird als gering eingestuft. Diese Schwachstelle betrifft ausschließlich das Feature Webserver. Der Webserver ist im Standardzustand deaktiviert und muss vom Anwender dezidiert aktiviert werden. Zusätzlich wurde die Schwachstelle ab Firmware 8.49 behoben.
3) Missing Authentication Diese Software- PLC ist standardmäßig deaktiviert und kann vom Nutzer aktiviert werden. Ist diese Funktion aktiviert, kann ein Debugging aus der Ferne eingesetzt werden, wobei der SPRECON-E PLC Designer mit dem Gerät über Netzwerk verbunden wird (s.g. PLC Online Test). Für dieses Remote-Debugging ist keine Authentifizierung am Gerät notwendig, die hierfür verwendete Telnet Session verwendet keine Authentifizierung. Die Einstufung des Risikos hängt vom Einsatzgebiet des Produktes ab. Wird Netzwerkzugang zum Gerät ermöglicht, so kann über diese Schnittstelle die Soft-PLC gesteuert (z.B. gestoppt) werden, sofern diese aktiv ist. Über das SPRECON-E Service Programm kann die Funktion PLC
4) Permanent Denial of Service via Portscan Durch bestimmte Portscans ist es konfigurationsabhängig möglich das Gerät zum Absturz zu bringen. Ein Angreifer muss sich im Netzwerk befinden und Portscans durchführen zu können. Gegenmaßnahmen wurden in neueren Firmwareversionen (ab 8.49) integriert. Alternativ können entsprechend der Empfehlung im Dokument „SPRECON Grundhärtung“ (94.2.913.50) grundlegende Firewall-Regeln aktiviert werden. Derartige Angriffe bleiben dadurch wirkungslos.
Da der Kernel von Sprecher Automation aktiv weiterentwickelt und gepatcht wird, ist die ursprüngliche Kernel-Version nicht aussagekräftig. Ebenfalls ist kein direkter Betriebssystemzugriff oder Schadcodeausführung am System möglich, weshalb das vom Kernel ausgehende Risiko als sehr gering definiert wird.
Gegenmaßnahme:
|
SPRECON-E: Meltdown / Spectre
Titel | SPRECON-E: Meltdown / Spectre |
Datum | 12. Jänner 2018 |
Relevanz | SPRECON-E: teilweise betroffen |
CVE Code | CVE-2017-5753, CVE-2017-5715 |
Beschreibung | Wie aus den Medien bekannt, sind mehrere CPU-Generationen namhafter Chiphersteller (Intel, AMD, etc.) betroffen. Unter den betroffenen CPU-Modellen befindet sich ebenfalls der bei unserer FALCON CPU (PU244x) verwendete ARM Chip. Andere SPRECON-E Produkte bzw. CPU-Linien im SPRECON-E Portfolio (PU243, PU242, MC32, etc.) sind nicht betroffen. Allerdings ist das für FALCON Geräte entstehende Risiko als marginal zu beurteilen.
Hier die Fakten dazu:
[1] https://developer.arm.com/support/security-update
Gegenmaßnahme:
|
Meinberg: Mehrere Sicherheitslücken via Web-Benutzerschnittstelle
Titel | Meinberg: Mehrere Sicherheitslücken via Web-Benutzerschnittstelle |
Datum | 19. Dezember 2017 |
Relevanz | SPRECON-E: nicht betroffen |
CVE Code | CVE-2017-1678, CVE-2017-16787, CVE-2017-16788 |
Beschreibung | Die Firma Meinberg informiert über mehrere Schwachstellen in der Web-Benutzerschnittstelle sowie der NTP-Schlüsselerzeugung. Details siehe CVE und entsprechende Einträge in CVE-Datenbanken, sowie http://www.ids.de/it-security/it-security-bulletin.html.
Gegenmaßnahme: Die Schwachstellen und der beschriebene Fehler wurden mit der Firmware-Version 6.24.004 behoben, welche sich Meinberg-Kunden kostenlos unter https://www.meinberg.de/german/sw/firmware.htm downloaden können.
|
Cisco ASA Software Direct Authentication Denial of Service Vulnerability
Titel | Cisco ASA Software Direct Authentication Denial of Service Vulnerability |
Datum | 16. Oktober 2017 |
Relevanz | SPRECON-E: nicht betroffen |
CVE Code | CVE-2017-12246 |
Beschreibung | Eine Schwachstelle im Direct Authentication Feature der Cisco Adaptive Security Appliance Software ermöglicht es nicht-authentifizierten Angreifern aus der Ferne ein reload auszuführen und somit ein Denial-Of-Service zu erreichen.
Gegenmaßnahme: Cisco stellt Software Updates zur Verfügung, welche diese Lücke schließen. > https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171004-asa
|
ICS Malware "CRASHOVERRIDE"
Titel | ICS Malware "CRASHOVERRIDE" |
Datum | 14. Juni 2017 |
Relevanz | SPRECON-V460 |
CVE Code | CVE-2015-5374 |
Beschreibung | Der Threat Intelligence Anbieter im Bereich Industria lControl Systems (ICS) Dragos hat in Zusammenarbeit mit der Sicherheitsfirma ESET ein Advisory veröffentlicht. Aus diesem geht hervor, dass es sich um eine hochmodulare Malware handelt, die in der Lage ist, den Betrieb von Stromnetzen zu beeinflussen. Sowohl Dragos als auch ESET gehen davon aus, dass es sich hierbei um die Malware handelt, die Ende Dezember 2016 bei Angriffen auf das Stromnetz in der Ukraine verwendet wurde.
Einschätzung
> BBC-News > WIN32/Industroyer: A new threat for industrial control systems > WIN32/Industroyer: Indicators of Compromise > Siemens Security Advisory by Siemens
|
Ransom-Malware "WannaCry"
Titel | Ransom-Malware "WannaCry" |
Datum | 17. Mai 2017 |
Relevanz | SPRECON-V460 Stationen |
CVE Code | CVE-2017-0143, CVE-2017-0144, CVE-2017-0147, etc. |
Beschreibung | Seit 12.05.2017 breitet sich die Ransomware WannaCry im weltweiten Internet aus. Hierbei handelt es sich um einen Kryptotrojaner, welcher die Daten auf den betroffenen Systemen verschlüsselt. Diese konkrete Ransomware ist besonders kritisch, da sie sich im Netzwerk über Windows-Schwachstellen verbreitet und so nicht nur den primär infizierten Rechner, sondern gesamte Unternehmensnetzwerke befallen kann.
Einschätzung
> CERT.at: Ransomware/Wurm WannaCry > BSI: Tausende Clouds in Deutschland anfällig für Cyber-Attacken > Microsoft: Customer Guidance for WannaCrypt attacks > Microsoft: How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
|
Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability
Titel | Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability |
Datum | 16. Mai 2017 |
Relevanz | SPRECON-E-C/-E-P/ -E-T3: nicht betroffen SPRECON-V460: nicht betroffen |
CVE Code | CVE-2017-3881 |
Beschreibung | Eine Schwachstelle in der Cisco Cluster Management Protokoll (CMP) Implementierung in Cisco IOS und Cisco IOS XE kann unauthorisierten Angreifern aus der Ferne einen Neustart oder die Ausführung von Code mit erhöhten Rechten ermöglichen.
Betroffene Geräte
|
Hinweis: Vertrauliche Verwendung von ipsec Konfigurationsdateien
Titel | Hinweis: Vertrauliche Verwendung von ipsec Konfigurationsdateien |
Datum | 15. Mai 2017 |
Relevanz | Anwender von IPSec VPN Verbindungen mit SPRECON-E |
CVE Code | Kein CVE Code, da keine Schwachstelle |
Beschreibung | Seit Firmware 8.41 können IPSec VPN Verbindungen auf SPRECON betrieben werden. Die Konfiguration erfolgt über das Tool Security Editor, mit welchem die jeweiligen IPSec Settings definiert werden können. Aus diesem Tool wird nach erfolgter Konfiguration die proprietäre Datei ipsec.cfg exportiert, welche anschließend vom Anwender durch das Tool SPRECON Designer in die Hauptkonfigurationsdatei (Prozessrechnerliste) eingepackt und hiermit auf das Gerät geladen werden kann.
Bei der IPSec Konfiguration werden für die Authentifizierung des IPSec Verbindungsteilnehmers ebenfalls – je nach gewählter Methode – ein pre-shared key (PSK) oder ein Zertifikat angegeben, welches wiederum einen privaten Schlüssel enthält. Der Hersteller weist darauf hin, dass dies vertrauliche Daten sind, und somit beim Betreiber die ipsec.cfg Files sicher zu verwalten sind.
Die ipsec.cfg Files weisen derzeit einen passwortgeschützten Manipulationsschutz auf, um unberechtigte Anwender davor zu bewahren diese versehentlich zu verändern. Ab SPRECON Firmware 8.56 und Security Editor 1.03 wird eine starke kryptographische Verschlüsselung eingesetzt, um zusätzlich auch die Vertraulichkeit der Inhalte dieser Konfigurationsdatei in erhöhtem Maße sicherzustellen.
|
Rechteausweitung im SPRECON-E Service Program
Titel | Rechteausweitung im SPRECON-E Service Program |
Datum | 21. Dezember 2016 |
Relevanz | SPRECON-E-C/-E-P/-E-T3: betroffen SPRECON-V460: nicht betroffen |
CVE Code | CVE-2016-10041 |
Beschreibung | Unter bestimmten Vorbedingungen ist es möglich, als Nicht-Admin-User eine Telegrammsimulation durchzuführen. Als Vorbedingung muss ein User eine Online-Verbindung herstellen, mit Rolle Administrator gültig authentifizieren und autorisieren sowie die Telegrammsimulation öffnen. Die Online-Verbindung muss anschließend beendet werden. Ein fehlerhaftes Caching der Client-Daten kann danach dazu führen, dass ein neu angemeldeter User ohne Admin-Rechte eine Telegrammsimulation ausführen kann. Um die Lücke auszunützen, muss ein Angreifer Zugriff auf den verwendeten Service-PC sowie einen gültigen Engineering-Account im SPRECON RBAC System besitzen. Ebenfalls muss ein Admin-User zuvor das Telegramm-Simulationsfenster geöffnet haben und die Service-Verbindung geschlossen haben, ohne das Service Program zu schließen. Es besteht somit kein Risiko durch externe Angreifer.
Betroffenes Produkt: SPRECON-E Service Program 3.42 SP0
EinschränkungDieser Fehler tritt nur in Verbindung mit der rollenbasierten Zugriffkontrolle (RBAC) auf. RBAC ist auf SPRECON erst ab folgenden Versionen verfügbar:
LösungSprecher Automation empfiehlt ein Update des SPRECON-E Service Programs auf die Version 3.43 SP0 oder höher. Ein Update des Service Programs ist unabhängig von Firmware und anderen Produkten. WorkaroundWird als Prozess festgelegt und sichergestellt, dass das Service Program nach jeder Verwendung vom jeweiligen User geschlossen wird, geht von dieser Lücke kein Risiko aus.
|
![]() |
Teilweise kritische Schwachstellen in CISCO ASA
Titel | Teilweise kritische Schwachstellen in CISCO ASA |
Datum | 25. Oktober 2016 |
Relevanz | SPRECON-E-C/-E-P/-E-T3: nicht betroffen SPRECON-V460: nicht betroffen |
CVE Code | CVE-2016-6432 CVE-2016-6431 CVE-2016-6439 |
Beschreibung | Cisco schließt mit Software Update teilweise kritische Sicherheitslücken.
|
Schwachstellen in Siemens SIPROTEC 4 und SIPROTEC Compact
Titel | Schwachstellen in Siemens SIPROTEC 4 und SIPROTEC Compact |
Datum | 06. September 2016 |
Relevanz | SPRECON-E-C/-E-P/-E-T3: nicht betroffen SPRECON-V460: nicht betroffen |
CVE Code | CVE-2016-7112 CVE-2016-7113 CVE-2016-7114 |
Beschreibung | Mit dem aktuellen Firmware Update für SIPROTEC 4 und SIPROTEC Compact schließt Siemens mehrere kritische Schwachstellen, welche laut cvedetails.com mit CVSS-Scores zwischen 7.8 und 10 bewertet wurden. Die Schwachstellen befinden sich im EN100 Ethernet-Modul.
> Siemens |
Schwachstellen in Meinberg NTP-Server
Titel | Schwachstellen in Meinberg NTP-Server |
Datum | 10. August 2016 |
Relevanz | SPRECON-E-C/-E-P/-E-T3: nicht betroffen SPRECON-V460: nicht betroffen |
CVE Code | |
Beschreibung | Folgende Produkte (Versionen vor 6.20.004) weisen mehrere kritische Schwachstellen beim NTP-Server auf:
CVE-2016-3962 und CVE-2016-3988 sind Buffer-Overflow Schwachstellen im Time-Server Interface, welche es Angreifern aus der Ferne erlauben, Denial-Of-Service zu erreichen bzw. sensitive Informationen zu kapern oder zu manipulieren. CVE-2016-3989 ermöglicht "Privilege Escalation", wobei Angreifer über einen "nobody" User Root-Rechte erhalten können. Die Schwachstellen wurden mit 7.3 bzw. 8.1 bewertet. Meinberg stellt bereits eine neue Firmware bereit die die Schwachstellen schließt (Version 6.20.004).
> ICS-CERT |
Cisco ASA Software IKEv1 and IKEv2 Buffer Overflow Schwachstelle
Titel | Cisco ASA Software IKEv1 and IKEv2 Buffer Overflow Schwachstelle |
Datum | 11. Oktober 2015 |
Relevanz | SPRECON-E-C/-E-P/-E-T3: nicht betroffen SPRECON-V460: nicht betroffen |
CVE Code | CVE-2016-1287 |
Beschreibung | Die Lücke befindet sich im Code für den Internet Key Exchange (IKEv1 und IKEv2). Sie erlaubt einem nicht authentifizierten Angreifer, mittels eines speziell gestalteten UDP-Pakets, Code auf dem betroffenen Gerät auszuführen. Durch diese Lücke kann ein Angreifer laut Cisco die Kontrolle über betroffene Systeme übernehmen. Cisco stellt bereits Sicherheitsupdates für diese Schwachstelle bereit. |
3S CODESYS Runtime Toolkit Null Pointer Dereference Vulnerability
Titel | 3S CODESYS Runtime Toolkit Null Pointer Dereference Vulnerability |
Datum | 15. Oktober 2015 |
Relevanz | SPRECON-E-C/-E-P/-E-T3: nicht betroffen SPRECON-V460: nicht betroffen |
CVE Code | CVE-2015-6482 |
Beschreibung | Tenable Network Security hat eine "NULL pointer dereference" Sicherheitslücke im CODESYS Runtime Toolkit der 3S-Smart Software Solutions GmbH aufgedeckt.
Diese Lücke erlaubt einem Angreifer das Runtime Toolkit zum Absturz zu bringen und so ein „Denial of Service“ zu erreichen. Betroffen ist das CODESYS Runtime Toolkit mit Version < 2.4.7.48. |
VxWorks Fuzzing
Titel | VxWorks Fuzzing |
Datum | 14. September 2015 |
Relevanz | SPRECON-E-C/-E-P/-E-T3: nicht betroffen SPRECON-V460: nicht betroffen |
CVE Code | noch keine Einordnung vorhanden |
Beschreibung | Mittels Fuzzing können Schwachstellen in den weit verbreiteten Versionen 5.5 bis einschließlich 6.9.4.1 des Realtime-Embedded-Betriebssystems VxWorks (Hersteller: Wind River) identifiziert werden.
Durch die Ausnutzung dieser Schwachstellen ist es möglich, über das Netzwerk einen Pufferüberlauf zu provozieren und anschließend beliebigen Code auszuführen. Darüber hinaus konnte man mit einem speziellen Nutzernamen und Passwort den FTP-Server des Systems zum Absturz bringen (demonstriert auf der Security-Konferenz 44CON).
Die neueste Generation – VxWorks Version 7 – ist davon nicht betroffen. |
#OprahSSL
Titel | #OprahSSL |
Datum | 06. Juli 2015 |
Relevanz | SPRECON-E-C/-E-P/-E-T3: nicht betroffen SPRECON-V460: nicht betroffen |
CVE Code | CVE-2015-1793 |
Beschreibung | Lücke in OpenSSL - Certificate Verification Bug:
Der Fehler existiert in den aktuellsten OpenSSL-Versionen (erstes Halbjahr 2015) 1.0.2c, 1.0.2b, 1.0.1n und 1.0.1o. |
LogJam
Titel | LogJam |
Datum | 09. Juni 2015 |
Relevanz | SPRECON-E-C/-E-P/-E-T3: nicht betroffen SPRECON-V460: nicht betroffen |
CVE Code | CVE-2015-4000 |
Beschreibung | "LogJam" ist eine Sicherheitslücke des Diffie-Hellman-Kryptoprotokolls für verschlüsselte Verbindungen bei Web-, Mail-, SSH- und VPN-Servern. Durch eine Schwäche im TLS-Verfahren (Transport Layer Security) kann die Schlüssellänge durch einen Man-in-the-Middle-Angriff auf unsichere 512 Bit reduziert werden.
Damit können HTTPS-Verbindungen in einen unsicheren Export-Modus gebracht und kompromittiert werden. Normalerweise wird die 512 Bit Schlüssellänge nicht mehr genutzt, jedoch von manchen Servern aus Kompatibilitätsgründen noch unterstützt. |
Abhilfe | Diffie-Hellman-Gruppe bei IPsec mindestens auf DH5 (1.536 Bits) setzen. |
Ghost
Titel | Ghost |
Datum | 10. Februar 2015 |
Relevanz | SPRECON-E-C/-E-P/-E-T3: nicht betroffen SPRECON-V460: nicht betroffen |
CVE Code | CVE-2015-0235 |
Beschreibung | "GHOST" ist eine Sicherheitslücke in der Funktion gethostbyname() der Standard-C-Bibliothek Glibc. Dabei kann ein Schadcode unter bestimmten Umständen über bösartige DNS-Antworten ausgeführt werden.
Die Lücke existiert ab Glibc 2.2 (11/2000) und wurde mit der Version 2.18 (01/2013) behoben. |
Schannel (Microsoft® Secure Channel)
Titel | Schannel (Microsoft® Secure Channel) |
Datum | 17. November 2014 |
Relevanz | SPRECON-E-C/-E-P/-E-T3: nicht betroffen SPRECON-V460: nicht betroffen 3rd-Party: Microsoft® Windows® Server 2003 SP2, Windows® Vista SP2, Windows® Server 2008 SP2 und R2 SP1, Windows® 7 SP1, Windows® 8, Windows® 8.1, Windows® Server 2012 Gold und R2, und Windows® RT Gold und 8.1 |
CVE Code | CVE-2014-6321 |
Beschreibung | Die Krypto-Komponente "Microsoft® Secure Channel" ist unter anderem auch für verschlüsselte Internet-Verbindungen zuständig. Microsoft® stufte die selber entdeckte Sicherheitslücke als kritisch (MS14-066) ein. Durch das Schannel-Sicherheitsleck können Angreifer manipulierte Datenpakete einschleusen (z.B. über präparierte Internetseiten) und den Computer übernehmen. |
Abhilfe |
|
Poodle
Titel | Poodle |
Datum | 23. Oktober 2014 |
Relevanz | SPRECON-E-C/-E-P/-E-T3: Webserver SPRECON-V460: nicht betroffen 3rd-Party: IP-Kamerazugriff per Browser (Chrome, Firefox, Internet Explorer,...) |
CVE Code | CVE-2014-3566 |
Beschreibung | Wenn Server und Client einer TLS-Verbindung (z.B. aus Kompatibilitätsgründen) auch die Vorgängerversionen des Protokolls unterstützen, kann ein Angreifer durch eine MiM (Man-in-the-Middle)-Attacke einen Rückfall auf das anfällige SSLv3 erzwingen, in weiterer Folge kann das Session Cookie offengelegt und somit die Verbindung übernommen werden.
Die bisherige, aus Kompatibilitätsgründen bestehende Unterstützung von SSLv3 im SPRECON Webserver wird ab der nächsten Version aufgelassen. |
Abhilfe |
|
SandWorm
Titel | SandWorm |
Datum | 17. Oktober 2014 |
Relevanz | SPRECON-E-C/-E-P/-E-T3: nicht betroffen SPRECON-V460: nicht betroffen 3rd-Party: Microsoft® Anwendungen, z.B. MS Office, alle Windows® Versionen ab Vista |
CVE Code | CVE-2014-4114 |
Beschreibung | SandWorm betrifft sämtliche Windows® Betriebssysteme ab Windows® Vista. Die Sicherheitslücke besteht seit sechs Jahren und wurde Anfang September 2014 von der Sicherheitsfirma iSight entdeckt.
Mittels infizierter PowerPoint-Datei konnten Zielrechner derart kompromittiert werden, um danach die eigentliche Schad- und Spionagesoftware einzuschleusen.
Microsoft® veröffentlichte am Dienstag, den 14. Oktober 2014 ein Sicherheitsupdate (KB300061) für die Sicherheitslücke. |
Bash-Sicherheitslücke: ShellShock
Titel | ShellShock |
Datum | 29. September 2014 |
Relevanz | SPRECON-E-C/-E-P/-E-T3: nicht betroffen SPRECON-V460: nicht betroffen |
CVE Code | |
Beschreibung | Bash, der Kommandozeileneditor von OS X und Linux enthält eine brisante Sicherheitslücke. Über Variablen lassen sich Funktionen und somit auch Schadcode ausführen.
"ShellShock" ist durch die mediale Berichtserstattung einer breiten Öffentlichkeit bekannt und wurde von Experten bereits mit dem "Heartbleed"-Bug verglichen, denn immerhin wurde die Lücke in der CVE-Datenbank des NIST mit der maximalen Gefährlichkeit von zehn Punkten eingestuft. Laut Github erfolgten bereits Angriffsversuche mit Malware. |
Übersicht
IT-Sicherheit
Die Herausforderungen in der Gestaltung zukünftiger Stromnetze liegen im Zusammenschluss aller teilnehmenden Erzeuger, Konsumenten und Prosumenten. Die stetig steigende Vernetzungsdichte und die zunehmende Anzahl an Stromnetzteilnehmern vergrößert den Angriffsvektor auf Energiesysteme.
Dazu bedarf es an technologischen Lösungen, welche den Ansprüchen moderner Informations- und Kommunikationstechnologien gerecht werden – vor allem hinsichtlich Datenmanagement und Datensicherheit.
Sicherheitsstandards
Mit SPRECON bietet Sprecher Automation einen modulare Automatisierungsplattform für Energieübertragung und Energieverteilung, welche für den Einsatz in kritischen Infrastrukturen (KRITIS) entwickelt wurde. Zu den kritischen Infrastrukturen zählen Energie, Wasser, IKT & Telekommunikation sowie Transport & Verkehr.
SPRECON sowie die Unternehmensprozesse von Sprecher Automation sind für die Zertifizierung nach den zukünftigen Bestimmungen vorbereitet.
SPRECON-Systeme entsprechen dem IT Sicherheitskatalog gemäß § 11 Abs. 1a EnWG der deutschen Bundesnetzagentur, dem Security-Whitepaper des BDEW sowie den internationalen Standards der ISO/IEC 27000-Reihe (z. B. ISMS), IEC 62351 und IEC 62443.
Sicherheitsfunktionen
SPRECON-Geräte bieten umfassende Funktionen für den sicheren Betrieb von Energieanlagen.
- Sichere Kommunikation von Prozessdaten durch VPNTunneling mittels OpenVPN oder IPsec
- Integrierte Firewall
- Authentifizierung am Endpunkt sowie Passwortverschlüsselung
- Anbindung an RADIUS/LDAP (Directory Services) sowie lokale Zugriffsverwaltung für den Zugriff aus einem Outof-Band-NetzSicherer
- Zugriff für Inbetriebnahme und Service durch Role-Based Access Control (RBAC) im Service- Programm und Webserver
- Systemhärtung durch Deaktivierung nicht benötigter Dienste, Ports oder auch Webserver sowie durch gesicherte Verbindung mittels Transport Layer Security (TLS)
- Netzwerküberwachung (Security Logging) über Syslog und SNMPv3
- Netzwerksegmentierung mittels VPN, VLAN, Firewall sowie unabhängiger physischer Schnittstellen
- Schutz vor Schadsoftware (Malware) durch eigene Firmware sowie Application Whitelisting
SPRECON-Geräte unterstützen VPN-Tunneling für alle IPbasierenden Dienste und Protokolle. Sie bieten durchgängige Sicherheit und Verschlüsselung ab der CPU in Verbindung mit dem integrierten Modem oder einer beliebigen vorhandenen Netzwerkinfrastruktur und somit eine geschützte IPVerbindung. Die verwendeten Hochleistungs-CPUs unterstützen dabei den Aufbau von VPN-Tunnel und die Verschlüsselung der Daten entweder mit Multi-Channel IPsec oder OpenVPN. Beide Technologien können je nach Kundenanforderungen eingesetzt werden, womit auf spezifische Bedingungen wie beispielsweise verwendete Plattformen, Netzwerkkomponenten oder kryptografische Forderungen eingegangen werden kann.
VPN-Verbindungen können dabei – wie aktuell in vielen Projekten üblich – für Fernwirkverbindungen oder für den Datenaustausch mit Netzleitstellen (SCADA) eingesetzt werden und dienen ebenfalls der gesicherten Kommunikation zwischen SPRECON-Geräten. Da die Verschlüsselung hierbei auch Netzwerkdienste wie NTP umfasst, wird eine ganzheitliche Härtung der Kommunikation erreicht.
Zusätzlich bieten SPRECON-Geräte eine integrierte Firewall, die direkt in der Firmware und somit im Gerät verankert ist, wodurch der Einsatz zusätzlicher Geräte verringert werden kann. Die Kombination mit bestehenden Firewalls erhöht dabei die Sicherheit entsprechend dem Defense-in-Depth-Prinzip.
Außerdem werden Erweiterungen der Firewall auf Applikationsebene
ermöglicht (Application Firewall) um etwa den Kommunikationsverkehr über domänenspezifische Protokolle wie etwa IEC 60870-5-104 zu überwachen bzw. Telegramme unberechtigter Geräte frühzeitig zu blockieren und somit eine Kompromittierung zu verhindern.
SPRECON-Systeme unterstützen auch das Syslog-Protokoll. Dadurch können Systemmeldungen über Netzwerk übertragen und an zentraler Stelle unter Verwendung von Regelwerken vorbeugende Analysen durchgeführt werden.
Management von IT-Sicherheit
IT-Sicherheit ist bei Sprecher Automation ein durchgängiger Unternehmensprozess. Dazu sind auch entsprechende Sicherheitsbeauftragte installiert.
Die Erstellung der Sicherheitsrichtlinien sowie Codier-Regeln für Entwicklung und Systemdesign basieren dabei auf klaren Sicherheitsvorgaben und definieren auch den Einsatz von Analyse-Werkzeugen zur Erkennung von
Schwachstellen, welche datenbankgesteuert überwacht werden. Der komplette Source Code befindet sich im Besitz von Sprecher Automation.
Die Härtung der Systeme bzw. die sicheren Systemkonfigurationen werden durch professionelle und etablierte Arbeitsroutinen erzielt.
Mit den Erfahrungen aus einer Vielzahl an Referenzinstallationen
mit unterschiedlichen Sicherheitsanforderungen – darunter auch Projekte mit renommierten Forschungsinstitutionen – sowie durch regelmäßig abgehaltene Schulungen seiner Fachkräfte garantiert Sprecher Automation seine Kompetenz für diese unverzichtbare Technologie.
Produktion und Endprüfung der Systeme erfolgen in Österreich bzw. in der Sprecher Zentrale in Linz.
Sprecher Automation unterstützt seine Kunden auch bei der Einführung von Informationssicherheits-Management-Systemen (ISMS).
Für die Ausrollung sicherheitsrelevanter Aktualisierungen wurden bei Sprecher Automation Patch-Managementprozesse installiert. Darüber hinaus werden Sicherheitsprobleme über Änderungsprotokolle kommuniziert (Release Notes).
Informationen über aktuelle Sicherheitsthemen werden auf www.sprecher-automation.com unter „IT-Security“ angezeigt.
Richtlinien & Empfehlungen
Passende Richtlinien und Empfehlungen zum Thema IT-Security auf einen Blick: