Schwerwiegende Sicherheitslücken bedrohen hierzulande kritische Infrastrukturen

Über Softwarefehler in Steuerungsanlagen können Angreifer unter anderem Kraftwerke attackieren und sie zum Stillstand bringen. Davon sind auch kritische Infrastrukturen in Deutschland bedroht. Ein Sicherheitspatch ist verfügbar.

Gefährliche Lücken

Sicherheitsforscher von Microsoft warnen in einem Bericht vor möglichen Attacken. Konkret haben sie im CODESYS V3 SDK 15 mit dem Bedrohnungsgrad "hoch" eingestufte Lücken entdeckt. Mit dem SDK werden Programmable Logic Controllers (PLCs) erstellt, die vor allem in Europa in kritischen Infrastrukturen zum Einsatz kommen.

Angreifer können an den Schwachstellen für DoS-Attacken ansetzen oder sogar Schadcode ausführen. Sind solche Attacken erfolgreich, können Angreifer ganze Kraftwerke lahmlegen, sich dauerhaft über eine Hintertür in Systemen einnisten und Informationen abziehen.

Die Lücken betreffen mehrere CODESYS-Komponenten wie CmpApp und CmpAppBP. Bei der Übergabe von Tags mit Anweisungen an den PLC gibt es keine Überprüfung der Größe, sodass Angreifer hier Speicherfehler auslösen können.

Jetzt patchen!

Damit das klappt, muss ein Angreifer aber authentifiziert sein und über tiefgreifende Kenntnisse des proprietären Protokolls von CODESYS V3 verfügen. Die Authentifizierung stelle Microsoft zufolge aber keine große Hürde dar, weil Angreifer durch eine weitere Schwachstelle (CVE-2019-9013) Zugriff auf Zugangsdaten bekommen können. Diese Lücke wurde bereits vor über drei Jahren geschlossen.

Die Sicherheitsforscher geben an, die Schwachstellen im September 2022 an den Anbieter das SDKs weitergeleitet zu haben. Die gegen die Attacken abgesicherte Ausgabe 3.5.19.0 steht seit März 2023 zum Download bereit. In einer Sicherheitswarnung führt der Softwarehersteller weitere Informationen zu den Schwachstellen auf

Die Sicherheitsforscher haben ihr Wissen über die Lücken auf einer Github-Website zusammengetragen. Außerdem stellen sie zur Erkennung von Attacken Open-Source-Tools bereit.

(des)