Kritische Sicherheitslücken in Pepperl+Fuchs Sensor Systemen
Table of Contents
Am 10. Juli 2024 wurde eine kritische Sicherheitslücke (VDE-2024-038) in mehreren Produkten von Pepperl+Fuchs veröffentlicht. Die betroffenen Geräte der OIT Serie werden zur optischen Identifikation in Hochtemperatur Umgebungen eingesetzt und weisen Schwachstellen auf, die durch anonymen FTP-Server- und Telnet-Zugang verursacht werden.
Betroffene Produkte und Versionen
- Artikelnummer 194233: OIT1500-F113-B12-CB (<= V2.11.0)
- Artikelnummer 194231: OIT200-F113-B12-CB (<= V2.11.0)
- Artikelnummer 194232: OIT500-F113-B12-CB (<= V2.11.0)
- Artikelnummer 295845: OIT700-F113-B12-CB (<= V2.11.0)
Die Schwachstellen können zu folgenden Problemen führen:
- Informationsoffenlegung: Angreifer können Bilder, Seriennummern, Firmware-Versionen, Betriebssystem-Protokolldateien und Konfigurationen auslesen.
- Dienstunterbrechung: Prozesse können gestoppt werden, was zu einem Denial-of-Service führt.
- Gerätemanipulation: Daten können ausgelesen, gelöscht oder geändert werden.
Schwachstellen
- CVE-2024-6422: Kritisch, Score: 9.8
- CVE-2024-6417: Hoch, Score: 7.5
Pepperl+Fuchs empfiehlt folgende Maßnahmen:
- Minimieren Sie die Netzwerkaussetzung der betroffenen Produkte und stellen Sie sicher, dass sie nicht über das Internet zugänglich sind.
- Isolieren Sie die betroffenen Produkte vom Firmennetzwerk.
- Verwenden Sie sichere Methoden wie VPNs, wenn Remote-Zugriff erforderlich ist.
Die Sicherheitslücken wurden von BMW AG gemeldet und durch CERT@VDE in Zusammenarbeit mit Pepperl+Fuchs koordiniert.