Siemens hat eine dringende Sicherheitswarnung für die SIMATIC CN 4100 veröffentlicht, nachdem Sie erst kürzlich eine ähnliche Warnung über Schwachstellen in SIMATIC RTLS herausgebracht haben. Mehrere schwerwiegende Sicherheitslücken wurden entdeckt, die das Gerät anfällig für Angriffe machen. Diese Schwachstellen wurden unter der Advisory-ID SSA-273900 zusammengefasst und betreffen alle Versionen vor V3.0. Die Verwundbarkeiten haben eine CVSS-Basisbewertung von 10.0, was auf ein extrem hohes Risiko hinweist.
Die SIMATIC CN 4100 weist mehrere kritische Sicherheitslücken auf, darunter die Verwendung von fest codierten Zugangsdaten und eine ungeschützte USB-Schnittstelle. Diese Schwachstellen können von Angreifern ausgenutzt werden, um unbefugten Zugriff auf das System zu erlangen und dessen Integrität zu gefährden.
Betroffene Produkte:
- SIMATIC CN 4100: Alle Versionen vor V3.0 sind betroffen.
Siemens empfiehlt dringend, auf die neueste Version V3.0 zu aktualisieren, um diese Sicherheitslücken zu schließen. Die betroffenen Versionen und die entsprechenden Abhilfemaßnahmen sind auf der Siemens Support-Website zu finden.
Details der Sicherheitslücken
CVE-2024-32740: Undokumentierte Benutzer und Anmeldedaten
- Beschreibung: Das Gerät enthält undokumentierte Benutzer und Anmeldedaten, die von Angreifern lokal oder über das Netzwerk missbraucht werden könnten.
- CVSS v3.1 Score: 9.8
- CWE: CWE-798: Verwendung von fest codierten Zugangsdaten
CVE-2024-32741: Fest codiertes Passwort für Root-Benutzer
- Beschreibung: Das Gerät nutzt ein fest codiertes Passwort für den privilegierten Systembenutzer „root“ und den Bootloader GRUB. Ein Angreifer, der das Passwort knackt, kann Root-Zugriff auf das Gerät erlangen.
- CVSS v3.1 Score: 10.0
- CWE: CWE-259: Verwendung von fest codierten Passwörtern
CVE-2024-32742: Ungeschützte USB-Schnittstelle
- Beschreibung: Das Gerät besitzt eine ungeschützte USB-Schnittstelle, die von Angreifern genutzt werden kann, um ein anderes Betriebssystem zu booten und vollständigen Lese-/Schreibzugriff auf das Dateisystem zu erlangen.
- CVSS v3.1 Score: 7.6
- CWE: CWE-1326: Fehlender unveränderlicher Vertrauensanker in der Hardware
Siemens hat eine neue Version der SIMATIC CN 4100 veröffentlicht und empfiehlt ein sofortiges Update auf Version V3.0 oder höher, um die Sicherheitslücken zu schließen. Zusätzlich sollten folgende allgemeine Sicherheitsmaßnahmen beachtet werden:
- Schutz des Netzwerkzugangs zu den Geräten durch geeignete Mechanismen.
- Konfiguration der Umgebung gemäß den Betriebsrichtlinien für industrielle Sicherheit von Siemens.
- Befolgung der Empfehlungen in den Produktdokumentationen.
Weitere Informationen zu den empfohlenen Sicherheitsmaßnahmen und die Betriebsrichtlinien für industrielle Sicherheit finden Sie auf der Siemens-Website.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: