Kritische Schwachstellen in Emerson Ovation aufgedeckt: Was Unternehmen jetzt wissen müssen
Am 6. Juni 2024 hat die Cybersecurity and Infrastructure Security Agency (CISA) eine wichtige Sicherheitswarnung bezüglich des Industrieanlagen Steuerungssystems Emersons Ovation veröffentlicht. Die Ovation Steuerungsplattform von Emerson weist in der Version 3.8.0 Feature Pack 1 und allen früheren Versionen erhebliche Sicherheitslücken auf. Diese betreffen insbesondere die fehlende Authentifizierung für kritische Funktionen und die unzureichende Überprüfung der Datenauthentizität.
Fehlende Authentifizierung für kritische Funktionen
Die erste Schwachstelle, klassifiziert als CWE-306, betrifft das Fehlen von Authentifizierungsmechanismen bei mehreren Protokollen in Ovation. Dies ermöglicht es einem Angreifer, ohne Hindernisse die Konfiguration des Controllers zu ändern oder einen Denial-of-Service (DoS) Zustand herbeizuführen. Diese Sicherheitslücke wurde als CVE-2022-29966 erfasst und erhielt mit einem CVSS v3.1 Score von 9.8 eine hohe Gefährdungsbewertung. Auch die CVSS v4.0 Bewertung liegt mit 9.3 im kritischen Bereich.
Unzureichende Überprüfung der Datenauthentizität
Die zweite Schwachstelle, bekannt als CWE-345, zeigt, dass Ovation keine ausreichenden Mechanismen zur Verifizierung der Firmware-Integrität implementiert hat. Statt auf sichere Signaturen zu setzen, verlässt sich das System auf unsichere Prüfsummen. Dies ermöglicht Angreifern, manipulierte Firmware zu installieren, was wiederum zu DoS-Zuständen oder zur Ausführung von schädlichem Code führen kann. Diese Schwachstelle wurde unter CVE-2022-30267 registriert und mit einem CVSS v3.1 Score von 9.1 und einem CVSS v4.0 Score von 8.7 bewertet.
Potenzielle Risiken und Auswirkungen
Sollten diese Schwachstellen erfolgreich ausgenutzt werden, könnten Angreifer nicht nur die Kontrolle über das System übernehmen, sondern auch sensible Informationen abgreifen und den Betrieb kritischer Infrastrukturen massiv beeinträchtigen. Dies ist besonders besorgniserregend, da Ovation in einer Vielzahl von Systemen in der Energiebranche weltweit eingesetzt wird. Die Auswirkungen könnten daher von Betriebsstörungen bis hin zu schwerwiegenden Sicherheitsvorfällen reichen.
Emerson empfiehlt, auf die aktuell verfügbare Version Ovation 3.8.0 Feature Pack 3 zu aktualisieren. Diese Version behebt viele der identifizierten Schwachstellen und bietet erweiterte Sicherheitsfunktionen. Zusätzlich sollten Anwender in Erwägung ziehen, OCR3000-Controller einzusetzen, die einen höheren Schutzstandard bieten.
Weiterhin rät CISA zur Implementierung von grundlegenden Sicherheitsmaßnahmen:
- Netzwerkisolierung: Steuerungssysteme sollten niemals direkt mit dem Internet verbunden sein. Stattdessen sollten sie hinter Firewalls positioniert und von Geschäftsanwendungen isoliert werden.
- Sichere Fernzugriffe: Wo Fernzugriff erforderlich ist, sollten Virtual Private Networks (VPNs) eingesetzt werden. Es ist jedoch wichtig, sicherzustellen, dass diese stets auf dem neuesten Stand gehalten werden.
- Risikobewertung: Vor der Einführung defensiver Maßnahmen sollte eine gründliche Risikoanalyse durchgeführt werden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: