Sicherheitswarnung für Emerson Ovation: Kritische Schwachstellen entdeckt

Table of Contents

Kritische Schwachstellen in Emerson Ovation aufgedeckt: Was Unternehmen jetzt wissen müssen

Am 6. Juni 2024 hat die Cybersecurity and Infrastructure Security Agency (CISA) eine wichtige Sicherheitswarnung bezüglich des Industrieanlagen Steuerungssystems Emersons Ovation veröffentlicht. Die Ovation Steuerungsplattform von Emerson weist in der Version 3.8.0 Feature Pack 1 und allen früheren Versionen erhebliche Sicherheitslücken auf. Diese betreffen insbesondere die fehlende Authentifizierung für kritische Funktionen und die unzureichende Überprüfung der Datenauthentizität.

Fehlende Authentifizierung für kritische Funktionen

Die erste Schwachstelle, klassifiziert als CWE-306, betrifft das Fehlen von Authentifizierungsmechanismen bei mehreren Protokollen in Ovation. Dies ermöglicht es einem Angreifer, ohne Hindernisse die Konfiguration des Controllers zu ändern oder einen Denial-of-Service (DoS) Zustand herbeizuführen. Diese Sicherheitslücke wurde als CVE-2022-29966 erfasst und erhielt mit einem CVSS v3.1 Score von 9.8 eine hohe Gefährdungsbewertung. Auch die CVSS v4.0 Bewertung liegt mit 9.3 im kritischen Bereich.

Unzureichende Überprüfung der Datenauthentizität

Die zweite Schwachstelle, bekannt als CWE-345, zeigt, dass Ovation keine ausreichenden Mechanismen zur Verifizierung der Firmware-Integrität implementiert hat. Statt auf sichere Signaturen zu setzen, verlässt sich das System auf unsichere Prüfsummen. Dies ermöglicht Angreifern, manipulierte Firmware zu installieren, was wiederum zu DoS-Zuständen oder zur Ausführung von schädlichem Code führen kann. Diese Schwachstelle wurde unter CVE-2022-30267 registriert und mit einem CVSS v3.1 Score von 9.1 und einem CVSS v4.0 Score von 8.7 bewertet.

Potenzielle Risiken und Auswirkungen

Sollten diese Schwachstellen erfolgreich ausgenutzt werden, könnten Angreifer nicht nur die Kontrolle über das System übernehmen, sondern auch sensible Informationen abgreifen und den Betrieb kritischer Infrastrukturen massiv beeinträchtigen. Dies ist besonders besorgniserregend, da Ovation in einer Vielzahl von Systemen in der Energiebranche weltweit eingesetzt wird. Die Auswirkungen könnten daher von Betriebsstörungen bis hin zu schwerwiegenden Sicherheitsvorfällen reichen.

Emerson empfiehlt, auf die aktuell verfügbare Version Ovation 3.8.0 Feature Pack 3 zu aktualisieren. Diese Version behebt viele der identifizierten Schwachstellen und bietet erweiterte Sicherheitsfunktionen. Zusätzlich sollten Anwender in Erwägung ziehen, OCR3000-Controller einzusetzen, die einen höheren Schutzstandard bieten.

Weiterhin rät CISA zur Implementierung von grundlegenden Sicherheitsmaßnahmen:

  • Netzwerkisolierung: Steuerungssysteme sollten niemals direkt mit dem Internet verbunden sein. Stattdessen sollten sie hinter Firewalls positioniert und von Geschäftsanwendungen isoliert werden.
  • Sichere Fernzugriffe: Wo Fernzugriff erforderlich ist, sollten Virtual Private Networks (VPNs) eingesetzt werden. Es ist jedoch wichtig, sicherzustellen, dass diese stets auf dem neuesten Stand gehalten werden.
  • Risikobewertung: Vor der Einführung defensiver Maßnahmen sollte eine gründliche Risikoanalyse durchgeführt werden.

Related Posts

Kritische Schwachstellen im Netgear WNR614 Router

Eine Sicherheitsanalyse von RedFox Security hat mehrere Schwachstellen im Netgear WNR614 Router aufgedeckt. Der Netgear WNR614 Router, bekannt für seine zuverlässige Leistung und benutzerfreundliche Bedienoberfläche, zeigt Sicherheitslücken, die das Umgehen von Sicherheitsprotokollen und unbefugten Zugriff auf sensible Daten ermöglichen. Zudem hat das Modell WNR614 N300 2021 seinen End-of-Service (EOS) erreicht. Folgende Schwachstellen wurden gefunden.

Read More

Cisco Webex Rechenzentrum in Frankfurt - Sicherheitslücke verursachte Regierungs-Datenleck

Im Frühjahr 2024 berichtete das deutsche Nachrichtenportal Zeit Online über Angriffe auf die Webex-Implementierung der deutschen Regierung. Hierbei nutzten Bedrohungsakteure eine Schwachstelle, die als Insecure Direct Object Reference (IDOR) identifiziert wurde, um Zugriff auf interne Meetings zu erhalten. Besondere Brisanz erlangte der Vorfall durch den Zugang zu einem militärischen Meeting, bei dem die Unterstützung für die Ukraine erörtert wurde. Die Sicherheitslücke in Cisco Webex Meetings betraf insbesondere Kunden, deren Daten im Frankfurter Rechenzentrum CISCO Cloud Rechenzentrum gehostet wurden. Die Angreifer konnten so sensible Meeting-Informationen wie Themen, Teilnehmerlisten und Metadaten ausspähen. Besonders kritisch war, dass einige Meetingräume hochrangiger Regierungsbeamter nicht durch Passwörter geschützt waren, was die Angriffe zusätzlich erleichterte.

Read More

Kritische RCE-Schwachstelle in Apache HugeGraph gefunden

Eine schwerwiegende Remote-Code-Execution-Schwachstelle (CVE-2024-27348) wurde in Apache HugeGraph Server in Versionen vor 1.3.0 entdeckt. Angreifer können durch Gremlin, eine Skriptsprache für Graphdatenbanken, die Sandbox-Einschränkungen umgehen und vollständige Kontrolle über den Server erlangen. Diese Schwachstelle hat einen CVSS-Score von 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

Read More