In einem Security Advisory hat Moxa, ein Unternehmen, das unter anderem Netzwerkhardware für KRITIS-Infrastrukturen herstellt, auf zwei Sicherheitslücken hingewiesen. Eine davon mit der Kennung CVE-2024-9138 hat die Einstufung „High Severity“ mit einem Punktewert von 8,6 von 10 maximal möglichen Punkten. Die andere (CVE-2024-9140) 9,3 mit der Einstufung „Critical Severity“.
Grund für die hohen Kritikalitätswerte waren im Falle der mit 8,6 bewerteten Schwachstelle ein hartcodiertes Passwort, im höher bewerteten Fall war es die Möglichkeit, dass ein Angreifer fremden Code auf dem System ausführen konnte.
Die Sicherheitslücken sind in den betroffenen Geräten bereits geschlossen und Kunden, die die Geräte einsetzen, werden dringend aufgefordert, die aktuellsten Patches zu installieren. Die genauen Bezeichnungen für die betroffenen Geräte sowie Links zu den entsprechenden Patches finden sich im oben erwähnten Advisory.
Besonderheiten von Produktionsnetzen
Da industrielle Steuersysteme sehr empfindlich auf Unterbrechungen in der Kommunikation reagieren – mit Sensoren, Aktoren und anderen Steuerungskomponenten – sind diese Geräte auf hohe Zuverlässigkeit und Redundanz ausgelegt. Vernetzte Produktionsumgebungen bereiten Sicherheitsfachleuten schon länger Kopfzerbrechen. Die Gründe dafür sind vielfältig. Zum einen sind Produktionsanlagen und ihre Steuersysteme wesentlich länger im Einsatz als die meisten Büro-PCs – teilweise 15 Jahre und länger. Das macht es schwer, diese auf einem aktuellen technischen Stand zu halten. Zum anderen sind die Steuersysteme der Produktion in vielen Fällen an die IT mit angebunden, und das oftmals ohne eine entsprechende Segmentierung. Ergo: Ein Angreifer kann von einem kompromittierten Büro-PC aus bis in die Fertigung eines Betriebes „durchmarschieren“ und dort Schaden anrichten – etwa, indem sie den Steuerrechner einer Produktionsanlange lahmlegen.
Die Absicherung dieser Umgebungen ist also dringend erforderlich. Hierzu stellen Unternehmen wie Moxa spezielle Industrie-Router her, welche in besonders kritischen und gesicherten Umgebungen zum Einsatz kommen – vom Kraftwerk bis zum Schiff.
