info@PortalDerWirtschaft.de | 02635/9224-11
Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
GAI NetConsult GmbH |

GAI NetConsult veröffentlicht ICS-Schwachstellen

Bewerten Sie hier diesen Artikel:
0 Bewertungen (Durchschnitt: 0)


Hersteller und Nutzer von Industrial Control Systems (ICS) erhalten regelmäßig Informationen über Schwachstellen in diesem Bereich sowie Hinweise für deren Behebung.

Berlin, 16.07.2015 – Die Absicherung von Steuerungs- und Automatisierungssystemen (Industrial Control Systems - ICS) ist sowohl bei Kritischen Infrastrukturen, als auch allgemein in der Industrie eine enorme Herausforderung. Den aktuellen Überblick über alle bekannt gewordenen Schwachstellen in diesem speziellen Bereich zu behalten, stellt die Verantwortlichen vor enorme Probleme, da die Informationen hierzu nirgendwo zentral abzurufen sind. Als Spezialist für ICS-Sicherheit beobachtet und bewertet die GAI NetConsult deshalb seit einiger Zeit aktuelle Schwachstellen, Sicherheitsvorfälle und Nutzerhinweise der ICS-Hersteller. Hierzu werden regelmäßig unter Leitung des anerkannten ICS-Experten Dr. Stephan Beirer viele öffentlich zugängliche Quellen gesichtet und ausgewertet.



Für Hersteller und Betreiber von Industrial Control Systems fasst die GAI NetConsult nun in der dedizierten Kolumne "ICS Security News" ihres Security Journals die aus ihrer Sicht wichtigsten Schwachstellen und Neuigkeiten aus dem ICS-Bereich zusammen. Dabei werden die Sicherheitsrisiken nicht nur detailliert beschrieben und erklärt, sondern auch – sofern vorhanden – konkrete Tipps zur Abhilfe angeboten. Den davon betroffenen Betreibern wird nahegelegt, auf diese Hinweise möglichst schnell zu reagieren.



Im aktuellen Security Journal #79 werden folgende Schwachstellen beleuchtet:



Fehlende Authentisierung in Belden Hirschmann HiView

Die Software (HiView Version 02.0.01 und älter) verwendet zur Verwaltung der Netzwerkkomponenten (Router, Switches, Firewalls) der Marke Hirschmann zwar die sicheren Netzwerkprotokolle HTTPS und SSH, verfehlt aber die Prüfung der Authentizität des Kommunikationspartners. Ein Angreifer mit Zugang zum unterliegenden Netzwerk kann beim Verbindungsaufbau mit einem Man-in-the-Middle-Angriff sensible Informationen wie Zugangspasswörter ausspähen.



Directory-Traversal-Schwachstelle in IDS RTU 850

Der integrierte Webserver hat eine Directory-Traversal-Schwachstelle, die es durch eine Manipulation von Pfadangaben in der URL erlaubt, ohne eine Authentisierung auf Dateien des Systems zuzugreifen (Directory Traversal).



Schwachstelle in der Generierung von TCP-Sequenznummern in Wind River VxWorks

Das im Umfeld von Automatisierungs- und Leittechnik weitverbreitete Echtzeit-Betriebssystem VxWorks in der Version 7 (vor 13/02/15) sowie zahlreiche ältere Versionen wählen zum Aufbau einer TCP-Verbindung eine vorhersagbare TCP-Sequenznummer. Dies ermöglicht einem Angreifer mit Zugang zum unterliegenden Netzwerk die TCP-Verbindung zu manipulieren. Beispielsweise kann er gefälschte Datenpakete senden oder die TCP-Verbindung beenden (Denial-of-Service-Attacke).



DLL-Hijacking-Schwachstelle in Schneider Electric OPC Factory Server

Das Öffnen einer manipulierten Bibliotheks-Datei (DLL-Datei) führt zu einem Programmabsturz, der darüber hinaus zum Ausführen von Schadcode ausgenutzt werden könnte. Die Bibliotheks-Datei muss dazu vorher auf das System übertragen werden. Betroffen sind die Version 3.5 vor SP 6 und ältere.



Schwachstelle in der Speicherung von Zugangsdaten in Nova-Wind Turbine HMI

Das Nova-Wind Turbine HMI speichert Zugangsdaten in Klartext. Ein Angreifer kann mit unterschiedlichen Methoden diese Zugangsdaten ermitteln und sich so Zugang zum System verschaffen.



Die genannten Schwachstellen sind zusammen mit Lösungsempfehlungen im aktuellen Security Journal der GAI NetConsult detaillierter beschrieben. Gerne stehen die Experten auch für individuelle Rückfragen zur Verfügung. "Wir unterstützen seit vielen Jahren die Betreiber Kritischer Infrastrukturen und Industrieunternehmen bei der Sicherung von Steuerungs- und Automatisierungssystemen", sagt Detlef Weidenhammer, Geschäftsführender Gesellschafter von GAI NetConsult. "Mit Maßnahmen wie technischen Audits, Sicherung der PDV-Technik oder der Einführung von Informationssicherheitsmanagementsystemen (ISMS) helfen wir unseren Kunden, den stetig wachsenden Bedrohungen zu begegnen."



Das Security Journal der GAI NetConsult erscheint alle zwei Monate mit aktuellen, sorgfältig recherchierten Informationen aus der Welt der Informationssicherheit. Es bündelt die Erfahrungen aus vielen Security-Projekten in Form von tiefgreifenden Fachartikeln sowie aktuellen Tipps zum Thema Informationssicherheit. In der regelmäßig erscheinenden Kolumne "ICS Security News" werden wichtige Sicherheitsinformationen speziell aus dem Bereich der Steuerungs- und Automatisierungssysteme weitergegeben. Das Journal kann kostenlos online im Abo bezogen werden. Die Anmeldung erfolgt hier: https://www.gai-netconsult.de/journal



Details zu den Beratungsangeboten der GAI NetConsult bei den Themen Informationssicherheit im Bereich Kritischer Infrastrukturen, sichere Prozessdatenverarbeitung und Industrie 4.0 mit Dienstleistungen wie Sicherheitsaudits, Umsetzung des bdew Whitepapers oder der ISO 27001 sowie ISMS-Einführungen finden Sie hier: https://www.gai-netconsult.de/index.php?id=12


Für den Inhalt der Pressemitteilung ist der Einsteller, Herr Detlef Weidenhammer (Tel.: +49 30 / 41 78 98 – 0), verantwortlich.

Pressemitteilungstext: 620 Wörter, 5457 Zeichen. Als Spam melden

Unternehmensprofil: GAI NetConsult GmbH


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von GAI NetConsult GmbH lesen:

GAI NetConsult GmbH | 12.10.2016

GAI NetConsult schließt Integrationspartnerschaft für pro|care ELAN mit Kewanis

Berlin, 12.10.2016 - Die GAI NetConsult GmbH erweitert ihr Partnernetzwerk für die Integrationsplattform pro|care ELAN um das Berliner Unternehmen Kewanis GmbH & Co. KG. Dessen Mitarbeiter haben sich jüngst als "ELAN Certified Professional (ECP)" q...
GAI NetConsult GmbH | 16.09.2015

GAI NetConsult veröffentlicht aktuelle ICS-Schwachstellen

Berlin, 16.09.2015 – In der aktuellen Ausgabe ihres Security Journals zeigt die GAI NetConsult erneut Schwachstellen in der Absicherung von Steuerungs- und Automatisierungssystemen (Industrial Control Systems - ICS) auf. Aktuell wird auf Schwachste...
GAI NetConsult GmbH | 26.08.2015

GAI NetConsult analysiert IT-Sicherheitskatalog für Energienetzbetreiber

Berlin, 26.08.2015 – GAI NetConsult, Spezialist für Informationssicherheit insbesondere bei Prozessdatenverarbeitung in Kritischen Infrastrukturen, hat eine erste Analyse des neuen IT-Sicherheitskatalogs für Betreiber von Strom- und Gasnetzen dur...