Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat letzte Woche eine Empfehlung für industrielle Kontrollsysteme (ICS) veröffentlicht, die sich auf mehrere Schwachstellen in den Easergy-Mittelspannungsschutzrelais von Schneider Electric bezieht.
„Wenn diese Schwachstellen erfolgreich ausgenutzt werden, können die Anmeldedaten des Geräts offengelegt, ein Denial-of-Service-Zustand oder ein Neustart des Geräts verursacht werden oder ein Angreifer kann die vollständige Kontrolle über das Relais erlangen“, so die Agentur in einem Bulletin vom 24. Februar 2022. „Dies kann zu einem Verlust des Schutzes deines Stromnetzes führen.“
Die beiden schwerwiegenden Schwachstellen betreffen Easergy P3 Versionen vor v30.205 und Easergy P5 Versionen vor v01.401.101. Details zu den Schwachstellen sind wie folgt
CVE-2022-22722 (CVSS-Score: 7.5) – Verwendung von fest kodierten Anmeldeinformationen, die missbraucht werden können, um den mit dem Gerät verbundenen Datenverkehr zu beobachten und zu manipulieren.
CVE-2022-22722 (CVSS-Score: 7.5) – Verwendung von fest kodierten Anmeldeinformationen, die dazu missbraucht werden können, den mit dem Gerät verbundenen Datenverkehr zu beobachten und zu manipulieren. CVE-2022-22723 und CVE-2022-22725 (CVSS-Score: 8.8) – Eine Pufferüberlaufschwachstelle, die zu Programmabstürzen und zur Ausführung von beliebigem Code führen kann, indem speziell gestaltete Pakete über das Netzwerk an das Relais gesendet werden.
Die Schwachstellen, die von den Forschern Timothée Chauvin, Paul Noalhyt und Yuanshe Wu von Red Balloon Security entdeckt und gemeldet wurden, wurden von Schneider Electric im Rahmen von Updates am 11. Januar 2022 behoben.
Die Meldung kommt weniger als 10 Tage, nachdem die CISA eine weitere Warnung vor mehreren kritischen Schwachstellen im Interactive Graphical SCADA System (IGSS) von Schneider Electric herausgegeben hat, die, wenn sie erfolgreich ausgenutzt werden, zur „Offenlegung von Daten und zum Verlust der Kontrolle über das SCADA-System führen können, wenn IGSS im Produktionsmodus läuft“.
In diesem Zusammenhang schlug die US-Bundesbehörde auch Alarm in Bezug auf die SCADA-Software Proficy CIMPLICITY von General Electric und warnte vor zwei Sicherheitslücken, die zur Offenlegung sensibler Informationen, zur Codeausführung und zur Ausweitung lokaler Rechte missbraucht werden könnten.
Die Warnungen folgen auf einen Jahresrückblick des Cybersicherheitsunternehmens Dragos, in dem festgestellt wurde, dass für 24 % der insgesamt 1.703 im Jahr 2021 gemeldeten ICS/OT-Schwachstellen keine Patches zur Verfügung standen und 19 % nicht entschärft werden konnten, so dass die Betreiber keine Maßnahmen zum Schutz ihrer Systeme vor potenziellen Bedrohungen ergreifen konnten.
Darüber hinaus hat Dragos die bösartigen Aktivitäten von drei neuen Gruppen identifiziert, die im letzten Jahr auf ICS-Systeme abzielten, darunter die von Dragos als Kostovite, Erythrite und Petrovite bezeichneten Akteure, die es jeweils auf die OT-Umgebungen von Unternehmen aus den Bereichen erneuerbare Energien, Stromversorger sowie Bergbau und Energie in Kanada, Kasachstan und den USA abgesehen hatten.