Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat mehrere Empfehlungen für industrielle Kontrollsysteme (ICS) veröffentlicht, in denen vor kritischen Sicherheitslücken in Produkten von Sewio, InHand Networks, Sauter Controls und Siemens gewarnt wird.
Die schwerwiegendsten Schwachstellen betreffen das RTLS Studio von Sewio, das von einem Angreifer ausgenutzt werden könnte, um „unbefugten Zugriff auf den Server zu erhalten, Informationen zu ändern, einen Denial-of-Service-Zustand zu erzeugen, erweiterte Rechte zu erlangen und beliebigen Code auszuführen“, so die CISA.
Dazu gehört auch CVE-2022-45444 (CVSS-Score: 10.0), ein Fall von fest kodierten Passwörtern für ausgewählte Benutzer in der Datenbank der Anwendung, die entfernten Angreifern möglicherweise uneingeschränkten Zugriff gewähren.
Außerdem gibt es zwei Schwachstellen bei der Befehlsinjektion (CVE-2022-47911 und CVE-2022-43483, CVSS-Score: 9.1) und eine Out-of-Bounds-Write-Schwachstelle (CVE-2022-41989, CVSS-Score: 9.1), die zu einer Denial-of-Service-Bedingung oder Codeausführung führen kann.
Die Sicherheitslücken betreffen RTLS Studio Version 2.0.0 bis einschließlich Version 2.6.2. Benutzern wird empfohlen, auf Version 3.0.0 oder höher zu aktualisieren.
In einer zweiten Warnung wies die CISA auf eine Reihe von fünf Sicherheitslücken in InHand Networks InRouter 302 und InRouter 615 hin, darunter CVE-2023-22600 (CVSS-Score: 10.0), die zur Einschleusung von Befehlen, zur Offenlegung von Informationen und zur Ausführung von Code führen können.
„Wenn diese Schwachstellen richtig verkettet werden, könnte ein unbefugter Fernbenutzer jedes von der Cloud verwaltete InHand Networks-Gerät vollständig kompromittieren“, so die Behörde.
Alle Firmware-Versionen des InRouter 302 vor IR302 V3.5.56 und des InRouter 615 vor InRouter6XX-S-V2.3.0.r5542 sind anfällig für die Bugs.
Außerdem wurden Sicherheitslücken in den Sauter Controls Nova 220, Nova 230, Nova 106 und moduNet300 bekannt, die unbefugten Zugriff auf sensible Informationen (CVE-2023-0053, CVSS-Score: 7.5) und Remotecodeausführung (CVE-2023-0052, CVSS-Score: 9.8) ermöglichen könnten.
Das in der Schweiz ansässige Automatisierungsunternehmen plant jedoch nicht, Fixes für die identifizierten Probleme zu veröffentlichen, da die Produktlinie nicht mehr unterstützt wird.
Schließlich wies die Sicherheitsagentur auf eine Cross-Site-Scripting(XSS)-Schwachstelle in der SAML-Ausrüstung von Siemens Mendix (CVE-2022-46823, CVSS-Score: 9.3) hin, die es einem Bedrohungsakteur ermöglichen könnte, sensible Informationen zu erlangen, indem er Benutzer dazu verleitet, auf einen speziell gestalteten Link zu klicken.
Den Nutzern wird empfohlen, die Multi-Faktor-Authentifizierung zu aktivieren und Mendix SAML auf die Versionen 2.3.4 (Mendix 8), 3.3.8 (Mendix 9, Upgrade Track) oder 3.3.9 (Mendix 9, New Track) zu aktualisieren, um mögliche Risiken zu minimieren.