Abo
  • Services:

Eki-Scada-Systeme: Heartbleed per Update nachgerüstet

Updates sollen Systeme sicherer machen - im Falle der Scada-Systeme der Firma EKI ist das jedoch offenbar gründlich misslungen. Ein Update, das fest codierte SSH-Schlüssel entfernen sollte, macht die Systeme für Shellshock und Heartbleed verwundbar.

Artikel veröffentlicht am ,
In Scada-Systemen von Advantech-EKI wurden offenbar durch Updates neue Sicherheitslücken geöffnet.
In Scada-Systemen von Advantech-EKI wurden offenbar durch Updates neue Sicherheitslücken geöffnet. (Bild: Kele)

Updates für industrielle Steueranlagen des Unternehmens Advantech EKI haben im Quellcode liegengebliebene, fest codierte SSH-Schlüssel entfernt - gleichzeitig aber zahlreiche bekannte Sicherheitslücken geöffnet. Das meldet The Register unter Berufung auf den Sicherheitsforscher Todd Beardsley von Rapid 7.

Stellenmarkt
  1. Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) gGmbH, Köln
  2. Lidl Digital, Neckarsulm

Die SSH-Keys in den Geräten der Serien EKI-122X, EKI-136 und EKI 132, die sich vom Nutzer nicht ändern lassen, wurden im vergangenen Monat entdeckt. Das ausgespielte Update sollte diese eigentlich nur entfernen - doch nach Angabe von Beardsley sind die Geräte mit der neuen Firmware für Shellshock, Heartbleed und einen DHCP Stack-Buffer-Overflow-Fehler (CVE-2012-2152) anfällig.

Wie das passieren konnte, ist unklar. Die zur Verfügung gestellte Bin-Datei lässt sich mit Tools wie Clonedrive nicht öffnen - auch ausführliche Release-Notes sind auf der Download-Seite nicht zu finden. Möglicherweise wurde aus Kompatibilitätsgründen eine ungepatchte Version von OpenSSL verwendet.

Die von den Sicherheitslücken betroffenen Geräte werden zur Steuerung industrieller Prozesse eingesetzt. Der einzige wirksame Schutz dürfte derzeit sein, die Geräte komplett vom Netz zu trennen.



Anzeige
Blu-ray-Angebote
  1. 9,99€
  2. 4,99€

exxo 04. Dez 2015

A new version usually introduces new bugs but old ones remain :-P Schönes Sprichwort.


Folgen Sie uns
       


Nokia 7 Plus - Fazit

Das Nokia 7 Plus ist HMD Globals neues Smartphone der gehobenen Mittelklasse. Das Gerät überzeugt im Test von Golem.de durch eine gute Dualkamera, einen flotten Prozessor und Android One - was schnelle Updates durch Google verspricht.

Nokia 7 Plus - Fazit Video aufrufen
Nissan Leaf: Wer braucht schon ein Bremspedal?
Nissan Leaf
Wer braucht schon ein Bremspedal?

Wie fährt sich das meistverkaufte Elektroauto? Nissan hat vor wenigen Monaten eine überarbeitete Version des Leaf auf den Markt gebracht. Wir haben es gefahren und festgestellt, dass das Auto fast ohne Bremse auskommt.
Ein Erfahrungsbericht von Werner Pluta

  1. e-NV200 Nissan packt 40-kWh-Akku in Elektro-Van
  2. Reborn Light Nissan-Autoakkus speisen Straßenlaternen
  3. Elektroauto Nissan will den IMx in Serie bauen

Wonder Workshop Cue im Test: Der Spielzeugroboter kommt ins Flegelalter
Wonder Workshop Cue im Test
Der Spielzeugroboter kommt ins Flegelalter

Bislang herrschte vor allem ein Niedlichkeitswettbewerb zwischen populären Spiel- und Lernrobotern für Kinder, jetzt durchbricht ein Roboter für jüngere Teenager das Schema nicht nur optisch: Cue fällt auch durch ein eher loseres Mundwerk auf.
Ein Test von Alexander Merz


    PGP/SMIME: Die wichtigsten Fakten zu Efail
    PGP/SMIME
    Die wichtigsten Fakten zu Efail

    Im Zusammenhang mit den Efail genannten Sicherheitslücken bei verschlüsselten E-Mails sind viele missverständliche und widersprüchliche Informationen verbreitet worden. Wir fassen die richtigen Informationen zusammen.
    Eine Analyse von Hanno Böck

    1. Sicherheitslücke in Mailclients E-Mails versenden als potus@whitehouse.gov

      •  /