Original-URL des Artikels: https://www.golem.de/news/eki-scada-systeme-heartbleed-per-update-nachgeruestet-1512-117799.html    Veröffentlicht: 03.12.2015 18:41    Kurz-URL: https://glm.io/117799

Eki-Scada-Systeme

Heartbleed per Update nachgerüstet

Updates sollen Systeme sicherer machen - im Falle der Scada-Systeme der Firma EKI ist das jedoch offenbar gründlich misslungen. Ein Update, das fest codierte SSH-Schlüssel entfernen sollte, macht die Systeme für Shellshock und Heartbleed verwundbar.

Updates für industrielle Steueranlagen des Unternehmens Advantech EKI haben im Quellcode liegengebliebene, fest codierte SSH-Schlüssel entfernt - gleichzeitig aber zahlreiche bekannte Sicherheitslücken geöffnet. Das meldet The Register unter Berufung auf den Sicherheitsforscher Todd Beardsley von Rapid 7.

Die SSH-Keys in den Geräten der Serien EKI-122X, EKI-136 und EKI 132, die sich vom Nutzer nicht ändern lassen, wurden im vergangenen Monat entdeckt. Das ausgespielte Update sollte diese eigentlich nur entfernen - doch nach Angabe von Beardsley sind die Geräte mit der neuen Firmware für Shellshock, Heartbleed und einen DHCP Stack-Buffer-Overflow-Fehler (CVE-2012-2152) anfällig.

Wie das passieren konnte, ist unklar. Die zur Verfügung gestellte Bin-Datei lässt sich mit Tools wie Clonedrive nicht öffnen - auch ausführliche Release-Notes sind auf der Download-Seite nicht zu finden. Möglicherweise wurde aus Kompatibilitätsgründen eine ungepatchte Version von OpenSSL verwendet.

Die von den Sicherheitslücken betroffenen Geräte werden zur Steuerung industrieller Prozesse eingesetzt. Der einzige wirksame Schutz dürfte derzeit sein, die Geräte komplett vom Netz zu trennen.  (hg)


Verwandte Artikel:
Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten   
(11.09.2017, https://glm.io/129868 )
Huawei: Erste P10-Nutzer bekommen Oreo-Upgrade   
(02.03.2018, https://glm.io/133118 )
Bash-Lücke: Server von Yahoo, Winzip und Lycos gehackt   
(06.10.2014, https://glm.io/109656 )
JoltandBleed: Oracle veröffentlicht Notfallpatch für Universitäts-Software   
(20.11.2017, https://glm.io/131238 )
Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel   
(01.03.2018, https://glm.io/133077 )

© 1997–2019 Golem.de, https://www.golem.de/