USA melden Sicherheitslücke in Scada-Software von Iconics

Die US-Regierung hat Betreiber von kritischer Infrastruktur vor einer ernsten Schwachstelle in Software gewarnt, die weltweit in der Öl-, Gas-, Wasser- und Energiewirtschaft zum Einsatz kommt. Auch Fertigungsanlagen seien betroffen.

Laut dem Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), einer Unterorganisation von Homeland Security, steckt die Sicherheitslücke in der Scada-Softare Genesis32 sowie BizViz von Iconics. Scada steht für „Supervisory Control And Data Acquisition“.

Über die Lücke lässt sich Schadcode einschleusen und ausführen. Angreifer können so die Kontrolle über ein System übernehmen. Iconics hat bereits einen Patch veröffentlicht.

Ein Exploit, der die Schwachstelle ausnutzt, war der Warnung (PDF) zufolge öffentlich zugänglich. Ein Angreifer müsste einen Nutzer, der das Active-X-Element „GenVersion.dll“ installiert hat, dazu auf eine Website mit schädlichem JavaScript-Code lotsen. Die dynamische Bibliotheksdatei ist eine Komponente von WebHMI, das in Iconics‘ Software zum Einsatz kommt (PDF).

55 Prozent aller Installationen von Genesis32 laufen Iconics zufolge auf Geräten in den USA, 45 Prozent in Europa und die restlichen 5 Prozent in Asien. Laut ICS-CERT lässt sich die Schwachstelle auch mit moderatem Können ausnutzen. Die Warnung kommt nur knapp zwei Monate, nachdem die Behörde Hinweise auf mehrere Scada-Lecks veröffentlicht hatte.

Seitdem Software zur Steuerung und Verwaltung kritischer Infrastrukturen immer häufiger webbasiert läuft, häufen sich die Sicherheitsprobleme. Das Internet bietet in dem Fall Wege in zuvor isolierte Netzwerke.