Ein weiterer Sicherheitsforscher hat nach eigenen Angaben 23 Anfälligkeiten in SCADA-Software von Rockwell Automation, Schneider Electric, Indusoft, RealFlex und Eaton gefunden. Wie Computerworld berichtet, reagiert Aaron Portnoy, Vizepräsident des Start-ups Exodus Intelligence, damit auf die Weigerung des Sicherheitsunternehmens ReVuln, seine in SCADA-Anwendungen entdeckten Löcher an die jeweiligen Hersteller weiterzuleiten.
„Ich habe entschieden, SCADA-Software zu untersuchen, nachdem ich die entsprechenden Artikel gelesen habe“, schreibt Portnoy in einer E-Mail an Computerworld. „Ich dachte, es ist gefährlich, Anbieter zum Kauf von ReVulns Feed zu zwingen, damit sie kritische Infrastrukturen schützen können.“
Einem Blogeintrag von Portnoy zufolge lassen sich sieben Anfälligkeiten zum Einschleusen von Schadcode ausnutzen. 14 Schwachstellen ermöglichen Denial-of-Service-Angriffe. Andere Lücken erlauben es einem Angreifer, die vollständige Kontrolle über ein System zu übernehmen, auf dem die anfällige Software ausgeführt wird.
„Die interessanteste Sache an diesen Fehler war, wie einfach sie zu finden waren“, heißt es weiter in Portnoys Blogeintrag. Für die erste ausnutzbare Zero-Day-Lücke habe er nur sieben Minuten benötigt. Im Vergleich zu Enterprise- und Consumer-Software sei das Auffinden von Schwachstellen in SCADA-Software absurd einfach. Es sei wesentlich schwieriger gewesen, an die SCADA-Software zu kommen, als die Lücken aufzudecken.
Portnoy hofft dem Bericht zufolge, dass sich zumindest einige der von ihm ermittelten Fehler mit den von ReVuln entdeckten Lücken überschneiden. Er werde die Details zu den Anfälligkeiten an die für Industriekontrollsysteme zuständige ICS-CERT weiterleiten, die das weitere Vorgehen mit den Herstellern koordiniere.
Ähnlich wie ReVuln verkauft auch Exodus Intelligence sein Wissen über ungepatchte Sicherheitslücken an Firmen und Organisationen. Allerdings sollen die Daten von Exodus den Kunden des Unternehmens nur dabei helfen, sich vor zielgerichteten Angriffen zu schützen, bis ein Patch des Herstellers zur Verfügung steht. ReVulns Geschäftsmodell basiert jedoch darauf, keine Daten an Hersteller weiterzugeben und somit auch langfristig nur die eigenen Kunden zu schützen.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…
