Kritische Schwachstellen in AutomationDirect CLICK PLC gefährden OT-Systeme

Kritische Sicherheitslücken in AutomationDirect CLICK PLCs bedrohen OT-Umgebungen

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat mehrere schwerwiegende Schwachstellen in den CLICK-Programmierbaren Logikcontrollern (PLCs) von AutomationDirect offengelegt. Diese könnten Angreifern ermöglichen, Benutzer zu imitieren, Rechte zu eskalieren, unautorisierten Systemzugriff zu erlangen und sensible Daten zu entschlüsseln. Die am 22. Januar 2026 veröffentlichte Warnmeldung (ICSA-26-022-02) verdeutlicht kritische Sicherheitsrisiken in weit verbreiteten Operational Technology (OT)-Umgebungen.

Technische Details der Schwachstellen

Obwohl die vollständigen technischen Spezifikationen in einem CSAF-Dokument referenziert werden, betreffen die identifizierten Schwachstellen folgende Versionen der AutomationDirect CLICK PLCs:

• Betroffene Versionen: Konkrete Firmware-Versionen wurden noch nicht öffentlich bekannt gegeben. Die Warnmeldung bestätigt jedoch, dass eine erfolgreiche Ausnutzung zu folgenden Szenarien führen könnte:
  • Rechteausweitung (Angreifer erhalten erweiterte Zugriffsrechte)
  • Benutzer-Imitation (Spoofing legitimer Konten)
  • Unautorisierter Zugriff auf kritische OT-Systeme und -Dienste
  • Entschlüsselung sensibler Daten (mögliche Offenlegung vertraulicher Konfigurationen oder Prozesssteuerungen)

Die Schwachstellen sind unter CVE-2026-XXXX (Platzhalter; exakte CVE-IDs stehen noch aus und werden im CSAF-Dokument veröffentlicht) klassifiziert. Sicherheitsverantwortliche sollten die Warnmeldung auf Aktualisierungen zu Schweregraden (CVSS) und Minderungsmaßnahmen überwachen.

Auswirkungsanalyse: Warum diese Schwachstellen relevant sind

AutomationDirect CLICK PLCs werden in Industrial Control Systems (ICS) in Branchen wie Fertigung, Energieversorgung und Wasseraufbereitung eingesetzt. Die Ausnutzung dieser Schwachstellen könnte folgende Konsequenzen haben:

• Betriebsunterbrechungen: Unautorisierte Änderungen an der PLC-Logik könnten Produktionslinien stoppen oder kritische Prozesse verändern.
• Datenlecks: Die Entschlüsselung sensibler Daten könnte proprietäre Konfigurationen oder compliance-geschützte Informationen preisgeben.
• Laterale Bewegung: Angreifer könnten von kompromittierten PLCs auf andere OT/IT-Systeme übergreifen und den Angriff ausweiten.
• Sicherheitsrisiken: Im schlimmsten Fall könnte die Manipulation PLC-gesteuerter Maschinen physische Gefahren verursachen.

Aufgrund der hohen Risiken in OT-Umgebungen, in denen Verfügbarkeit und Zuverlässigkeit oberste Priorität haben, erfordern diese Schwachstellen sofortiges Handeln von Anlagenbetreibern und Sicherheitsteams.

Empfohlene Maßnahmen für Sicherheitsteams

CISA und AutomationDirect haben bisher noch keine offiziellen Patches oder Workarounds veröffentlicht. Organisationen, die betroffene CLICK PLCs einsetzen, sollten jedoch folgende Schritte umsetzen:

1. Warnmeldung überwachen: Regelmäßig die CISA ICS Advisory-Seite auf Updates zu Patches, CVE-IDs und Minderungsstrategien prüfen.
2. Kritische Systeme isolieren: PLCs vom Unternehmensnetzwerk trennen und Fernzugriff einschränken, um die Angriffsfläche zu minimieren.
3. Netzwerküberwachung implementieren: OT-spezifische Intrusion Detection Systems (IDS) einsetzen, um anomalen Datenverkehr oder unautorisierte Zugriffsversuche zu erkennen.
4. Authentifizierungskontrollen prüfen: Multi-Faktor-Authentifizierung (MFA) und starke Passwortrichtlinien für PLC-Management-Schnittstellen erzwingen.
5. Incident-Response-Pläne vorbereiten: OT-spezifische Notfallpläne erstellen, um potenzielle Sicherheitsvorfälle schnell zu adressieren.

Für weitere technische Details verweisen wir auf das in der Warnmeldung verlinkte CSAF-Dokument.

Dies ist eine sich entwickelnde Situation. Aktualisierungen folgen, sobald weitere Informationen verfügbar sind.