ZURÜCK ZU NACHRICHTEN
CERT-Hinweise

Siemens SIMATIC und SIPLUS Produkte durch S7-Protokoll-Schwachstelle anfällig für DoS (ICSA-26-015-04)

2 Min. LesezeitQuelle: CISA Cybersecurity Advisories

CISA warnt vor einer kritischen DoS-Schwachstelle in Siemens SIMATIC ET 200SP und SIPLUS Produkten. Angreifer können Geräte durch manipulierte S7-Protokoll-Anfragen lahmlegen. Jetzt patchen!

Siemens ET 200SP-Geräte von kritischer DoS-Schwachstelle betroffen

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine Denial-of-Service (DoS)-Schwachstelle in Siemens SIMATIC ET 200SP- und SIPLUS-Produkten veröffentlicht, die unter der Kennung ICSA-26-015-04 geführt wird. Die Sicherheitslücke ermöglicht es Angreifern, Geräte durch das Senden einer speziell manipulierten S7-Protokoll-Trennungsanfrage (COTP DR TPDU) funktionsunfähig zu machen. Betroffene Geräte müssen manuell neu gestartet werden, um die Funktionalität wiederherzustellen.

Technische Details

Die Schwachstelle resultiert aus einer fehlerhaften Verarbeitung von Connection-Oriented Transport Protocol (COTP) Disconnect Request TPDUs innerhalb des S7-Protokolls, einem weit verbreiteten industriellen Kommunikationsstandard. Ein Angreifer mit Netzwerkzugriff auf das Zielgerät kann diese Lücke ausnutzen, indem er eine gültige, aber bösartige Trennungsanfrage übermittelt, wodurch das Gerät in einen nicht ansprechbaren Zustand versetzt wird. Für die Ausnutzung ist keine Authentifizierung erforderlich.

Siemens hat aktualisierte Firmware-Versionen veröffentlicht, um das Problem zu beheben. Anwender werden dringend aufgefordert, diese Patches umgehend einzuspielen. Für technische Spezifikationen und Patch-Details konsultieren Sie bitte die CSAF-Advisory.

Auswirkungsanalyse

  • Betriebliche Unterbrechungen: Eine erfolgreiche Ausnutzung könnte zu ungeplanten Ausfallzeiten in industriellen Umgebungen führen, insbesondere in Sektoren, die auf Siemens ET 200SP für die Prozesssteuerung angewiesen sind.
  • Physische Konsequenzen: In kritischen Infrastrukturen (z. B. Fertigung, Energie) kann die Nichtansprechbarkeit von Geräten zu Sicherheitsrisiken oder Produktionsstillständen führen.
  • Ausnutzungswahrscheinlichkeit: Obwohl bisher keine aktiven Exploits gemeldet wurden, erhöht die geringe Komplexität des Angriffs das Risiko opportunistischer Attacken.

Empfehlungen für Sicherheitsteams

  1. Siemens-Patches sofort anwenden: Aktualisieren Sie betroffene SIMATIC ET 200SP- und SIPLUS-Geräte auf die neuesten Firmware-Versionen. Konsultieren Sie die offizielle Siemens-Advisory für versionsspezifische Anleitungen.
  2. Netzwerksegmentierung: Isolieren Sie OT-Netzwerke von IT-Umgebungen, um die Angriffsfläche zu minimieren.
  3. S7-Protokoll-Traffic überwachen: Setzen Sie Intrusion Detection/Prevention Systems (IDS/IPS) ein, um anomalen Trennungsanfragen zu erkennen.
  4. Incident-Response-Planung: Stellen Sie sicher, dass Wiederherstellungsprozeduren manuelle Neustart-Protokolle für betroffene Geräte beinhalten.
  5. CISA-Advisory prüfen: Bleiben Sie über die ursprüngliche CISA-Advisory auf dem Laufenden, um Updates oder zusätzliche Maßnahmen zu erhalten.

Sicherheitsteams, die Industrial Control Systems (ICS) verwalten, sollten diesen Patch priorisieren, da die Schwachstelle hohe Auswirkungen bei geringer Ausnutzungsschwelle aufweist.

Teilen

TwitterLinkedIn