Kritische Lücken in Oracle Database

In der jüngeren Vergangenheit wurden kritische Sicherheitslücken in Oracle Database veröffentlicht. Näheres finden Sie in diesen Artikeln:

https://www.heise.de/security/meldung/Kritische-Luecken-in-Oracle-Database-Hersteller-raet-zu-sofortigem-Update-4137465.html

https://nvd.nist.gov/vuln/detail/CVE-2018-3110

Die von uns in der Vergangenheit eingesetzte, frei erhältliche Oracle XE Version ist davon nicht betroffen, da in dieser weder der Oracle Access Manager (OAM) noch Java VM (JVM) eingesetzt wird. Oracle stellt für diese Version jedoch prinzipiell keine Patches zur Verfügung. Wir empfehlen Ihnen daher eine der folgenden Maßnahmen, um sich vor eventuell zukünftig auftretenden Sicherheitslücken, die das von uns eingesetzte Produkt betreffen, bestmöglich zu schützen:

  • Stellen Sie über Ihre hausinterne IT sicher, dass ein unberechtigter Zugriff auf die Datenbank nicht möglich ist (Firewall) – soweit nicht schon gegeben
  • Nutzen Sie eine bereits im Hause verfügbare, kostenpflichtige und patchfähige Oracle-Lizenz.
  • Beschaffen Sie eine neue kostenpflichtige Oracle-Lizenz.
  • Nutzen Sie eine andere, frei erhältliche Datenbank, für die regelmäßig Updates bzw. Patches zur Verfügung gestellt werden (z.B. PostgreSQL).

Wenn Sie Fragen haben oder Unterstützung benötigen steht Ihnen unser Kundencenter gerne zur Verfügung.

Meltdown und Spectre: neue Erkenntnisse (V)

Es wurden weitere Spectre-NG-Sicherheitslücken veröffentlicht. Näheres finden Sie in diesem Artikel: https://www.heise.de/security/meldung/Spectre-NG-Foreshadow-gefaehrdet-Intel-Prozessoren-4137209.html

Hier finden Sie auch eine Übersicht der bis jetzt bekannten CPU-Sicherheitslücken Meltdown und Spectre.

HP OfficeJet und DeskJet: Mehrere Schwachstellen ermöglichen Codeausführung!

HP Officejet Pro ist die "All-in-One"-Drucker Produktreihe des Herstellers Hewlett Packard.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in HP OfficeJet- und DeskJet-Geräten ausnutzen, um beliebigen Programmcode auszuführen. Lesen Sie bitte dazu auch den Eintrag im HP Security Bulletin.

Die aktuelle Veröffentlichung finden Sie unter https://www.cert-bund.de/advisoryshort/CB-K18-0846

Falls Sie solche Geräte im Einsatz haben, so empfehlen wir ein Update der Firmware über den offiziellen HP Customer Support.

Kritische Sicherheitslücke in HPE iLO: Neue Erkenntnisse (II): Exploit-Code nun öffentlich!

Wie bereits 2017 veröffentlicht, existiert in den HP Proliant-Servern eine kritische Sicherheitslücke in der proprietären Management-Software Integrated Lights-Out 4 (iLO4). Da der Exploit-Code nun öffentlich ist und die Lücke als extrem kritisch gilt, sollten Administratoren umgehend sicherstellen, dass das verfügbare Firmware-Update installiert ist.

Den aktuellen Artikel finden Sie unter heise.de

Falls Sie Unterstützung benötigen, so steht Ihnen unser Kundencenter jederzeit gerne zur Verfügung.

Bleiben Sie wachsam!

Regelmäßig überprüfen wir die Sicherheit unserer Produkte und Systeme. Denn die Gefahren für kritische Infrastrukturen sind immens und derzeit brandaktuell. Vor allem in der Energie- und Versorgungswirtschaft. Daher raten wir Ihnen dringend, dass auch Sie regelmäßig die Sicherheit Ihrer Netze und Systeme überprüfen. Sind Ihre Server nach außen geschützt? Haben Sie Schutzmaßnahmen getroffen, um ein unerwünschtes Eindringen in Ihre Infrastruktur zu vermeiden?

Wenn Sie mögliche Sicherheitslücken entdeckt oder Fragen haben, helfen wir Ihnen gerne und kompetent weiter und unterstützen Sie dabei, Ihre Netze vor möglichen Angriffen von außen zu schützen! Sprechen Sie uns an.

QNAP warnt vor zwei kürzlich entdeckten Samba-Sicherheitslücken in NAS-Laufwerken

 Die Fa. QNAP hat Updates für QNAP QTS 4.3.3/4.3.4 veröffentlicht, um Sicherheitslücken zu schließen, die Samba 4.0.0. und höher betreffen. Durch diese können Angreifer denial-of-service Attacken starten oder authentifizierte User können Passwörter von Administratoren oder anderen Usern ändern.  

Weitere Informationen erhalten Sie unter https://www.qnap.com/en/security-advisory/nas-201803-15.

Für Fragen oder Unterstützung beim Update steht Ihnen unser Kundencenter gerne zur Verfügung.

IDS-Systeme von BSI-Warnung vom 08.02.18 nicht betroffen

Das BSI hat am 08.02.18 vor einer Sicherheitslücke in OpenVMS gewarnt. IDS-Systeme sind davon nicht betroffen, da weder OpenVMS als Betriebssystem noch  Intel Itanium-CPUs zum Einsatz kommen.

Neue Sicherheitslücke in CISCO ASA

CISCO warnt vor einer Sicherheitslücke in der SSL-VPN-Funktion (Secure Sockets Layer) der Cisco Adaptive Security Appliance-Software (ASA), die einem nicht authentifizierten Angreifer ermöglichen könnte, das betroffene System neu zu laden oder Code remote auszuführen.

Weitere Informationen entnehmen Sie bitte https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1

Da diese Firewalls als Absicherung des Fernwartungszugangs eingesetzt werden, stufen wir die Schwachstelle als kritisch ein und empfehlen umgehend die veröffentlichten Patches einzuspielen bzw. einspielen zu lassen.

Kunden mit einem Patchmanagementvertrag für die entsprechenden Komponenten werden von uns aktiv angesprochen. Alle anderen Kunden bitten wir sich an unser Kundencenter zu wenden, wenn Sie Unterstützung beim Patchen oder bei Verlängerung des Herstellersupports benötigen.

Meltdown und Spectre: neue Erkenntnisse (IV)

Intel und weitere Hersteller ziehen Updates zurück. Die Bereitstellung von zuverlässigen Updates zum Schließen der Sicherheitslücke verzögern sich weiter. Mehr dazu unter

www.heise.de/security/meldung/Meltdown-und-Spectre-Intel-zieht-Microcode-Updates-fuer-Prozessoren-zurueck-3948447.html

Meltdown und Spectre: neue Erkenntnisse (III)

Funkuhren der Fa. Meinberg sind ebenfalls von der Sicherheitslücke betroffen. Nähere Informationen entnehmen Sie bitte unter:

https://www.meinberg.de/german/news/meinberg-security-advisory-mbgsa-1801-spectre-und-meltdown.htm

Meltdown und Spectre: neue Erkenntnisse (II)

Zu den Sicherheitslücken Meltdown und Spectre gibt es folgende neuen Erkenntnisse:

1.) Wir empfehlen vorab den eingesetzten Virenscanner immer aktuell zu halten. Zum einen kann er Malware erkennen, die Meltdown oder Spectre ausnutzen möchte. Zum anderen müssen Antivirenprogramme einen neuen Registry-Eintrag setzen, um die Kompatibilität zum aktuellen Betriebssystem-Patch zu bestätigen. Informationen zur Kompatibilität verschiedener Virenscanner sind hier zusammengefasst.

2.) ACOS NMS, ACOS ECS, ACOS EAS und ACOS DMS sind von der Schwachstelle ebenfalls nicht direkt betroffen, können aber auf betroffenen Systemen laufen. Hier gelten dieselben Empfehlungen wie zu HIGH-LEIT.

3.) QNAP prüft zur Zeit nach eigenen Angaben, ob und wie die NAS-Laufwerke von den Sicherheitslücken betroffen sind und wie sie gepatched werden können. Weitere Informationen dazu sollen folgen.

Bei weiteren Fragen hilft Ihnen unser Kundencenter gerne weiter.

Sicherheitsbedingte Rückrufaktion von Akkus für HP Notebooks und mobile Workstations mit Ersatzbestellungsprogramm

HP kündigte eine weltweite freiwillige, sicherheitsbedingte Rückrufaktion mit Ersatzbestellungsprogramm für bestimmte Akkus von Notebooks und mobilen Workstations an.

Diese Akkus können überhitzen und stellen eine Brand- und Verbrennungsgefahr für Kunden dar.

Weitere Informationen finden Sie unter: http://www8.hp.com/de/de/hp-information/recalls.html

Mithilfe des HP-Dienstprogramms zur Akkuvalidierung unter https://batteryprogram687.ext.hp.com/de-DE/ können Sie feststellen, ob der Akku in Ihrem Notebook davon betroffen ist.

Für Rückfragen steht unser Kundencenter jederzeit gerne zur Verfügung.

Intel-Sicherheitslücke Meltdown und Spectre (I)

Aktuelle Informationen zu den kürzlich veröffentlichten Sicherheitslücken Meltdown und Spectre erhalten Sie unter heise.de (Artikel 1, Artikel 2) oder bei Microsoft.

IDS HIGH-LEIT ist von der Schwachstelle nicht direkt betroffen, kann aber auf betroffenen Systemen laufen.

Sobald die Hersteller Betriebssystem-Patches und BIOS-Updates zur Verfügung gestellt haben, testen wir, ob diese im Zusammenhang mit HIGH-LEIT zu Performance-Einbußen führen.

Nach Freigabe der Patches und Updates ist das zeitnahe Einspielen der Betriebssystem-Patches für Kunden mit dem Service-Vertragsmodul „Patchmanagement“ kostenfrei. Bei allen anderen Kunden spielen wir die Patches und Updates gerne zu den Sätzen unserer aktuellen Dienstleistungspreisliste ein.

Wir schätzen die Schwachstelle als weniger kritisch ein, wenn alle von uns empfohlenen Härtungsmaßnahmen umgesetzt sind. Weiter empfehlen wir keine Software-Updates von Third-Party-Produkten durchzuführen, solange die Betriebssystem-Patches noch nicht eingespielt sind.

Ob und welche Fernwirkkomponenten gegebenenfalls von der Sicherheitslücke betroffen sein können, prüfen wir derzeit. 

Bei weiteren Fragen hilft Ihnen unser Kundencenter gerne weiter.

QNAP warnt vor Schwachstelle in NAS-Laufwerken

Die Fa. QNAP hat Updates für QNAP QTS 4.2/4.3 veröffentlicht, um eine Schwachstelle in der Komponente Media Library zu schließen. Durch diese kann durch Manipulation mit einer unbekannten Eingabe eine erweiterte Rechte-Schwachstelle ausgenutzt werden.

Weitere Informationen erhalten Sie unter https://www.qnap.com/de-de/security-advisory/nas-201709-15.

Für Fragen oder Unterstützung beim Update steht Ihnen unser Kundencenter gerne zur Verfügung.

Meinberg Security Advisory [MBGSA-1701]: LTOS6 Web Interface

Die Fa. Meinberg informiert über drei Sicherheitslücken und einen Fehler in Bezug auf die Web-Benutzerschnittstelle von Meinberg-Systemen. Im Einzelnen sind dies:

  • CVE-2017-1678:Beliebige Dateien lesbar
    Aufgrund einer falsch konfigurierten Webserver Access Control List konnte ein authentifizierter Benutzer, den Inhalt von beliebigen Dateien einzusehen. Dazu gehören auch Dateien, die (verschlüsselte) sicherheitsrelevante Daten enthielten.
  • CVE-2017-16787: Fehler bei eingeschränktem URL-Zugriff (z.B. direkte Objektreferenz)
    HTTP / HTTPS-Anfragen haben den direkten Zugriff auf Dateien im Stammverzeichnis des Webservers ohne Authentifizierung ermöglicht, so dass ein Angreifer statistische Daten und statistische Grafiken lesen konnte, ohne gültige Anmeldeinformationen eingeben zu müssen.
  • CVE-2017-16788: Beliebiger Datei-Upload
    Ein authentifizierter Benutzer war in der Lage, beliebige Dateien hochzuladen und mithilfe einer fehlenden Parametervalidierungsprüfung diese Dateien an einem beliebigen Ort unter Verwendung eines "Directory-Traversal-Angriffs" zu platzieren.
  • NO-CVE:  Fehler bei der automatischen NTP-Schlüsselerzeugung
    Bei Verwendung der automatischen NTP-Schlüsselgenerierungsfunktionalität haben ältere Versionen der LTOS6-Firmware neu erstellte Schlüssel an die NTP-Schlüsseldatei angehängt, ohne zu überprüfen, ob die Schlüsselnummern bereits in der selben Datei verwendet werden. Dadurch konnten die vorhandenen Schlüssel weiterhin verwendet werden.
    Dieser Fehler betrifft alle LTOS6-Firmware-Versionen vor 6.24.004, die für alle Geräte der Meinberg LANTIME M-Serie (M100, M200, M300, M400, M600, M900) sowie für alle Geräte der IMS-Serie (M500, M1000, M1000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000 / SF1100).

 Alle drei Schwachstellen und der beschriebene Fehler wurden mit der Firmware-Version 6.24.004 behoben. Diese können Sie sich als Meinberg-Kunden kostenlos unter https://www.meinberg.de/german/sw/firmware.htm downloaden.

Bitte wende Sie sich an unser Kundencenter, falls Sie Unterstützung beim Update benötigen.

Schwachstelle in den seriellen Geräteservern der Serie NPort 5100 der Fa. Moxa

Das BSI warnt vor einer Schwachstelle in den seriellen Geräteservern der Serie NPort 5100 der Fa. Moxa, die es erlaubt beliebige Kommandos auf dem Gerät auszuführen.

Betroffen sind folgende Versionen:

  • NPort 5110 Version 2.2, 2,4, 2.6 und 2.7
  • NPort 5130 Version 3.7 und früher,
  • NPort 5150 Version 3.7 und früher.

Die Fa. Moxa hat Updates zur Verfügung gestellt unter:

NPort 5110 https://www.moxa.com/support/download.aspx?type=support&id=882

NPort 5130 und NPort 5150 https://www.moxa.com/support/download.aspx?type=support&id=356

Falls Sie Unterstützung beim Einspielen der Updates benötigen, wenden Sie sich bitte an unser Kundencenter.

Weiteres Problem mit steigendem Speicherplatzbedarf bei Meinberg LANTIME

Die Fa. Meinberg informiert in ihrem aktuellen Newsletter, dass auch in der LANTIME-Firmware Version 6.22.005 der Speicherplatzbedarf ständig steigen kann, wenn das SyncMon Feature aktiv genutzt wird. Nach einer gewissen Zeit besteht die Möglichkeit, dass die Speicherressourcen des Systems überlaufen und der Betrieb des LANTIME erheblich beeinträchtigt wird. Die Zeit bis zum Speicherüberlauf hängt vom verfügbaren RAM ab, der auf dem System vorhanden ist. Das Problem wurde in der Firmware-Version 6.22.006 oder höher behoben. Meinberg empfiehlt dringend, Ihre LANTIME Firmware zu aktualisieren, wenn auf Ihrem System die Version 6.22.005 arbeitet und Sie das SyncMon Feature nutzen.

Sie können sich das Firmware-Updatepaket hier herunterladen: https://www.meinberg.de/german/sw/firmware.htm. Alternativ wenden Sie sich gerne  an unser Kundencenter.

Das bsi und heise.de warnen vor einer Schwachstelle bei Cisco Switches

Cisco hat für seine Switches einen Plug&Play-Dienst zur Fernkonfiguration namens Smart Install im Angebot. Über diesen lassen sich sich die aktuelle Konfiguration auslesen, das Gerät konfigurieren oder gleich mit neuer Firmware versorgen. Dazu ist kein Passwort erforderlich. Eine Authentifizierung ist durch  Smart Install nicht vorgesehen. Ist die Smart-Install-Funktion solcher Switches direkt aus dem Internet erreichbar, ist das gefährlich. Mehr Informationen erhalten Sie unter

https://www.heise.de/security/meldung/Tausende-Cisco-Switches-offen-im-Internet-Angriffe-laufen-bereits-3882810.html

Die  Leitsystem-Netzwerke in IDS-Systemen sind in der Regel vom Internet und anderen Netzwerken durch Firewalls getrennt. Daher können Switches nicht direkt aus dem Internet erreicht werden. Die Konfigurations-Option Smart Install wird von uns gewöhnlich nicht für die Konfiguration genutzt. Aus diesen Gründen ist die Schwachstelle für IDS-Leitsysteme eher nicht relevant.

Falls Sie dennoch eine diesbezügliche Überprüfung Ihrer Cisco Switches wünschen, wenden Sie sich bitte an unser Kundencenter.

Sicherheitsupdate Westermo WeOS 4.21.2

Für CVE-2017-14491 (WEOS-17-02) hat Westermo einen dauerhaften Bug-Fix veröffentlicht. Betroffen sind die WeOS-Versionen 4.8.0 bis 4.21.1.

Was geschieht ohne Bug-Fix?
Ein Angreifer sendet ein spezielles DNS-Paket, das einen Buffer Overflow in der attackierten Komponente verursacht. Die Folge ist ein DoS-Angriff (Denial-of-Service) oder die Ausführung eines beliebigen Schadcodes, der dem Angreifer die Kontrolle über die Komponente geben kann.

Unternehmen, die eine der oben genannten WeOS-Versionen verwenden, sollten das WeOS-Betriebssystem schnellstens auf die aktuelle Version 4.21.2 aktualisieren, um diese Sicherheitsanfälligkeit zu schließen.

Unser Kundencenter unterstützt Sie gerne beim Auslesen der bei Ihnen eingesetzten Software-Versionen bzw. Update auf die aktuelle Version.

Meinberg informiert über LANTIME-Firmware-Problem

In ihrem letzten Newsletter hat die Firma Meinberg über ein LANTIME-Firmware-Problem berichtet, welches das LANTIME-System veranlasst, den Betrieb nach einigen Wochen beziehungsweise  Monaten zu beenden.

Hintergrund ist, dass bei den LANTIME-Firmware Versionen 6.22.003 und 6.22.004 der Speicherplatzbedarf ständig steigt und daher die Speicherressourcen des Systems nach einer gewissen Zeit verbraucht sind. Die verbleibende Zeit hängt vom verfügbaren RAM ab, der auf dem System vorhanden ist.

Das Problem wurde in den Firmware-Versionen 6.22.005 und höher behoben. Meinberg empfiehlt  Ihnen dringend, Ihre LANTIME Firmware zu aktualisieren, sollten Sie  mit den Versionen 6.22.003 oder 6.22.004 auf Ihren Systemen arbeiten.

Sie können sich das Firmware-Updatepaket hier herunterladen: https://www.meinberg.de/german/sw/firmware.htm. Alternativ wenden Sie sich gerne  an unser Kundencenter.

Schwachstellenmeldung der OPC-Foundation und Siemens

Die  OPC-Foundation und Siemens haben folgende Schwachstelle gemeldet:

Im Local Dicovery Service (LDS) von OPC-UA wurde in der .NET Referenzimplementierung der OPC-Foundation eine Schwachstelle (CVE-2017-12069) bekannt. Diese erlaubt es einem Angreifer, auf durch ihn bestimmte Netzwerkressourcen zuzugreifen. Betroffen ist die .NET-Bibliothek in Version 1.01.333.0. 

Die IDS setzt in ihren Produkten und Applikationen kein OPC-UA ein. Die Schwachstelle ist daher für IDS-Systeme nicht relevant. Weitere Information finden Sie unter:

https://opcfoundation-onlineapplications.org/ ,

https://www.siemens.com sowie auf der Seite des BSI.

Kritische Sicherheitslücke in HPE iLo

In den  HP Proliant-Server existiert eine kritischen Sicherheitslücke in der proprietären Management-Software Integrated Lights-out 4 (iLO4).

 iLO ist in die Hardware eingebettet, und stellt so Funktionen mit weitreichenden Systemrechten unabhängig vom Betriebssystem zur Verfügung. Aus diesem Grund ist diese Sicherheitslücke (CVE-2017-12542 ) besonders kritisch. Sie kann von Angreifer genutzt werden, um sich ohne Benutzerdaten remote via iLO einzuloggen und einen Schadcode auszuführen.

Weitere Informationen erhalten Sie bei heise.de.

Falls Sie iLO direkt im umsegmentierten Leitsystem-Netzwerk betreiben, empfehlen wir Ihnen ein sofortiges Update. Sollte sich die iLO-Schnittstelle in einem separaten VLAN befinden, so genügt ein Update bei der nächsten Wartung bzw. beim nächsten Inbetriebnahmeeinsatz aus.

Für Rückfragen steht Ihnen unser Kundencenter jederzeit gerne zur Verfügung.

Angriffskampagnen gegen Energieunternehmen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fasst in seiner aktuellen Warnung die jüngsten Angriffe auf Energieversorger zusammen und gibt eine Bewertung ab.

Neben den bereits bekannten Maßnahmenempfehlungen wie Härtung, Patchmanagement und einem sicheren Wartungszugang empfiehlt das BSI hier auch ein Systemmonitoring.

Beim Aufbau und Betrieb eines Monitorings unterstützen wir Sie gerne.

Bitte sprechen Sie dazu Ihren zuständigen Vertriebsmitarbeiter an.

Gefahr für SCADA-Systeme

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Schadsoftware unter dem Namen CRASHOVERRIDE bzw. INDUSTROYER, die speziell ICS/SCADA-Umgebungen angreifen kann. Weitere Informationen dazu erhalten Sie in der BSI-Cyber-Sicherheitswarnung.

Die Schadsoftware benötigt einen direkten Zugang zum Internet, da sie von außen gesteuert werden kann und muss. Die Leitsysteme HIGH-LEIT sind davon nicht bedroht, wenn Sie die von uns empfohlenen Maßnahmen wie Absicherung aller Schnittstellen des Leitsystem-LANs nach außen, Netzwerksegmentierung und Härtung der Systeme umgesetzt haben.

Wir unterstützen Sie bei der Absicherung Ihrer Netze! Um diese oder weitere Maßnahmen schnellstmöglich umzusetzen, sprechen Sie bitte Ihren zuständigen Vertriebsmitarbeiter an.

WannaCry: Kryptotrojaner verbreitet sich weltweit

Bei einer massiven Cyber-Attacke am Freitag, den 12.05.17, haben sich Kriminelle eine kritische Schwachstelle in allen Windows-Betriebssystemen zu Nutze gemacht und zehntausende Rechner mit einem Verschlüsselungstrojaner infiziert.

Für die aktuellen Betriebssysteme hat Microsoft Mitte März 2017 einen Patch veröffentlicht, für bereits abgekündigte Betriebssysteme wie Windows XP sogar am 13.05.17 einen Patch nachgeschoben. Lesen Sie mehr dazu auf heise.de.

Einmal mehr zeigt sich, dass vor allem Patchmanagement, aber auch andere Maßnahmen wie Absicherung aller Schnittstellen nach außen, Härtung und Virenschutz etc. unbedingt notwendig für den sicheren Betrieb von Leitsystemen sind.

Wir empfehlen Ihnen dringend, den Patch umgehend auf Ihren Systemen einzuspielen bzw. durch uns einspielen zu lassen. Bitte setzen Sie sich dazu mit unserem Kundencenter in Verbindung.

Kritische Sicherheitslücke in Apache Struts 2

Bei einem Upload von Dateien über den Standard-Multipart-Parser Jakarta sind einige Versionen des Open-Source-Frameworks Apache Struts 2 verwundbar. Im schlimmsten Fall lässt sich somit ein Schadcode ohne Authentifizierung aus der Ferne ausführen. Betroffen sind die Struts-Versionen 2.3.31 bis 2.3.5 und 2.5 bis 2.5.10. Abhilfe schaffen neuere Versionen und Workarounds.

Unsere IDS-Produkte sind von dieser Schwachstelle nicht betroffen, da die genannten Versionen nicht im Einsatz sind.

Mehr Informationen zu dieser Schwachstelle finden Sie auf heise.de.

Chipfehler in CISCO-Firewalls

Die Firma CISCO weißt auf Chipfehler in einer bestimmten Charge ihrer Firewalls hin. Wir werden alle betroffenen Kunden, die solche Firewalls über uns bezogen haben, ansprechen und ggf. einen Austausch organisieren. Weitere Informationen erhalten Sie hier.

Für Rückfragen steht Ihnen unser Kundencenter jederzeit gerne zur Verfügung.

Zeitgeber als potenzielle Schwachstelle

In Fernwirk- und Leitsystemen ist der Zeitgeber ein potentielles Angriffsziel. Mögliche Sicherheitslücken müssen durch Patches der Hersteller zeitnah geschlossen werden.

Die Network Time Foundation hat eine neue NTP-Version veröffentlicht, die eine Reihe von Schwachstellen schließt. Die Version 4.2.8p9 ist im aktuellen LTOS6 Firmware Release enthalten und beinhaltet außerdem noch weitere sicherheitsrelevante Aktualisierungen. Neben einer Lücke im Linux Kernel sind die neuesten stabilen Versionen von OpenSSL und OpenSSH enthalten.

Nähere Informationen finden Sie hier.

Falls Sie eines der o.g. Produkte im Einsatz haben, wenden Sie sich bitte an unser Kundencenter (Tel.:07243/218-990).

Schwachstelle ROBUS 104

Bei Kommunikationsmodulen der Systemfamilien IDS 650/850/ACOS 750 wurde eine Schwachstelle erkannt, die beim Empfang ungültiger IEC 60870-5-104 Telegramme zum Absturz der Software führt. Dies wurde bei Tests von Dr. Stephan Beirer / Sebastian Krause, GAI NetConsult GmbH mit Unterstützung von Adam Crane, Automatak, LLC, Project Robus 104 festgestellt.

Die Kritikalität der Schwachstelle ist in den Anwendungsfällen hoch, in denen eine Übertragung über das genormte Protokoll IEC 60870-5-104 in öffentlichen Übertragungsnetzen ohne Verschlüsselung eingesetzt wird und die Verbindung von beliebigen Kommunikationspartnern explizit gestattet wird (Modus „Any-IP“). In allen anderen Anwendungsfällen ist sie niedrig, da die betroffenen Geräte keine Verbindungen von beliebigen Kommunikationspartnern akzeptieren.

Konkret betroffen sind die Kommunikationsmodule CC88A, OC88A, CC68X, OC68A, CU78X, CU73X, CC73X, OC73X, sowie die Kompaktstationen ACOS 710, 711 und 720.

Für alle diese Komponenten steht ab dem 23.09.2016 eine Softwareversion bereit, mit der die Schwachstelle behoben wird.

Wir empfehlen bei Übertragung über das genormte Protokoll IEC 60870-5-104 in öffentlichen Übertragungsnetzen grundsätzlich auf unverschlüsselte Übertragung und auf den Modus „Any-IP“ zu verzichten. Falls dennoch in öffentlichen Netzen ohne eine Verschlüsselung im Modus "Any-IP" übertragen wird, muss das Software-Update zwingend installiert werden. In allen anderen Fällen empfehlen wir ein Software-Update beim nächsten Anfahren der Fernwirk-Unterstation.

Falls Sie eines der o.g. Produkte im Einsatz haben, wenden Sie sich bitte an unser Kundencenter (Tel.: 07243/218-990). Wir empfehlen Ihnen individuell die für Ihr System wirtschaftlichste Lösung.

Kritische Schwachstelle bei Firewalls von Cisco

Die sogenannte Zero-Day-Lücke, findet sich im Simple Network Management Protocol (SNMP) der Adaptive Security Appliance (ASA) Software. Angreifer können diese ohne Authentifizierung aus der Ferne ausnutzen, um eigenen Code auszuführen und im schlimmsten Fall ein komplettes System zu übernehmen.

Da sich die Problematik auf das SNMP-Protokoll bezieht, besteht die Gefahr für Kunden nur durch einen Angriff von „innen“ heraus. Und nur bei Verwendung von SNMP. Denn dieses wird nach „außen“ weder veröffentlicht noch weitergeleitet. Daher sind Netzwerke von unberechtigten Zugriffen aus dem Internet weiterhin abgesichert.

Cisco arbeitet an einem Patch, um das Problem zu lösen. Sobald der Patch verfügbar ist, können wir Ihnen dieses im Rahmen von vertraglichen Verpflichtungen bzw. auf Anfrage gerne nach Aufwand einspielenWeitere Sicherheitslücken von Cisco und nähere Informationen finden sie hier.

Keine Prüfung der Signatur bei Juniper

Schon wieder eine Sicherheitslücke bei Juniper: Produkte mit Junos-Betriebssystem akzeptieren Zertifikate für IPSEC-Verbindungen lediglich anhand des Ausstellernamens. Eine Prüfung der Signatur, wie es normalerweise üblich ist, findet schlichtweg nicht statt.

Solange eine von Junos akzeptierte Zertifizierungsstelle als Aussteller eingetragen ist, kann also jeder ein gültiges Zertifikat erstellen.

Für die betroffenen Geräte stellt Juniper seinen Nutzern ein Update zur Verfügung.

Mehr Informationen erhalten Sie hier.

Sicherheitslücken in Meinberg's LTOS6 Web Interface

Ein unabhängiger Sicherheitsexperte hat gleich mehrere Sicherheitslücken in Meinberg's LTOS6 Web Interface aufgespürt.

Die entdeckten Sicherheitslücken erlauben es, Skripte mit Super User Rechten auszuführen. Damit der Angreifer diese Lücke ausnutzen kann, muss er auf das Web Interface eines betroffenen Gerätes zugreifen können.

Die dringende Empfehlung von Meinberg: Die Aktualisierung aller LANTIME-, SyncFire- und LCES-Geräte auf die Firmware Version LTOS 6.20.005.

Mehr Informationen erhalten Sie auch hier:

Krypto-Trojaner „Locky“

Wie Sie vielleicht bereits den Medien entnommen haben, verbreitet sich derzeit rasend ein neuer Trojaner mit der Bezeichnung „Locky“. Dieser Krypto-Trojaner verschlüsselt nicht nur Dateien auf dem infizierten Rechner, sondern auch solche, die er über das Netzwerk erreicht (verbundene Netzlaufwerke und Freigaben im Netzwerk).

Derzeit ist es noch nicht möglich, die verschlüsselten Daten zu retten, ohne auf die formulierten Erpressungen des Schädling-Entwicklers einzugehen.

Sie sollten daher folgende Vorkehrungen treffen:

  • Durchführung regelmäßiger Backups (mit offline-Ablage)
  • Regelmäßige Installation aktueller Patches (Betriebssystem, Office, Browser, …)
  • Einsatz eines Virenscanners mit aktuellen Signaturen
  • Vermeidung des Öffnens von Mail-Anhängen bei nicht-vertrauenswürden Versendern

Weitere Schutzmaßnahmen lassen sich in Domain-verwalteten Windows-Netzen mit Hilfe von Gruppenrichtlinien durchführen. Hierzu bieten wir Ihnen gern bei Bedarf unsere Unterstützung an.

Weitere Informationen finden Sie hier.

Zahlreiche Hersteller patchen dramatische glibc-Lücke

Linux sehr weit verbreitet - und dementsprechend auch die glibc, die in älteren Versionen angreifbar ist. Sicherheits-Updates gibt es unter anderem von Zyxel, VMware und Citrix, andere geben Entwarnung.

Diverse Hersteller haben Sicherheits-Updates herausgegeben, welche die dramatische Schwachstelle in den Netzwerkfunktionen der glibc schließen sollen. Durch die Lücke kann ein Angreifer Linux-Systeme aus der Ferne übernehmen, indem er speziell präparierte DNS-Pakete schickt.

Insbesondere für Systeme, die direkt mit dem Internet verbunden sind bzw. die Dienste ins Internet bereitstellen empfehlen wir die zeitnahe Installation von entsprechenden Sicherheits-Updates.

Für die UTM-Systeme des Herstellers Sophos ist ein entsprechendes Sicherheits-Update bereitgestellt worden. In folgenden Versionen (Security Updates) ist die Sicherheitslücke gefixt worden:

  • v9.217
  • v9.319
  • v9.355-001

Weitere Informationen und Empfehlungen zum Beseitigen der Sicherheitslücke finden Sie bei heise.de.

Kritische Sicherheitslücke bei ASA Firewalls

Bei ASA Firewalls liegt eine kritische Sicherheitslücke vor. Laut Cisco sind folgende Produkte betroffen, sofern die Funktion VPN (über IPSec) aktiviert ist:

  • ASA 5500 Series Adaptive Security Appliance
  • ASA 5500-X Series Next-Generation Firewall
  • ASA Services Module for Cisco Catalyst 6500 Series Switches
  • Cisco 7600 Series Router
  • ASA 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 9300 ASA Security Module
  • ISA 3000 Industrial Security Appliance

Worin besteht diese Sicherheitslücke?
Schickt man diesen Geräten entsprechend präparierte Pakete, werden diese bei der Verarbeitung so in den Speicher geschrieben, dass der Angreifer einen Pufferüberlauf im Heap ausnutzen kann, um seinen Schadcode in einem Bereich des Speichers zu platzieren, der anschließend ausgeführt wird. Ein Angreifer kann so einen besonders kritischen Teil der Netzwerkinfrastruktur kapern und von dort aus tiefer in das Netz vordringen.

Bitte wenden Sie sich an unser Kundencenter (Tel.: 07243/218-990), falls Sie eines der o.g. Produkte im Einsatz haben. Wir empfehlen Ihnen individuell die für Ihr System wirtschaftlichste Lösung.