Unternehmen, die DIAEnergie zur Überwachung und Steuerung der Energieversorgung ihrer Anlagen nutzen, sollten dringend einen Blick auf den kürzlich veröffentlichten Sicherheitshinweis der Cybersecurity and Infrastructure Security Agency (CISA) werfen und die darin beschriebenen vorbeugenden Schutzmaßnahmen umsetzen.
Updates, die die Lücken endgültig schließen, sind laut dem CISA-Hinweis ICSA-21-238-03 in Arbeit und sollten anschließend möglichst zeitnah angewendet werden. Delta Electronics habe sie allerdings erst für den 15. September angekündigt.
Remote Code Execution & ausgehebelte Authentifizierung
Sechs der acht Lücken wurden als kritisch und mit einem CVSS-Score von 9.8 von möglichen 10 bewertet. Je nach Lücke, Netzwerkkonfiguration und vorhandener Absicherung gegen unbefugte Zugriffe (vor allem auch via Internet) könnten etwa Passwörter im Klartext abgefangen, neue Benutzer mit Admin-Rechten hinzugefügt oder auf Basis von SQL-Injections beziehungsweise Dateiupload-Möglichkeiten beliebiger Code zur Ausführung gebracht werden.
Nähere Informationen zu den Sicherheitslücken sind dem CISA-Advsory, aber auch einer Übersicht auf der Website von Sicherheitsforscher Michael Heinzl zu entnehmen, der die Lücken entdeckt und bereits im April via CISA an Delta Electronics gemeldet hat.
Quelle: heise online Redaktion