OT-Security: Hochkritische Lücken in RTUs von Red Lion

Sicherheitsforscher des Team82 von Claroty warnen vor zwei schwerwiegenden Schwachstellen in den Remote Terminal Units von Red Lion. Diese ermöglichen es nicht authentifizierten Angreifern, Befehle mit Root-Rechten auszuführen und so Geräte zu übernehmen. Um das zu verhindern, sollten Verantwortliche schnell handeln.

Eine Schwachstelle in den SixTRACK RTUs gefährdet die Integrität industrieller Systeme (Foto: Red Lion)

Gleich zwei mit einem CVSS v3-Score von 10,0 bewertete Sicherheitslücken in den Remote Terminal Units (RTU) von Red Lion haben die Sicherheitsexperten des Team82 von Claroty entdeckt (CVE-2023-42770 und CVE-2023-40151). Sie betreffen die RTU-Produkte Red Lion SixTRAK und VersaTRAK sowie das Sixnet Universal-Protokoll. Die dringliche CVSS-Einstufung rührt insbesondere daher, dass nicht Authentifizierte Angreifer über die Schwachstellen Befehle mit Root-Rechten ausführen und damit beispielsweise komplette Geräte übernehmen können. Als Gegenmaßnahme raten die Experten des CPS-Anbieters den betroffenen Anwendern dringend dazu, die für die Schwachstellen in den Fernterminalgeräten bereitgestellten Patches von Red Lion (Patch 1 und Patch 2) umgehend zu installieren und darüber hinaus den TCP-Zugriff auf die betroffenen RTUs zu blockieren.

Die Sixnet-RTUs werden vor allem in den Bereichen Fabrikautomation, Energie, Versorgung, Transport und Wasser/Abwasser eingesetzt, wo sie fortschrittliche Automatisierungs-, Steuerungs- und Datenerfassungsfunktionen für industrielle Automatisierungs- und Steuerungssysteme bereitstellen. Gestaltet, konfiguriert und überwacht werden sie und die Sixnet-E/A-Systeme mit dem Windows-Dienstprogramm Sixnet IO Tool Kit, das mit den Geräten über den UDP-Port 1594 und das proprietäre Sixnet Universal-Protokoll kommuniziert. Aufgrund der sensiblen Funktionen bis hin zur Codeausführung hat der Hersteller eine Authentifizierungsschicht hinzugefügt. Die Sicherheitsforscher haben nun jedoch gezeigt, dass sich diese via TCP umgehen lässt, wodurch Angreifer sich die Möglichkeit verschaffen können, Befehle im Root-Kontext, also mit höchsten Berechtigungen, auszuführen. Damit können sie die vollständige Kontrolle über betroffene Geräte übernehmen und damit beispielsweise Prozesse stören, manipulieren oder lahmlegen.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden