Search Icon
Elektroniknet Logo
Search Icon
Startseite > Automation > Sicherheitslücke bei Codesys-Webserver entdeckt

Security

Sicherheitslücke bei Codesys-Webserver entdeckt

15. Dezember 2011, 15:15 Uhr | Andrea Gillhuber
© 3S - Smart Software Solutions

Das US-amerikanische ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) warnt vor einer Security-Schwachstelle beim Webserver des Programmiersystems Codesys der Firma 3S.

Diesen Artikel anhören

Der Webserver der Programmierumgebung Codesys dient als Basis für Webvisualisierungen. Werden speziell präparierte Datenpakete über den Port 8080/TCP gesendet, führt das zu einem Speicherüberlauf/Absturz des Rechners.

Roland Wagner, Pressesprecher von 3S-Smart Software Solutions, betonte auf Nachfrage: „Um auf diese Sicherheitslücke zugreifen zu können, muss der Webserver öffentlich im Web angesprochen werden können, sprich: von außen sichtbar sein.“ Nur dann kann der Server durch eine entsprechende Anfrage zum Absturz gebracht werden oder - noch schlimmer - durch eine entsprechende Anfrage zur Ausführung eines beliebigen Codes veranlasst werden. „Letzteres ist aber nur dann relevant, wenn der Webserver auf einem PC mit einem Standard-Betriebssystem wie Windows oder Linux läuft“, schränkt Wagner das Worst-Case-Szenario ein.

Wird der Webserver dagegen von einer klassischen SPS gehostet, ist es sehr schwer, dieser Steuerung ernsthaft zu schaden. Der Worst-Case wäre hier allenfalls ein SPS-Absturz.

Wagner betont: „Eine Gefahr besteht nur bei der unwahrscheinlichen Konstellation, dass eine Steuerung sich nicht in einem durch Firewalls geschützten Intranet befindet, sondern öffentlich zugänglich ist. Das sollte aber eigentlich bei Betreibern von Maschinen und Anlagen ausgeschlossen werden können.“

3S wurde am 22. November vom ICS-CERT über die Sicherheitslücke informiert und hat deren Ursachen unmittelbar untersucht und den Fehler inzwischen beseitigt. Am 8. Dezember wurden die Kunden über die Problematik informiert. Mit den seit dem 15. Dezember verfügbaren Releases - Codesys V3.5 beziehungsweise Codesys Webserver V1.1.9.10 für die Version V2.3 - ist die Sicherheitslücke geschlossen. (Stefan Kuppinger Computer&Automation)

Anbieter zum Thema

WIBU-SYSTEMS AG
Matchmaker+
zu Matchmaker+

Lesen Sie mehr zum Thema

Cyber-Security

Das könnte Sie auch interessieren

Security

CodeMeter-Stick für internen USB-Pfostenstecker

Safer Internet Day

Fünf Regeln für sichere Passwörter

Leichtere Programmierung

CoDeSys: Einfachheit steht im Vordergrund

Schutz für SPS-Software

Wibu schützt CoDeSys-Software

Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Cyber-Security

Studie von G Data CyberDefense

Lokale und ISO-zertifizierte Cybersecurity-Dienstleister gefragt

Industrial Cybersecurity Benchmark 2025

Weiterhin Nachholbedarf bei Cybersecurity in der Industrie

المراقبة المستمرة في عصر CRA

ضرورة متزايدة لحماية الأنظمة المدمجة

Die Wasserstoffindustrie automatisieren

»Auf Safety, Security und Explosionsschutz kommt es an«

Vom Schlagwort zur Notwendigkeit

TXOne bringt Cybersecurity in ctrlX World von Bosch Rexroth ein