Security Sicherheitslücke bei Codesys-Webserver entdeckt

Das US-amerikanische ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) warnt vor einer Security-Schwachstelle beim Webserver des Programmiersystems Codesys der Firma 3S.

Der Webserver der Programmierumgebung Codesys dient als Basis für Webvisualisierungen. Werden speziell präparierte Datenpakete über den Port 8080/TCP gesendet, führt das zu einem Speicherüberlauf/Absturz des Rechners.

Roland Wagner, Pressesprecher von 3S-Smart Software Solutions, betonte auf Nachfrage: „Um auf diese Sicherheitslücke zugreifen zu können, muss der Webserver öffentlich im Web angesprochen werden können, sprich: von außen sichtbar sein.“ Nur dann kann der Server durch eine entsprechende Anfrage zum Absturz gebracht werden oder - noch schlimmer - durch eine entsprechende Anfrage zur Ausführung eines beliebigen Codes veranlasst werden. „Letzteres ist aber nur dann relevant, wenn der Webserver auf einem PC mit einem Standard-Betriebssystem wie Windows oder Linux läuft“, schränkt Wagner das Worst-Case-Szenario ein.

Wird der Webserver dagegen von einer klassischen SPS gehostet, ist es sehr schwer, dieser Steuerung ernsthaft zu schaden. Der Worst-Case wäre hier allenfalls ein SPS-Absturz.

Wagner betont: „Eine Gefahr besteht nur bei der unwahrscheinlichen Konstellation, dass eine Steuerung sich nicht in einem durch Firewalls geschützten Intranet befindet, sondern öffentlich zugänglich ist. Das sollte aber eigentlich bei Betreibern von Maschinen und Anlagen ausgeschlossen werden können.“

3S wurde am 22. November vom ICS-CERT über die Sicherheitslücke informiert und hat deren Ursachen unmittelbar untersucht und den Fehler inzwischen beseitigt. Am 8. Dezember wurden die Kunden über die Problematik informiert. Mit den seit dem 15. Dezember verfügbaren Releases - Codesys V3.5 beziehungsweise Codesys Webserver V1.1.9.10 für die Version V2.3 - ist die Sicherheitslücke geschlossen. (Stefan Kuppinger Computer&Automation)