Mehr als drei Monate nach der Entdeckung der katastrophalen Heartbleed-Sicherheitslücke in der OpenSSL-Bibliothek waren Behörden: In einigen kritischen ICS-Systemen von Siemens ist die Sicherheitslücke immer noch nicht behoben. Die Systeme sind weiterhin anfällig für Hackerangriffe und damit verbundene Crashs.

Die Siemens-Produkte werden dazu genutzt, Schalter, Hähne und andere Geräte in Chemie-, Hersteller-, Energie- und Abwasseranlagen zu steuern. Heartbleed ist der Name eines Bugs in der weit verbreiteten OpenSSL-Bibliothek, der Passwörter, Benutzernamen und Verschlüsselungs-Keys offenlegt. Siemens hat zwar einige seiner Produkte auf den neuesten Stand gebracht, andere Systeme bleiben aber weiterhin anfällig. So berichtet das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT).

“Die entdeckten Probleme könnten Einfluss haben auf Authentizität, Integrität und Verfügbarkeit von betroffenen Geräten. Eine Man-in-the-middle-Attacke könnte einem Hacker die Kontrolle über eine Session eines autorisierten Benutzers und das Gerät geben. Die anderen Schwachstellen können die Verfügbarkeit des Gerätes beeinträchtigen, indem sie den Webserver des Produktes in die Knie zwingen.“

Anfällige Systeme sind:

• APE-Versionen, die jünger als Version 2.0.2 sind (nur betroffen, wenn die SSL/TLS-Komponente oder Crossbow genutzt wird)
• CP1543-1: alle Versionen
• ROX 1: alle Versionen (nur, wenn Crossbow installiert ist)
• ROX 2: alle Versionen (nur, wenn eLan oder Crossbow installiert sind)
• S7-1500: alle Versionen
• WinCC OA (PVSS): Version 3.8 – 3.12

Für eine Reihe anderer Produkte stellte Siemens bereits direkt nach der Entdeckung der Heartbleed-Probleme Patches bereit.

Artikel von arstechnica.com, 18.07.2014: Critical industrial control systems remain vulnerable to Heartbleed exploits
Artikel von ics-cert.us-cert.gov, 21.08.2014: Advisory (ICSA-14-198-03C), Siemens OpenSSL Vulnerabilities (Update C)