Hersteller von Industriesoftware warnen vor Spectre-Updates

Verschiedene Lösungen von Herstellern wie Siemens oder Rockwell Automation scheinen nicht zu den Updates kompatibel zu sein, die die Sicherheitslecks Meltdown und Spectre schließen sollen. Kunden sollten zunächst andere Maßnahmen ergreifen, rät beispielsweise Siemens.

Mehrere Hersteller von Industrie-Steuerungs-Lösungen melden Probleme mit den Fixes für die Sicherheitslecks Meltdown und Spectre. So berichtet beispielsweise Rockwell Automation von rund einem Dutzend Fehlern in den FactoryTalk-basierten Produkten nach Installation der Patches für Meldtown und Spectre.

Anwender sollen Probleme haben, sich in den Sicherheitsserver der Lösung einzuloggen, auch die Admin-Console für FactoryTalk soll verschiedene Fehler aufweisen. Andere Bereiche sind ebanfalls betroffen.

Spectre/Meltdown-Rockwell Automation warnt vor Patches (Bild: Rockwell Automation)Rockwell Automation warnt vor Patches für Spectre/Meltdown in Industrieanlagen (Bild: Rockwell Automation)

Nun hat auch das US ICS-CERT ein Advisory veröffentlicht, in dem es Industrie-Anwender über Patches für die Lecks CVE-2017-5753CVE-2017-5715 und CVE-2017-5754 informiert. Hier werden ABB, Siemens, Rockwell und Becton, Dickinson and Company (BD) aufgeführt.

Gerüchten zufolge soll Intel vergangene Woche bereits größeren Rechenzentrumsbetreiber mitgeteilt haben, die Updates für die genannten Lecks vorerst nicht aufzuspielen. Auch Microsoft musste zunächst die Updates für einige AMD-Systeme aussetzen und auch mit einigen Antiviren-Produkten schien es zunächst Probleme gegeben zu haben.

Von Siemens heißt es jetzt: „Siemens ist bekannt, dass diese Updates auf bestimmten Produkten oder Betriebssystemen zu Kompatibilitäts-, Performance- oder Stabilitäts-Problemen führen können. Anbieter von Betriebssystemen wie Microsoft arbeiten aktuell noch an diesen Kompatibilitäts-Problemen bei den Updates. Siemens wird daher weiterhin diese Updates prüfen.“

Siemens rät nicht grundsätzlich von den Upgrades ab, gibt jedoch zu bedenken, dass ein Angreifer diese Lecks nur dann ausnutzen kann, wenn er in der Lage ist, unautorisierten Code auf dem Server auszuführen. Daher sollte zunächst geprüft werden, ob das grundsätzlich möglich ist und falls nicht, sollten hier entsprechende Tools aufgespielt werden, um dieses Risiko zu minimieren. Auch sollten Anwender das Defense-in-Debth-Konzept aufspielen um die Systeme vor unerlaubtem Zugriff zu schützen. Und auf jeden Fall sollten Anwender sich vor der Installation mit dem Siemens-Support in Verbindung setzen, damit die Kompatibilität mit den Patches sichergestellt werden könne.

Rockwell bestätigt, dass die Rechenzentrumsprodukte E1000, E2000 und E3000 von den Sicherheitslecks betroffen sind, aber dass diese Patches auch Probleme in FactoryTalk verursachen. Gemeinsam mit Microsoft arbeite Rockwell derzeit daran, diese Probleme zu beseitigen.

„Rockwell Automation weiß um die Anomalien in den FactoryTalk-basierten Software-Produkten. Darunter sind auch Studio 5000, FactoryTalk View SE und RSLinx Classic“, teilt das Unternehmen.

Auch Wonderware, eine Tochter von Schneider Electric, soll, wie der Sicherheitsforscher Kevin Beaumont mitteilt, soll mit den Patches nicht zurecht kommen. So soll Wonderware Historian instabil werden und DA/OI-Server lassen sich nicht mehr erreichen. Daher rät Wonderware den Anwendern, die Microsoft-Patches nicht mehr aufzuspielen.

Weitere Artikel zum Thema

[mit Material von Liam Tung, ZDNet.com]

Themenseiten: Digitalisierung, Intel, IoT, Schneider Electric, Siemens

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Hersteller von Industriesoftware warnen vor Spectre-Updates

Kommentar hinzufügen
  • Am 17. Januar 2018 um 0:50 von C

    Laut Google ist nur eine SW-Optimierung, neue Compiler, neue LibC und ein neuer Compiler-Lauf der SW nötig (Retpoline).

    Wenn es so einfach ist – warum setzen die Hersteller das nicht ein?
    Lt. Google alles easy – und kaum Performance-Verlust…

  • Am 2. Februar 2019 um 9:58 von Busch

    Da muss man sich doch ernsthaft fragen, wer ein Konzept „aufspielen“ kann. Das Defense in Depth Konzept ist wie der Name schon sagt ein konzeptioneller Schutz Ansatz einer ganzen Infrastruktur, bestehend aus Massnahnmen der physischen Sicherung einer Anlage bis hin zur Systemhärtung oder Netzsegmentierung. Abgesehen davon, dass man grundsätzlich ein Konzept nicht „aufspielen“ kann und Sicherheitskonzepte durchgängige Lösungen verlangen, sollte das gesagt sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *