Security Problem bei WIBU CodeMeter mit der höchsten Gefahrenstufe CVSS 10,0 (behoben ab V3.22)
Behoben ab:
PLC Designer V3.22
Verhalten der neuen Version:
Die Schwachstellen im WIBU Codemeter wurden mit der PLC Designer Version V3.22 behoben.
Beschreibung des Verhaltens:
Der PLC Designer wurde installiert und verwendet die WIBU CodeMeter Runtime zur Lizenzierung.
Der Hersteller WIBU-SYSTEMS AG hat kürzlich sechs Schwachstellen im Produkt WIBU CodeMeter Runtime bekanntgegeben. Die erfolgreiche Ausnutzung dieser Schwachstellen könnte es einem Angreifer ermöglichen
auf Heap-Daten zuzugreifen,
eine Denial-of-Service-Bedingung zu verursachen,
eine entfernte Codeausführung zu erreichen,
eine Lizenzdateien zu ändern und zu fälschen oder
den normalen Betrieb des PLCDesigners zu stören.
Unter welchen Bedingungen tritt das Verhalten auf?
Durch Ausnutzung der Schwachstellen in der Software WIBU CodeMeter durch einen externen Angreifer.
Betroffene Produkte:
PLC Designer Version 3.21 und kleiner.
Kurzfristige Maßnahmen:
Als Teil einer Sicherheitsstrategie empfiehlt Lenze die folgenden allgemeinen Maßnahmen, um das Risiko eines erfolgreichen Angriffs zu verringern:
Verwenden Sie Steuerungen und Geräte nur in einer geschützten Umgebung, um die Netzwerkbelastung zu minimieren und sicherzustellen, dass sie nicht von außen zugänglich sind.
Einsatz von Firewalls zum Schutz und zur Trennung des Steuersystemnetzwerks von anderen Netzwerken.
VPN-Tunnel (Virtual Private Networks) verwenden, wenn Fernzugriff erforderlich ist.
Aktivieren und Anwenden von Benutzerverwaltungs- und Kennwortfunktionen.
Beschränken Sie den Zugang sowohl zum Entwicklungs- als auch zum Kontrollsystem durch physische Mittel, Betriebssystemfunktionen usw.
Schützen Sie sowohl das Entwicklungs- als auch das Kontrollsystem durch den Einsatz aktueller Virenerkennungslösungen.
