Das industrielle Energiemanagementsystem (EMS) DIAEnergie von Delta Electronics weist in allen Versionen bis einschließlich 1.7.5 insgesamt acht teils kritische, größtenteils aus der Ferne ausnutzbare Sicherheitslücken auf. Unternehmen, die DIAEnergie zur Überwachung und Steuerung der Energieversorgung ihrer Anlagen nutzen, sollten dringend einen Blick auf den kürzlich veröffentlichten Sicherheitshinweis der Cybersecurity and Infrastructure Security Agency (CISA) werfen und die darin beschriebenen vorbeugenden Schutzmaßnahmen umsetzen. Updates, die die Lücken endgültig schließen, sind laut dem CISA-Hinweis ICSA-21-238-03 in Arbeit und sollten anschließend möglichst zeitnah angewendet werden. Delta Electronics habe sie allerdings erst für den 15. September angekündigt. Sechs der acht Lücken wurden als kritisch und mit einem CVSS-Score von 9.8 von möglichen 10 bewertet. Je nach Lücke, Netzwerkkonfiguration und vorhandener Absicherung gegen unbefugte Zugriffe (vor allem auch via Internet) könnten etwa Passwörter im Klartext abgefangen, neue Benutzer mit Admin-Rechten hinzugefügt oder auf Basis von SQL-Injections beziehungsweise Dateiupload-Möglichkeiten beliebiger Code zur Ausführung gebracht werden. Nähere Informationen zu den Sicherheitslücken sind dem CISA-Advsory, aber auch einer Übersicht auf der Website von Sicherheitsforscher Michael Heinzl zu entnehmen, der die Lücken entdeckt und bereits im April via CISA an Delta Electronics gemeldet hat.