Das Prozessleitsystem Experion PKS (Process Knowledge System) für den Einsatz in industriellen Fertigungsanlagen ist aus der Ferne angreifbar, warnt die US-Behörde CISA. Grund für die Warnung sind drei Schwachstellen in den Controller-Modellen C200, C200E, C300 und ACE („Application Control Environment“). Zwei der Schwachstellen gelten als kritisch (CVSS-Scores 9.1 und 10.0 von möglichen 10), von der dritten soll ein hohes Risiko ausgehen (7.5 von 10). Für C300-Controller hat Hersteller Honeywell eine Patch-Kombination aus Server-Software und Controller-Firmware veröffentlicht; Nutzer der übrigen Modelle müssen auf allgemeine Schutzmechanismen zurückgreifen, die in Advisories von CISA und Honeywell erläutert werden. Angriffe auf die Sicherheitslücken in freier Wildbahn wurden bislang nicht beobachtet. Wie aus den Veröffentlichungen von CISA und Honeywell hervorgeht, fußt mindestens eine der Lücken, CVE-2021-38397 mit dem höchsten CVSS-Score, auf der Manipulierbarkeit von Control Component Libraries (CCL), die bestimmte Steuerungsfunktionen bereitstellen. Diese könnten durch Angreifer modifiziert und in dieser veränderten Form – offenbar aufgrund fehlender oder mangelhafter Verwendung digitaler Signaturen – auf die betroffenen Controller-Modelle geladen werden. Im Anschluss sei die Ausführung beliebigen Programmcodes aus der Ferne denkbar, wodurch etwa auch Denial-of-Service Zustände hervorrufbar seien. Ein Exploit der zweiten kritischen Lücke (CVE-2021-38395) könne dieselben Konsequenzen haben. Honeywell nennt in seinem Advisory einige Standard-CCLs und weist darauf hin, dass für Angriffe unerheblich sei, ob diese Bibliotheken durch das jeweilige System für gewöhnlich genutzt würden oder nicht. Die Sicherheitslücke CVE-2021-38399 mit „High“-Einstellung wiederum fußt laut CISA auf so genanntem Path Traversal, über das unbefugte Zugriffe auf Dateien und Verzeichnisse möglich seien. Alle drei Lücken sind – natürlich abhängig von Netzwerkstruktur, Konfigurationen und vorhandenen Schutzmechanismen – aus der Ferne ausnutzbar. Weitere Sicherheitslücken-Details, eine Update-Übersicht für C300-Controller sowie allgemeine Handlungsempfehlungen zum Schutz der jeweiligen Infrastruktur sind den Advisories zu entnehmen: