Honeywell: Kritieke hiaten in de controller bieden toegang tot het procesbesturingssysteem


Het procesbesturingssysteem Experion PKS (Process Knowledge System) voor gebruik in industriële productie-installaties kan op afstand worden aangevallen, waarschuwt het Amerikaanse bureau CISA. De waarschuwing is te wijten aan drie kwetsbaarheden in de Regelaarmodellen C200, C200E, C300 en ACE (“Applicatiebeheeromgeving”). Twee van de zwakke punten worden als kritiek beschouwd (CVSS scoort 9,1 en 10,0 uit een mogelijke 10), terwijl de derde een hoog risico zou hebben (7,5 uit 10).

Voor de C300-controller heeft de fabrikant Honeywell een patchcombinatie van serversoftware en controller-firmware uitgebracht; Gebruikers van de andere modellen moeten terugvallen op algemene beschermingsmechanismen, die worden toegelicht in adviezen van CISA en Honeywell. Aanvallen op de kwetsbaarheden in het wild zijn nog niet waargenomen.

Zoals blijkt uit de publicaties van CISA en Honeywell, is ten minste een van de kwetsbaarheden, CVE-2021-38397 met de hoogste CVSS-score, gebaseerd op de maakbaarheid van Control Component Libraries (CCL), die bepaalde controlefuncties bieden. Deze kunnen door aanvallers worden gewijzigd en in deze gewijzigde vorm op de betrokken controllermodellen worden geladen – blijkbaar vanwege het ontbreken of onvoldoende gebruik van digitale handtekeningen.

Vervolgens is het op afstand uitvoeren van elke programmacode denkbaar, waardoor ook denial-of-service-statussen kunnen worden geactiveerd. Een exploit van de tweede kritieke kwetsbaarheid (CVE-2021-38395) zou dezelfde gevolgen kunnen hebben. Honeywell noemt in haar advies enkele standaard CCL’s en wijst erop dat het voor aanvallen niet relevant is of deze bibliotheken gewoonlijk door het betreffende systeem worden gebruikt of niet.

Volgens CISA is het beveiligingslek CVE-2021-38399 met een “hoge” instelling gebaseerd op zogenaamde path traversal, die ongeautoriseerde toegang tot bestanden en mappen mogelijk maakt. Alle drie de hiaten kunnen op afstand worden benut – uiteraard afhankelijk van de netwerkstructuur, configuraties en bestaande beveiligingsmechanismen. Meer informatie over beveiligingsproblemen, een updateoverzicht voor C300-controllers en algemene aanbevelingen voor maatregelen om de betreffende infrastructuur te beschermen, vindt u in de adviezen:


(ovw)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: