Claroty-Sicherheitsforscher finden weitere Schwachstelle in WAGO-Firmware

Alarm

Erneut haben Sicherheitsforscher Schwachstellen in der Firmware des Anbieters von Automatisierungstechnik WAGO identifiziert: Anfang des Jahres hatte das Research-Team von Cisco Talos eine Reihe von Schwachstellen in der integrierten Entwicklungsumgebung e!Cockpit von WAGO sowie in den Automatisierungscontrollern PFC100 und PFC200 aufgedeckt. Diese Schwachstellen variieren in Schweregrad und Art und umfassen beispielsweise hartkodierte Verschlüsselungsschlüssel in der Software und Klartextübertragung von Netzwerkkommunikation. Ebenso ermöglichen die Sicherheitslücken Angreifern, die bereits Zugriff auf das PFC200-Gerät haben, die Ausführung von Befehlen. Basierend auf diesen Ergebnissen hat das Claroty-Forscherteam eine neue Remote-Befehlsinjektionsschwachstelle im WAGO-I/O-Check-Serviceprotokoll (CVE-2020-12522) entdeckt: Diese ermöglicht Angreifern mit Netzwerkzugang, manipulierte Pakete an das WAGO-Gerät zu senden und Code auszuführen. In dem heute von CERT@VDE veröffentlichten Advisory wird diese Sicherheitslücke mit dem höchstmöglichen Schweregrad 10.0 bewertet. Anwendern und Betreibern wird empfohlen, die Firmware in den WAGO-Geräten auf den aktuellen Stand zu bringen bzw. das I/O-Check-Serviceprotokoll nach der Installation und Inbetriebnahme des Produkts zu deaktivieren.

Die von den Claroty-Spezialisten entdeckte Schwachstelle betrifft alle Firmware-Versionen bis einschließlich FW10. Eine Shodan-Suche zeigt, dass Hunderte der betroffenen WAGO-Geräte mit dem Internet verbunden sind, wenngleich nicht abschließend geklärt werden kann, welche Firmware-Version hier jeweils verwendet wird. Es ist jedoch davon auszugehen, dass auf vielen Geräten immer noch anfällige Versionen laufen, da sich die Anwender wahrscheinlich des Risikos bis jetzt nicht bewusst waren. Anwendern wird entsprechend dringend empfohlen, wo immer dies möglich ist, die Software zu aktualisieren. Als weitere Abhilfemaßnahmen empfiehlt CERT@VDE die Deaktivierung des I/O-Check-Serviceprotokolls als „einfachsten und sichersten Weg, um die Geräte vor den aufgeführten Schwachstellen zu schützen“ sowie die Einschränkung des Netzwerkzugriffs auf das Gerät und die Vermeidung einer direkten Verbindung des Geräts mit dem Internet. Weitere Details zu der aufgedeckten Schwachstelle und weiterführende Hinweise finden sich im Blog von Claroty.

Folgende Geräte sind betroffen: 

  • PFC100 (750-81xx)
  • PFC200 (750-82xx/xxx-xxx)
  • WAGO Touch Panel 600 Standard Line (762-4xxx)
  • WAGO Touch Panel 600 Advanced Line (762-5xxx)
  • WAGO Touch Panel 600 Marine Line (762-6xxx)