Historian-Server bilden in Industrieanlagen die Schnittstelle zwischen IT und Betriebstechnik (OT), indem sie Prozessinformationen mit Unternehmenssystemen austauschen. Dies macht sie für Angreifer zu einem beliebten Ausgangspunkt, um vom IT-Netzwerk auf OT-Systeme zu gelangen. Team82, die Forschungsabteilung des Spezialisten für die Sicherheit von cyber-physischen Systemen (CPS) Claroty, hat bei dem weitverbreiteten GE Proficy Historian fünf ausnutzbare Schwachstellen aufgedeckt, die Datendiebstahl und Remote Code Execution ermöglichen. Von den Sicherheitslücken ist die Version v8.0.1598.0 betroffen. Das Update GE Proficy Historian 2022 behebt diese Schwachstellen. Benutzern wird dringend empfohlen, ihre Systeme auf den neuesten Stand zu bringen.
Historian-Server haben eine große Bedeutung in Unternehmensnetzwerken. Diese wichtigen Datenbanken speichern nicht nur Daten, die von industriellen Steuerungssystemen gesammelt werden, sondern sie reichen auch in das Unternehmensnetzwerk hinein, indem sie Informationen mit ERP-Systemen und Analyseplattformen austauschen. Sie bilden somit eine Brücke zwischen den IT-Systemen der Unternehmen und ihrer Betriebstechnik (OT)-Infrastruktur und sind daher ein kritischer Punkt für die Cybersicherheit. Für einen Angreifer haben Informationen wie Prozesssteuerungs-, Leistungs- und Wartungsdaten einen erheblichen Wert. Erlangen sie Kontrolle über einen Historian-Server, könnten sie Informationen über industrielle Prozesse sammeln und einen Automatisierungsprozess durch Ändern oder Löschen von Daten manipulieren, um den Betrieb zu stören, Geräte zu beschädigen oder Mitarbeiter zu gefährden.
Die Sicherheitsforscher von Claroty haben bei GE Proficy Historian Schwachstellen identifiziert, durch die sich die Authentifizierung umgehen ließ und Code aus der Ferne ausgeführt werden konnte. Diese Sicherheitslücken weisen einen kumulativen CVSS v3 Schweregrad von 9,8 auf. Sie erlauben es Angreifern, auf einen GE Proficy Historian-Server zuzugreifen, Dateien zu ändern und zu entwenden, Prozesse zu unterbrechen und Maschinen zum Absturz zu bringen.
Weitere Informationen, Hintergründe und technische Details finden sich im entsprechenden Blog-Beitrag von Claroty.
Weitere Artikel
Report: Mehr Schwachstellen bei IoT-, IT- und medizinischen Geräten
Schwachstellen in Industrieanlagen nehmen zu – gleichzeitig wächst das Bewusstsein für die Sicherheit von industriellen Netzwerken
„Angriff auf US-Pipeline ist nur ein Vorgeschmack auf zukünftige Attacken“
Sicherheitslücken in TBox-Remote Terminal Units