Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Alert!: Kritische Lücken in Siemens Nucleus RTOS

Die Sicherheitsforscher von Forescout haben erneut Sicherheitslücken im Netzwerkstack von Siemens Nucleus-Echtzeitbetriebssystem (Realtime OS, RTOS) gefunden – gleich 13 an der Zahl. Mindestens eine davon ist als kritisch mit einem CVSS-Score von 9.8 einzustufen.

In Ihrer Sicherheitsmeldung listen die IT-Sicherheitsexperten die einzelnen Lücken mitsamt ihrer CVE-Nummer und Risikoeinschätzung auf. So kann aufgrund einer fehlerhaften Längenprüfung bei der Übergabe eines FTP-User-Namens ein stack-basierter Pufferüberlauf bis zur Ausführung von eingeschleustem Code führen: Das System wäre vollständig kompromittiert.
Ähnliches zeigte sich bei der Passwort-Übergabe an den integrierten FTP-Server oder bei dessen MKD- respektive XMKD-Befehl. In der ICMP und UDP-Implementierung fehlen ebenfalls Längenprüfungen für die Paket-Payloads, was etwa für Denial-of-Service-Angriffe genutzt werden oder zu Informationslecks führen kann.

Weitere Details kann man der obigen Sicherheitsmeldung von Forescout entnehmen. Nucleus OS ist ein weit verbreitetes Betriebssystem beispielsweise für industrielle Steuerungen und Embedded-Systeme etwa auf Basis von ARM- oder MIPS-Prozessoren. Auch, wenn Siemens Aktualisierungen bereitstellt – auf diese Geräte wird in der Regel eher selten ein Update eingespielt. In den Betriebssystemen dafür finden Forscher regelmäßig schlimme Sicherheitslücken. Das Internet-of-Things zeigt sich damit noch immer als relativ kaputt, was die Sicherheit anbelangt.
Quelle: heise
 
Zurück
Oben