Behoben ab:
- V01.08.01
Verhalten der neuen Version:
Bei der Authentifizierung am OPC UA Server mit Benutzer und Passwort werden alle Schritte der Authentifizierung eingehalten. Bei aktivierter Benutzerverwaltung wird nur nach erfolgreicher Authentifizierung der Zugriff auf den OPC UA Server gewährt.
Beschreibung des Verhaltens:
Bei der Authentifizierung am OPC UA Server mit Benutzer und Passwort werden wichtige Schritte der Authentifizierung übersprungen. Infolgedessen können Fälle auftreten, in denen Benutzer eine Kommunikation ohne korrekte Authentifizierung aufbauen können.
Die unzureichende Authentifizierung kann zu einer unberechtigten Nutzung der OPC-UA Schnittstelle (insbesondere den unberechtigten Zugriff auf publizierte IEC Variablen) führen.
Unter welchen Bedingungen tritt das Verhalten auf?
- Die Benutzerverwaltung auf der Steuerung wurde aktiviert (ist standardmäßig deaktiviert)
- Der OPC-UA Server ist aktiv.
- IEC Variablen werden über die Symbolkonfiguration für spezifische Benutzergruppen publiziert (ist standardmäßig nicht vorhanden)
Betroffene Produkte:
c520 ab V01.07
c550 ab V01.07
c750 ab V01.07
Kurzfristige Maßnahmen:
Bewertung/Empfehlungen:
Als Teil einer Sicherheitsstrategie empfiehlt die Lenze SE die folgenden allgemeinen Abwehrmaßnahmen, um das Risiko von Exploits zu reduzieren:
- Verwenden Sie die Produkte nur in einer geschützten und kontrollierten Umgebung, um die Auswirkungen auf das Netzwerk zu minimieren und um sicherzustellen, dass sie von außen nicht zugänglich sind.
- Verwenden Sie externe Firewalls, um das Netzwerk des Automatisierungssystems zu schützen und es von anderen Netzwerken zu trennen. Bemerkung: Eine Maßnahme sollte darin bestehen, Port 4840 über die externe Firewall zu blockieren und diesen Port nur für den authentifizierten Zugriff zu öffnen.
- Verwenden Sie Virtual Private Networks (VPN)-Tunnel, wenn ein Fernzugriff erforderlich ist.
- Verwenden Sie IDS (Intrusion Detection Systems), wo immer möglich, um Anomalien im Netzwerk zu erkennen.
- Aktivieren und verwenden Sie die Benutzerverwaltung und die Passwortfunktionen.
- Verwenden Sie verschlüsselte Kommunikationsverbindungen.
- Schränken Sie den Zugang sowohl zu den Entwicklungswerkzeugen und ihren Projekten als auch zu den Produkten des Automatisierungssystems durch physische Mittel, Betriebssystemfunktionen usw. ein.
- Schutz des Entwicklungswerkzeugs durch den Einsatz aktueller Lösungen zur Virenerkennung.
- Nutzung der zertifikatsbasierten Kommunikation über die Nachrichtensicherheitsmodi Sign oder Sign&Encrypt und Vertrauen der entsprechenden Client-Zertifikate auf der Maschinensteuerung durch den OPC-UA Server.
Dies kann das Risiko der Ausnutzung dieser Schwachstelle verringern.
Alle Lenze-Security-Advisories
können unter folgendem Link beim CERT(at)VDE eingesehen werden.
