Deutsch (Deutschland)
Telefon +49 (0)6227 7325-10

Sicherheits-Updates und Hotfixes

Nachfolgend finden Sie eine Liste der verschiedenen Hotfixes für InduSoft Web Studio. Diese sind versionsabhängig, wählen Sie bitte nur die Hotfixes für Ihre Version.

Klicken Sie hier, um die Release Notes für die letzten InduSoft Web Studio-Versionen anzuzeigen.

Sie können auch einen der Hotfixes unter der Telefonnummer +49 (0)6227 732510 oder per Fax +49 (0)6227 732519 anfordern.

AVEVA Security Bulletin LFSEC00000131

Title

InduSoft Web Studio and InTouch Edge HMI - Insecure 3rd Party Component

Rating

Medium

Published By

AVEVA Software Security Response Center

Overview

AVEVA Software, LLC (“AVEVA”) has created a security update to address an outdated and insecure 3rd party component used in:

  • InduSoft Web Studio versions prior to 8.1 SP3
  • InTouch Edge HMI (formerly InTouch Machine Edition) versions prior to 2017 Update 3

The vulnerability in the 3rd party component could result in code execution but requires privileged, local access to the user’s desktop or the ability to copy files into InduSoft Web Studio or InTouch Edge HMI program folder.

Recommendations

Customers are advised to upgrade to:

Customers who cannot upgrade to the latest version of InduSoft Web Studio or InTouch Edge HMI, can alternatively apply Security Update LFSec131 located at: 

http://www.indusoft.com/download/patches/security/LFSec131.zip
https://softwaresupportsp.schneider-electric.com/#/producthub/details?id=52410


Vulnerability Characterization and CVSSv3 Rating

The vulnerability exists in Gemalto Sentinel Ultra Pro v1.3.2 and older, a 3rd party component used by InduSoft Web Studio and InTouch Edge HMI. Please refer to Gemalto CVE-2019-6534.

AVEVA CVSSv3:  6.5  AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H

Acknowledgements

AVEVA would like to thank:

  • Yu Qiang for responsibly disclosing this vulnerability to ICS-CERT
  • Gemalto for the quick turnaround of a fix
  • ICS-Cert for coordination of advisories

Support

For information on how to reach AVEVA support for your product, please refer to these links:  AVEVA Software Global Customer Support and InduSoft Support.

If you discover errors or omissions in this Security Notification, please report the finding to Support.

AVEVA Security Central

For the latest security information and security updates, please visit Security Central and InduSoft Security Updates

Cyber Security Standards and Best Practices

For information regarding how to secure Industrial Control Systems please reference NIST SP800-82r2.

NVD Common Vulnerability Scoring System (CVSS v3)

The U.S. Department of Homeland Security has adopted the common Vulnerability Scoring System (CVSS v3) that provides an open framework for communicating the characteristics and impacts of IT vulnerabilities.  CVSS v3 produces a numerical score as well as a textual representation of that score reflecting the severity of a vulnerability.  Scores range from 0.0 (no impact) to a maximum of 10.0 (critical impact with minimal effort to exploit). For additional information please refer to the CVSSv3 specifications.

Disclaimer 

THE INFORMATION PROVIDED HEREIN IS PROVIDED “AS-IS” AND WITHOUT WARRANTY OF ANY KIND. AVEVA AND ITS AFFILIATES, PARENT AND SUBSIDIARIES  DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE.  NO ORAL OR WRITTEN INFORMATION OR ADVICE GIVEN BY AVEVA, ITS DEALERS, DISTRIBUTORS, AGENTS OR EMPLOYEES WILL CREATE A WARRANTY AND CUSTOMER MAY NOT RELY ON ANY SUCH INFORMATION OR ADVICE.  

AVEVA DOES NOT WARRANT THAT THE SOFTWARE WILL MEET CUSTOMER’S REQUIREMENTS, THAT THE SOFTWARE WILL OPERATE IN COMBINATIONS OTHER THAN AS SPECIFIED IN AVEVA DOCUMENTATION OR THAT THE OPERATION OF THE SOFTWARE WILL BE UNINTERRUPTED OR ERROR-FREE.

IN NO EVENT WILL AVEVA OR ITS SUPPLIERS, DEALERS, DISTRIBUTORS, AGENTS OR EMPLOYEES BE LIABLE FOR ANY INDIRECT, INCIDENTAL, SPECIAL, PUNITIVE OR CONSEQUENTIAL DAMAGES, OR DAMAGES FOR LOSS OF PROFITS, REVENUE, DATA OR USE, INCURRED BY CUSTOMER OR ANY THIRD PARTY, WHETHER IN AN ACTION IN CONTRACT OR TORT, EVEN IF AVEVA HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. AVEVA LIABILITY FOR DAMAGES AND EXPENSES HEREUNDER OR RELATING HERETO (WHETHER IN AN ACTION IN CONTRACT, TORT OR OTHERWISE) WILL IN NO EVENT EXCEED THE AMOUNT OF ONE HUNDRED DOLLARS ($100 USD).




AVEVA Security Bulletin LFSEC00000133

Titel

InduSoft Web Studio und InTouch Edge HMI – Schwachstellen in Bezug auf die Ausführung von Remotecode

Einstufung

Kritisch

Veröffentlicht

AVEVA Software Security Response Center

Überblick

AVEVA Software, LLC („AVEVA“) hat eine neue Version von InduSoft Web Studio und InTouch Edge HMI veröffentlicht. Diese umfasst ein Sicherheitsupdate gegen Schwachstellen in allen Versionen vor:

  • InduSoft Web Studio - Versionen vor 8.1 SP3
  • InTouch Edge HMI (vorher InTouch Machine Edition) Versionen vor 2017 Update 3

Die Schwachstellen in der TCP/IP-Serveraufgabe könnten es einem nicht authentifizierten Nutzer ermöglichen, einen willkürlichen Prozess mit einer speziell erstellten Konfigurationsdatei für die Datenbankverbindung auszuführen. Bei deaktivierter TCP/IP-Serveraufgabe ist InduSoft Web Studio oder InTouch Edge HMI nicht angreifbar.

AVEVA empfiehlt Organisationen, die Auswirkungen dieser Sicherheitslücken auf der Grundlage ihrer Betriebsumgebung, Architektur und Produktimplementierung zu bewerten.

Empfehlungen

Kunden wird geraten, ein Upgrade durchzuführen auf:

  • InduSoft Web Studio v8.1 SP3
  • InTouch Edge HMI 2017 Update 3

Details zu Sicherheitslücken

Ein nicht authentifizierter Nutzer könnte eine speziell erstellte Konfigurationsdatei für die Datenbankverbindung nutzen, um einen willkürlichen Prozess auf dem Server auszuführen. In diesem Fall würde der Code mit den Berechtigungen der Runtime von InduSoft Web Studio oder InTouch Edge HMI ausgeführt werden und könnte zu einer Kompromittierung des InduSoft Web Studio bzw. InTouch Edge HMI Servers führen.

Sicherheitsupdate

Die folgenden Sicherheitsupdates schließen die in diesem Sicherheitsbulletin beschriebenen Sicherheitslücken. Software-Updates können im Bereich „Software Download“ der weltweiten Kundenbetreuung oder unter den nachfolgenden Links heruntergeladen werden:

Produkt und Komponente

Unterstütztes Betriebssystem


Sicherheitsauswirkungen

Einstufung der Schwere

Software-Sicherheitsupdate

InduSoft Web Studio vor v8.1 SP3

Mehrere, Embedded

Vertraulichkeit, Integrität, Verfügbarkeit

Kritisch

http://download.indusoft.com/81.3.0/IWS81.3.0.zip

InTouch Edge HMI vor 2017 Update 3

Mehrere, Embedded

Vertraulichkeit, Integrität, Verfügbarkeit

Kritisch

https://softwaresupportsp.schneider-electric.com/#/producthub/details?id=52354

Beschreibung der Schwachstelle und Einstufung von CVSSv3

CWE-306: Fehlende Authentifizierung für kritische Funktion,,               

CWE-99: Unzureichende Kontrolle von Ressourcenbezeichnern („Resource Injection“)

·         InduSoft Web Studio und InTouch Edge HMI:

      9.8 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Danksagungen

AVEVA dankt:

·         Tenable Research für das Erkennen, das verantwortungsvolle Offenlegen dieser Schwachstelle und die Prüfung des Patches.

·         ICS-Cert for die Koordinierung der Beratung

Kundendienst

Informationen darüber, wie Sie von AVEVA Support für Ihr Produkt erhalten, finden Sie unter diesen Links:  Weltweite Kundenbetreuung von AVEVA Software und InduSoft Support. zu entnehmen.

Sollten Sie in dieser Sicherheitsbenachrichtigung Fehler oder Auslassungen feststellen, teilen Sie diese bitte dem Support mit.

AVEVA Sicherheitszentrale

Die neuesten Sicherheitsinformationen und Sicherheitsupdates finden Sie auf der Webseite der Sicherheitszentrale und unter InduSoft Sicherheitsupdates

Standards und bewährte Methoden zur Cybersicherheit

Für Informationen zur Sicherung von industriellen Steuerungssystemen, siehe NIST SP800-82r2.

NVD Common Vulnerability Scoring System (CVSS v3)

Das Heimatschutzministerium der Vereinigten Staaten hat das Common Vulnerability Scoring System (CVSS v3) eingeführt, das einen offenen Rahmen für die Meldung der Eigenschaften und Auswirkungen von IT-Schwachstellen bietet. CVSS v3 ermittelt eine Punktzahl sowie eine textuelle Darstellung dieser Punktzahl, die den Schweregrad der Schwachstelle widerspiegelt. Die Punktzahl liegt zwischen 0,0 (keine Auswirkung) und 10,0 (kritische Auswirkung, Schwachstelle kann mit minimalem Aufwand ausgenutzt werden). Weitere Informationen sind den CVSSv3-Spezifikationen zu entnehmen.

Haftungsausschluss


DIE HIERIN ENTHALTENEN INFORMATIONEN WERDEN IM VORLIEGENDEN ZUSTAND UND OHNE JEGLICHE GARANTIE BEREITGESTELLT. AVEVA UND IHRE SCHWESTER-, MUTTER- UND TOCHTERGESELLSCHAFTEN SCHLIESSEN ALLE GEWÄHRLEISTUNGEN, AUSDRÜCKLICH WIE STILLSCHWEIGEND, AUS, EINSCHLIESSLICH JEDOCH NICHT BESCHRÄNKT AUF IMPLIZIERTE GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT UND EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. KEINE MÜNDLICHEN ODER SCHRIFTLICHEN INFORMATIONEN ODER RATSCHLÄGE VON AVEVA, IHREN HÄNDLERN, VERTRIEBSPARTNERN, BEVOLLMÄCHTIGTEN ODER MITARBEITERN GEWÄHREN EINE GEWÄHRLEISTUNG, UND DER KUNDE KANN SICH NICHT AUF SOLCHE INFORMATIONEN ODER RATSCHLÄGE BERUFEN.  

AVEVA ÜBERNIMMT KEINE GEWÄHR DAFÜR, DASS DIE SOFTWARE DEN ANFORDERUNGEN DES KUNDEN ENTSPRICHT UND IN ANDEREN ALS DEN IN DER DOKUMENTATION VON AVEVA ANGEGEBENEN KOMBINATIONEN FUNKTIONIERT BZW. DASS DER BETRIEB DER SOFTWARE UNTERBRECHUNGS- BZW. FEHLERFREI IST.

AVEVA ODER IHRE HÄNDLER, VERTRIEBSPARTNER, BEVOLLMÄCHTIGTEN ODER MITARBEITER HAFTEN UNTER KEINEN UMSTÄNDEN FÜR INDIREKTE, ZUFÄLLIG ENTSTANDENE, SPEZIELLE, STRAFRECHTLICH RELEVANTE ODER FOLGESCHÄDEN ODER SCHÄDEN AUS DEM VERLUST VON GEWINN, UMSATZ ODER DATEN UND DURCH NUTZUNGSAUSFÄLLE, DIE DEM KUNDEN ODER DRITTEN, UNABHÄNGIG DAVON, OB AUFGRUND EINER KLAGE AUS DEM VERTRAG ODER AUS UNERLAUBTER HANDLUNG ENTSTEHEN, SELBST WENN AVEVA AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. DIE HAFTUNG VON AVEVA FÜR SCHADENERSATZ- UND AUFWENDUNGSERSATZANSPRÜCHE, DIE SICH HIERAUS ODER IM ZUSAMMENHANG HIERMIT ERGEBEN (SEI ES AUFGRUND EINER KLAGE AUS DEM VERTRAG, AUS UNERLAUBTER HANDLUNG ODER AUS EINEM SONSTIGEN GRUND) ÜBERSCHREITET IN KEINEM FALL DEN BETRAG VON EINHUNDERT US-DOLLAR (100 USD).



AVEVA Sicherheitsbulletin LFSEC00000130

Titel
InduSoft Web Studio und InTouch Edge HMI (vorher InTouch Machine Edition) – Schwachstelle in Bezug auf die Ausführung von Remotecode

Einstufung
Kritisch

Veröffentlicht von
AVEVA Software Security Response Center


Überblick

AVEVA Software, LLC. („AVEVA“) hat ein Sicherheitsupdate erstellt gegen Sicherheitslücken bei 

  • InduSoft Web Studio-Versionen vor 8.1 SP2 
  • InTouch Edge HMI (vorher InTouch Machine Edition) Versionen vor 2017 SP2 

Die Sicherheitslücken in der TCP/IP-Serveraufgabe könnten es einem nicht authentifizierten Nutzer ermöglichen, Code mit denselben Berechtigungen aus der Ferne auszuführen wie denen der Runtime von InduSoft Web Studio oder InTouch Edge HMI (vorher InTouch Machine Edition). Bei deaktivierter TCP/IP-Serveraufgabe ist InduSoft Web Studio nicht angreifbar.

AVEVA empfiehlt Organisationen, die Auswirkungen dieser Sicherheitslücken auf der Grundlage ihrer Betriebsumgebung, Architektur und Produktimplementierung zu bewerten.

Details zu Sicherheitslücken

Ein Remote-Benutzer könnte ein sorgsam konstruiertes Paket senden, um bei Variablen-, Alarm- oder Ereignis-bezogenen Aktionen, wie Lesen und Schreiben, eine Schwachstelle durch einen stack-basierten Pufferüberlauf auszunutzen und potenziell einen Code auszuführen. Wenn die Remote-Kommunikationssicherheit von InduSoft Web Studio nicht aktiviert oder ein Kennwortfeld leer gelassen wurde, könnte ein Remote-Benutzer ein sorgsam konstruiertes Paket senden, um einen willkürlichen Prozess aufzurufen, bei dem potenziell ein Code ausgeführt wird. In diesem Fall würde der Code mit den Berechtigungen der Runtime von InduSoft Web Studio oder InTouch Edge HMI (vorher InTouch Machine Edition) ausgeführt werden und könnte zu einer Kompromittierung des InduSoft Web Studio bzw. InTouch Edge HMI (vorher InTouch Machine Edition) Servers führen.

Empfehlungen

Kunden sollten schnellstmöglich ein Upgrade auf InduSoft Web Studio v8.1 SP2 und InTouch Edge HMI (vorher InTouch Machine Edition) 2017 SP2 durchführen.

So finden Sie heraus, welche Version von InduSoft Web Studio oder InTouch Machine Edition Sie installiert haben:

  • Windows-Desktop oder Server-Betriebssystem: Navigieren Sie in Windows zu „Programme und Features“, suchen Sie die Einträge „InduSoft Web Studio“ bzw. „InTouch Machine Edition“, um die angezeigte installierte Version zu prüfen.
  • In einem Windows Embedded Betriebssystem: Navigieren Sie zum Ordner „Bin“ im Installationspfad von InduSoft Web Studio bzw. InTouch Machine Edition und öffnen Sie die Datei „CEView.ini“. Die installierte Version kann in der Datei anhand der Eigenschaft „version=*.*.*“ identifiziert werden.

Sicherheitsupdate

Die folgenden Sicherheitsupdates schließen die in diesem Sicherheitsbulletin beschriebenen Sicherheitslücken.

InduSoft Web Studio v8.1 SP2
InTouch Edge HMI (vorher InTouch Machine Edition) 2017 SP2

Neue Sicherheitsmerkmale und -empfehlungen

Ab InduSoft Web Studio v8.1 SP2 und InTouch Edge HMI v2017 SP2 wird der neue Projektassistent Projekte mit standardmäßig aktivierter Sicherheitsfunktion erstellen. AVEVA empfiehlt seinen Kunden, vorhandene Projekte unbedingt zu aktualisieren, um die Sicherheitsmerkmale von InduSoft Web Studio und InTouch Edge HMI zu aktivieren:

  1. Aktivieren Sie den neuen verschlüsselten Kommunikationskanal und deaktivieren Sie den unverschlüsselten Kanal.
  2. Legen Sie ein sicheres Hauptprojekt-Kennwort fest.
  3. Legen Sie ein sicheres Kennwort für das integrierte Konto fest. Das integrierte Konto heißt standardmäßig „Guest“ (Gast).
  4. Legen Sie sichere Kennwörter für alle anderen nicht integrierten Konten fest.


Sicherheitspatches

Es sind alle früheren Versionen von InduSoft Web Studio und InTouch Edge HMI betroffen. Software-Updates können im Bereich „Software Download“ der weltweiten Kundenbetreuung oder unter den nachfolgenden Links heruntergeladen werden:

Produkt und Komponente

Unterstütztes Betriebssystem

Sicherheitsauswirkungen

Einstufung der Schwere

Software-Sicherheitsupdate

InduSoft Web Studio vor v8.1 SP2

Mehrere, Embedded

Vertraulichkeit, Integrität, Verfügbarkeit

Kritisch

http://download.indusoft.com/81.2.0/IWS81.2.0.zip

InTouch Machine Edition (vorher InTouch Machine Edition) vor 2017 SP2

Mehrere, Embedded

Vertraulichkeit, Integrität, Verfügbarkeit

Kritisch

https://softwaresupportsp.schneider-electric.com/#/producthub/details?id=5223


Beschreibung der Schwachstelle und Einstufung von CVSSv3

CWE-121: Stack-basierter Pufferüberlauf, CWE-258: Leeres Kennwort in der Konfiguration

InduSoft Web Studio und InTouch Edge HMI (vorher InTouch Machine Edition):
9.8 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Danksagungen

AVEVA dankt:

Tenable Research für das Erkennen und das verantwortungsvolle Offenlegen dieser Schwachstelle.

ICS-Cert für die Koordinierung und Beratung.

Kundendienst

Informationen darüber, wie Sie von AVEVA Support für Ihr Produkt erhalten, finden Sie unter diesem Link: Weltweite Kundenbetreuung von AVEVA Software.

Sollten Sie in dieser Sicherheitsbenachrichtigung Fehler oder Auslassungen feststellen, teilen Sie diese bitte dem Support mit.

AVEVA Sicherheitszentrale

Die neuesten Sicherheitsinformationen und Sicherheitsupdates finden Sie auf der Webseite der Sicherheitszentrale.

Standards und bewährte Methoden zur Cybersicherheit

Für Informationen zur Sicherung von industriellen Steuerungssystemen, siehe NIST SP800-82r2.

NVD Common Vulnerability Scoring System (CVSS v3)

Das Heimatschutzministerium der Vereinigten Staaten hat das Common Vulnerability Scoring System (CVSS v3) eingeführt, das einen offenen Rahmen für die Meldung der Eigenschaften und Auswirkungen von IT-Schwachstellen bietet.  CVSS v3 ermittelt eine Punktzahl sowie eine textuelle Darstellung dieser Punktzahl, die den Schweregrad der Schwachstelle widerspiegelt.  Die Punktzahl liegt zwischen 0,0 (keine Auswirkung) und 10,0 (kritische Auswirkung, Schwachstelle kann mit minimalem Aufwand ausgenutzt werden). Weitere Informationen sind den CVSSv3-Spezifikationen zu entnehmen.

Haftungsausschluss

DIE HIERIN ENTHALTENEN INFORMATIONEN WERDEN IM VORLIEGENDEN ZUSTAND UND OHNE JEGLICHE GARANTIE BEREITGESTELLT. AVEVA UND IHRE SCHWESTER-, MUTTER- UND TOCHTERGESELLSCHAFTEN SCHLIESSEN ALLE GEWÄHRLEISTUNGEN, AUSDRÜCKLICH WIE STILLSCHWEIGEND, AUS, EINSCHLIESSLICH JEDOCH NICHT BESCHRÄNKT AUF IMPLIZIERTE GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT UND EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. KEINE MÜNDLICHEN ODER SCHRIFTLICHEN INFORMATIONEN ODER RATSCHLÄGE VON AVEVA, IHREN HÄNDLERN, VERTRIEBSPARTNERN, BEVOLLMÄCHTIGTEN ODER MITARBEITERN GEWÄHREN EINE GEWÄHRLEISTUNG, UND DER KUNDE KANN SICH NICHT AUF SOLCHE INFORMATIONEN ODER RATSCHLÄGE BERUFEN.

AVEVA ÜBERNIMMT KEINE GEWÄHR DAFÜR, DASS DIE SOFTWARE DEN ANFORDERUNGEN DES KUNDEN ENTSPRICHT UND IN ANDEREN ALS DEN IN DER DOKUMENTATION VON AVEVA ANGEGEBENEN KOMBINATIONEN FUNKTIONIERT BZW. DASS DER BETRIEB DER SOFTWARE UNTERBRECHUNGS- BZW. FEHLERFREI IST.

AVEVA ODER IHRE HÄNDLER, VERTRIEBSPARTNER, BEVOLLMÄCHTIGTEN ODER MITARBEITER HAFTEN UNTER KEINEN UMSTÄNDEN FÜR INDIREKTE, ZUFÄLLIG ENTSTANDENE, SPEZIELLE, STRAFRECHTLICH RELEVANTE ODER FOLGESCHÄDEN ODER SCHÄDEN AUS DEM VERLUST VON GEWINN, UMSATZ ODER DATEN UND DURCH NUTZUNGSAUSFÄLLE, DIE DEM KUNDEN ODER DRITTEN, UNABHÄNGIG DAVON, OB AUFGRUND EINER KLAGE AUS DEM VERTRAG ODER AUS UNERLAUBTER HANDLUNG ENTSTEHEN, SELBST WENN AVEVA AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. DIE HAFTUNG VON AVEVA FÜR SCHADENERSATZ- UND AUFWENDUNGSERSATZANSPRÜCHE, DIE SICH HIERAUS ODER IM ZUSAMMENHANG HIERMIT ERGEBEN (SEI ES AUFGRUND EINER KLAGE AUS DEM VERTRAG, AUS UNERLAUBTER HANDLUNG ODER AUS EINEM SONSTIGEN GRUND) ÜBERSCHREITET IN KEINEM FALL DEN BETRAG VON EINHUNDERT US-DOLLAR (100 USD).



AVEVA Sicherheitsbulletin LFSEC00000128

Titel
InduSoft Web Studio und Machine Edition – Schwachstelle in Bezug auf die Ausführung von Remotecode 

Einstufung
Kritisch

Veröffentlicht von
AVEVA Software Security Response Center


Überblick

AVEVA Software, LLC. („AVEVA“) hat ein Sicherheitsupdate erstellt für 

  • InduSoft Web Studio v8.1 und v8.1 SP1
  • InTouch Machine Edition 2017 v8.1 und v8.1 SP1

Die Sicherheitslücken könnten von einem nicht authentifizierten Nutzer in der TCP/IP-Serveraufgabe ausgenutzt werden, um Code mit denselben Berechtigungen aus der Ferne auszuführen wie denen der Runtime von InduSoft Web Studio oder InTouch Machine Edition. Bei deaktivierter TCP/IP-Serveraufgabe ist InduSoft Web Studio nicht angreifbar.

AVEVA empfiehlt Organisationen, die Auswirkungen dieser Sicherheitslücken auf der Grundlage ihrer Betriebsumgebung, Architektur und Produktimplementierung zu bewerten.

Empfehlungen

Kunden, die InduSoft Web Studio v8.1 SP1 verwenden, sind hiervon betroffen und sollten schnellstmöglich den InduSoft Web Studio Hotfix 81.1.00.08 anwenden. Kunden, die InduSoft Web Studio v8.1 verwenden, sind hiervon ebenfalls betroffen und sollten zuerst auf InduSoft Web Studio v8.1 SP1 upgraden und dann den Hotfix anwenden.

Kunden, die InTouch Machine Edition 2017 v8.1 SP1 verwenden, sind hiervon betroffen und sollten schnellstmöglich den InTouch Machine Edition Hotfix 81.1.00.08 anwenden. Kunden, die InTouch Machine Edition 2017 v8.1verwenden, sind hiervon ebenfalls betroffen und sollten zuerst auf InTouch Machine Edition 2017 v8.1 SP1 upgraden und dann den Hotfix anwenden.

So finden Sie heraus, welche Version von InduSoft Web Studio oder InTouch Machine Edition bei Ihnen installiert ist:

  • Windows-Desktop oder Server-Betriebssystem: Navigieren Sie in Windows zu „Programme und Features“, suchen Sie die Einträge „InduSoft Web Studio“ bzw. „InTouch Machine Edition“, um die angezeigte installierte Version zu prüfen.
  • In einem Windows Embedded Betriebssystem: Navigieren Sie zum Ordner „Bin“ im Installationspfad von InduSoft Web Studio bzw. InTouch Machine Edition und öffnen Sie die Datei „CEView.ini“. Die installierte Version kann in der Datei anhand der Eigenschaft „version=*.*.*“ identifiziert werden.

Details zu Sicherheitslücken

InduSoft Web Studio und InTouch Machine Edition ermöglichen einem HMI-Client, Variablen zu lesen und zu schreiben und Alarme und Ereignis zu überwachen. Ein Remote-Benutzer könnte ein sorgsam konstruiertes Paket senden, um bei Variablen-, Alarm- oder Ereignis-bezogenen Aktionen, wie Lesen und Schreiben, eine Schwachstelle durch einen stack-basierten Pufferüberlauf auszunutzen und potenziell einen Code auszuführen. In diesem Fall würde der Code mit den Berechtigungen der Runtime von Indusoft Web Studio oder InTouch Machine Edition ausgeführt werden und könnte zu einer Kompromittierung des InduSoft Web Studio bzw. InTouch Machine Edition Servers führen.

Sicherheitsupdate

Die folgenden Sicherheitsupdates schließen die in diesem Sicherheitsbulletin beschriebenen Sicherheitslücken.

13. Juli 2018: InduSoft Web Studio Hotfix 81.1.00.08
13. Juli 2018: InTouch Machine Edition Hotfix 81.1.00.08

Betroffene Produkte, Komponenten und korrektive Sicherheitspatches

Die folgende Tabelle zeigt die aktuell unterstützten, betroffenen Produkte. Software-Updates können im Bereich „Software Download“ der weltweiten Kundenbetreuung oder unter den nachfolgenden Links heruntergeladen werden:

Produkt und Komponente

Unterstütztes Betriebssystem

Sicherheitsauswirkungen

Einstufung der Schwere

Software-Sicherheitsupdate

InduSoft Web Studio v8.1 SP1

Mehrere, Embedded

Vertraulichkeit, Integrität, Verfügbarkeit

Kritisch

Hotfix herunterladen

InTouch Machine Edition 2017 v8.1 SP1

Mehrere, Embedded

Vertraulichkeit, Integrität, Verfügbarkeit

Kritisch

Hotfix herunterladen

Beschreibung der Schwachstelle und Einstufung von CVSSv3

CWE-121: Stack-basierter Pufferüberlauf

Danksagungen

AVEVA dankt:

  • Tenable Research für das Erkennen und das verantwortungsvolle Offenlegen dieser Schwachstelle.
  • ICS-Cert für die Koordinierung und Beratung.

Kundendienst

Informationen darüber, wie Sie von AVEVA Support für Ihr Produkt erhalten, finden Sie unter diesem Link: Weltweite Kundenbetreuung von AVEVA Software.

Sollten Sie in dieser Sicherheitsbenachrichtigung Fehler oder Auslassungen feststellen, teilen Sie diese bitte dem Support mit.

AVEVA Sicherheitszentrale

Die neuesten Sicherheitsinformationen und Sicherheitsupdates finden Sie auf der Webseite der Sicherheitszentrale.

Standards und bewährte Methoden zur Cybersicherheit

Für Informationen zur Sicherung von industriellen Steuerungssystemen, siehe NIST SP800-82r2.

NVD Common Vulnerability Scoring System (CVSS v3)

Das Heimatschutzministerium der Vereinigten Staaten hat das Common Vulnerability Scoring System (CVSS v3) eingeführt, das einen offenen Rahmen für die Meldung der Eigenschaften und Auswirkungen von IT-Schwachstellen bietet.  CVSS v3 ermittelt eine Punktzahl sowie eine textuelle Darstellung dieser Punktzahl, die den Schweregrad der Schwachstelle widerspiegelt.  Die Punktzahl liegt zwischen 0,0 (keine Auswirkung) und 10,0 (kritische Auswirkung, Schwachstelle kann mit minimalem Aufwand ausgenutzt werden). Weitere Informationen sind den CVSSv3-Spezifikationen zu entnehmen.

Haftungsausschluss

DIE HIERIN ENTHALTENEN INFORMATIONEN WERDEN IM VORLIEGENDEN ZUSTAND UND OHNE JEGLICHE GARANTIE BEREITGESTELLT. AVEVA UND IHRE SCHWESTER-, MUTTER- UND TOCHTERGESELLSCHAFTEN SCHLIESSEN ALLE GEWÄHRLEISTUNGEN, AUSDRÜCKLICH WIE STILLSCHWEIGEND, AUS, EINSCHLIESSLICH JEDOCH NICHT BESCHRÄNKT AUF IMPLIZIERTE GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT UND EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. KEINE MÜNDLICHEN ODER SCHRIFTLICHEN INFORMATIONEN ODER RATSCHLÄGE VON AVEVA, IHREN HÄNDLERN, VERTRIEBSPARTNERN, BEVOLLMÄCHTIGTEN ODER MITARBEITERN GEWÄHREN EINE GEWÄHRLEISTUNG, UND DER KUNDE KANN SICH NICHT AUF SOLCHE INFORMATIONEN ODER RATSCHLÄGE BERUFEN.

AVEVA ÜBERNIMMT KEINE GEWÄHR DAFÜR, DASS DIE SOFTWARE DEN ANFORDERUNGEN DES KUNDEN ENTSPRICHT UND IN ANDEREN ALS DEN IN DER DOKUMENTATION VON AVEVA ANGEGEBENEN KOMBINATIONEN FUNKTIONIERT BZW. DASS DER BETRIEB DER SOFTWARE UNTERBRECHUNGS- BZW. FEHLERFREI IST.

AVEVA ODER IHRE HÄNDLER, VERTRIEBSPARTNER, BEVOLLMÄCHTIGTEN ODER MITARBEITER HAFTEN UNTER KEINEN UMSTÄNDEN FÜR INDIREKTE, ZUFÄLLIG ENTSTANDENE, SPEZIELLE, STRAFRECHTLICH RELEVANTE ODER FOLGESCHÄDEN ODER SCHÄDEN AUS DEM VERLUST VON GEWINN, UMSATZ ODER DATEN UND DURCH NUTZUNGSAUSFÄLLE, DIE DEM KUNDEN ODER DRITTEN, UNABHÄNGIG DAVON, OB AUFGRUND EINER KLAGE AUS DEM VERTRAG ODER AUS UNERLAUBTER HANDLUNG ENTSTEHEN, SELBST WENN AVEVA AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. DIE HAFTUNG VON AVEVA FÜR SCHADENERSATZ- UND AUFWENDUNGSERSATZANSPRÜCHE, DIE SICH HIERAUS ODER IM ZUSAMMENHANG HIERMIT ERGEBEN (SEI ES AUFGRUND EINER KLAGE AUS DEM VERTRAG, AUS UNERLAUBTER HANDLUNG ODER AUS EINEM SONSTIGEN GRUND) ÜBERSCHREITET IN KEINEM FALL DEN BETRAG VON EINHUNDERT US-DOLLAR (100 USD).



Sicherheitsbulletin LFSEC00000125

Titel
InduSoft Web Studio und Machine Edition – Schwachstelle in Bezug auf die Ausführung von Remotecode 

Einstufung
Kritisch

Veröffentlicht von
Schneider Electric Software Security Response Center


Überblick

Schneider Electric Software, LLC („Schneider Electric Software“) hat ein Sicherheitsupdate erstellt gegen Sicherheitslücken bei 

  • InduSoft Web Studio v8.1 und frühere Versionen
  • InTouch Machine Edition 2017 v8.1 und frühere Versionen

Die Sicherheitslücken könnten von einem nicht authentifizierten bösartigen Anwender ausgenutzt werden, um Code aus der Ferne mit hohen Berechtigungen auszuführen.

Schneider Electric Software empfiehlt Organisationen, die Auswirkungen dieser Sicherheitslücken auf der Grundlage ihrer Betriebsumgebung, Architektur und Produktimplementierung zu bewerten.

Empfehlungen

Kunden, die InduSoft Web Studio v8.1 oder frühere Versionen verwenden, sind hiervon betroffen und sollten schnellstmöglich auf InduSoft Web Studio v8.1 SP1 upgraden und diese Version anwenden. 

Kunden, die InTouch Machine Edition 2017 v8.1 oder frühere Versionen verwenden, sind hiervon betroffen und sollten schnellstmöglich auf InTouch Machine Edition 2017 v8.1 SP1 upgraden und diese Version anwenden. 

Hintergrund

InduSoft Web Studio ist eine leistungsstarke Zusammenstellung von Werkzeugen, die alle Automatisierungsbausteine für die Entwicklung von HMIs, SCADA-Systemen und eingebetteten Instrumentierungslösungen bieten. InTouch Machine Edition ist eine hochgradig skalierbare, flexible HMI, die eine Fülle von Möglichkeiten von anspruchsvollen HMI-Anwendungen bis hin zu eingebetteten Geräten mit kleinem Speicherbedarf bietet. InduSoft Web Studio und InTouch Machine Edition werden weltweit in zahlreichen Industrien eingesetzt, darunter Fertigung, Öl und Gas, Wasser und Abwasser, Gebäudeautomatisierung, Automobil sowie Wind- und Sonnenenergie.

So finden Sie heraus, welche Version von InduSoft Web Studio oder InTouch Machine Edition bei Ihnen installiert ist:

  • Wenn Sie einen Windows-Desktop oder ein Server-Betriebssystem verwenden, navigieren Sie in Windows zu „Programme und Features“, suchen Sie die Einträge „InduSoft Web Studio“ bzw. „InTouch Machine Edition“ und prüfen Sie die angezeigte installierte Version.
  • Wenn Sie ein Windows Embedded Betriebssystem verwenden, navigieren Sie zum Ordner „Bin“ im Installationspfad von InduSoft Web Studio bzw. InTouch Machine Edition und öffnen Sie die Datei „CEView.ini“. Die installierte Version kann in der Datei anhand der Eigenschaft „version=*.*.*“ identifiziert werden. 

Details zu Sicherheitslücken
InduSoft Web Studio und InTouch Machine Edition ermöglichen einem HMI-Client, Variablen zu lesen und zu schreiben und Alarme und Ereignis zu überwachen. Ein bösartiger Anwender könnte aus der Ferne ein sorgsam konstruiertes Paket senden, um bei Variablen-, Alarm- oder Ereignis-bezogenen Aktionen, wie Lesen und Schreiben, eine Schwachstelle durch einen stack-basierten Pufferüberlauf auszunutzen und potenziell einen Code auszuführen. In diesem Fall würde der Code mit hohen Berechtigungen ausgeführt werden und könnte zu einer kompletten Kompromittierung des InduSoft Web Studio bzw. InTouch Machine Edition Servers führen.

Sicherheitsupdate
Die folgenden Sicherheitsupdates schließen die in diesem Sicherheitsbulletin beschriebenen Sicherheitslücken.

6. April 2018: InduSoft Web Studio v8.1 SP1
6. April 2018: InTouch Machine Edition 2017 v8.1 SP1

Betroffene Produkte, Komponenten und korrektive Sicherheitspatches
Die folgende Tabelle zeigt die aktuell unterstützten, betroffenen Produkte. Software-Updates können im Bereich „Software Download“ der weltweiten Kundenbetreuung oder unter den nachfolgenden Links heruntergeladen werden:

Produkt und Komponente

Unterstütztes Betriebssystem

Sicherheitsauswirkungen

Einstufung der Schwere

Software-Sicherheitsupdate

InduSoft Web Studio v8.1 oder früher

Mehrere, Embedded

Vertraulichkeit, Integrität, Verfügbarkeit

Kritisch

http://download.indusoft.com/81.1.0/IWS81.1.0.zip

InTouch Machine Edition 2017 v8.1 oder früher

Mehrere, Embedded

Vertraulichkeit, Integrität, Verfügbarkeit

Kritisch

https://gcsresource.schneider-electric.com/tracking/ConfirmDownload.aspx?id=22530


Beschreibung der Schwachstelle und Einstufung von CVSSv3

CWE-121: Stack-basierter Pufferüberlauf

Danksagungen
Schneider Electric dankt:

  • Tenable Research für das Erkennen und das verantwortungsvolle Offenlegen dieser Schwachstelle.
  • ICS-Cert für die Koordinierung und Beratung.

Support
Informationen darüber, wie Sie von Schneider Electric Support für Ihr Produkt erhalten, finden Sie unter diesem Link:  Weltweiter Kundendienst von Schneider Electric Software.

Sollten Sie in dieser Sicherheitsbenachrichtigung Fehler oder Auslassungen feststellen, teilen Sie diese bitte dem Support mit.

Wonderware Sicherheitszentrale
Die neuesten Sicherheitsinformationen und Sicherheitsupdates finden Sie auf der Webseite der Sicherheitszentrale.

Standards und bewährte Methoden zur Cybersicherheit
Für Informationen zur Sicherung von industriellen Steuerungssystemen, siehe NIST SP800-82r2.

NVD Common Vulnerability Scoring System (CVSS v3)
Das Heimatschutzministerium der Vereinigten Staaten hat das Common Vulnerability Scoring System (CVSS v3) eingeführt, das einen offenen Rahmen für die Meldung der Eigenschaften und Auswirkungen von IT-Schwachstellen bietet.  CVSS v3 ermittelt eine Punktzahl sowie eine textuelle Darstellung dieser Punktzahl, die den Schweregrad der Schwachstelle widerspiegelt.  Die Punktzahl liegt zwischen 0,0 (keine Auswirkung) und 10,0 (kritische Auswirkung, Schwachstelle kann mit minimalem Aufwand ausgenutzt werden). Weitere Informationen sind den CVSSv3-Spezifikationen zu entnehmen.

Haftungsausschluss
DIE HIERIN ENTHALTENEN INFORMATIONEN WERDEN IM VORLIEGENDEN ZUSTAND UND OHNE JEGLICHE GARANTIE BEREITGESTELLT. SCHNEIDER ELECTRIC UND IHRE SCHWESTER-, MUTTER- UND TOCHTERGESELLSCHAFTEN (ZUSAMMEN: „SCHNEIDER ELECTRIC“) SCHLIESSEN ALLE GEWÄHRLEISTUNGEN, AUSDRÜCKLICH WIE STILLSCHWEIGEND, AUS, EINSCHLIESSLICH JEDOCH NICHT BESCHRÄNKT AUF IMPLIZIERTE GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT UND EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.  KEINE MÜNDLICHEN ODER SCHRIFTLICHEN INFORMATIONEN ODER RATSCHLÄGE VON SCHNEIDER ELECTRIC, IHREN HÄNDLERN, VERTRIEBSPARTNERN, BEVOLLMÄCHTIGTEN ODER MITARBEITERN GEWÄHREN EINE GEWÄHRLEISTUNG, UND DER KUNDE KANN SICH NICHT AUF SOLCHE INFORMATIONEN ODER RATSCHLÄGE BERUFEN.   

SCHNEIDER ELECTRIC ÜBERNIMMT KEINE GEWÄHR DAFÜR, DASS DIE SOFTWARE DEN ANFORDERUNGEN DES KUNDEN ENTSPRICHT UND IN ANDEREN ALS DEN IN DER DOKUMENTATION VON SCHNEIDER ELECTRIC ANGEGEBENEN KOMBINATIONEN FUNKTIONIERT BZW. DASS DER BETRIEB DER SOFTWARE UNTERBRECHUNGS- BZW. FEHLERFREI IST. 

SCHNEIDER ELECTRIC ODER IHRE HÄNDLER, VERTRIEBSPARTNER, BEVOLLMÄCHTIGTEN ODER MITARBEITER HAFTEN UNTER KEINEN UMSTÄNDEN FÜR INDIREKTE, ZUFÄLLIG ENTSTANDENE, SPEZIELLE, STRAFRECHTLICH RELEVANTE ODER FOLGESCHÄDEN ODER SCHÄDEN AUS DEM VERLUST VON GEWINN, UMSATZ ODER DATEN UND DURCH NUTZUNGSAUSFÄLLE, DIE DEM KUNDEN ODER DRITTEN, UNABHÄNGIG DAVON, OB AUFGRUND EINER KLAGE AUS DEM VERTRAG ODER AUS UNERLAUBTER HANDLUNG ENTSTEHEN, SELBST WENN SCHNEIDER ELECTRIC AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. DIE HAFTUNG VON SCHNEIDER ELECTRIC FÜR SCHADENERSATZ- UND AUFWENDUNGSERSATZANSPRÜCHE, DIE SICH HIERAUS ODER IM ZUSAMMENHANG HIERMIT ERGEBEN (SEI ES AUFGRUND EINER KLAGE AUS DEM VERTRAG, AUS UNERLAUBTER HANDLUNG ODER AUS EINEM SONSTIGEN GRUND) ÜBERSCHREITET IN KEINEM FALL DEN BETRAG VON EINHUNDERT US-DOLLAR (100 USD).

Das Industriesoftwareunternehmen Schneider Electric und AVEVA haben sich unter dem Namen AVEVA Group plc, einem in Großbritannien börsennotierten Unternehmen, zusammengeschlossen. Die Marken Schneider Electric und Life Is On sind Eigentum von Schneider Electric und werden von Schneider Electric in Lizenz an AVEVA übergeben.



Sicherheitsbulletin LFSEC00000124

Titel
InduSoft Web Studio und Machine Edition – Schwachstelle in Bezug auf die Ausführung von Remotecode 

Einstufung
Kritisch

Veröffentlicht von
Schneider Electric Software Security Response Center


Überblick

Schneider Electric Software, LLC („Schneider Electric“) hat ein Sicherheitsupdate erstellt gegen Sicherheitslücken bei 

  • InduSoft Web Studio v8.0 SP2 Patch 1 und frühere Versionen
  • InTouch Machine Edition v8.0 SP2 Patch 1 und frühere Versionen

Die Sicherheitslücken könnten von einem nicht authentifizierten bösartigen Anwender ausgenutzt werden, um Code aus der Ferne mit hohen Berechtigungen auszuführen.

Schneider Electric empfiehlt Organisationen, die Auswirkungen dieser Sicherheitslücken auf der Grundlage ihrer Betriebsumgebung, Architektur und Produktimplementierung zu bewerten.

Empfehlungen

Kunden, die InduSoft Web Studio v8.0 SP2 Patch 1 oder frühere Versionen verwenden, sind hiervon betroffen und sollten schnellstmöglich auf InduSoft Web Studio v8.1 upgraden und diese Version anwenden. 

Kunden, die InTouch Machine Edition v8.0 SP2 Patch 1 oder frühere Versionen verwenden, sind hiervon betroffen und sollten schnellstmöglich auf InTouch Machine Edition 2017 v8.1 upgraden und diese Version anwenden. 

Hintergrund

InduSoft Web Studio ist eine leistungsstarke Zusammenstellung von Werkzeugen, die alle Automatisierungsbausteine für die Entwicklung von HMIs, SCADA-Systemen und eingebetteten Instrumentierungslösungen bieten. InTouch Machine Edition ist eine hochgradig skalierbare, flexible HMI, die eine Fülle von Möglichkeiten von anspruchsvollen HMI-Anwendungen bis hin zu eingebetteten Geräten mit kleinem Speicherbedarf bietet. InduSoft Web Studio und InTouch Machine Edition werden weltweit in zahlreichen Industrien eingesetzt, darunter Fertigung, Öl und Gas, Wasser und Abwasser, Gebäudeautomatisierung, Automobil sowie Wind- und Sonnenenergie.

So finden Sie heraus, welche Version von InduSoft Web Studio oder InTouch Machine Edition bei Ihnen installiert ist:

  • Wenn Sie einen Windows-Desktop oder ein Server-Betriebssystem verwenden, navigieren Sie in Windows zu „Programme und Features“, suchen Sie die Einträge „InduSoft Web Studio“ bzw. „InTouch Machine Edition“ und prüfen Sie die angezeigte installierte Version.
  • Wenn Sie ein Windows Embedded Betriebssystem verwenden, navigieren Sie zum Ordner „Bin“ im Installationspfad von InduSoft Web Studio bzw. InTouch Machine Edition und öffnen Sie die Datei „CEView.ini“. Die installierte Version kann in der Datei anhand der Eigenschaft „version=*.*.*“ identifiziert werden. 

Details zu Sicherheitslücken
InduSoft Web Studio und InTouch Machine Edition ermöglichen einem HMI-Client, Variablen zu abonnieren und ihre Werte zu überwachen. Ein bösartiger Anwender könnte aus der Ferne ein sorgsam konstruiertes Paket senden, um beim Abonnement von Variablen eine Schwachstelle durch einen stack-basierten Pufferüberlauf auszunutzen und potenziell einen Code auszuführen. In diesem Fall würde der Code mit hohen Berechtigungen ausgeführt werden und könnte zu einer kompletten Kompromittierung des InduSoft Web Studio bzw. InTouch Machine Edition Servers führen.

Sicherheitsupdate
Die folgenden Sicherheitsupdates schließen die in diesem Sicherheitsbulletin beschriebenen Sicherheitslücken.

9. Nov. 2017: InduSoft Web Studio v8.1
9. Nov 2017: InTouch Machine Edition v8.1

Betroffene Produkte, Komponenten und korrektive Sicherheitspatches
Die folgende Tabelle zeigt die aktuell unterstützten, betroffenen Produkte. Software-Updates können im Bereich „Software Download“ der weltweiten Kundenbetreuung oder unter den nachfolgenden Links heruntergeladen werden:

Produkt und Komponente

Unterstütztes Betriebssystem

Sicherheitsauswirkungen

Einstufung der Schwere

Software-Sicherheitsupdate

InduSoft Web Studio v8.0 SP2 Patch 1 oder früher

Mehrere, Embedded

Vertraulichkeit, Integrität, Verfügbarkeit

Kritisch

http://download.indusoft.com/81.0.0/IWS81.0.0.zip

InTouch Machine Edition v8.0 SP2 Patch 1 oder früher

Mehrere, Embedded

Vertraulichkeit, Integrität, Verfügbarkeit

Kritisch

https://gcsresource.invensys.com/tracking/ConfirmDownload.aspx?id=22486


Beschreibung der Schwachstelle und Einstufung von CVSSv3

CWE-121: Stack-basierter Pufferüberlauf

Danksagungen
Schneider Electric dankt:

  • Aaron Portnoy, vorher von Exodus Intelligence, für das Erkennen und das verantwortungsvolle Offenlegen dieser Schwachstelle.
  • ICS-Cert für die Koordinierung und Beratung.

Support
Informationen darüber, wie Sie von Schneider Electric Support für Ihr Produkt erhalten, finden Sie unter diesem Link:  Weltweiter Kundendienst von Schneider Electric Software.

Sollten Sie in dieser Sicherheitsbenachrichtigung Fehler oder Auslassungen feststellen, teilen Sie diese bitte dem Support mit.

Wonderware Sicherheitszentrale
Die neuesten Sicherheitsinformationen und Sicherheitsupdates finden Sie auf der Webseite der Sicherheitszentrale.

Standards und bewährte Methoden zur Cybersicherheit
Für Informationen zur Sicherung von industriellen Steuerungssystemen, siehe NIST SP800-82r2.

NVD Common Vulnerability Scoring System (CVSS v3)
Das Heimatschutzministerium der Vereinigten Staaten hat das Common Vulnerability Scoring System (CVSS v3) eingeführt, das einen offenen Rahmen für die Meldung der Eigenschaften und Auswirkungen von IT-Schwachstellen bietet.  CVSS v3 ermittelt eine Punktzahl sowie eine textuelle Darstellung dieser Punktzahl, die den Schweregrad der Schwachstelle widerspiegelt.  Die Punktzahl liegt zwischen 0,0 (keine Auswirkung) und 10,0 (kritische Auswirkung, Schwachstelle kann mit minimalem Aufwand ausgenutzt werden). Weitere Informationen sind den CVSSv3-Spezifikationen zu entnehmen.

Haftungsausschluss
DIE HIERIN ENTHALTENEN INFORMATIONEN WERDEN IM VORLIEGENDEN ZUSTAND UND OHNE JEGLICHE GARANTIE BEREITGESTELLT. SCHNEIDER ELECTRIC UND IHRE SCHWESTER-, MUTTER- UND TOCHTERGESELLSCHAFTEN (ZUSAMMEN: „SCHNEIDER ELECTRIC“) SCHLIESSEN ALLE GEWÄHRLEISTUNGEN, AUSDRÜCKLICH WIE STILLSCHWEIGEND, AUS, EINSCHLIESSLICH JEDOCH NICHT BESCHRÄNKT AUF IMPLIZIERTE GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT UND EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.  KEINE MÜNDLICHEN ODER SCHRIFTLICHEN INFORMATIONEN ODER RATSCHLÄGE VON SCHNEIDER ELECTRIC, IHREN HÄNDLERN, VERTRIEBSPARTNERN, BEVOLLMÄCHTIGTEN ODER MITARBEITERN GEWÄHREN EINE GEWÄHRLEISTUNG, UND DER KUNDE KANN SICH NICHT AUF SOLCHE INFORMATIONEN ODER RATSCHLÄGE BERUFEN.   

SCHNEIDER ELECTRIC ÜBERNIMMT KEINE GEWÄHR DAFÜR, DASS DIE SOFTWARE DEN ANFORDERUNGEN DES KUNDEN ENTSPRICHT UND IN ANDEREN ALS DEN IN DER DOKUMENTATION VON SCHNEIDER ELECTRIC ANGEGEBENEN KOMBINATIONEN FUNKTIONIERT BZW. DASS DER BETRIEB DER SOFTWARE UNTERBRECHUNGS- BZW. FEHLERFREI IST. 

SCHNEIDER ELECTRIC ODER IHRE HÄNDLER, VERTRIEBSPARTNER, BEVOLLMÄCHTIGTEN ODER MITARBEITER HAFTEN UNTER KEINEN UMSTÄNDEN FÜR INDIREKTE, ZUFÄLLIG ENTSTANDENE, SPEZIELLE, STRAFRECHTLICH RELEVANTE ODER FOLGESCHÄDEN ODER SCHÄDEN AUS DEM VERLUST VON GEWINN, UMSATZ ODER DATEN UND DURCH NUTZUNGSAUSFÄLLE, DIE DEM KUNDEN ODER DRITTEN, UNABHÄNGIG DAVON, OB AUFGRUND EINER KLAGE AUS DEM VERTRAG ODER AUS UNERLAUBTER HANDLUNG ENTSTEHEN, SELBST WENN SCHNEIDER ELECTRIC AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. DIE HAFTUNG VON SCHNEIDER ELECTRIC FÜR SCHADENERSATZ- UND AUFWENDUNGSERSATZANSPRÜCHE, DIE SICH HIERAUS ODER IM ZUSAMMENHANG HIERMIT ERGEBEN (SEI ES AUFGRUND EINER KLAGE AUS DEM VERTRAG, AUS UNERLAUBTER HANDLUNG ODER AUS EINEM SONSTIGEN GRUND) ÜBERSCHREITET IN KEINEM FALL DEN BETRAG VON EINHUNDERT US-DOLLAR (100 USD). 



InduSoft und InTouch Machine Edition Sicherheitsbulletin LFSEC00000121

Titel
InduSoft Web Studio und InTouch Machine Edition – Schwachstelle in Bezug auf die Ausführung von beliebigen Remote-Befehlen 

Einstufung
Kritisch

Veröffentlicht von
Schneider Electric Software Security Response Center



Überblick
Schneider Electric Software, LLC („Schneider Electric“) hat ein Sicherheitsupdate erstellt gegen Sicherheitslücken bei 

  • InduSoft Web Studio v8.0 SP2 und früher
  • InTouch Machine Edition v8.0 SP2 und früher

Die Sicherheitslücken könnten von einem nicht authentifizierten Kriminellen ausgenutzt werden, um beliebige Befehle aus der Ferne mit hohen Berechtigungen auszuführen.

Schneider Electric empfiehlt Organisationen, die Auswirkungen dieser Sicherheitslücken auf der Grundlage ihrer Betriebsumgebung, Architektur und Produktimplementierung zu bewerten.

Dieses Sicherheitsbulletin gibt die Software-Sicherheitsupdates bekannt für

  • InduSoft Web Studio v8.0 SP2 und früher
  • InTouch Machine Edition v8.0 SP2 und früher

Empfehlungen
Kunden, die InduSoft Web Studio v8.0 SP2 oder früher verwenden, sind hiervon betroffen und sollten schnellstmöglich auf InduSoft Web Studio v8.0 SP2 Patch 1 upgraden und diese Version anwenden.

Kunden, die InTouch Machine Edition v8.0 SP2 oder früher verwenden, sind hiervon betroffen und sollten schnellstmöglich auf InTouch Machine Edition v8.0 SP2 Patch 1 upgraden und diese Version anwenden. 

Hintergrund
InduSoft Web Studio ist eine leistungsstarke Zusammenstellung von Werkzeugen, die alle Automatisierungsbausteine für die Entwicklung von HMIs, SCADA-Systemen und eingebetteten Instrumentierungslösungen bieten. InTouch Machine Edition ist eine hochgradig skalierbare, flexible HMI, die eine Fülle von Möglichkeiten von anspruchsvollen HMI-Anwendungen bis hin zu eingebetteten Geräten mit kleinem Speicherbedarf bietet. InduSoft Web Studio und InTouch Machine Edition werden weltweit in zahlreichen Industrien eingesetzt, darunter Fertigung, Öl und Gas, Wasser und Abwasser, Gebäudeautomatisierung, Automobil sowie Wind- und Sonnenenergie.

Identifizieren Sie die bei Ihnen installierte Version von InduSoft Web Studio, indem Sie in Windows zu „Programme und Features“ navigieren, die Installation „InduSoft Web Studio“ suchen und die installierte Version prüfen.  

Details zu Sicherheitslücken
InduSoft Web Studio und InTouch Machine Edition ermöglichen einem HMI-Client, die Skriptausführung auf dem Server zu starten, um benutzerdefinierte Berechnungen oder Aktionen auszuführen. Ein bösartiger Anwender könnte die Serverauthentifizierung umgehen und die Ausführung eines beliebigen Befehls auslösen. Der Befehl wird in diesem Fall mit hohen Berechtigungen ausgeführt und könnte zu einer kompletten Kompromittierung des Servers führen.

Sicherheitsupdate
Die folgenden Sicherheitsupdates schließen die in diesem Sicherheitsbulletin beschriebenen Sicherheitslücken.

15. Sept. 2017: InduSoft Web Studio v8.0 SP2 Patch 1
15. Sept 2017: InTouch Machine Edition v8.0 SP2 Patch 1 


Betroffene Produkte, Komponenten und korrektive Sicherheitspatches
Die folgende Tabelle zeigt die aktuell unterstützten, betroffenen Produkte. Software-Updates können im Bereich „Software Download“ der weltweiten Kundenbetreuung oder unter den nachfolgenden Links heruntergeladen werden:

Produkt und Komponente

Unterstütztes Betriebssystem

Sicherheitsauswirkungen

Einstufung der Schwere

Software-Sicherheitsupdate

InduSoft Web Studio v8.0 SP2 oder früher

Mehrere

Vertraulichkeit, Integrität, Verfügbarkeit

Kritisch

InduSoft Web Studio v8.0 SP2 Patch 1

InTouch Machine Edition v8.0 SP2 oder früher

Mehrere, Embedded

Vertraulichkeit, Integrität, Verfügbarkeit

Kritisch

InTouch Machine Edition v8.0 SP2 Patch 1

Beschreibung der Schwachstelle und Einstufung von CVSSv3

CWE-306: Fehlende Authentifizierung für kritische Funktion

Danksagungen
Schneider Electric dankt:

  • Aaron Portnoy, vorher von Exodus Intelligence, für das Erkennen und das verantwortungsvolle Offenlegen dieser Schwachstelle.
  • ICS-Cert für die Koordinierung und Beratung.

Support
Informationen darüber, wie Sie von Schneider Electric Support für Ihr Produkt erhalten, finden Sie unter diesem Link:  Weltweiter Kundendienst von Schneider Electric Software.

Sollten Sie in dieser Sicherheitsbenachrichtigung Fehler oder Auslassungen feststellen, teilen Sie diese bitte dem Support mit.

Wonderware Sicherheitszentrale
Die neuesten Sicherheitsinformationen und Sicherheitsupdates finden Sie auf der Webseite der Sicherheitszentrale.

Standards und bewährte Methoden zur Cybersicherheit
Für Informationen zur Sicherung von industriellen Steuerungssystemen, siehe NIST SP800-82r2.

NVD Common Vulnerability Scoring System (CVSS v3)
Das Heimatschutzministerium der Vereinigten Staaten hat das Common Vulnerability Scoring System (CVSS v3) eingeführt, das einen offenen Rahmen für die Meldung der Eigenschaften und Auswirkungen von IT-Schwachstellen bietet.  CVSS v3 ermittelt eine Punktzahl sowie eine textuelle Darstellung dieser Punktzahl, die den Schweregrad der Schwachstelle widerspiegelt.  Die Punktzahl liegt zwischen 0,0 (keine Auswirkung) und 10,0 (kritische Auswirkung, Schwachstelle kann mit minimalem Aufwand ausgenutzt werden). Weitere Informationen sind den CVSSv3-Spezifikationen zu entnehmen.

Haftungsausschluss
DIE HIERIN ENTHALTENEN INFORMATIONEN WERDEN IM VORLIEGENDEN ZUSTAND UND OHNE JEGLICHE GARANTIE BEREITGESTELLT. SCHNEIDER ELECTRIC UND IHRE SCHWESTER-, MUTTER- UND TOCHTERGESELLSCHAFTEN (ZUSAMMEN: „SCHNEIDER ELECTRIC“) SCHLIESSEN ALLE GEWÄHRLEISTUNGEN, AUSDRÜCKLICH WIE STILLSCHWEIGEND, AUS, EINSCHLIESSLICH JEDOCH NICHT BESCHRÄNKT AUF IMPLIZIERTE GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT UND EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.  KEINE MÜNDLICHEN ODER SCHRIFTLICHEN INFORMATIONEN ODER RATSCHLÄGE VON SCHNEIDER ELECTRIC, IHREN HÄNDLERN, VERTRIEBSPARTNERN, BEVOLLMÄCHTIGTEN ODER MITARBEITERN GEWÄHREN EINE GEWÄHRLEISTUNG, UND DER KUNDE KANN SICH NICHT AUF SOLCHE INFORMATIONEN ODER RATSCHLÄGE BERUFEN.   

SCHNEIDER ELECTRIC ÜBERNIMMT KEINE GEWÄHR DAFÜR, DASS DIE SOFTWARE DEN ANFORDERUNGEN DES KUNDEN ENTSPRICHT UND IN ANDEREN ALS DEN IN DER DOKUMENTATION VON SCHNEIDER ELECTRIC ANGEGEBENEN KOMBINATIONEN FUNKTIONIERT BZW. DASS DER BETRIEB DER SOFTWARE UNTERBRECHUNGS- BZW. FEHLERFREI IST. 

SCHNEIDER ELECTRIC ODER IHRE HÄNDLER, VERTRIEBSPARTNER, BEVOLLMÄCHTIGTEN ODER MITARBEITER HAFTEN UNTER KEINEN UMSTÄNDEN FÜR INDIREKTE, ZUFÄLLIG ENTSTANDENE, SPEZIELLE, STRAFRECHTLICH RELEVANTE ODER FOLGESCHÄDEN ODER SCHÄDEN AUS DEM VERLUST VON GEWINN, UMSATZ ODER DATEN UND DURCH NUTZUNGSAUSFÄLLE, DIE DEM KUNDEN ODER DRITTEN, UNABHÄNGIG DAVON, OB AUFGRUND EINER KLAGE AUS DEM VERTRAG ODER AUS UNERLAUBTER HANDLUNG ENTSTEHEN, SELBST WENN SCHNEIDER ELECTRIC AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. DIE HAFTUNG VON SCHNEIDER ELECTRIC FÜR SCHADENERSATZ- UND AUFWENDUNGSERSATZANSPRÜCHE, DIE SICH HIERAUS ODER IM ZUSAMMENHANG HIERMIT ERGEBEN (SEI ES AUFGRUND EINER KLAGE AUS DEM VERTRAG, AUS UNERLAUBTER HANDLUNG ODER AUS EINEM SONSTIGEN GRUND) ÜBERSCHREITET IN KEINEM FALL DEN BETRAG VON EINHUNDERT US-DOLLAR (100 USD).