Kritische Lücken in Siemens Nucleus RTOS
[ad_1]
Die Sicherheitsforscher von Forescout nach sich ziehen erneut Sicherheitslücken im Netzwerkstack von Siemens Nucleus-Echtzeitbetriebssystem (Realtime OS, RTOS) gefunden – gleich 13 an dieser Zahl. Mindestens eine davon ist qua unbequem mit einem CVSS-Score von 9.8 einzustufen.
In Ihrer Sicherheitsmeldung listen die IT-Sicherheitsexperten die einzelnen Lücken mitsamt ihrer CVE-Nummer und Risikoeinschätzung gen. So kann aufgrund einer fehlerhaften Längenprüfung zusammen mit dieser Einlieferung eines FTP-User-Namens ein stack-basierter Pufferüberlauf solange bis zur Vollziehung von eingeschleustem Quellcode zur Folge haben: Dies System wäre vollwertig kompromittiert.
Ähnliches zeigte sich zusammen mit dieser Passwort-Einlieferung an den integrierten FTP-Server oder zusammen mit dessen MKD– respektive XMKD-Gebot. In dieser ICMP und UDP-Implementierung fehlen ebenfalls Längenprüfung für jedes die Päckchen-Payloads, welches etwa für jedes Denial-of-Tafelgeschirr-Angriffe oder zu Informationslecks zur Folge haben kann.
Weitere Feinheiten kann man dieser obigen Sicherheitsmeldung von Forescout schließen aus. Nucleus OS ist ein weit verbreitetes operating system bspw. für jedes industrielle Steuerungen und Embedded-Systeme etwa gen Stützpunkt von ARM- oder MIPS-Prozessoren. Gleichermaßen, wenn Siemens Aktualisierungen bereitstellt – gen solche Geräte wird in dieser Regel so gut wie selten ein Update eingespielt. In den Betriebssystemen zu diesem Zweck finden Forscher regelmäßig schlimme Sicherheitslücken. Dies Web-of-Things zeigt sich damit noch immer qua relativ kaputt, welches die Sicherheit anbelangt.
(dmk)