Spring4Shell: Schwachstelle in Zutrittskontrollsystemen von Siemens

Die Produkte Siveillance Identity, SiPass integrated und Operation Scheduler der Firma Siemens sind von der Spring4Shell-Schwachstelle (CVE-2022-22965) betroffen. Bei den verwundbaren Produkten handelt es sich um Software, die vor allem im Bereich der physischen Sicherheit und Zutrittskontrolle eingesetzt wird.

Die Schwachstelle erlaubt einem entfernten, nicht authentifizierten Angreifer, beliebigem Code auf dem Zielsystem mit den Berechtigungen der Applikation auszuführen. Bekannte Exploits erfordern, dass die Applikation als WAR-Datei auf einem Tomcat läuft sowie dass JDK 9 oder höher zum Einsatz kommt. Konfigurationen, bei denen eine Spring Boot ausführbare jar-Datei zum Einsatz kommt, sind nach aktuellem Kenntnisstand nicht verwundbar. Da es sich jedoch um eine allgemeine Schwachstelle handelt, können weitere Wege zur Ausnutzung nicht ausgeschlossen werden. Für die Produkte Operation Scheduler und SiPass integrated stehen bereits Updates zur Verfügung. Für die aktuell unterstützen Versionen von Siveillance Identity ist dies noch nicht der Fall.

Anzeige

Bewertung

Das BSI geht – unter anderem aufgrund der Verbreitung im KRITIS-Sektor Transport und Verkehr – von einer grundsätzlichen Relevanz aus. Der Einsatz der Software in anderen Bereichen der deutschen Wirtschaft oder Verwaltung kann nicht ausgeschlossen werden. Dem BSI liegen öffentliche Berichte vor, dass die zugrundeliegende Schwachstelle Spring4Shell bereits aktiv ausgenutzt wird. Daher ist von einer erhöhten Bedrohungslage auszugehen.

Maßnahmen

Das BSI empfiehlt jedem Betreiber zu überprüfen, ob die betroffenen Produkte im Einsatz sind und die von Siemens beschriebenen Maßnahmen zeitnah zu berücksichtigen. Unter Beachtung der jeweiligen Risikoabwägung sollten vorhandene Systeme schnellstmöglich auf die vom Hersteller bereitgestellten, nicht-verwundbaren Versionen aktualisiert werden. Für nicht-patchbare Systeme oder Software, für die kein Update zur Verfügung steht, müssen mindestens ein- und ausgehende Verbindungen mit dem Internet unterbunden werden. Unter Beachtung der jeweiligen Risikoabwägung sollte eine Isolierung der Systeme und eine engmaschige Überwachung in Erwägung gezogen werden. Es ist davon auszugehen, dass grundsätzlich auch noch weitere IT-Komponenten für Spring4Shell anfällig sind. Daher empfiehlt das BSI dringend, regelmäßig die Sicherheitshinweise von allen IT-Herstellern, deren Produkte in der eigenen Organisation zum Einsatz kommen, zu prüfen.

www.bsi.bund.de/

Anzeige

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.