SecBoard
Zurück zur Übersicht

Beware of the license manager: how a Schneider Electric software vulnerability puts industrial facilities at risk

Securelist·
Originalartikel lesen bei Securelist

Eine Schwachstelle (CVE-2024-2658) im FlexNet Publisher des Schneider Electric Floating License Managers ermöglicht es Angreifern, über manipulierte OpenSSL-Konfigurationsdateien Code mit Systemrechten auszuführen. Dies betrifft industrielle Anlagen, die Schneider Electric Produkte nutzen, und kann zu vollständiger Systemkontrolle und Netzwerkübernahme führen. Betroffene sollten umgehend Patches installieren und die Sicherheit ihrer Systeme überprüfen, um Risiken zu minimieren.

Kurzfassung

Eine Schwachstelle (CVE-2024-2658) im FlexNet Publisher des Schneider Electric Floating License Managers ermöglicht die Ausführung von Code mit Systemrechten. Angreifer können über manipulierte OpenSSL-Konfigurationsdateien die vollständige Systemkontrolle erlangen. Dies betrifft industrielle Anlagen, die Schneider Electric Produkte nutzen, und erfordert umgehende Patch-Installation.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Industrielle Anlagen, die Schneider Electric Produkte nutzen, insbesondere solche, die den Floating License Manager mit FlexNet Publisher verwenden.

Warum relevant

Die Schwachstelle ermöglicht lokalen Nicht-Administrator-Angreifern die Ausführung von Code mit Systemrechten, was zu vollständiger Systemkontrolle und Netzwerkübernahme führen kann. Dies stellt ein erhebliches Risiko für die Betriebskontinuität und Sicherheit industrieller Steuerungssysteme dar.

Realistisches Worst Case

Ein Angreifer erlangt die vollständige Kontrolle über betroffene Systeme in industriellen Anlagen, was zu Betriebsunterbrechungen, Manipulation von Prozessen oder einer Ausbreitung im Netzwerk führen kann.

Handlungsempfehlung

Umgehende Installation der von Schneider Electric bereitgestellten Patches für den Floating License Manager und Überprüfung der Systemsicherheit.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob der Schneider Electric Floating License Manager mit FlexNet Publisher in Ihrer Umgebung eingesetzt wird.
  • Stellen Sie sicher, dass alle Instanzen des Floating License Managers auf die neueste, gepatchte Version aktualisiert wurden.
  • Überprüfen Sie die Integrität der OpenSSL-Konfigurationsdateien auf Systemen, die den Floating License Manager hosten.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
ExecutionT1059 Command and Scripting InterpreterHighAngreifer können über manipulierte OpenSSL-Konfigurationsdateien Code mit Systemrechten ausführen.
Privilege EscalationT1068 Exploitation for Privilege EscalationHighermöglicht es Angreifern, ... Code mit Systemrechten auszuführen.
ImpactT1491 DefacementLowkann zu vollständiger Systemkontrolle und Netzwerkübernahme führen
Offene Punkte
  • Es wird nicht spezifiziert, welche spezifischen Schneider Electric Produkte betroffen sind, außer dem Floating License Manager.
  • Es wird nicht spezifiziert, ob die Schwachstelle aus der Ferne oder nur lokal ausgenutzt werden kann, außer der Erwähnung von 'lokalen Nicht-Administrator-Angreifern' in der englischen Version.
  • Es werden keine spezifischen Versionen des FlexNet Publishers oder des Floating License Managers genannt, die von der Schwachstelle betroffen sind.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Ja
  • Exploit öffentlich verfügbar?Möglich
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Möglich

Kundenfragen

  • Haben wir Active Directory / Entra extern erreichbar?
  • Haben wir Windows extern erreichbar?
  • Können wir Reconnaissance detektieren?
  • Können wir Resource Development detektieren?

MITRE ATT&CK Kill Chain (6 Techniken)

Themen
Vulnerabilities and exploitsIndustrial control systemsIndustrial threats