Die zum Härten gegen Meltdown-Angriffe ausgerollten Patches bringen in industriellen Steuersystemen (SCADA-Systemen) mächtig Ärger. Hier ein paar Informationen.
Anzeige
Ich habe mit meiner Vermutung, dass uns Meltdown und Spectre noch mächtig Ärger bereiten werden, Recht behalten. Momentan rollen auch die Anbieter von SCADA-Systemen zur Steuerung von Industrieanlagen entsprechende Updates aus. Dabei fallen sie auf die Schnauze, weil oft auch Windows zum Einsatz kommt. Und zu deren Patches habe ich hier im Blog ja bereits mehrfach Beiträge gehabt.
The Register berichtet hier, dass die Patches für die Meltdown-Schwachstelle Stabilitätsprobleme in industriellen Steuerungssystemen verursachen. So wird Anbieter WonderWare (war mir jetzt kein Begriff, aber die werben mit bunten Bildchen für die wunderbare Welt der Industrie 4.0) explizit erwähnt. Die haben das Monthly Rollup Update KB4056896 für Windows Server 2012 auf ihre SCADA-Anlagen ausgerollt. Danach waren die Jungs total überrascht, dass es eine Instabilität im Wonderware Historian-Bereich (wohl Prozessdatenaufzeichnung) gab. Ein einem Advisory findet sich auch der Hinweis, dass sich DA/OI Server nicht mehr per System Management Console (SMC) erreichen ließen. Nun ja, gemäß diesem PDF-Dokument verwenden die Entwickler auch DDE (zumindest mein Eindruck beim schnellen Überfliegen) – und DDE wurde in den Updates aus Sicherheitsgründen – hat nix mit Meltdown zu tun – still gelegt.
Rockwell Automation, a big ICS and SCADA vendor, say MS Meltdown patch causes issues with Studio 5000, FactoryTalk View SE, and RSLinx Classic (big in manufacturing sector) – in fairness may be RPC change related https://t.co/WklZD87EJh
— Kevin Beaumont (@GossiTheDog) 12. Januar 2018
Rockwell Automation hat mit dem gleichen Patch Probleme mit Studio 5000, FactoryTalk View SE und RSLinx Classic. Ist aber wohl RPC (Remote Procedure Call)-Änderungen geschuldet, wie Sicherheitsforscher Kevin Beaumont auf Twitter schreibt.
Die Leistungseinbußen durch die Spectre/Meltdown-Patches oder den Ärger mit AMD-Chips und den Windows-Updates braucht man nicht gesondert einzugehen. Die sorgen in diesem Bereich sicher für Freude. Gleiches gilt für die Inkompatibilität mit Fremdvirenscannern, die auch in den Monitoring-Plattformen der SCADA-Systeme mitlaufen. Auch wenn Linux in den SCADA-Lösungen eingesetzt werden, bringen die betreffenden Patches die Systeme ans wanken. Wird also noch ein paar heiße Schichten für die Wartungsleute geben, bis das wieder sauber läuft.
Bin ich froh, mit diesem Bereich seit 25 Jahren nichts mehr zu tun zu haben. Vermutlich wäre ich da längst 'entsorgt' worden, da ich mich seinerzeit vehement (aus Gründen der Zuverlässigkeit) gegen die Verwendung von Windows-PCs in solchen SCADA-Umgebungen mit Prozesseinbindung ausgesprochen habe. Da hat so mancher damals die Augen über so viel 'Borniertheit' verdreht. Immerhin habe ich kürzlich beim Sport durch Zufall erfahren, dass eine mit meinen Mannen von mir konzipierte Anlage erst nach über 20 Jahren Betrieb stillgelegt wurde. Während das Vorgängerprojekt von Kollegen ziemlich für Ärger beim Support (sporadische Ausfälle) verschrien war, lief das von mir konzipierte Steuer- und Überwachungssystem wie Willy. Mein Glück: In der Umgebung (Chlor-Elektrolyse mit Magnetfeldern, verursacht durch 300 kA-Ströme) funktionierten die netten PC-Bastellösungen halt nicht. Gut, die Anlage wäre heute nicht mehr zeitgemäß – aber immerhin war das Zeugs für Lebenszeiten von 20 bis 25 Jahre angelegt.
2015
Nur mal so im kleinen Asus hat schon vor ein paar Tagen diverse BIOS Updates herausgegeben (die BIOS .Cap Datei stammt vom 12.01.18).
Schon nach dem Microsoft Updates habe ich festgestellt das die AI Suite III nicht mehr Läuft dementsprechend sollte man die alte Software deinstallieren und auf die Asus AI Suite 3.00.10 Beta ausweichen die funktioniert als einzige noch findet aber auch kein neues BIOS Update, das muss man sich dann Manuell bei Asus suchen und herunterladen.
Hallo zusammen,
warum patche ich SCADA-Systeme ?
Hardware und Betriebssystem sind/müssen zertifiziert sein. Sollten sich Fehler im laufenden Betrieb zu erkennen geben, wird man sich mit Sicherheit mit dem Hardware- und/oder Betriebssystemhersteller "direkt" in Verbindung setzten.
Sollten solche Systeme Internetzugriff haben ? Natürlich nicht.
Sollten solche Systeme autarke Netzwerke haben ? Natürlich ja.
Sollten solche Systeme öffentliche zugängliche Schnittstelle haben ? Natürlich nicht.
Sollten solche Systeme Insellösungen sein ? Natürlich ja.
Da in der IT die Erbsenzähler das Ruder übernommen haben bzw. übernehmen mussten, brauch sich keiner über die Folgeerscheinungen zu wundern.
Gruß
Rainer
sollten sollten sollten.
das leben ist nun mal nicht so einfach und alle wissen eh immer besser.
Hallo Daniel
1.) Vom Leben habe ich nicht gesprochen.
2.) Das sensible Systeme/Daten Autark sind bzw. sein sollten, ist schon seit Jahrzehnten gängige Praxis und hat nichts mit Besserwisserei zu tun.
3.) Das diese Sicherheit aufgrund von Kosteneinsparungen aufgeweicht wurde ist bekannt und hat nichts mit Besserwisserei zu tun.
Gruß
Rainer
Moin
@Rainer
Danke ?
sehe ich nämlich genau so, diese idiotische Hype nach dem Bug von jedermann, gibts endlich nen Pähääätch^^
Metallbau jammert.. nur ist die Kiste autark und komplett abgeschottet, wolln wer se schrotten lassen?^^
Geht mir echt auf den Senkel,
Asus z.B. hätte angeblich für mein Board H170Pro schon nen Patch, joah aber Beta und ich bin schließlich nicht bescheuert genug das zu probieren.