Industrielle Steuerungs- und Automatisierungssysteme (ICS), vor allem in kritischen Infrastrukturen, gelten als besonders schützenswert. Demzufolge sollten Admins Sicherheitspatches zügig installieren. In einem aktuellen Fall gibt es derzeit aber kein Update, die Schwachstelle bleibt offen.
Die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) führt in einem Beitrag Sicherheitslücken in Industrial Video & Control Longwatch, Iskra iHUB and iHUB Lite, Mirion Medical EC2 Software NMIS BioDose, Mitsubishi Electric CNC Series und Mitsubishi Electric MELSEC iQ-R Series/iQ-F Series auf. Diese ICS werden weltweit unter anderem im Energiesektor eingesetzt.
Besonders hervorzuheben ist eine „kritische“ Lücke (CVE-2025-13510) in Iskra iHUB und iHUB Lite. Weil es keine Authentifizierung im Kontext von Systemeinstellungen gibt, kann ein entfernter Angreifer ohne Anmeldung etwa Systeme manipulieren. Die CISA gibt an, den Softwarehersteller kontaktiert zu haben. Bislang gab es der Behörde zufolge aber keine Antwort auf die Anfrage, und die kritische Lücke bleibt vorerst bestehen. Um ein Angriffsrisiko zu minimieren, sollten Systeme unter anderem nicht öffentlich über das Internet erreichbar sein.
Durch eine „kritische“ Lücke (CVE-2025-13658) in Industrial Video & Control Longwatch kann Schadcode auf Systeme gelangen. Dagegen ist die Ausgabe 6.335 gerüstet. In Mirion Medical EC2 Software NMIS BioDose können Angreifer etwa ausführbare Dateien manipulieren. Hier schafft die Ausgabe V23.0 Abhilfe.
Weiterführende Informationen zu den Schwachstellen und Sicherheitsupdates führt die CISA in einem Beitrag aus.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare