SNMP-Fuzzer erfolgreich an PLC S7-1200 getestet
Datum: Mittwoch, dem 23. Januar 2013
Thema: Software Infos


Sankt Augustin 21. Januar 2013
Erstmals wurde ein SNMP-Fuzzer entwickelt, der Objekte gezielt unter Beibehaltung des jeweiligen Dateityps manipuliert und nicht nur zufällige Anfragen sendet.

Viele Hersteller für Speicherprogrammierbare Steuerungen (SPS) implementieren in ihren Produkten einen SNMP-Dienst zur Überwachung und Konfiguration. Aufgrund der Einfachheit des Protokolls werden meist veraltete Versionen verwendet, die besonders in der Default-Konfiguration viele kritische Sicherheitslücken enthalten. ‚SNMP-Fuzzer‘ wurde im Rahmen einer Untersuchung von SPS / PLC als Metasploit Modul entwickelt. Das Modul ermöglicht die Identifizierung von Sicherheitslücken durch die dynamische Methode Fuzzing in einer SNMP-Implementierung.

Der Fuzzer wurde erfolgreich an der Siemens PLC S7-1200 getestet.
http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-724606.pdf

Die Veröffentlichung des Fuzzer erfolgt zeitnah nach Patchen der Sicherheitslücke.

Weitere Informationen: http://www.softscheck.com/publications/130121_softScheck_SNMPFuzzer.pdf

Über softScheck
Die softScheck GmbH hat sich in den letzten Jahren als Alleinstellungsmerkmal in Europa mit der kostengünstigen Identifizierung bisher nicht-erkannter Sicherheitslücken (Zero-Day-Vulnerabilities) in jeder Art Software (und auch Hardware) neue, attraktive Wachstumsfelder erschlossen: In Anwendungssoftware (Webapplications, ERP, ERM, CRM, SCM, E-Business, CIM etc.) und Netzwerk-Protokollen, Embedded Systems und Industrial Control Systems (ICS), Manufacturing Execution Systems - Produktionsleitsysteme mit MES, SCADA (Leittechnik und –systeme), SPS bis zur Feldebene, im Smart Grid (z.B. Smart Meter Gateway), Cyber Physical Systems, M2M, Industrie 4.0, in Apps und Applets für smart and mobile Devices, im Cloud Computing und auch in Hardware.

softScheck führt regelmäßig Sicherheitsprüfungen von Software und Hardware durch. Daneben bietet softScheck selbstverständlich auch die klassische IT-Sicherheitsberatung an vom Grund-schutz (ISO 27000-Familie) bis hin zur Hochsicherheit in der Informationsverarbeitung (Redundanz und Diversität) – auch mit Consulting, Coaching und Forensics.

Kontakt:
Anja Wallikewitz softScheck GmbH
Tel.: 02241 – 255 43 – 11 Bonner Straße 108
Fax: 02241 – 255 43 – 29 53757 Sankt Augustin
anja.wallikewitz@softScheck.com www.softScheck.com


(Weitere interessante Hardware News & Hardware Infos & Hardware Tipps sind auch hier auf dieser Seite nachlesbar.)

Veröffentlicht von >> softScheck << auf http://www.freie-pressemitteilungen.de/modules.php?name=PresseMitteilungen - dem freien Presseportal mit aktuellen News und Artikeln


Sankt Augustin 21. Januar 2013
Erstmals wurde ein SNMP-Fuzzer entwickelt, der Objekte gezielt unter Beibehaltung des jeweiligen Dateityps manipuliert und nicht nur zufällige Anfragen sendet.

Viele Hersteller für Speicherprogrammierbare Steuerungen (SPS) implementieren in ihren Produkten einen SNMP-Dienst zur Überwachung und Konfiguration. Aufgrund der Einfachheit des Protokolls werden meist veraltete Versionen verwendet, die besonders in der Default-Konfiguration viele kritische Sicherheitslücken enthalten. ‚SNMP-Fuzzer‘ wurde im Rahmen einer Untersuchung von SPS / PLC als Metasploit Modul entwickelt. Das Modul ermöglicht die Identifizierung von Sicherheitslücken durch die dynamische Methode Fuzzing in einer SNMP-Implementierung.

Der Fuzzer wurde erfolgreich an der Siemens PLC S7-1200 getestet.
http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-724606.pdf

Die Veröffentlichung des Fuzzer erfolgt zeitnah nach Patchen der Sicherheitslücke.

Weitere Informationen: http://www.softscheck.com/publications/130121_softScheck_SNMPFuzzer.pdf

Über softScheck
Die softScheck GmbH hat sich in den letzten Jahren als Alleinstellungsmerkmal in Europa mit der kostengünstigen Identifizierung bisher nicht-erkannter Sicherheitslücken (Zero-Day-Vulnerabilities) in jeder Art Software (und auch Hardware) neue, attraktive Wachstumsfelder erschlossen: In Anwendungssoftware (Webapplications, ERP, ERM, CRM, SCM, E-Business, CIM etc.) und Netzwerk-Protokollen, Embedded Systems und Industrial Control Systems (ICS), Manufacturing Execution Systems - Produktionsleitsysteme mit MES, SCADA (Leittechnik und –systeme), SPS bis zur Feldebene, im Smart Grid (z.B. Smart Meter Gateway), Cyber Physical Systems, M2M, Industrie 4.0, in Apps und Applets für smart and mobile Devices, im Cloud Computing und auch in Hardware.

softScheck führt regelmäßig Sicherheitsprüfungen von Software und Hardware durch. Daneben bietet softScheck selbstverständlich auch die klassische IT-Sicherheitsberatung an vom Grund-schutz (ISO 27000-Familie) bis hin zur Hochsicherheit in der Informationsverarbeitung (Redundanz und Diversität) – auch mit Consulting, Coaching und Forensics.

Kontakt:
Anja Wallikewitz softScheck GmbH
Tel.: 02241 – 255 43 – 11 Bonner Straße 108
Fax: 02241 – 255 43 – 29 53757 Sankt Augustin
anja.wallikewitz@softScheck.com www.softScheck.com


(Weitere interessante Hardware News & Hardware Infos & Hardware Tipps sind auch hier auf dieser Seite nachlesbar.)

Veröffentlicht von >> softScheck << auf http://www.freie-pressemitteilungen.de/modules.php?name=PresseMitteilungen - dem freien Presseportal mit aktuellen News und Artikeln






Dieser Artikel kommt von Software News & Software Infos & Software Tipps
http://www.software-infos-247.de

Die URL für diesen Artikel ist:
http://www.software-infos-247.de/modules.php?name=News&file=article&sid=14710