Salta al contenuto
News

Kritische Schwachstelle im B&R PPT30 OS: DoS-Risiko für kritische Infrastrukturen

Kritische Schwachstelle im B&R PPT30 OS: DoS-Risiko für kritische Infrastrukturen
Quelle CISA ↗

CISA hat eine Warnung bezüglich einer erheblichen Schwachstelle im Betriebssystem B&R PPT30 Operating System herausgegeben. Diese Schwachstelle, identifiziert als CVE-2025-11482, betrifft speziell Betriebssystemversionen unter 1.8.0 und die Version 1.8.0 selbst. Sie wurde mit einem CVSS v3-Score von 7.5 klassifiziert, was auf eine hohe Schwere hindeutet, und der Hersteller, B&R Industrial Automation GmbH, hat erklärt, sich dieser Problematik bewusst zu sein.

Die Schwachstelle wird als „Allocation of Resources Without Limits or Throttling“ katalogisiert, was bedeutet, dass ein Angreifer bei erfolgreicher Ausnutzung den OPC-UA-Server des Produkts unzugänglich machen und somit einen Denial-of-Service (DoS)-Angriff verursachen könnte. Das B&R PPT30 Operating System wird weltweit in kritischen Infrastruktursektoren wie Geschäftseinrichtungen, kritischer Fertigung, Energie, Transportsystemen sowie Wasser und Abwasser weit verbreitet eingesetzt. Der Hauptsitz der B&R Industrial Automation GmbH befindet sich in der Schweiz.

Für Organisationen, die Daten und Infrastrukturen verwalten, ist diese Schwachstelle von größter Bedeutung. Obwohl der bereitgestellte Text keinen expliziten Bezug zu Verletzungen personenbezogener Daten nimmt, kann die Nichtverfügbarkeit von Betriebssystemen und OPC-UA-Servern direkte Auswirkungen auf die Betriebsfortführung und die Verfügbarkeit wesentlicher Dienste haben, mit einem indirekten Einfluss auf die Datenverwaltung und -integrität. Die Compliance-Auswirkungen sind erheblich, insbesondere für Entitäten, die in den Anwendungsbereich von Vorschriften wie der NIS2 fallen. Letztere, obwohl im Text nicht direkt erwähnt, stellt strenge Anforderungen an die Sicherheit von Netz- und Informationssystemen für die hier aufgeführten kritischen Infrastruktursektoren. Die Unfähigkeit, die Verfügbarkeit der Systeme zu gewährleisten, könnte die Datenverarbeitung, die Reaktion auf Vorfälle oder die Aufrechterhaltung der vereinbarten Dienstleistungsniveaus behindern und Organisationen operativen Risiken und regulatorischen Sanktionen aussetzen.

Angesichts des oben Dargelegten ist dringend ratsam, dass Organisationen, die das B&R PPT30 Operating System in den anfälligen Versionen verwenden, ihre Exposition sofort identifizieren und die potenziellen Auswirkungen bewerten. Es ist von entscheidender Bedeutung, die offiziellen Kommunikationskanäle der B&R Industrial Automation GmbH auf die Veröffentlichung von Patches, Updates oder Minderungshinweisen sorgfältig zu überwachen. Angesichts der Art der Schwachstelle und des Risikos einer Unterbrechung kritischer Dienste wird empfohlen, Notfallpläne zu erstellen und die Implementierung temporärer Maßnahmen zur Sicherstellung der Verfügbarkeit des OPC-UA-Servers zu bewerten, wobei ein strenges Patch- und Schwachstellenmanagement im gesamten Umfeld der industriellen Steuerungssysteme (ICS/OT) gewährleistet sein sollte.

Zum Originalartikel auf CISA ↗

Lesen Sie auch