Der Industautomatisierungsriese **B&R** hat eine Warnung bezüglich einer kritischen Schwachstelle in seinem **PPT30 Betriebssystem** herausgegeben, die speziell den **OPC-UA-Server** betrifft. Der Fehler, der unter **CVE-2025-11482** verfolgt wird, ist ein 'Allocation of Resources Without Limits or Throttling' (CWE-770) Problem, das zu einem permanenten Denial of Service führen kann. ### Die Schwachstelle: CVE-2025-11482 **CVE-2025-11482** ermöglicht es einem nicht authentifizierten Angreifer über das Netzwerk, den **OPC-UA-Server** von betroffenen **B&R PPT30 Betriebssystem**-Produkten unzugänglich zu machen. Die Schwachstelle beruht auf der unzureichenden Ressourcenverwaltung des Servers, die es einem Angreifer ermöglicht, diese durch das Senden spezifischer bösartiger Nachrichten zu erschöpfen. Dies verhindert, dass legitime Benutzer mit dem Dienst interagieren können, was kritische operative Fähigkeiten effektiv lahmlegt. ### Betroffene Systeme und breitere Auswirkungen Die Schwachstelle betrifft insbesondere **B&R PPT30 Betriebssystem**-Versionen vor 1.8.0, einschließlich der Version 1.8.0 selbst. Das **PPT30 Betriebssystem** dient als Firmware für **B&R PPT30 Hardwareprodukte**, die weltweit in wichtigen Sektoren eingesetzt werden. Dazu gehören: * Gewerbliche Einrichtungen * Kritische Fertigung * Energie * Transportsysteme * Wasser und Abwasser Die weit verbreitete Nutzung in diesen kritischen Infrastrukturbereichen bedeutet, dass eine erfolgreiche Ausnutzung schwerwiegende Folgen haben und wesentliche Dienste und Abläufe stören könnte. ### Ausnutzungsszenario Ein Angreifer könnte **CVE-2025-11482** ausnutzen, indem er Netzwerkzugriff auf einen betroffenen Systemknoten erhält. Dies könnte entweder direkt durch eine falsch konfigurierte oder kompromittierte Firewall geschehen oder durch die Installation von bösartiger Software auf einem Systemknoten oder die Infektion des Netzwerks. Sobald der Netzwerkzugriff hergestellt ist, kann der Angreifer speziell präparierte Nachrichten senden, um die Ressourcenerschöpfung auszulösen und den **OPC-UA-Server** nicht mehr reagieren zu lassen. ### Empfehlungen für robuste Abwehrmaßnahmen **CISA**, das den Schwachstellenbericht von **ABB PSIRT** erhalten hat, betont die Bedeutung der Implementierung robuster Cybersicherheitsstrategien für industrielle Steuerungssysteme (ICS), um solche Risiken zu mindern. IT-Sicherheitsexperten und Organisationen, die **B&R PPT30 Betriebssystem**-Geräte betreiben, sollten die folgenden Abwehrmaßnahmen priorisieren: * **Minimierung der Netzwerkexposition**: Stellen Sie sicher, dass alle Steuerungssystemgeräte und -systeme nicht direkt aus dem Internet zugänglich sind. Beschränken Sie die Netzwerkexposition auf das für den Betrieb absolut notwendige Minimum. * **Netzwerksegmentierung**: Platzieren Sie Steuerungssystemnetzwerke und Fernzugangsgeräte hinter Firewalls und isolieren Sie sie von breiteren Geschäftsnetzwerken. Dies schafft eine "Defense-in-Depth"-Strategie und behindert die laterale Bewegung eines Angreifers. * **Sicherer Fernzugriff**: Wenn Fernzugriff unerlässlich ist, nutzen Sie sichere Methoden wie Virtual Private Networks (VPNs). Stellen Sie vor allem sicher, dass VPNs regelmäßig auf die neuesten Versionen aktualisiert werden, und erkennen Sie an, dass ihre Sicherheit von der Sicherheit der verbundenen Geräte abhängt. * **Physischer Schutz**: Implementieren Sie physische Sicherheitsmaßnahmen für Prozesssteuerungssysteme, um unbefugten direkten Zugriff zu verhindern. * **Auswirkungsanalyse und Risikobewertung**: Führen Sie gründliche Auswirkungsanalysen und Risikobewertungen durch, bevor Sie Abwehrmaßnahmen implementieren, um potenzielle betriebliche Auswirkungen zu verstehen. * **Proaktive Überwachung und Berichterstattung**: Überwachen Sie ICS-Assets kontinuierlich auf verdächtige bösartige Aktivitäten. Organisationen, die solche Vorfälle beobachten, sollten etablierte interne Verfahren befolgen und ihre Erkenntnisse an **CISA** melden, um eine breitere Korrelation und Reaktion zu ermöglichen. **B&R** entdeckte diese Schwachstelle durch eigene Sicherheitsanalysen und hatte zum Zeitpunkt der Veröffentlichung des Advisories keine Berichte über Ausnutzung in freier Wildbahn erhalten. Dennoch sind proaktives Patchen und die Einhaltung empfohlener Sicherheitspraktiken von größter Bedeutung, um kritische Infrastrukturen vor dieser und ähnlichen Bedrohungen zu schützen.