Kritische Sicherheitslücken bedrohen industrielle Steuerungsanlagen
Zwei schwerwiegende Schwachstellen in Red Lion RTUs ermöglichen Angreifern die vollständige Kontrolle über industrielle Systeme. Beide Sicherheitslücken erhalten die höchstmögliche Risikobewertung.
Sicherheitsforscher von Claroty Team 82 haben zwei kritische Schwachstellen in Red Lion Sixnet Remote Terminal Units (RTUs) aufgedeckt, die Angreifern umfassende Kontrolle über industrielle Steuerungssysteme verschaffen könnten. Die als CVE-2023-40151 und CVE-2023-42770 katalogisierten Sicherheitslücken erhalten beide die maximale Bewertung von 10.0 Punkten im CVSS-System.
Laut den Claroty-Forschern betreffen die Schwachstellen Red Lion SixTRAK und VersaTRAK RTUs und ermöglichen es nicht authentifizierten Angreifern, Befehle mit Root-Privilegien auszuführen. Diese industriellen Geräte kommen hauptsächlich in Energie-, Wasser- und Abwasseraufbereitungsanlagen, im Transportwesen sowie in Versorgungsunternehmen und der Fertigung zum Einsatz. Die betroffenen RTUs werden über ein Windows-Programm namens Sixnet IO Tool Kit konfiguriert, das ein proprietäres Sixnet „Universal“ Protokoll verwendet. Dieses System unterstützt Dateiverwaltung, Stationsinformationen und Kernel-Versionsabfragen über das UDP-Protokoll.
Gefährliche Kombination zweier Schwachstellen
Die erste Sicherheitslücke CVE-2023-42770 stellt eine Authentifizierungsumgehung dar. Laut Claroty entsteht das Problem dadurch, dass die Sixnet RTU-Software auf demselben Port (Nummer 1594) sowohl UDP- als auch TCP-Verbindungen abhört. Während das System über UDP eine Authentifizierungsabfrage stellt, akzeptiert es eingehende TCP-Nachrichten ohne jegliche Authentifizierung.
Die zweite Schwachstelle CVE-2023-40151 ermöglicht Remote Code Execution. Sie nutzt die eingebaute Unterstützung des Sixnet Universal Drivers (UDR) für Linux-Shell-Befehle aus, um beliebigen Code mit Root-Privilegien auszuführen.
Red Lion bestätigte in einem Sicherheitshinweis vom Juni 2025, dass SixTRAK und VersaTRAK Series RTUs mit aktivierten authentifizierten Benutzern jede über TCP/IP empfangene Sixnet UDR-Nachricht ohne Authentifizierungsabfrage akzeptieren. Wenn die Benutzerauthentifizierung nicht aktiviert ist, kann die Shell Befehle mit höchsten Privilegien ausführen.
Angreifer können beide Schwachstellen miteinander verketten, um Authentifizierungsschutzmaßnahmen zu umgehen und Remote Code Execution zu erreichen. Die Claroty-Forscher warnen, dass Angreifer mit Zugang zu den Geräten und der Fähigkeit, Root-Befehle auszuführen, erhebliche Möglichkeiten für Prozessstörungen oder Schäden haben.
Betroffene Systeme und Schutzmaßnahmen
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) veröffentlichte bereits im November 2023 eine Warnung zu den Schwachstellen. Laut CISA sind folgende Produkte betroffen: ST-IPm-8460 mit Firmware 6.0.202 und später, ST-IPm-6350 mit Firmware-Version 4.9.114 und später, sowie die VersaTRAK-Modelle VT-mIPm-135-D, VT-mIPm-245-D, VT-IPm2m-213-D und VT-IPm2m-113-D, alle mit Firmware-Version 4.9.114 und später.
Red Lion und die Sicherheitsexperten empfehlen Nutzern dringend, die verfügbaren Patches so schnell wie möglich zu installieren. Zusätzlich sollten Unternehmen die Benutzerauthentifizierung in den Red Lion RTUs aktivieren und den TCP-Zugang zu den betroffenen Geräten blockieren.
Die Schwachstellen unterstreichen die anhaltenden Sicherheitsrisiken in industriellen Steuerungssystemen. Da Red Lions RTUs weit verbreitet in kritischen Infrastrukturen eingesetzt werden, könnten erfolgreiche Angriffe weitreichende Folgen für industrielle Prozesse haben.