secuvera-SA-2016-01: Mehrere Authentisierungsschwachstellen in Arvato Systems Streamworks
…oder: Die Anfänge von „Rise of the Machines“ Im Mai des Jahres 2016 (!) durfte ich bei einem unserer Kunden eine Lösung zur Automatisierung von Prozessabläufen über Systemgrenzen hinweg im Rahmen eines Penetrationstests prüfen. Dort sind mir dann mehrere Schwachstellen (siehe Advisory) aufgefallen, mit denen ich schlussendlich in die gesteuerten Systemabläufe eingreifen und eigenen Code ausführen konnte. Das war die […]
weiterlesen …
Sicherheitsanalyse von industriellen Kommunikationsprotokollen
Im Rahmen seiner Bachelorarbeit an der Hochschule Esslingen untersuchte Ruben Konrad betreut durch secuvera das Industrieprotokoll Sercos III. Anhand von Analysen der Sercos III-Spezifikation wurden dabei potentielle Schwachstellen identifiziert. Die potentiellen Schwachstellen betreffen alle die Nicht-Echtzeitprotokolle des Protokolls. Es wurden weitere produktspezifische Schwachstellen durch Analysen und Tests an den einzelnen Slaves gefunden und verifiziert. Insgesamt wurden fünf Schwachstellen identifiziert. Der […]
weiterlesen …