SICK Product Security Incident Response Team (SICK PSIRT)

SICK Security Advisories

Für Produkte und Dienste der SICK AG gelten höchste Qualitätsanforderungen. Bereits während der Entwicklung wird deshalb auch die Cybersecurity berücksichtigt und geprüft. Damit diese über die gesamte Lebensdauer der Produkte und Dienste hinweg gegeben ist, werden Meldungen zu möglichen Schwachstellen sehr ernst genommen und ein verantwortungsvoller Umgang damit gepflegt. Das Aufdecken von Schwachstellen wird als ein gemeinsames Bestreben verschiedenster Parteien verstanden, mit dem Ziel unseren Kunden durchgängig ein hohes Sicherheitsniveau zu bieten.

Das SICK Product Security Incident Response Team (SICK PSIRT)

Das SICK PSIRT ist das zentrale Team der SICK AG, das berechtigt ist, Meldungen zur Cybersecurity von Produkten, Lösungen und Diensten zu beantworten und Informationen bereitzustellen. Alle Meldungen zu potenziellen Schwachstellen oder anderen Sicherheitsvorfällen im Zusammenhang mit Produkten der SICK AG können an das SICK PSIRT übermittelt werden.

Das SICK PSIRT steuert die Untersuchung, interne Koordination und Offenlegung von Sicherheitsschwachstellen. Für bestätigte Schwachstellen wird ein Sicherheitshinweis veröffentlicht, sobald eine Lösung verfügbar ist. Wenn es die Situation erforderlich macht, wird bereits vor der Verfügbarkeit eines Updates ein Sicherheitshinweis mit zu ergreifenden Maßnahmen herausgegeben.

Meldungen zu potenziellen Schwachstellen oder anderen Vorfällen sind ausdrücklich von jedem willkommen – unabhängig von einem etwaigen Kundenstatus. Die SICK AG respektiert und berücksichtigt die verschiedenen Interessen eines Berichterstatters und ermutigt zur Meldung von Informationen an das SICK PSIRT. Es wird dabei dem Prozess einer koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure) gefolgt.

Der Umgang mit Schwachstellen wird im Dokument „Vulnerability Handling Guideline“ beschrieben.

Melden einer Schwachstelle

Das SICK PSIRT hat die Absicht, zusammen mit den jeweiligen Berichterstattern jede Schwachstellenmeldung vertrauensvoll und professionell zu bearbeiten. Für eine Zusammenarbeit ist weder eine Geheimhaltungsvereinbarung (NDA) noch ein anderer Vertrag notwendig oder Voraussetzung.

Koordinierte Schwachstellenmeldungen von allen Mitgliedern der Sicherheitsgemeinde werden sehr begrüßt und geschätzt. Dazu zählen Sicherheitsforscher, Hochschulen, CERTs, Geschäftspartner, Behörden, Industrieverbände und Lieferanten.

Viele Produkte der SICK AG erfüllen wichtige Schutzfunktionen und werden in kritischen Infrastrukturen eingesetzt. Die SICK AG bittet daher um die Zusammenarbeit im Rahmen einer koordinierten Offenlegung von Schwachstellen und gleichzeitig darum, von einer vorzeitigen Veröffentlichung von Schwachstelleninformationen abzusehen.

Es wird gebeten, so viele Informationen wie möglich in einer Meldung aufzuführen, um die Bearbeitung zu beschleunigen. Diese Informationen sollten Folgendes umfassen:

  • Kontaktinformationen und Erreichbarkeit
  • Betroffenes Produkt inklusive Modell- und Versionsnummern
  • Klassifizierung der Schwachstelle (Buffer-Overflow, XSS, …)
  • Detaillierte Beschreibung der Schwachstelle (wenn möglich, mit einem Nachweis)
  • Auswirkung der Schwachstelle (falls bekannt)
  • Aktueller Bekanntheitsgrad der Schwachstelle (Gibt es konkrete Veröffentlichungspläne?)
  • (Firmen-)Zugehörigkeit des Berichterstatters (falls Auskunftsbereitschaft vorliegt)
  • CVSS-Score (falls bekannt)

Falls für die Untersuchung einer Schwachstelle weitere Informationen nötig sind, kontaktiert das SICK PSIRT den Berichterstatter.

Auf Wunsch des Entdeckers wird dieser nach Offenlegung einer neuen Schwachstelle öffentlich gewürdigt.

Kontaktinformationen

Meldungen an das SICK PSIRT sind an diese Adresse zu richten:

  • psirt@sick.de (PGP Public Key mit Fingerprint: CDD1 CF41 EC1D 6F9A 415B DB5C 034F 17E6 1BA3 842D)
  • Mögliche Sprachen: Deutsch und Englisch
  • Übermittlung: bevorzugt verschlüsselt

Zum Schutz sensibler Informationen und Daten werden verschlüsselte Meldungen bevorzugt. Akzeptiert werden die Sprachen Deutsch und Englisch. 

Das SICK PSIRT gibt gerne weitere Auskunft über seine Arbeitsweise oder zu allgemeinen Fragen in Bezug auf Schwachstellenmeldungen. Für alle anderen Anliegen ohne Sicherheitsbezug wird gebeten, den Kundendienst der SICK AG zu kontaktieren. Zu diesen Anfragen kann vom SICK PSIRT keine Auskunft gegeben werden.

Security Advisories

  • 2024
    ID Title CVSS Score Products Date Download  Signature
    SCA-2024-0001 Vulnerability in SICK Logistics Analytics Products and SICK Field Analytics 9.8 SICK Baggage Analytics 4.5, SICK Field Analytics 1.2, SICK Logistics Diagnostic Analytics 4.5, SICK Package Analytics 4.5, SICK Tire Analytics 4.5 29.01.2024 Download PDF Download JSON Download

     

  • 2023
    ID Title CVSS Score Products Date Download  Signature
    SCA-2023-0001 Bootloader mode vulnerability in Flexi Soft Gateways v3 9.1 SICK FX0-GENT00000 v3, SICK FX0-GENT00010 v3, SICK FX0-GPNT00000 v3, SICK FX0-GPNT00010 v3 20.02.2022 Download PDF Download JSON Download
    SCA-2023-002 Use of Telnet in multiple SICK Flexi Soft and Flexi Classic Gateways 9.8 SICK FX0-GENT000, SICK FX0-GENT0003000, SICK FX0-GMOD00000, SICK FX0-GMOD00010, SICK FX0-GPNT00000, SICK FX0-GPNT00030, SICK UE410-EN1, SICK UE410-EN3, SICK UE410-EN3S04, SICK UE410-EN4 11.04.2023 Download PDF Download JSON Download
    SCA-2023-0003 Vulnerability in SICK Flexi Soft and Flexi Classic Gateways 7.5 SICK FX0-GENT00000, SICK FX0-GENT00010, SICK FX0-GENT00030, SICK FX0-GMOD00000, SICK FX0-GMOD00010, SICK FX0-GPNT00000, SICK FX0-GPNT00010, SICK FX0-GPNT00030, SICK UE410-EN1 FLEXI, SICK UE410-EN3 FLEXI, SICK UE410-EN4 FLEXI 04.05.2023 Download PDF
    Download JSON
    Download
    SCA-2023-0004 Vulnerabilities in SICK FTMg 7.5 SICK FTMG-ESD15AXX, SICK FTMG-ESD20AXX, SICK FTMG-ESD25AXX, SICK FTMG-ESN40SXX, SICK FTMG-ESN50SXX, SICK FTMG-ESR40SXX, SICK FTMG-ESR50SXX 12.05.2023 Download PDF
    Download JSON
    Download
    SCA-2023-0005 Vulnerabilities in SICK EventCam App 9.8 SICK EventCam App 19.06.2023 Download PDF
    Download JSON
    Download
    SCA-2023-0006 Vulnerabilities in SICK ICR890-4 8.6 SICK ICR890-4 10.07.2023 Download PDF
    Download JSON
    Download
    SCA-2023-0007 Vulnerabilities in SICK LMS5xx 9.8 SICK LMS5xx 25.08.2023 Download PDF
    Download JSON
    Download
    SCA-2023-0008 Vulnerability in SICK SIM1012 9.8 SICK SIM1012 29.09.2023 Download PDF
    Download JSON
    Download
    SCA-2023-0009 Vulnerability in Wibu-Systems CodeMeter Runtime affects multiple SICK products 9.0 SICK AppEngine x86, SICK CODE-LOC, SICK FlowGate, SICK LiDAR-LOC, SICK SIM2000ST-E, SICK TDC-E 29.09.2023 Download PDF
    Download JSON
    Download
    SCA-2023-0010 Vulnerabilities in SICK Application Processing Unit 8.2 SICK APU0200 09.10.2023 Download PDF
    Download JSON
    Download
    SCA-2023-0011 Vulnerability in multiple SICK Flexi Soft Gateways 8.8 SICK FX0-GENT00000, SICK FX0-GENT00010, SICK FX0-GENT00030, SICK FX0-GETC00000, SICK FX0-GETC00010, SICK FX0-GMOD00000, SICK FX0-GMOD00010, SICK FX0-GMOD00030, SICK FX0-GPNT00000, SICK FX0-GPNT00010, SICK FX0-GPNT00030, SICK FX3-GEPR00000, SICK FX3-GEPR00010 23.10.2023 Download PDF
    Download JSON
    Download

     

  • 2022
    ID Title CVSS Score Products Date Download  Signature
    SCA-2022-0001 Vulnerability in SICK FieldEcho 9.1 SICK FieldEcho 17.02.2022 Download PDF Download JSON Download
    SCA-2022-0002 PwnKit vulnerability affects multiple SICK IPCs 7.8 Multiple SICK IPCs 23.02.2022 Download PDF Download JSON
    SCA-2022-0003 Vulnerabilities in SICK FTMg 5.8 SICK FTMg 31.03.2022 Download
    SCA-2022-0004    Microsoft vulnerability affects multiple SICK IPCs with SICK MEAC 4.8 SICK MEAC 11.04.2022 Download PDF Download JSON Download
    SCA-2022-0005 Vulnerability in SICK Overall Equipment Effectiveness 8.4 SICK Overall Equipment Effectiveness 11.04.2022 Download PDF Download JSON Download
    SCA-2022-0006 Vulnerability in SICK MSC800 5.4 SICK MSC800 11.04.2022 Download PDF Download JSON Download
    SCA-2022-007 Vulnerabilities in SICK MARSIC300 9.8 SICK MARSIC300 21.04.2022 Download PDF Download JSON Download
    SCA-2022-0008 Vulnerability in SICK Gateways for Flexi Soft, Flexi Compact, SICK EFI Gateway UE4740, SICK microScan3 and outdoorScan3 6.5 Flexi Soft, Flexi Compact and SICK EFI Gateway UE4740X0-GPNT, microScan3, outdoorScan3 29.04.2022 Download PDF Download JSON Download
    SCA-2022-0009 Vulnerability in SICK Flexi Soft PROFINET IO Gateway FX0-GPNT and SICK microScan3 PROFINET 7.5 FX0-GPNT, microScan3  PROFINET 29.04.2022 Download PDF Download JSON Download
    SCA-2022-0010 Vulnerability in SICK Flexi Soft Designer & Safety Designer 8.6 SICK Flexi Soft Designer SICK Safety Designer 16.05.2022 Download PDF Download JSON Download
    SCA-2022-0011 Vulnerabilities in SICK Package Analytics 9.8 SICK Package Analytics 08.06.2022 Download PDF Download JSON Download 
    SCA-2022-0012 OpenSSL vulnerability affects multiple SICK SIMs 7.5 SICK SIM4000, SICK SIM2000ST, SICK SIM2x00, SICK SIM2000-2 P Track &Trace, SICK SIM2000ST Track &Trace (2086501), SICK SIM2000ST Track &Trace (2086502), SICK SIM2000ST-E, SICK SIM1012, SICK SIM1004, SICK SIM1000 FX 08.08.2022 Download PDF Download JSON Download 
    SCA-2022-0013 Password recovery vulnerability affects multiple SICK SIMs 9.8 SICK SIM4000 (PPC),
    SICK SIM2000ST (LFT),
    SICK SIM2000ST (PPC),
    SICK SIM2x00 (ARM),
    SICK SIM1012,
    SICK SIM1004,
    SICK SIM1000 FX
    15.12.2022 Download PDF Download JSON Download 
    SCA-2022-0014 SICK FlexiCompact affected by Denial of Service vulnerability 5.9 SICK FlexiCompact 31.10.2022 Download PDF Download JSON Download 
    SCA-2022-0015 Use of a Broken or Risky Cryptographic Algorithm in SICK RFU6xx RADIOFREQUEN. SENSOR 4.2
    SICK AG RFU61x, 
    SICK AG RFU62x, 
    SICK AG RFU63x, 
    SICK AG RFU65x
    12.12.2022 Download PDF Download JSON Download 

     

  • 2021
    ID Title CVSS Score Products Date Download  Signature
    SCA-2021-0001 Inadequate SSH configuration in Visionary-S CX 3.7 SICK Visionary-S CX 25.06.2021 Download PDF Download JSON Download
    SCA-2021-0002 MEAC AFFECTED BY WINDOWS SMBv1 VULNERABILITY 8.1 MEAC2012    MEAC300 09.08.2021 Download PDF Download JSON Download
    SCA-2021-0003 SICK Security Advisory for Apache Log4j (CVE-2021-44228) 10.0 SICK FieldEcho Dashboard
    SICK AppManager
    SICK Function Block Factory
    14.12.2021 Download PDF Download JSON Download
    SCA-2021-0004 Vulnerabilities in SICK SOPAS ET 8.6 SICK SOPAS ET 17.12.2021 Download PDF Download JSON Download

     

  • 2020
    ID Title CVSS Score Products Date Download  Signature
    SCA-2020-0001 Security information regarding "Profile Programming" - CLV62x ... CLV65x 31.05.2020 Download PDFDownload JSON Download
    SCA-2020-0002 Vulnerabilities in SICK Package Analytics 9.1 SICK Package Analytics 28.07.2020 Download PDFDownload JSON Download
    SCA-2020-0003 MEAC AFFECTED BY WINDOWS SMB3 VULNERABILITY 10.0 SICK MEAC2020 & MEAC300 07.08.2020 Download PDFDownload JSON Download
    SCA-2020-0004 Vulnerability in platform mechanism AutoIP 7.5 Bulkscan LMS111 Bulkscan LMS511 CLV62x – CLV65x ICR890-3 LMS10x, LMS11x, LMS15x LMS12x, LMS13x, LMS14x LMS5xx, LMS53x MSC800 RFH 31.08.2020 Download PDFDownload JSON Download
    SCA-2020-0005 Package Analytics affected by Windows TCP/IP vulnerability 8.8 Package Analytics versions 4.0 <= 4.1.2 29.10.2020 Download PDFDownload JSON Download

     

  • 2019
    ID Title CVSS Score Products Date Download  Signature
    SCA-2019-0001 Use of hard-coded credentials in MSC800 9.8 MSC800 all versions 24.06.2019 Download PDFDownload JSON Download
    SCA-2019-0002 Vulnerability in FX0-GENT00000 and FX0-GPNT00000 7.5 FX0-GPNT00000 (1044074) FX0-GENT00000 (1044072) 20.09.2019 Download PDFDownload JSON Download

     

Historie

22.09.2023 - Aktualisierung des PGP Public Key. Der vorherige Schlüssel kann hier geladen werden.

08.09.2022 - Aktualisierung des PGP Public Key. Der vorherige Schlüssel kann hier geladen werden.

21.09.2021 - Aktualisierung des PGP Public Key. Der vorherige Schlüssel kann hier geladen werden. 

24.09.2020 - Aktualisierung des PGP Public Key. Der vorherige Schlüssel kann hier geladen werden.

18.10.2019 - Aktualisierung des PGP Public Key. Der vorherige Schlüssel kann hier geladen werden.

10.12.2018 - Einführung des SICK PSIRT

Kontakt

SICK PSIRT – Ansprechpartner zur Cybersecurity von SICK-Produkten

psirt@sick.de

 

Meldungen sind in Deutsch oder Englisch möglich.

Security Advisories

SICK Security Advisories

Wenn Sie RSS bevorzugen, um auf dem Laufenden zu bleiben, abonnieren Sie unseren Feed:

All SICK Security Advisories

Dokumente

PGP Public Key mit Fingerprint: CDD1 CF41 EC1D 6F9A 415B DB5C 034F 17E6 1BA3 842D

Vulnerability Handling Guideline

Anerkennungen

Acknowledgments

Weitere Informationen

BSI

ICS-Cert

ISA

IEC