Kritische Sicherheitslücke in egOS
- Warnmeldung
Die CSBW warnt vor einer kritischen Schwachstelle in der Software egOS der Firma Welotec GmbH. Welotec stellt abgesicherte Versionen zur Verfügung.
© Adobe Stock
Updates beheben die Lücke
Das CERT des VDE veröffentlichte am 25. August 2025 eine Warnmeldung zur kritischen Sicherheitslücke CVE-2025-41702 (EUVD-2025-25832) im IoT-Betriebssystem egOS von Welotec. CVE-2025-41702 hat einen CVSS-Base-Score von 9.8/10 und ermöglicht Angreifenden, mit einem fest codierten kryptografischen Schlüssel (JWT) Authentifizierungsmechanismen zu umgehen und so Systeme vollständig zu übernehmen.
Von der Schwachstelle betroffen sind alle egOS-Versionen vor v1.7.7 und v1.8.2. Mit v1.7.7 und v1.8.2 stellt Welotec Patches bereit, die die Lücke schließen.
egOS ist ein Betriebssystem für kritische Komponenten der Branchen Energie und Produktion.
Empfehlungen
- Installieren Sie umgehend und je nach Konfiguration die egOS-Version v1.7.7 oder v1.8.2.
- Wenn Sie eine der gepatchten Versionen nicht sofort installieren können, beachten Sie folgende Maßnahmen, bis Ihre egOS-Version aktualisiert ist:
- Deaktivieren Sie die WebGUI von egOS.
- Schränken Sie den Netzwerkzugriff auf vertrauenswürdige Verwaltungsstationen ein