Bosch Rexroth Monitoring Systems GmbH



    English version below


Wichtige Information für BLADEcontrol-Nutzer

Sehr geehrte BLADEcontrol-Kunden,

Wir wurden über eine bestehende Sicherheitslücke auf unseren Web-Servern unterrichtet. Die Lücke ist bei der Überprüfung durch einen unabhängigen Sicherheitsexperten aufgefallen. Betroffen war eine alte Version des WebVIS (v 3.0.2), also der Webseiten für die Kundenansicht von BLADEcontrol Messdaten.

Eine Sicherheitslücke in den auf den Windenergieanlagen verbauten Systemen selbst besteht nicht und hat nicht bestanden. Es wäre insbesondere nicht möglich gewesen, sich unter Ausnutzung der Sicherheitslücke über die Webserver Zugang zu BLADEcontrol-Systemen im Feld zu verschaffen. Ihre Windenergieanlagen waren von der Sicherheitslücke also zu keinem Zeitpunkt betroffen oder gar gefährdet.

Über die Sicherheitslücke bestand jedoch die Möglichkeit, Daten aus den Datenbanken der Webserver zu löschen und/oder zu manipulieren sowie Nutzer-Zugangsdaten auszulesen.

Unsere Analyse hat ergeben, dass es einen Fall gegeben hat, in dem es dem Angreifer gelungen ist, Zugangsdaten in Form von Benutzernamen und verschlüsselten Passwörtern zu erlangen. Wir haben auf die Bedrohung mit der Abschaltung der gefährdeten Server reagiert. Die betroffenen Accounts wurden gesperrt. Weitere Analysen haben ergeben, dass die ausgespähten Nutzerdaten bis zur Abschaltung der Seiten nicht verwendet wurden. Weitere unautorisierte Zugriffe wurden nicht verzeichnet.

Bitte nutzen Sie zukünftig ausschließlich die neue Visualisierung auf der Zugangsseite https://webvis.bladecontrol.de. Bei dem unter dieser Adresse zugänglichen neuen WebVIS (v 5.4) bestehen die genannten Sicherheitsprobleme nicht. Für die Seite benötigen Sie neue Zugangsdaten. Bitte wenden Sie sich unter Angaben Ihres bisherigen Nutzernamens (*nicht* des Passwortes!) per E-Mail an monitoring.systems@boschrexroth.de.

Für die entstehenden Unannehmlichkeiten bitten wir um Entschuldigung. Für Rückfragen stehen wir Ihnen gern unter der oben angegebenen Mailadresse zur Verfügung.


Important information for BLADEcontrol users

Dear BLADEcontrol customers.

We have been informed about a security vulnerability on our web servers. The flaw was found during a review by an independent security expert. It affects an older version of the WebVIS (v 3.0.2), i. e. the web pages for the customer views of the BLADEcontrol measurement data.

A security vulnerability of the BLADEcontrol systems installed in wind turbine generators (WTG) itself did not exist and does not exist. At no time, it was possible to connect to the measurement systems using the flaw on the web servers. Your WTG was not affected by the security flaw, let alone endangered at any time.

The security vulnerability made it possible to manipulate and/or delete data from the web server’s databases and to read user account data.

Our analysis shows that there has been a single case where an offender succeeded in obtaining user account data in the form of user names and encrypted passwords. We reacted with a shutdown of the vulnerable servers. Affected accounts were blocked. Further analysis has verified that the obtained account information has not been used before the shutdown of the corresponding site. No further unauthorized access was recorded.

We kindly ask to use only the new visualisation in the future that can be accessed via https://webvis.bladecontrol.de. The new WebVIS (v 5.4) accessible there is not affected by the security vulnerability. You will need a new user account to access the site. Please contact us via e-mail (monitoring.systems@boschrexroth.de) for your new login data. Please state your previous login name (*not* the password!) in your e-mail.

We apologize for any inconvenience caused. We are at your disposal for further inquiries at the abovementioned e-mail address.


Please visit our BLADEcontrol® product pages within the Bosch Rexroth website:
www.boschrexroth.com