Angriffe auf industrielle Kontrollsysteme

Die US-Behörde für Cybersicherheit und Infrastruktur (CISA) hat Unternehmen gewarnt, kürzlich aufgedeckte Schwachstellen zu überprüfen, die Geräte der Betriebstechnik betreffen, die vom Internet isoliert sein sollten, es aber nicht immer sind.

Die CISA hat fünf Empfehlungen veröffentlicht, die sich auf mehrere Schwachstellen in industriellen Steuerungssystemen beziehen, die von Forschern des Unternehmens Forescout entdeckt wurden.

Forescout hat diese Woche seinen Bericht „OT:ICEFALL“ veröffentlicht, der eine Reihe allgemeiner Sicherheitsprobleme in der Software von Geräten der Betriebstechnik (OT) behandelt. Die entdeckten Bugs betreffen Geräte von Honeywell, Motorola, Siemens und anderen.

Operational Technology (OT) ist eine Untergruppe des Internet der Dinge (IoT). OT umfasst industrielle Kontrollsysteme (ICS), die mit dem Internet verbunden sein können, während die breitere IoT-Kategorie Verbrauchergeräte wie Fernseher, Türklingeln und Router umfasst.

Forescout hat die 56 Schwachstellen in einem einzigen Bericht zusammengefasst, um diese gemeinsamen Probleme hervorzuheben.

Die CISA hat fünf entsprechende Hinweise zu industriellen Steuerungssystemen (Industrial Controls Systems Advisories, ICSA) veröffentlicht, in denen sie auf die gemeldeten Schwachstellen hinweist und grundlegende Abhilfemaßnahmen zur Verringerung der Risiken für diese und andere Cybersecurity-Angriffe nennt.

Die Advisories enthalten Details zu kritischen Schwachstellen in der Software des japanischen Unternehmens JTEKT, drei Schwachstellen in Geräten des US-Herstellers Phoenix Contact und eine Schwachstelle in Produkten des deutschen Unternehmens Siemens. Das ICSA-22-172-02 Advisory für JTEKT TOYOPUC beschreibt fehlende Authentifizierungs- und Privilegienerweiterungsschwachstellen. Diese haben einen Schweregrad von 7,2 von 10.

Schwachstellen, die Phoenix-Geräte betreffen, werden in den Advisories ICSA-22-172-03 für Phoenix Contact Classic Line Controller, ICSA-22-172-04 für Phoenix Contact ProConOS und MULTIPROG und ICSA-22-172-05 für Phoenix Contact Classic Line Industrial Controller beschrieben.

Die Siemens-Software mit kritischen Schwachstellen ist im Advisory ICSA-22-172-06 für Siemens WinCC OA aufgeführt. Es handelt sich um einen aus der Ferne ausnutzbaren Fehler mit einem Schweregrad von 9,8 von 10.

„Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte es einem Angreifer ermöglichen, sich als ein anderer Benutzer auszugeben oder das Client-Server-Protokoll auszunutzen, ohne authentifiziert zu sein“, so die CISA.

OT-Geräte sollten in einem Netzwerk mit einem Air-Gap versehen sein, sind es aber oft nicht, was raffinierten Cyber-Angreifern ein breiteres Feld für ihr Eindringen eröffnet.

Die 56 von Forescount identifizierten Schwachstellen lassen sich in vier Hauptkategorien einteilen: unsichere technische Protokolle, schwache Kryptografie oder fehlerhafte Authentifizierungsverfahren, unsichere Firmware-Updates und Remote-Code-Ausführung über native Funktionen.

Das Unternehmen veröffentlichte die Schwachstellen (CVEs) als Sammlung, um zu verdeutlichen, dass Schwachstellen bei der Bereitstellung von Hardware für kritische Infrastrukturen ein weit verbreitetes Problem sind.

„Mit OT:ICEFALL wollten wir einen quantitativen Überblick über die Schwachstellen in kritischen Infrastrukturen geben, anstatt uns auf die regelmäßig wiederkehrenden CVEs für ein einzelnes Produkt oder eine kleine Anzahl öffentlicher, realer Vorfälle zu verlassen, die oft als Fehler eines bestimmten Herstellers oder Anlagenbesitzers abgetan werden“, so Forescout.

„Das Ziel ist es, aufzuzeigen, wie die undurchsichtige und proprietäre Natur dieser Systeme, das suboptimale Schwachstellenmanagement in ihrem Umfeld und das oft falsche Sicherheitsgefühl, das durch Zertifizierungen vermittelt wird, die Bemühungen im OT-Risikomanagement erheblich erschweren“, so das Unternehmen.

Wie Forescout einem Blogpost ausführt, gibt es einige häufige Fehler, die Entwickler beachten sollten:

Konstruktionsbedingte Sicherheitslücken sind weit verbreitet: Mehr als ein Drittel der gefundenen Schwachstellen (38 %) ermöglichen die Kompromittierung von Anmeldeinformationen, an zweiter Stelle steht die Manipulation von Firmware (21 %) und an dritter Stelle die Remotecodeausführung (14 %).

Die anfälligen Produkte sind häufig zertifiziert: 74 % der betroffenen Produktfamilien sind in irgendeiner Form sicherheitszertifiziert, und die meisten Schwachstellen, vor denen die Studie warnt, dürften bei einer eingehenden Untersuchung der Schwachstellen relativ schnell entdeckt werden. Zu den Faktoren, die zu diesem Problem beitrugen, gehörten ein begrenzter Spielraum für Evaluierungen, undurchsichtige Sicherheitsdefinitionen und eine Konzentration auf Funktionstests.

Das Risikomanagement wird durch das Fehlen von CVEs erschwert: Es reicht nicht aus, zu wissen, dass ein Gerät oder Protokoll unsicher ist. Um fundierte Risikomanagement-Entscheidungen treffen zu können, müssen die Anlagenbesitzer wissen, wie diese Komponenten unsicher sind. Probleme, die das Ergebnis von „Insecure by Design“ sind, wurden nicht immer mit CVEs versehen, so dass sie oft weniger sichtbar und umsetzbar sind, als sie es sein sollten.

Es gibt unsicher konzipierte Komponenten der Lieferkette: Schwachstellen in Komponenten der OT-Lieferkette werden in der Regel nicht von jedem betroffenen Hersteller gemeldet, was zu den Schwierigkeiten des Risikomanagements beiträgt.

Nicht alle unsicheren Konstruktionen sind gleich: Keines der analysierten Systeme unterstützt das Signieren von Logik und die meisten (52 %) kompilieren ihre Logik in nativen Maschinencode. 62 % dieser Systeme akzeptieren Firmware-Downloads über Ethernet, aber nur 51 % verfügen über eine Authentifizierung für diese Funktion.

Offensivfähigkeiten sind leichter zu entwickeln, als oft angenommen wird: Das Reverse-Engineering eines einzelnen proprietären Protokolls dauerte zwischen einem Tag und zwei Wochen, während es bei komplexen Systemen mit mehreren Protokollen fünf bis sechs Monate dauerte, bis dasselbe erreicht war.

ZDNet.de Redaktion

Recent Posts

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

16 Stunden ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

20 Stunden ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

23 Stunden ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Tagen ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

3 Tagen ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

3 Tagen ago