Firmware der Geräte aktualisieren
Kaspersky hilft bei der Schließung von Sicherheitslücken in Industrie-Software
Die Kaspersky-Forscher untersuchten ein komplexes, leistungsstarkes Tool zur Entwicklung und Steuerung von SPS-Programmen
Die Forscher des Kaspersky ICS CERT haben mehrere Schwachstellen in einem verbreiteten Framework von CODESYS entdeckt, das für die Entwicklung industrieller Geräte wie speicherprogrammierbarer Steuerungen (SPS) und Mensch-Maschine-Schnittstelle (MMS) verwendet wird; sie werden in fast jeder automatisierten Industrieanlage von der kritischen Infrastruktur bis hin zu Produktionsprozessen eingesetzt. Die entdeckten Sicherheitslücken hätten es einem potenziellen Angreifer ermöglicht, Angriffe sowohl lokal als auch remote durchzuführen. Die Schwachstellen wurden vom Hersteller behoben.
SPS sind Geräte, die Prozesse automatisieren, die bisher manuell oder mit Hilfe komplexer elektromechanischer Geräte durchgeführt wurden. Damit diese korrekt funktionieren, müssen sie entsprechend programmiert werden. Die Programmierung erfolgt über ein spezielles Software-Framework, mit dessen Hilfe Ingenieure Anweisungen für Prozessautomatisierungsprogramme codieren und hochladen können.
Damit wird auch eine Laufzeitumgebung (Runtime Execution Environment) für den SPS-Programmcode zu Verfügung gestellt. Die Software wird in verschiedenen Umgebungen eingesetzt, darunter in der Produktion, für die Energieerzeugung oder in Smart-City-Infrastrukturen.
Die Kaspersky-Forscher untersuchten ein komplexes, leistungsstarkes Tool zur Entwicklung und Steuerung von SPS-Programmen. Sie fanden dabei mehr als ein Dutzend Sicherheitsprobleme im Hauptnetzwerkprotokoll des Frameworks sowie in der Framework-Laufzeit, von denen vier als besonders schwerwiegend eingestuft und mit den Schwachstellen-IDs CVE-2018-10612, CVE-2018-20026, CVE-2019-9013 und CVE-2018-20025 versehen wurden.
Sicherheitslücken ermöglichten eine Vielzahl schädlicher Aktionen
Je nach Sicherheitslücke hätten Angreifer:
>> Netzwerkbefehls- und Telemetriedatenfehler abfangen und fälschen,
>> Kennwörter und andere Authentifizierungsinformationen stehlen und nutzen,
>> schädlichen Code in die Laufzeit einschleusen
>> und die Berechtigungen des Angreifers im System ausweiten sowie andere nicht autorisierte Aktionen durchführen können und so ihre Anwesenheit verschleiern.
Ein Angreifer wäre damit in der Lage gewesen, die Funktionalität der SPS zu beeinträchtigen oder die vollständige Kontrolle über sie zu erlangen, ohne dass dies vom OT (Operation Technology)-Personal hätte entdeckt werden können. Sie hätten den Betrieb beeinträchtigen oder vertrauliche Daten wie geistiges Eigentum und andere sensible Informationen stehlen können, zum Beispiel zu Fabrikationsfähigkeiten der Fabrik oder neue Produkte. Außerdem wären eine Überwachung sowie das Sammeln weiterer sensibler Informationen möglich gewesen.
Nach der Entdeckung hat Kaspersky diese Probleme umgehend dem Hersteller der betroffenen Software gemeldet. Die Schwachstellen sind bereits behoben und für Framework-Nutzer stehen Patches zur Verfügung.
"Die entdeckten Sicherheitslücken boten eine sehr breite Angriffsfläche für potenziell böswilliges Verhalten. Angesichts der Verbreitung der betroffenen Software sind wir dem Anbieter für die schnelle Reaktion und Behebung der Probleme dankbar", sagt Alexander Nochvay, Sicherheitsforscher bei Kaspersky ICS CERT. "Wir hoffen, dass wir durch diese Untersuchungen die Arbeit für Angreifer erheblich erschweren konnten. Viele dieser Sicherheitslücken wären jedoch früher entdeckt worden, wenn die Sicherheitsgemeinschaft schon in früheren Stadien an der Entwicklung von Netzwerkkommunikationsprotokollen beteiligt gewesen
wäre. Wir glauben, dass die Zusammenarbeit mit der Sicherheitsgemeinschaft für Entwickler wichtiger Komponenten für industrielle Systeme einschließlich Hardware und Software eine Notwendigkeit ist. Besonders angesichts der Tatsache, dass die Industrie 4.0, die zum großen Teil auf modernen automatisierten Technologien basiert, vor der Tür steht."
"Die Produktsicherheit ist für die CODESYS Group von größter Bedeutung. Deshalb schätzen wir die umfangreichen Forschungsergebnisse von Kaspersky sie helfen uns, CODESYS noch sicherer zu machen", so Roland Wagner, Head of Product Marketing bei der CODESYS Group. "Seit vielen Jahren schon investieren wir erhebliche technische und administrative Anstrengungen, um die Sicherheitsmerkmale von CODESYS stetig zu verbessern. Alle entdeckten Schwachstellen werden immer sofort untersucht, bewertet, priorisiert und in einem Security Advisory veröffentlicht. Fehlerkorrekturen in Form von Software-Updates werden zeitnah entwickelt und allen CODESYS-Anwendern im CODESYS Store sofort zur Verfügung gestellt."
Kaspersky-Empfehlungen
>> Entwickler, die das Framework verwenden, sollten die aktualisierte Version anfordern und anschließend die Firmware der Geräte aktualisieren, wenn sie mit Hilfe dieses Frameworks erstellt wurden.
>> Im Industrieumfeld tätige Ingenieure sollten die Aktualisierung der Firmware auf den Geräten im Rahmen der Patch-Verwaltungsverfahren ihres Unternehmens in Betracht ziehen, wenn das Gerät mit Hilfe dieses Frameworks erstellt wurde und der Entwickler ein für das Produkt relevantes Update herausgegeben hat.
>> Geräte, auf denen Entwicklungsumgebungen und / oder SCADA (Supervisory Control and Data Acquisition, industrielle Steuerungssysteme) bereitgestellt werden, sollten mit einem entsprechenden Schutz ausgestattet sein.
>> In Industrieumgebungen verwendete Geräte sollten in ein isoliertes, begrenztes Netzwerk eingebunden sein.
>> Bis zur Anwendung von Firmware-Patches sollten Sicherheitsteams, die Industrienetzwerke schützen, die Implementierung spezifischer Maßnahmen in Betracht ziehen, dazu gehören unter anderem Lösungen gegen zielgerichtete Angriffe, Überwachung von Industrienetzwerken, regelmäßige Sicherheitsschulungen für IT- und OT-Mitarbeiter sowie andere Sicherheitsmaßnahmen, die zum Schutz vor komplexen Bedrohungen erforderlich sind.
Die vollständige Untersuchung ist verfügbar unter
(Kaspersky Lab: ra)
https://ics-cert.kaspersky.com/reports/2019/09/18/security-research-codesys-runtime-a-plc-control-framework-part-1/
eingetragen: 23.09.19
Newsletterlauf: 05.11.19
Kaspersky Lab: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.