Kritische Sicherheitslücke kann intelligente Zähler offline schalten

Cyber Security News

Ungepatchte Schneider Electric PowerLogic ION/PM Smart Meter sind offen für gefährliche Angriffe.

Kritische Sicherheitsschwachstellen in Smart Metern von Schneider Electric könnten einem Angreifer einen Weg zur Remote-Code-Ausführung (RCE) oder zum Neustart des Zählers ermöglichen, was zu einem Denial-of-Service-Zustand (DoS) auf dem Gerät führt.

Die Smart-Meter-Produktlinie PowerLogic ION/PM von Schneider Electric wird wie andere Smart-Meter von Verbrauchern in ihren Haushalten verwendet, aber auch von Versorgungsunternehmen, die diese Zähler einsetzen, um ihre Kunden zu überwachen und deren Leistungen in Rechnung zu stellen. Sie werden auch von Industrieunternehmen, Rechenzentren und Unternehmen im Gesundheitswesen eingesetzt.

Diese Woche wurden zwei Sicherheitslücken bekannt, die in zahlreichen Versionen der Produkte vorhanden sind. Laut Claroty, das die Schwachstellen ursprünglich gefunden hat, rühren sie daher, dass die intelligenten Zähler mit einem proprietären ION-Protokoll über den TCP-Port 7700 kommunizieren und die vom Gerät empfangenen Pakete von einer Zustandsmaschinenfunktion geparst werden.

“Wir haben herausgefunden, dass es möglich ist, die [a pre-authentication integer-overflow vulnerability] während des Packet-Parsing-Prozesses durch die Haupt-Zustandsmaschinenfunktion auszulösen, indem man eine manipulierte Anfrage sendet”, so die Forscher in einem Blogeintrag diese Woche. “Dies kann ohne Authentifizierung geschehen, da die Anfrage vollständig geparst wird, bevor sie bearbeitet oder die Authentifizierung überprüft wird.”

Die Funktion, die das eingehende Paket parst, liest die Anzahl der Elemente oder Zeichen in der Zeichenfolge oder dem Array und dem Puffer, der eine feste Größe hat, erklärten die Forscher. Sie entdeckten, dass sie in der Lage waren, die Größe des Puffers mit einem DWORD, das aus der Anfrage gelesen wird, vollständig zu kontrollieren.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/03/12162345/PowerLogic-300x169.jpg]

Die PM5000-Serie von Schneider Electric.

Ein DWORD, kurz für “double word”, ist eine Datentypdefinition ist eine vorzeichenlose, 32-Bit-Dateneinheit, die spezifisch für Microsoft Windows ist. Es kann einen Integer-Wert im Bereich von 0 bis 4.294.967.295 enthalten.

“Wir entdeckten einen Fehler in der Funktion, die für das Vorrücken des Parsing-Puffers verantwortlich ist, wir nannten diese Funktion advance_buffer”, so die Analyse von Claroty. “Wir haben festgestellt, dass die Funktion advance_buffer immer true zurückgibt, unabhängig davon, ob andere innere Funktionen fehlschlagen und false zurückgeben. Daher wird die Bereitstellung einer beliebig großen Paketgröße immer die advance_buffer-Funktion passieren, ohne eine Fehlermeldung oder Ausnahme auszulösen. Auf diese Weise konnten die Forscher von Claroty die Pufferprüfungen umgehen und eine Ausnutzung erreichen.”

Zwei Ausnutzungspfade, zwei Bugs

Bei der Untersuchung der verschiedenen Firmware für die intelligenten Stromzähler fanden die Forscher heraus, dass es zwei verschiedene Ausnutzungspfade gibt, die durch eine unsachgemäße Einschränkung von Operationen innerhalb eines Speicherpuffers entstehen, abhängig von der spezifischen Architektur. Sie meldeten diese als zwei verschiedene Sicherheitslücken.

Der als CVE-2021-22714 verfolgte Fehler wird mit 9,8 von 10 auf der CVSS-Schweregradskala bewertet.

“Diese Sicherheitslücke [is a] stellt eine kritische Integer-Überlauf-Schwachstelle dar, die es einem Angreifer ermöglichen könnte, ein speziell präpariertes TCP-Paket an das Gerät zu senden, um es entweder zu einem Neustart des Messgeräts zu veranlassen oder Code seiner Wahl aus der Ferne auszuführen, abhängig von der Architektur des anvisierten Geräts”, heißt es in dem Advisory.

Laut Schneider Electric sind die folgenden Produkte betroffen: ION7400 (vor V3.0.0) ION9000 (vor V3.0.0) PM8000 (vor V3.0.0)

Der als CVE-2021-22713 verfolgte Fehler existiert in einer Reihe von Versionen der PowerLogic ION-Reihe von Messgeräten, wurde aber mit einem CVSS-Score von 7,5 bewertet, da eine erfolgreiche Ausnutzung der Versionen keine Remotecode-Ausführung ermöglicht und nur einen Angreifer in die Lage versetzt, das Messgerät zum Neustart zu zwingen.

Die Liste der betroffenen Produkte umfasst: ION8650 (vor V4.40.1) ION8800 (vor V372) ION7650 Hardware rev. 4 oder früher (vor V376) ION7650 Hardware rev. 5 (vor V416) ION7700/73xx (alle Versionen) ION83xx/84xx/8600 (alle Versionen)

Die Sicherheitslücke wurde in den im Januar und März veröffentlichten Updates behoben, und die Benutzer werden dringend gebeten, auf die gepatchten Versionen zu wechseln: ION8650-Benutzer sollten auf V4.40.1 aktualisieren, die am 4. Januar veröffentlicht wurde. ION8800-Benutzer sollten auf V372 aktualisieren, freigegeben am 3. März ION7650 Hardware rev. 4 oder früher sollten auf V376 aktualisieren, freigegeben am 3. März ION7650 Hardware rev. 5 sollte auf V416 aktualisiert werden, freigegeben am 3. März

Informieren Sie sich über unsere kommenden kostenlosen Live-Webinar-Veranstaltungen – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com