Industrielle Netzwerke durch Cloud-basierte Betriebstechnik offengelegt

  • Kritische ICS-Schwachstellen können über führende Cloud-Management-Plattformen ausgenutzt werden.

    Die Vorteile des Einsatzes einer Cloud-basierten Management-Plattform zur Überwachung und Konfiguration von ICS-Geräten (Industrial Control Systems) liegen auf der Hand – Effizienz, Kosteneinsparungen und bessere Diagnosen, um nur einige zu nennen. Neue Untersuchungen haben jedoch kritische Schwachstellen in diesen Plattformen gefunden, die den Betrieb lahmlegen könnten, wenn sie nicht behoben werden.

    Eine Analyse von Clarotys neu gebrandetem Forschungsteam Team82 fand eklatante Schwachstellen in den Industriesystemen CODESYS und WAGO, die Cloud-basierte Automatisierung für Operational Technology (OT) nutzen – ein Segment, das oft als “Industrie 4.0” bezeichnet wird.

    CODESYS hat eine Cloud-basierte Plattform namens Automation Server entwickelt, um speicherprogrammierbare Steuerungen (SPS) aus der Ferne zu verwalten, also die Computer, die an der Steuerung physischer Industrieanlagen beteiligt sind. OT-Ingenieure, die Automation Server verwenden, können Logik herunterladen und ihre SPSen über die Cloud-basierte Automation Server-Managementkonsole konfigurieren.

    WAGO PFC100/200 ist inzwischen eine Reihe von SPSen, die die CODESYS-Laufzeitumgebung intensiv nutzen, und der Großteil der Kommunikation, Konfiguration und Programmierung dieser SPSen erfolgt über die CODESYS-Plattform. Diese Geräte können auch von der CODESYS-Automation-Server-Plattform verwaltet werden, und Ingenieure können Logik aus der Ferne auf sie herunterladen.

    Die Schwachstellen können, wenn sie ausgenutzt werden, zu schwerwiegenden Folgen führen, einschließlich der Erlangung der Kontrolle über industrielle Anlagen und Abläufe.

    “Eine Schwachstelle in einem Level 0/1-Gerät wie einer SPS kann ausgenutzt werden, um Angriffe auf ein Cloud-basiertes Managementsystem zu starten”, heißt es im Team82-Bericht. “Und das Gegenteil ist auch der Fall: Schwachstellen in der Cloud-Plattform und ihrer Peripherie können einen Angreifer in die Lage versetzen, unkontrollierten Zugriff auf Feldgeräte und industrielle Prozesse zu erhalten.”

    Schwachstellen in CODESYS und WAGO

    Die Analysten fanden drei Schwachstellen in den CODESYS-Produkten:

    • Gateway V3 (CVE-2021-29241)
    • Paket-Manager (CVE-2021-29240)
    • Automatisierungsserver (CVE-2021-29240)

    Außerdem fanden sie vier Fehler in zwei WAGO-Systemen:

    • WAGO PFC iocheckd (CVE-2021-34566, CVE-2021-34567 und CVE-2021-34568)
    • WAGO PFC-Diagnosetools (CVE-2021-34569)

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/21164154/OT-Bugs-1024x299.png]

    Quelle: Claroty.

    Es sind mehrere Arten von Exploits möglich, aber Claroty hat ein paar besonders hervorgehoben. In einem Proof-of-Concept konnten sie ein CODESYS Package Designer-Paket modifizieren, um die Cloud-Anmeldedaten eines Benutzers abzurufen; der Angriff beinhaltet Social Engineering eines angemeldeten Benutzers, um es zu installieren.

    “Die Schwachstelle, die wir ausgenutzt haben, rührt von einer fehlenden Überprüfung der Paketquelle und ihres Inhalts her”, heißt es in dem Bericht. “Dies macht es trivial, ein legitim aussehendes CODESYS-Paket zu erstellen, das bösartigen Code ausführt.”

    Der Angriff würde den Zugriff auf die CODESYS-Cloud-basierte Management-Konsole ermöglichen, von der aus Angreifer alle verwalteten SPSen, die mit der Konsole verbunden sind, weiter ausnutzen können.

    “Das Einfachste, was Angreifer tun können, ist, die Logik zu modifizieren oder sogar zu stoppen, die derzeit auf verwalteten SPSen läuft”, so die Forscher. “Zum Beispiel könnte ein Angreifer ein SPS-Programm stoppen, das für die Temperaturregelung der Produktionslinie verantwortlich ist, oder die Geschwindigkeit der Zentrifuge ändern, wie es bei Stuxnet der Fall war. Diese Arten von Angriffen könnten zu realen Schäden führen und Produktionszeiten und -verfügbarkeit beeinträchtigen.”

    Ebenfalls erwähnenswert ist, dass die Forscher in der Lage waren, eine vorauthentifizierte Remote-Code-Ausführung auf dem WAGO-Gerät zu erreichen, indem sie zwei Schwachstellen im iocheckd-Protokoll nutzten: CVE-2021-34566 und CVE-2021-34567. Durch Verkettung der Exploits konnten sie das Gerät aus der Ferne angreifen und eine Webshell für weitere Interaktion und Befehlsausführung implantieren, so die Analyse.

    “Die jüngste Untersuchung von Team82 wurde durch die Tatsache motiviert, dass Unternehmen in der Industrie-4.0-Ära die Cloud-Technologie in ihre OT und das Industrial Internet of Things (IIoT) integrieren, um das Management zu vereinfachen, die Geschäftskontinuität zu verbessern und die Leistungsanalyse zu optimieren”, so Amir Preminger, Vice President of Research bei Claroty. “Um diese Vorteile in vollem Umfang nutzen zu können, müssen Unternehmen strenge Sicherheitsmaßnahmen implementieren, um Daten während der Übertragung und im Ruhezustand zu schützen und Berechtigungen zu sperren.”

    Auf der Jagd nach industriellen Sicherheitslücken

    Sowohl Sicherheitsteams als auch Angreifer sind aktiv auf der Jagd nach dieser Art von Sicherheitslücken in industriellen Netzwerken. Der lähmende Ransomware-Angriff auf die Colonial Pipeline im Mai wirkte sich beispielsweise auf die OT-Ebene aus und unterbrach die Treibstoffversorgung eines Großteils der Ostküste der USA.

    Erst letzte Woche wurde berichtet, dass speicherprogrammierbare Steuerungen (SPS) von Schneider Electric, die in der Fertigung, der Gebäudeautomatisierung und im Gesundheitswesen eingesetzt werden, Schwachstellen aufweisen, die es Angreifern ermöglichen, die Root-Ebene zu übernehmen.

    Und es gibt wenig Anzeichen dafür, dass das Phänomen der kritischen Schwachstellen, die ans Licht kommen, in nächster Zeit abnehmen wird. Anfang des Jahres veröffentlichte Claroty eine Studie, die einen 33-prozentigen Anstieg der ICS-Enthüllungen seit 2018 zeigte und davor warnte, dass auch ältere Systeme, die jetzt in der Cloud verwaltet werden, voller Sicherheitslücken sind.

    “Während die ICS- und SCADA-Schwachstellenforschung reift, gibt es immer noch viele jahrzehntealte Sicherheitsprobleme, die noch nicht aufgedeckt wurden”, erklärte der Claroty-Bericht vom Februar. “Im Moment haben Angreifer möglicherweise einen Vorteil, wenn es darum geht, sie auszunutzen, weil Verteidiger oft durch Anforderungen an die Betriebszeit und einen zunehmenden Bedarf an Erkennungsfähigkeiten gegen ausnutzbare Schwachstellen, die zu Prozessunterbrechungen oder Manipulationen führen könnten, gelähmt sind.”

    WAGO und CODESYS haben ihrerseits schnell mit Mitigations und Patches für alle gemeldeten Schwachstellen reagiert.

    “Wir danken den Teams von CODESYS und WAGO für ihre schnelle Reaktion, Updates und Mitigations, die ihren Kunden und der ICS-Domäne zugute kommen”, so Preminger.

    Schauen Sie sich unsere kostenlosen kommenden Live- und On-Demand-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/03/25130947/factory.jpg]

    Einige Teile dieses Artikels stammen aus:
    threatpost.com