Bug-Jäger finden 25 Sicherheitslücken in ICS und SCADA

Ein Experten-Trio hat 25 Sicherheitslücken in verschiedenen SCADA (Supervisory Control and Data Acquisition) und ICS (Industrial Control System)-Protokollen aufgedeckt.

Die Forscher, Adam Crain, Chris Sistrunk und Adam Todorski (obgleich noch nicht anerkannt wurde, dass Todorski irgendeinen dieser Fehler gefunden hat) führen diese Untersuchung durch, die von Automatak gesponsert wird – einer von Crain gegründeten Firma, die den Machern und Betreibern von ICS- und SCADA-Equipment, das einen Großteil der weltweiten kritischen Infrastruktur und Industriemaschinen kontrolliert, Sicherheits-Support anbietet.

Bislang haben die Forscher erst zu neun Sicherheitslücken, von denen jede entfernt ausnutzbar ist, Details veröffentlicht, doch sie erklären, weitere 16 Fehler entdeckt zu haben. Genauere Informationen zu diesen Schwachstellen stehen allerdings noch aus, da die Experten gerade mit den betroffenen Herstellern korrespondieren. Jede der öffentlich gemachten Sicherheitslücken war den Herstellern bekannt und wurde von ihnen beseitigt, was allerdings nicht bedeutet, dass die Betreiber der Systeme die Patches auch installiert haben.

Ihre Untersuchungen sind Teil des Projekts Robus. Abgeleitet von dem lateinischen Nomen für eine Quelle der Kraft, beinhaltet das Projekt eine andauernde Suche nach Zero-Day-Sicherheitslücken in SCADA- und ICS-Software. Im krassen Widerspruch zu ihrer Verantwortung für die Kontrolle eines großen Teils der kritischen Infrastruktur und der Industrieprozesse weltweit sind SCADA- und ICS-Protokolle notorisch angreifbar, und eine besonders besorgniserregende Situation ergibt sich in Wasser- und Kraftwerken.

Insbesondere deckten Crain und Sistrunk zwei Bugs im IOServer auf. Eine Input-Validation-Schwachstelle in seiner DNP3-Treiber-Software und eine andere in der Master Station der Software. Jeder Fehler kann potentiell zu einer Endlosschleife führen, wenn ein Angreifer ein schädliches TCP-Packet sendet. Der einzige Weg aus dieser Endlosschleife führt über einen manuellen Neustart.

Das Duo hat zudem herausgefunden, dass ein DNP3-Input-Validierungsproblem in den Echtzeit-Automation-Controllern von Schweitzer Engineering Laboratories unter ähnlichen Bedingungen ausgenutzt werden kann. Ein Angreifer könnte das Gerät in eine Endlosschleife schicken und in Abhängigkeit von den Geräteeinstellungen kann es sein, dass ihre Controller die Konfigurationseinstellung beim Neustart erneut laden müssen.

Crain und Sistrunk haben zudem festgestellt, dass sie ein speziell zusammengestellten TCP-Packet in den DNP Master Treiber von Kepware Technologies für die Kommunikationsplattform KEPServerEX senden können, indem sie eine weitere Input-Validation-Schwachstelle ausnutzen. Das Ergebnis wäre auch in diesem Fall eine Endlosschleife, doch obendrein würde dies zu einer Dienstverweigerung – Denial of Service – führen. Um das System wieder zum Laufen zu bringen, müsste es neu gestartet werden. Von der grundsätzlich gleichen Schwachstelle betroffen sind DNP Master Treiber für TOP-Server, OPC-Server, zahlreiche Produkte von Triangle MicroWorks, einige davon mit Komponenten von Drittanbietern, und MatrikonOPC SCADA DNP3 OPC-Server.

Die letzten zwei Bugs befinden sich in der SubSTATION Server-Software von SUBNET Solutions und in der e-terracontrol-Software von Alstom. Beide Sicherheitslücken eröffnen Angreifern die Möglichkeit, die Einsatzfähigkeit der jeweiligen Produkte zu beeinflussen.

Die potentiellen Auswirkungen all dieser Bugs hängen offensichtlich von den Konfigurationseinstellungen der Ausrüstung ab.

Die Forscher entdeckten die Fehler mit Hilfe eines maßgeschneiderten Smart Fuzzers, den sie als Open Source Tool im März öffentlich zugänglich machen werden.

Automatak erklärt, die Hersteller sowie das ICS-CERT über die Sicherheitslücken zu informieren und mit den Anbietern zusammenzuarbeiten, um die Patches zu überprüfen und die Testverfahren zu verbessern.

Quelle: šthreatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.