Patchen der Bash-Sicherheitslücke in ICS und SCADA – eine Herausforderung

Während sich die Sorgen um die Sicherheitslücke in Bash in erster Linie um Webserver drehen, sind auch integrierte Systeme und ICS (Industrielle Kontrollsysteme) von dieser Bedrohung betroffen.

Experten bringen Bedenken bezüglich der Sicherheit von ICS auf Linux-Grundlage sowie von SCADA-Geräten (von englisch: Supervisory Control and Data Acquisition, d.h. das Überwachen und Steuern technischer Prozesse mit Hilfe eines Computersystems) zum Ausdruck, die angreifbar sein könnten, aber nicht so einfach zu patchen sind.

„Einige Geräte sind einfach nicht für eine Modernisierung vorgesehen. Heute wird noch immer viel ICS-Equipment hergestellt, das nicht über Update-Mechanismen für Firmware verfügt“, sagte Reid Wightman, Direktor von Digital Bond Labs. „Einige Geräte werden nicht mehr unterstützt, und die Hersteller können keine Patches herausgeben. ICS- und SCADA-Ausrüstung ist dafür vorgesehen, über ein Jahrzehnt und länger zu laufen, bis es aktualisiert wird. Viele Hersteller stellen die Veröffentlichung von Patches noch vor Ende des 10-Jahres-Zyklus‘ ein.“

In einigen Fällen wird die Installation eines Patches aufgrund von Stillstandzeiten erschwert – häufig ein unannehmbarer Umstand.

„Ausfallzeiten sind ein riesiges Problem“, erklärte Wightman. „Diese Systeme können nur gepatcht werden, während sie das ICS bedienen, und das kann einmal im Jahr der Fall sein – oder sogar noch seltener, je nach System.“

Diese Schwierigkeiten verschärfen die ohnehin nicht einfachen Umstände rund um den neusten internetweiten Bug. Die Sicherheitslücke in Bash wurde von Stephane Chazelas von Akamai entdeckt und die Hersteller von Linux-Distributionen begannen umgehend mit der Arbeit an den entsprechenden Patches und deren Verteilung, um die Auswirkungen der Sicherheitslücke weitestgehend einzuschränken, die es Cyberkriminellen ermöglichen könnte, aus der Ferne ausführbaren Code in eine Umgebungsvariable zu schreiben, die nach dem Aufruf von Bash gestartet wird. Die neusten Berichte darüber, dass die ersten Patches das Problem nicht vollständig lösen, passt zu den nicht minder Besorgnis erregenden Nachrichten darüber, dass Exploits gefunden wurden, die dem Eindringen eines Wurms oder dem Aufbau von DDoS-Botnetzen Vorschub leisten könnten.

Während Apache-Server CGI-Skripte oder einige Git-Einstellungen verwenden, die über SSH laufen, und daher einem Risiko ausgesetzt sind, ist die Shell Bash laut Wightman auch in ICS- und SCADA-Geräten sowie in integrierter Ausrüstung weit verbreitet.

„Viele industrielle Komponenten laufen unter Linux und verwenden Bash in einer Weise, die sie angreifbar macht“, erklärte Wightman. „Industrielle Netzkommutatoren oder sogar einige Speicherprogrammierbare Steuerungen (SPS) und Fernbedienungsterminals (RTU) könnten von der Sicherheitslücke betroffen sein.“

Wightman führte einige Beispiele ins Feld, unter anderem die Steuerungsschalter-Linie RuggedCom, die Steuerungsschalter-Linie EtherTrak, SPS von Wago und RTU von Schweitzer Engineering, die unter Linux laufen.

„Die Liste der potentiell verwundbaren Geräte, die in ICS und SCADA verwendet werden, ist überaus lang”, sagte er.

Obgleich ein großer Teil der ICS- und SCADA-Ausrüstung nicht mit dem Internet verbunden sein muss, was die Auswirkungen der Sicherheitslücke in Bash einschränken sollte, geben die Experten zu bedenken, dass es bei Weitem nicht so ist.

„Die Sicherheitslücke ist in IT/OT identisch, allerdings verwendet eine ungleich größere Zahl „einfacher“ integrierter Geräte CGI + Bash, im Vergleich zu moderneren Web-Plattformen“, erklärte Adam Crain, Sicherheitsexperte und Gründer von Automatak. „Bash ist die am häufigsten verwendete Shell in Linux-Systemen. Ein großer Teil der in ICS und SCADA integrierten Geräte läuft unter Linux. Nicht alle dieser Systeme sind angreifbar, da nicht alle von ihnen Services enthalten, die zur Ausnutzung der Sicherheitslücken in Bash benutzt werden können.“

Wichtig ist, dass die Ingenieure ihre Ausrüstung durchgehen, um herauszufinden, welche Komponenten Bash benutzen könnten, denn das ist durchaus nicht offensichtlich.

„So lange der Endanwender noch keine Zeit auf ein reverse Engineering seiner industriellen Ausrüstung verwendet, kann er nicht mit Sicherheit sagen, ob und wie Bash in seinem System aufgerufen werden kann“, sagte Whightman. „Wir sind sogar auf Ausrüstung gestoßen, die unter GNU/Linux und Bash läuft, doch die Hersteller haben ihre Kunden nicht darüber informiert (was aber zwingend erforderlich gewesen wäre, da sie unter GNU lizenzierte Software verwenden).“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.