NicheStack: 14 Schwachstellen gefunden und offengelegt
Der NichStack ist ein gemeinsamer TCP/IP-Stack, der von Millionen von SPS und Steuerungen in Fertigungsanlagen, bei der Stromerzeugung, -übertragung und -verteilung, bei der Wasseraufbereitung und in anderen kritischen Infrastrukturbereichen verwendet wird
Zu den allgemein empfohlenen Abhilfemaßnahmen für INFRA:HALT gehören die Begrenzung der Netzwerkexposition kritischer, anfälliger Geräte durch Netzwerksegmentierung und das Patchen von Geräten, sobald die Hersteller Patches veröffentlichen
JFrog Security Research (ehemals Vdoo) und Forescout Research Labs haben im NicheStack insgesamt 14 Schwachstellen gefunden und offengelegt. Der NichStack ist ein gemeinsamer TCP/IP-Stack, der von Millionen von SPS und Steuerungen in Fertigungsanlagen, bei der Stromerzeugung, -übertragung und -verteilung, bei der Wasseraufbereitung und in anderen kritischen Infrastrukturbereichen verwendet wird. Unter dem Namen INFRA:HALT sind diese Schwachstellen in einem gemeinsamen Forschungsbericht, der veröffentlicht wurde, detailliert beschrieben.
Einige Details aus dem Report:
In der vierten Studie des Project Memoria - INFRA:HALT - legen JFrog Security Research und Forescout Research Labs gemeinsam ein Set von 14 neuen Schwachstellen offen, die den NicheStack TCP/IP-Stack (auch bekannt unter dem Namen InterNiche-Stack) betreffen.
NicheStack wird von vielen Geräten im Bereich der betrieblichen Technik (OT) und kritischen Infrastrukturen verwendet, z. B. in der populären Siemens PLC-Reihe S7. Andere große Anbieter von OT-Geräten wie Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation und Schneider Electric werden als Kunden von InterNiche, also den ursprünglichen Entwicklern des Stacks, genannt. Aufgrund der großen Popularität in der OT ist die Fertigungsbranche die am stärksten betroffene Branche.
Die neuen Schwachstellen ermöglichen Remote Code Execution, Denial of Service, Information Leak, TCP-Spoofing oder DNS Cache Poisoning.
JFrog Security Research und Forescout Research Labs und haben zwei der Remote Code Execution Schwachstellen in ihrem Labor ausgenutzt und zeigen die möglichen Auswirkungen eines erfolgreichen Angriffs.
Zu den allgemein empfohlenen Abhilfemaßnahmen für INFRA:HALT gehören die Begrenzung der Netzwerkexposition kritischer, anfälliger Geräte durch Netzwerksegmentierung und das Patchen von Geräten, sobald die Hersteller Patches veröffentlichen. Einige der Schwachstellen können auch durch das Blockieren oder Deaktivieren der Unterstützung für nicht verwendete Protokolle, wie z. B. HTTP, entschärft werden.
Viele der Schwachstellen wurden durch den Einsatz modernster automatisierter Binäranalysen gefunden, was den Weg für eine zukünftige groß angelegte Suche nach Schwachstellen und deren Behebung ebnet.
INFRA:HALT bestätigt frühere Erkenntnisse des Project Memoria, nämlich dass ähnliche Schwachstellen in verschiedenen Implementierungen, sowohl Open als auch Closed Source, auftreten. Tatsächlich enthält INFRA:HALT Beispiele für Speicherbeschädigung wie in AMNESIA:33, schwache ISN-Generierung wie in NUMMER:JACK und DNS-Schwachstellen wie in NAME:WRECK.
INFRA:HALT erweitert das Verständnis der Community für Schwachstellenmuster und Probleme im Zusammenhang mit IoT/OT-Softwarelieferketten. Der vorliegende Bericht diskutiert die gewonnenen Erkenntnisse und gibt Anregungen, was die Community tun kann, um aufkommende Bedrohungen zu entschärfen.
(JFrog: ra)
eingetragen: 22.09.21
Newsletterlauf: 22.11.21
JFrog Security Research: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.