- Anzeigen -


Sie sind hier: Home » Virenwarnung » Sicherheitslecks

Firmware der Geräte aktualisieren


Kaspersky hilft bei der Schließung von Sicherheitslücken in Industrie-Software
Die Kaspersky-Forscher untersuchten ein komplexes, leistungsstarkes Tool zur Entwicklung und Steuerung von SPS-Programmen

- Anzeigen -





Die Forscher des Kaspersky ICS CERT haben mehrere Schwachstellen in einem verbreiteten Framework von CODESYS entdeckt, das für die Entwicklung industrieller Geräte wie speicherprogrammierbarer Steuerungen (SPS) und Mensch-Maschine-Schnittstelle (MMS) verwendet wird; sie werden in fast jeder automatisierten Industrieanlage von der kritischen Infrastruktur bis hin zu Produktionsprozessen eingesetzt. Die entdeckten Sicherheitslücken hätten es einem potenziellen Angreifer ermöglicht, Angriffe sowohl lokal als auch remote durchzuführen. Die Schwachstellen wurden vom Hersteller behoben.

SPS sind Geräte, die Prozesse automatisieren, die bisher manuell oder mit Hilfe komplexer elektromechanischer Geräte durchgeführt wurden. Damit diese korrekt funktionieren, müssen sie entsprechend programmiert werden. Die Programmierung erfolgt über ein spezielles Software-Framework, mit dessen Hilfe Ingenieure Anweisungen für Prozessautomatisierungsprogramme codieren und hochladen können.

Damit wird auch eine Laufzeitumgebung (Runtime Execution Environment) für den SPS-Programmcode zu Verfügung gestellt. Die Software wird in verschiedenen Umgebungen eingesetzt, darunter in der Produktion, für die Energieerzeugung oder in Smart-City-Infrastrukturen.

Die Kaspersky-Forscher untersuchten ein komplexes, leistungsstarkes Tool zur Entwicklung und Steuerung von SPS-Programmen. Sie fanden dabei mehr als ein Dutzend Sicherheitsprobleme im Hauptnetzwerkprotokoll des Frameworks sowie in der Framework-Laufzeit, von denen vier als besonders schwerwiegend eingestuft und mit den Schwachstellen-IDs CVE-2018-10612, CVE-2018-20026, CVE-2019-9013 und CVE-2018-20025 versehen wurden.

Sicherheitslücken ermöglichten eine Vielzahl schädlicher Aktionen

Je nach Sicherheitslücke hätten Angreifer:
• >> Netzwerkbefehls- und Telemetriedatenfehler abfangen und fälschen,
• >> Kennwörter und andere Authentifizierungsinformationen stehlen und nutzen,
• >> schädlichen Code in die Laufzeit einschleusen
• >> und die Berechtigungen des Angreifers im System ausweiten sowie andere nicht autorisierte Aktionen durchführen können – und so ihre Anwesenheit verschleiern.

Ein Angreifer wäre damit in der Lage gewesen, die Funktionalität der SPS zu beeinträchtigen oder die vollständige Kontrolle über sie zu erlangen, ohne dass dies vom OT (Operation Technology)-Personal hätte entdeckt werden können. Sie hätten den Betrieb beeinträchtigen oder vertrauliche Daten wie geistiges Eigentum und andere sensible Informationen stehlen können, zum Beispiel zu Fabrikationsfähigkeiten der Fabrik oder neue Produkte. Außerdem wären eine Überwachung sowie das Sammeln weiterer sensibler Informationen möglich gewesen.

Nach der Entdeckung hat Kaspersky diese Probleme umgehend dem Hersteller der betroffenen Software gemeldet. Die Schwachstellen sind bereits behoben und für Framework-Nutzer stehen Patches zur Verfügung.

"Die entdeckten Sicherheitslücken boten eine sehr breite Angriffsfläche für potenziell böswilliges Verhalten. Angesichts der Verbreitung der betroffenen Software sind wir dem Anbieter für die schnelle Reaktion und Behebung der Probleme dankbar", sagt Alexander Nochvay, Sicherheitsforscher bei Kaspersky ICS CERT. "Wir hoffen, dass wir durch diese Untersuchungen die Arbeit für Angreifer erheblich erschweren konnten. Viele dieser Sicherheitslücken wären jedoch früher entdeckt worden, wenn die Sicherheitsgemeinschaft schon in früheren Stadien an der Entwicklung von Netzwerkkommunikationsprotokollen beteiligt gewesen
wäre. Wir glauben, dass die Zusammenarbeit mit der Sicherheitsgemeinschaft für Entwickler wichtiger Komponenten für industrielle Systeme – einschließlich Hardware und Software – eine Notwendigkeit ist. Besonders angesichts der Tatsache, dass die Industrie 4.0, die zum großen Teil auf modernen automatisierten Technologien basiert, vor der Tür steht."

"Die Produktsicherheit ist für die CODESYS Group von größter Bedeutung. Deshalb schätzen wir die umfangreichen Forschungsergebnisse von Kaspersky – sie helfen uns, CODESYS noch sicherer zu machen", so Roland Wagner, Head of Product Marketing bei der CODESYS Group. "Seit vielen Jahren schon investieren wir erhebliche technische und administrative Anstrengungen, um die Sicherheitsmerkmale von CODESYS stetig zu verbessern. Alle entdeckten Schwachstellen werden immer sofort untersucht, bewertet, priorisiert und in einem Security Advisory veröffentlicht. Fehlerkorrekturen in Form von Software-Updates werden zeitnah entwickelt und allen CODESYS-Anwendern im CODESYS Store sofort zur Verfügung gestellt."

Kaspersky-Empfehlungen
• >> Entwickler, die das Framework verwenden, sollten die aktualisierte Version anfordern und anschließend die Firmware der Geräte aktualisieren, wenn sie mit Hilfe dieses Frameworks erstellt wurden.

• >> Im Industrieumfeld tätige Ingenieure sollten die Aktualisierung der Firmware auf den Geräten im Rahmen der Patch-Verwaltungsverfahren ihres Unternehmens in Betracht ziehen, wenn das Gerät mit Hilfe dieses Frameworks erstellt wurde und der Entwickler ein für das Produkt relevantes Update herausgegeben hat.

• >> Geräte, auf denen Entwicklungsumgebungen und / oder SCADA (Supervisory Control and Data Acquisition, industrielle Steuerungssysteme) bereitgestellt werden, sollten mit einem entsprechenden Schutz ausgestattet sein.

• >> In Industrieumgebungen verwendete Geräte sollten in ein isoliertes, begrenztes Netzwerk eingebunden sein.

• >> Bis zur Anwendung von Firmware-Patches sollten Sicherheitsteams, die Industrienetzwerke schützen, die Implementierung spezifischer Maßnahmen in Betracht ziehen, dazu gehören unter anderem Lösungen gegen zielgerichtete Angriffe, Überwachung von Industrienetzwerken, regelmäßige Sicherheitsschulungen für IT- und OT-Mitarbeiter sowie andere Sicherheitsmaßnahmen, die zum Schutz vor komplexen Bedrohungen erforderlich sind.

Die vollständige Untersuchung ist verfügbar unter

(Kaspersky Lab: ra)
https://ics-cert.kaspersky.com/reports/2019/09/18/security-research-codesys-runtime-a-plc-control-framework-part-1/

eingetragen: 23.09.19
Newsletterlauf: 05.11.19

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Sicherheitslecks

  • BlueKeep-Sicherheitslücke Wochen bekannt

    Vor ein paar Wochen wurde die BlueKeep-Sicherheitslücke bekannt. Trotz des enormen Gefahrenpotenzials und obwohl Microsoft zeitnah einen Patch bereitgestellt hat, sind viele Systeme weiterhin ungepatcht und bleiben damit anfällig für Cyberangriffe. Das ist riskant, denn die Sicherheitslücke BlueKeep im Remote Desktop Protocol (RDP) weist ein ähnlich hohes Gefahrenpotenzial wie EternalBlue auf. EternalBlue war die Sicherheitslücke, die die verheerende Ransomware-Attacke WannaCry im Jahr 2017 ausnutzte. Die Bedrohung durch BlueKeep wird immer mehr zu einem realen Risiko, denn mittlerweile existieren erste Exploits, die die Sicherheitslücke ausnutzen können. Das Department of Homeland Security (DHS) hat einen funktionierenden Exploit entwickelt und auch Personen aus dem Privatsektor berichten, dass sie über einen Remote Code Exploit verfügen. Neben Microsoft raten daher auch Organisationen wie der BSI und die NSA dringend zu Gegenmaßnahmen.

  • Ein Hardware-Designfehler

    Ein Bitdefender-Forscherteam hat eine Schwachstelle bei einigen modernen Intel-CPUs aufgedeckt. Diese wird in einem Sicherheitshinweis dokumentiert, der am 14. Mai 2019, 19 Uhr deutscher Zeit, veröffentlicht worden ist. Die neue Schwachstelle namens YAM ("Yet Another Meltdown") überwindet die architektonischen Sicherheitsvorkehrungen des Prozessors und ermöglicht es unprivilegierten Anwendungen im normalen Benutzermodus, auf dem betroffenen Computer verarbeitete Kernel-Modus-Speicherinformationen zu stehlen.

  • Privilegien-Erweiterung durch Dritte

    Kaspersky Lab hat eine zuvor unbekannte Schwachstelle - eine so genannte Zero-Day-Schwachstelle - in Microsoft Windows entdeckt. Eine bisher nicht identifizierte kriminelle Gruppe war dadurch in der Lage, die volle Kontrolle über ein anvisiertes Gerät zu erlangen. Die Cyberkriminellen hatten es auf den Kernel des Systems mittels einer Backdoor abgesehen, die aus einem wesentlichen Element des Windows-Betriebssystems aufgebaut war.Mittels Backdoors können Bedrohungsakteure infizierte Computer diskret für bösartige Zwecke nutzen. Eine solche Privilegien-Erweiterung durch Dritte ist in der Regel schwer vor Sicherheitslösungen zu verbergen. Eine Backdoor, die allerdings einen unbekannten Fehler, also eine Zero-Day-Schwachstelle, im System ausnutzt, kann unentdeckt bleiben. Die Exploit-Prevention-Technologie von Kaspersky Lab konnte den Versuch, die unbekannte Schwachstelle im Windows-Betriebssystem von Microsoft auszunutzen, jedoch erkennen.

  • Neue Technik findet Sicherheitslücke

    Als Forscher 2018 die Sicherheitslücken Meltdown und Spectre bei bestimmten Prozessoren entdeckten, waren vor allem Chiphersteller von High-end-Prozessoren wie Intel betroffen. Zunutze gemacht hatten sie sich hier sogenannte Seitenkanäle der Hardware, mit denen sie an Daten gelangt sind. Dass es ähnliche Lücken auch bei anderen Prozessoren gibt, haben nun Forscher aus Kaiserslautern und Stanford gemeinsam erstmals gezeigt. Diese Prozessoren spielen etwa in sicherheitsrelevanten Bereichen von eingebetteten Systemen eine Rolle, zum Beispiel beim Autonomen Fahren. Abhilfe schafft ein Verfahren, das die Forscher entwickelt haben. Es spürt die Lücken schon beim Entwickeln der Hardware auf.

  • Sicherung industrieller Steuerungssysteme

    Die Experten von Kaspersky Lab haben in der IoT-Plattform "ThingsPro Suite" sieben neue, bisher unbekannte Schwachstellen (Zero Day) entdeckt und geholfen, diese zu schließen. Die im industriellen Umfeld eingesetzte Lösung ermöglicht die Datenerfassung und Remote-Analyse industrieller Kontrollsysteme (ICS, Industrial Control Systems). Einige der identifizierten Sicherheitslücken hätten Cyberangreifern die Möglichkeit eröffnet, umfassend auf industriell genutzte IoT-Gateways zuzugreifen und für Arbeits- und Produktionsabläufe folgenschwere Befehle auszuführen. Alle identifizierten Schwachstellen sind inzwischen von Moxa, dem Entwickler der Plattform, behoben worden.