Wenn industrielle IoT-Netzwerke nicht segmentiert sind, verursachen sie Probleme Jetzt ansehen
Sicherheitslücken in den Kommunikationsprotokollen, die von industriellen Steuerungssystemen verwendet werden, könnten es Cyber-Angreifern ermöglichen, Dienste zu manipulieren oder zu stören sowie auf Daten im Netzwerk zuzugreifen.
Infra:HALT genannt, wurden die 14 Sicherheitslücken von Cybersicherheitsforschern der Forescout Research Labs und JFrog Security Research detailliert beschrieben Service oder sogar Informationslecks.
Alle Schwachstellen beziehen sich auf TCP/IP-Stacks – Kommunikationsprotokolle, die häufig in verbundenen Geräten verwendet werden – in NicheStack, die in der gesamten Betriebstechnologie (OT) und in der industriellen Infrastruktur verwendet werden.
Einige der neu entdeckten Schwachstellen sind mehr als 20 Jahre alt, ein häufiges Problem in der Betriebstechnologie, die immer noch oft auf Protokollen läuft, die vor Jahren entwickelt und produziert wurden. Über 200 Anbieter, darunter auch Siemens, verwenden die NicheStack-Bibliotheken und Benutzern wird empfohlen, die Sicherheitspatches anzuwenden.
Forescout hat jede der Sicherheitslücken in einem Blogpost detailliert beschrieben. Sie beziehen sich auf fehlerhafte Paketprozesse, die es einem Angreifer ermöglichen, Anweisungen zum Lesen oder Schreiben von Teilen des Speichers zu senden, die er nicht sollte. Dies kann das Gerät zum Absturz bringen und Netzwerke stören und es Angreifern ermöglichen, Shell-Code zu erstellen, um bösartige Aktionen auszuführen, einschließlich der Kontrolle über das Gerät.
Die Offenlegung der neu entdeckten Sicherheitslücken ist die Fortsetzung von Project Memoria, der Forschungsinitiative von Forescout, die Sicherheitslücken in TCP/IP-Stacks untersucht und wie man sie abschwächt. Die INFRA:HALT-Schwachstellen wurden aufgrund der laufenden Forschungen aufgedeckt.
Alle Versionen von NicheStack vor Version 4.3, einschließlich NicheLite, sind von den Schwachstellen betroffen, die HCC Embedded bekannt gegeben wurden, die NicheStack im Jahr 2016 übernommen haben.
SEE: Unternehmen mit Sensoren: IoT, ML und Big Data (ZDNet-Sonderbericht) | Bericht als PDF herunterladen(TechRepublic)
Das volle Ausmaß anfälliger OT-Geräte ist ungewiss, aber die Forscher konnten mithilfe von Shodan, der Internet-of-Things-Suche, über 6.400 anfällige Geräte identifizieren Motor.
“Wenn Sie mit Betriebstechnologie zu tun haben, kann das Abstürzen von Geräten und Systemen verschiedene schwerwiegende Folgen haben. Es gibt auch Möglichkeiten zur Remote-Codeausführung – Schwachstellen, die es dem Angreifer ermöglichen, die Kontrolle über ein Gerät zu übernehmen und nicht nur abzustürzen aber dafür sorgen, dass es sich so verhält, dass es nicht dazu gedacht ist, innerhalb des Netzwerks zu schwenken”, sagte Daniel dos Santos, Forschungsmanager in den Forescout-Forschungslabors gegenüber ZDNet.
Für die Remote-Codeausführung müssten Angreifer detaillierte Kenntnisse der Systeme zu haben, aber ein Absturz des Geräts ist ein stumpfes Instrument, das einfacher zu verwenden ist und erhebliche Folgen haben kann, insbesondere wenn die Geräte bei der Steuerung oder Überwachung kritischer Infrastrukturen helfen.
Forescout und JFrog Security Research setzten sich mit HCC Embedded in Verbindung, um die Schwachstellen offenzulegen, und kontaktierten CERT im Rahmen des koordinierten Prozesses zur Offenlegung von Schwachstellen. HCC Embedded bestätigte, dass Forescout sie wegen der Sicherheitslücken kontaktiert hat und dass Patches veröffentlicht wurden, um sie zu beheben.
“Wir haben diese Sicherheitslücken in den letzten sechs Monaten oder so behoben und wir haben Fixes für jeden Kunden veröffentlicht, der seine Software wartet”, sagte Dave Hughes, CEO von HCC Embedded gegenüber ZDNet und fügte hinzu, dass es unwahrscheinlich ist, dass Angreifer, wenn die Umgebungen richtig konfiguriert sind, könnte Code pflanzen oder die Kontrolle über Geräte übernehmen.
“Dies sind echte Schwachstellen, sie sind Schwächen im Stapel. Die meisten von ihnen hängen jedoch stark davon ab, wie Sie die Software verwenden und wie Sie sie integrieren, um diese Dinge zu erleben.
„Wenn sie eine Sicherheitsabteilung haben, die DNS-Poisoning und ähnliches versteht, sind sie überhaupt nicht angreifbar, weil sie die Dinge auf sichere Weise konfiguriert haben“, sagte Hughes.
Forscher kontaktierten auch Koordinierungsstellen wie das CERT-Koordinationszentrum, das BSI (das deutsche Bundesamt für Cybersicherheit) und das ICS-CERT (das Cyber Emergency Response Team für industrielle Steuerungssysteme) bezüglich der Sicherheitslücken. Siemens hat auch einen Hinweis zu den Sicherheitslücken veröffentlicht – obwohl nur vier der Sicherheitslücken Siemens-Produkte betreffen.
Um die Betriebstechnologie vor jeglicher Art von Cyberangriffen zu schützen, empfehlen Forescout-Forscher, eine Netzwerksegmentierung einzurichten, damit Betriebstechnologie, die nicht dem Internet ausgesetzt sein muss, nicht aus der Ferne entdeckt werden kann – und Technologien, die Sie müssen überhaupt nicht mit dem Internet verbunden sein, und zwar über ein separates Netzwerk mit Luftspalt.
Forescout hat ein Open-Source-Skript veröffentlicht, um Geräte zu erkennen, auf denen NicheStack ausgeführt wird, um die Sichtbarkeit von Netzwerken zu erhöhen und sie zu schützen.
MEHR ZUR CYBERSICHERHEIT
Der Schlüssel zum Stoppen von Cyberangriffen? Verstehen Sie Ihre eigenen Systeme, bevor die Hacker zuschlagenFertigung wird zu einem Hauptziel für Ransomware-AngriffeColonial Pipeline-Hack deckt Risse in der US-Energieabwehr gegen Cyberangriffe aufRansomware Banden zielen auf industrielle Steuerungssysteme mit „weichem Ziel“ abMITRE gibt erste Evaluierungen von Cybersicherheitstools für industrielle Steuerungssysteme bekannt
Verwandte Themen:
Sicherheitsfernsehdatenverwaltung CXO Data Zentren 