Fast fünf Dutzend Sicherheitslücken wurden in Geräten von zehn Anbietern von Betriebstechnik (OT) aufgedeckt, und zwar aufgrund von Praktiken, die Forscher als „insecure-by-design“ bezeichnen.
Die 56 Schwachstellen, die von Forescout als OT:ICEFALL bezeichnet werden, betreffen 26 Gerätemodelle von Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, Omron, Phoenix Contact, Siemens und Yokogawa.
„Unter Ausnutzung dieser Schwachstellen können Angreifer mit Netzwerkzugriff auf ein Zielgerät aus der Ferne Code ausführen, die Logik, Dateien oder Firmware von OT-Geräten verändern, die Authentifizierung umgehen, Anmeldedaten kompromittieren, Dienstverweigerungen verursachen oder eine Reihe von betrieblichen Auswirkungen haben“, so das Unternehmen in einem technischen Bericht.
Diese Schwachstellen könnten katastrophale Folgen haben, da die betroffenen Produkte häufig in kritischen Infrastrukturbereichen wie Öl und Gas, Chemie, Kernkraft, Stromerzeugung und -verteilung, Fertigung, Wasseraufbereitung und -verteilung, Bergbau und Gebäudeautomatisierung eingesetzt werden.
Von den 56 entdeckten Schwachstellen ermöglichen 38 % die Kompromittierung von Anmeldeinformationen, 21 % die Manipulation der Firmware, 14 % die Ausführung von Remote-Code und 8 % der Schwachstellen ermöglichen die Manipulation von Konfigurationsinformationen.
Die Schwachstellen ermöglichen es einem Angreifer nicht nur, beliebigen Code einzuschleusen und unberechtigte Änderungen an der Firmware vorzunehmen, sondern könnten auch dazu genutzt werden, ein Gerät komplett offline zu nehmen und bestehende Authentifizierungsfunktionen zu umgehen, um beliebige Funktionen auf den Zielgeräten aufzurufen.
Noch wichtiger ist, dass 22 der 56 Schwachstellen auf fehlerhafte Authentifizierungsverfahren zurückzuführen sind, wie z. B. die Umgehung, die Verwendung riskanter kryptografischer Protokolle oder die Verwendung von fest codierten und Klartext-Anmeldeinformationen, was auf unzureichende Sicherheitskontrollen bei der Implementierung hindeutet.
In einem hypothetischen realen Szenario könnten diese Schwachstellen als Waffe gegen Erdgaspipelines, Windturbinen oder diskrete Fertigungsstraßen eingesetzt werden, um den Treibstofftransport zu unterbrechen, Sicherheitseinstellungen außer Kraft zu setzen, die Steuerung von Kompressorstationen zu unterbinden und die Funktion von speicherprogrammierbaren Steuerungen (SPS) zu verändern.
Aber die Bedrohungen sind nicht nur theoretisch. Eine Sicherheitslücke in Omron NJ/NX-Steuerungen (CVE-2022-31206) wurde von einem staatlich organisierten Akteur namens CHERNOVITE ausgenutzt, um eine ausgeklügelte Malware namens PIPEDREAM (auch bekannt als INCONTROLLER) zu entwickeln.
Erschwert wird das Risikomanagement durch die zunehmende Verflechtung von IT- und OT-Netzwerken in Verbindung mit der undurchsichtigen und proprietären Natur vieler OT-Systeme, ganz zu schweigen von der Tatsache, dass es keine CVEs gibt, wodurch die verbleibenden Probleme unsichtbar werden und solche unsicheren Konstruktionsmerkmale lange Zeit beibehalten werden.
Um OT:ICEFALL einzudämmen, wird empfohlen, verwundbare Geräte zu entdecken und zu inventarisieren, herstellerspezifische Patches anzuwenden, die Segmentierung von OT-Anlagen durchzusetzen, den Netzwerkverkehr auf anomale Aktivitäten zu überwachen und Secure-by-Design-Produkte zu beschaffen, um die Lieferkette zu stärken.
„Die Entwicklung von Malware, die auf kritische Infrastrukturen abzielt, wie z. B. Industroyer2, Triton und INCONTROLLER, hat gezeigt, dass die Bedrohungsakteure wissen, dass die Betriebstechnik unsicher ist, und bereit sind, dies auszunutzen, um Schaden anzurichten“, so die Forscher.
„Trotz der wichtigen Rolle, die standardgesteuerte Härtungsmaßnahmen für die OT-Sicherheit spielen, wurden Produkte mit unsicheren Konstruktionsmerkmalen und trivialen Sicherheitskontrollen weiterhin zertifiziert.