In den speicherprogrammierbaren Steuerungen (SPS) und der Engineering-Workstation-Software von Rockwell Automation wurden zwei neue Sicherheitslücken entdeckt, die von Angreifern ausgenutzt werden können, um bösartigen Code in die betroffenen Systeme einzuschleusen und Automatisierungsprozesse heimlich zu verändern.
Die Schwachstellen haben das Potenzial, den Industriebetrieb zu stören und Fabriken ähnlich wie bei Stuxnet und den Rogue7-Angriffen physisch zu schädigen, so das Unternehmen Claroty, das sich auf Sicherheitstechnologien spezialisiert hat.
„Programmierbare Logik und vordefinierte Variablen steuern diese [Automatisierungs-]Prozesse, und Änderungen an einem von ihnen werden den normalen Betrieb der SPS und den von ihr gesteuerten Prozess verändern“, so Sharon Brizinov von Claroty in einem am Donnerstag veröffentlichten Bericht.
Die Liste der beiden Schwachstellen findest du unten.
CVE-2022-1161 (CVSS-Score: 10.0) – Eine aus der Ferne ausnutzbare Schwachstelle, die es einem böswilligen Akteur ermöglicht, für den Benutzer lesbaren „textuellen“ Programmcode an einen anderen Speicherort zu schreiben als den ausgeführten kompilierten Code (auch Bytecode genannt). Die Schwachstelle befindet sich in der SPS-Firmware der ControlLogix-, CompactLogix- und GuardLogix-Steuerungssysteme von Rockwell.
(CVSS-Score: 10.0) – Eine aus der Ferne ausnutzbare Schwachstelle, die es einem böswilligen Akteur ermöglicht, für den Benutzer lesbaren „textuellen“ Programmcode an einen vom ausgeführten kompilierten Code getrennten Speicherort zu schreiben (sog. Bytecode). Die Schwachstelle befindet sich in der SPS-Firmware, die auf den ControlLogix-, CompactLogix- und GuardLogix-Steuerungssystemen von Rockwell läuft. CVE-2022-1159 (CVSS-Score: 7.7) – Ein Angreifer mit administrativem Zugriff auf eine Workstation, auf der die Studio 5000 Logix Designer-Anwendung ausgeführt wird, kann den Kompilierungsprozess abfangen und ohne das Wissen des Benutzers Code in das Benutzerprogramm einfügen.
Bei erfolgreicher Ausnutzung des Fehlers kann ein Angreifer Benutzerprogramme ändern und bösartigen Code auf die Steuerung herunterladen, wodurch der normale Betrieb der SPS verändert wird und unberechtigte Befehle an die vom Industriesystem gesteuerten Geräte gesendet werden können.
„Das Endergebnis der Ausnutzung beider Schwachstellen ist dasselbe: Der Ingenieur glaubt, dass ein harmloser Code auf der SPS läuft, aber in Wirklichkeit wird ein völlig anderer und potenziell bösartiger Code auf der SPS ausgeführt“, erklärt Brizinov.
Aufgrund der Schwere der Schwachstellen hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine Empfehlung herausgegeben, die den Nutzern der betroffenen Hard- und Software eine „umfassende Verteidigungsstrategie“ an die Hand gibt.