Anzeige

Schwachstelle

Sicherheitsforscher von Armis, dem Anbieter einer Unified Asset Visibility- und Sicherheitsplattform, haben die Entdeckung einer Schwachstelle für Remote Code Execution (RCE) in speicherprogrammierbaren Steuerungen (SPS) von Schneider Electric Modicon bekannt gegeben.

Die als Modipwn bezeichnete Schwachstelle ermöglicht die vollständige Übernahme der betroffenen Geräte, indem sie das UMAS-Protokoll ausnutzt. Betroffen sind Modicon M340, M580 und andere Modelle der Modicon-Serie, die in der Fertigung, der Gebäudeautomatisierung, im Gesundheitswesen und in Unternehmensumgebungen eingesetzt werden. Diese Geräte werden häufig in der Fertigung zur Steuerung von Produktionslinien, in Gebäuden zur Steuerung von Aufzügen und HLK-Systemen sowie in SCADA-Servern auf der ganzen Welt eingesetzt.

Wie würde ein Angreifer Modipwn verwenden?

Ein Angriff, der Modipwn ausnutzt, würde mit einem Netzwerkzugriff auf eine Modicon SPS beginnen. Durch diesen Zugriff kann der Angreifer undokumentierte Befehle im UMAS-Protokoll ausnutzen und einen bestimmten Hash aus dem Speicher des Geräts auslesen. Mithilfe dieses Hashs kann der Angreifer die sichere Verbindung zwischen der Steuerung und ihrer Verwaltungs-Workstation übernehmen, um die Steuerung mit einer passwortlosen Konfiguration neu zu konfigurieren. Dadurch kann der Angreifer weitere undokumentierte Befehle missbrauchen, die zur Remote-Code-Ausführung führen - einer vollständigen Übernahme des Geräts.

Diese Übernahme kann dann dazu verwendet werden, Malware auf der Steuerung zu installieren, die deren Betrieb verändert und die Existenz dieser Veränderungen vor der Workstation, die diese Steuerung verwaltet, verbirgt. Die CVE für diese Sicherheitslücke lautet CVE-2021-22779.

Ausgefeilte Angriffe dieser Art wurden schon früher in freier Wildbahn beobachtet; die Triton-Malware wurde beispielsweise für Sicherheitssteuerungen von Schneider Electric entdeckt, die in petrochemischen Anlagen in Saudi-Arabien eingesetzt werden. Angriffe, die den Betrieb von Industriesteuerungen verändern, sind eine Bedrohung sowohl für die Geschäftskontinuität als auch für die Sicherheit, und Angriffe, die sich vor Überwachungslösungen verstecken, können extrem schwierig zu erkennen sein.

„Armis und Schneider Electric haben zusammen gearbeitet, um sicherzustellen, dass die richtigen Sicherheitsvorkehrungen getroffen werden. Wir fordern alle betroffenen Organisationen auf, jetzt Maßnahmen zu ergreifen", sagt Ben Seri, VP of Research bei Armis. „Das Problem mit diesen Legacy-Geräten in OT-Umgebungen ist, dass sie historisch gesehen über unverschlüsselte Protokolle entwickelt wurden. Es wird einige Zeit dauern, diese schwachen zugrunde liegenden Protokolle zu beseitigen. In der Zwischenzeit sollten Unternehmen, die in diesen Umgebungen arbeiten, sicherstellen, dass sie einen Überblick über diese Geräte haben, um zu sehen, wo ihre Schwachstellen liegen. Dies ist entscheidend, um zu verhindern, dass Angreifer die Kontrolle über ihre Systeme erlangen - oder sie sogar als Lösegeld erpressen können.“

www.armis.com


Artikel zu diesem Thema

Zero Day
Jul 05, 2021

Neues Rekordniveau bei Zero-Day- und Netzwerkattacken

WatchGuard Technologies hat in seinem Internet Security Report für das erste Quartal 2021…
OT-Security
Apr 16, 2021

Masterplan für die OT-Security

Traditionell hatten OT-Umgebungen (Operational Technology) eine sehr eingeschränkte…

Weitere Artikel

Cyber Security

Cybersecurity muss Prävention und Detektion ausbalancieren

In ihrer bisherigen Historie konzentrierten sich Cybersicherheitsprodukte hauptsächlich darauf, bösartigen Code daran zu hindern, auf Computer zu gelangen und diesen auszuführen. Joe Levy, CTO bei Sophos erjklärt, warum wir Unvollkommenheit nicht mit…
Cyber-Versicherung

Cyber-Versicherungen erleben einen Aufschwung - die Prämien auch

Unternehmen stehen heute mehr denn je unter Druck, ausreichend gegen Angriffe von außen geschützt zu sein. Regelmäßig werden Hacker-Angriffe auf Unternehmen publik – und diese sind nur die Spitze des Eisbergs.
Cyber Security

Microsoft native Security Lösungen optimal nutzen

Mit der Zunahme an Security Tools steigt die Komplexität für Administratoren und Sicherheitsverantwortliche. Sicherheitsrichtlinien, Profile und Berechtigungen müssen verwaltet werden. Anders gesagt: Je mehr Tools, Endgeräte und User desto komplexer wird…
2022 Security

Cybersicherheit 2022: Worauf sich Unternehmen einstellen müssen

Das Jahr 2021 war gespickt mit vielen öffentlich wirksamen Cyberangriffen auf Unternehmen und Behörden. Es hat sich gezeigt, dass die Zielgerichtetheit und Rafinesse der Attacken deutlich zugenommen hat. Besonders prominent waren dabei vor allem zahlreiche…
Social Engineering

Social Engineering-Attacken stoppen mit Verhaltensbiometrie

Kein Sicherheitsfaktor ist so kritisch, wie der Mensch selbst. Das BSI stellt in seinem aktuellen Lagebericht zur IT-Sicherheit in Deutschland 2021 zu Recht fest, dass der Mensch ein oft unterschätztes Sicherheitsrisiko als Einfallstor für Cyberangriffe…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.