Neue Schwachstelle ähnlich der Industroyer-Malware entdeckt

Der Sicherheitsforscher Tal Keren des Spezialisten für industrielle Cybersicherheit Claroty hat eine Schwachstelle (CVE-2019-19279) im Siemens Digsi 4-Protokoll entdeckt. Diese ermöglicht einen Denial-of-Service (DOS)-Angriff auf Siemens SIPROTEC 4 Schutzrelais, die speziell für Umspannwerke entwickelt wurden.

Es handelt sich dabei um dasselbe Protokoll, das 2016 von der Industroyer-Malware verwendet wurde. Entsprechend können ähnliche Schäden von Angreifern reproduziert werden. Claroty informierte umgehend Siemens über diese Entdeckung, woraufhin Siemens eine Empfehlung (SSA-974843) mit Behelfslösungen und angeratenen Maßnahmen veröffentlicht hat.

Anzeige

Die Industroyer-Malware (auch als Crashoverride bekannt) wurde 2016 für einen Angriff auf das ukrainische Stromnetz eingesetzt. Sie enthielt gezielte ICS-Payloads, die es ihr ermöglichten, mit Hilfe von ICS-Protokollen zu kommunizieren und speziell die elektrischen Umspannwerke der betroffenen Unternehmen anzugreifen. Umspannwerke sind für die Stromerzeugung, -verteilung und -transportnetze von entscheidender Bedeutung. Eine sehr wichtige Komponente in einem Umspannwerk ist das Schutzrelais, das für die Überwachung des tatsächlich übertragenen Stroms an jedem Ort verantwortlich ist und die Überstromschutzeinrichtung (elektrische Sicherung) auslösen kann, wenn etwas Unerwartetes passiert. Ohne dieses Schutzrelais besteht die Gefahr von Stromausfällen, physischen Schäden und sogar massiven Sicherheitsproblemen. Einige der von Industroyer verwendeten Payloads wurden so konzipiert, dass sie ein DOS auf den Schutzrelais und den Remote-Terminal-Einheiten (RTU), die in den anvisierten Stromnetzbetreibern eingesetzt werden, verursachen und als Kill Switch fungieren. Eine der ICS-Nutzlasten, die in der eingesetzten Industroyer-Malware (CVE-2015-5374) gefunden wurde, verursachte ein DOS auf Siemens SIPROTEC 4 Schutzrelais. Diese Schwachstelle nutzte das SIPROTEC 4-Programmierprotokoll (Digsi 4), das über den UDP-Port 50000 kommuniziert.

Die neue, von Claroty entdeckte Schwachstelle verwendet ein bösartiges Paket im selben Protokoll, um ein DOS auf diesem Relais zu verursachen, so dass ein Angreifer den von Industroyer verursachten Schaden reproduzieren kann. Dieses Digsi 4-Protokoll ermöglicht es den Benutzern, das Schutzrelais zu programmieren und sein Verhalten zu ändern. Wie viele andere ICS-bezogene Protokolle wurde auch dieses Protokoll von Siemens als proprietäres Protokoll entwickelt. Dies erhöht die Herausforderung für traditionelle IT-Sicherheitsprodukte, die vor solchen Angriffen schützen sollen, da ein sehr spezifisches Verständnis des Protokolls und die Fähigkeit zur Deep Packet Inspection (DPI) erforderlich sind.

Der nun von Siemens veröffentlichte Ratgeber gibt betroffenen Anwendern Workarounds und empfiehlt entsprechende Maßnahmen. Zudem hat Siemens auch die Sicherheit in den neueren SIPROTEC 5-Relais verbessert, deren Kommunikationsprotokoll verschlüsselt ist und die über eine stärkere Sicherheit verfügen. Viele andere Schutzrelais und andere Arten von ICS-Hardware in der Industrie verwenden proprietäre Protokolle für die Programmierung. Die Sicherung dieser kritischen Geräte erfordert ein entsprechend tiefes Verständnis dieser Protokolle, ein grundlegendes Wissen über OT-Sicherheit und kontinuierliche Forschung, um potenzielle Schwachstellen zu finden und abzubilden – sei es beim Entwurf des Protokolls, bei der Implementierung oder bei der Feststellung von Missbrauchsversuchen.
Claroty
Claroty schließt die Lücke in der industriellen Cybersicherheit zwischen IT und OT. Insbesondere für Unternehmen mit hochautomatisierten Produktionsstätten und Fabriken, die einem erheblichen Sicherheits- und Finanzrisiko ausgesetzt sind, ist dies von größter Bedeutung. Mit den integrierten IT/OT-Lösungen von Claroty können Unternehmen und Betreiber kritischer Infrastrukturen ihre bestehenden IT-Sicherheitsprozesse und -technologien nutzen, um die Verfügbarkeit, Sicherheit und Zuverlässigkeit ihrer OT-Anlagen und -Netzwerke nahtlos und ohne Ausfallzeiten oder spezielle Teams zu verbessern. Die Ergebnisse sind eine höhere Verfügbarkeit und eine größere Effizienz in allen Geschäfts- und Produktionsabläufen.

www.claroty.com
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.