Anzeige

Stromleitung

Der Sicherheitsforscher Tal Keren des Spezialisten für industrielle Cybersicherheit Claroty hat eine Schwachstelle (CVE-2019-19279) im Siemens Digsi 4-Protokoll entdeckt. Diese ermöglicht einen Denial-of-Service (DOS)-Angriff auf Siemens SIPROTEC 4 Schutzrelais, die speziell für Umspannwerke entwickelt wurden.

Es handelt sich dabei um dasselbe Protokoll, das 2016 von der Industroyer-Malware verwendet wurde. Entsprechend können ähnliche Schäden von Angreifern reproduziert werden. Claroty informierte umgehend Siemens über diese Entdeckung, woraufhin Siemens eine Empfehlung (SSA-974843) mit Behelfslösungen und angeratenen Maßnahmen veröffentlicht hat.

Die Industroyer-Malware (auch als Crashoverride bekannt) wurde 2016 für einen Angriff auf das ukrainische Stromnetz eingesetzt. Sie enthielt gezielte ICS-Payloads, die es ihr ermöglichten, mit Hilfe von ICS-Protokollen zu kommunizieren und speziell die elektrischen Umspannwerke der betroffenen Unternehmen anzugreifen. Umspannwerke sind für die Stromerzeugung, -verteilung und -transportnetze von entscheidender Bedeutung. Eine sehr wichtige Komponente in einem Umspannwerk ist das Schutzrelais, das für die Überwachung des tatsächlich übertragenen Stroms an jedem Ort verantwortlich ist und die Überstromschutzeinrichtung (elektrische Sicherung) auslösen kann, wenn etwas Unerwartetes passiert. Ohne dieses Schutzrelais besteht die Gefahr von Stromausfällen, physischen Schäden und sogar massiven Sicherheitsproblemen. Einige der von Industroyer verwendeten Payloads wurden so konzipiert, dass sie ein DOS auf den Schutzrelais und den Remote-Terminal-Einheiten (RTU), die in den anvisierten Stromnetzbetreibern eingesetzt werden, verursachen und als Kill Switch fungieren. Eine der ICS-Nutzlasten, die in der eingesetzten Industroyer-Malware (CVE-2015-5374) gefunden wurde, verursachte ein DOS auf Siemens SIPROTEC 4 Schutzrelais. Diese Schwachstelle nutzte das SIPROTEC 4-Programmierprotokoll (Digsi 4), das über den UDP-Port 50000 kommuniziert.

Die neue, von Claroty entdeckte Schwachstelle verwendet ein bösartiges Paket im selben Protokoll, um ein DOS auf diesem Relais zu verursachen, so dass ein Angreifer den von Industroyer verursachten Schaden reproduzieren kann. Dieses Digsi 4-Protokoll ermöglicht es den Benutzern, das Schutzrelais zu programmieren und sein Verhalten zu ändern. Wie viele andere ICS-bezogene Protokolle wurde auch dieses Protokoll von Siemens als proprietäres Protokoll entwickelt. Dies erhöht die Herausforderung für traditionelle IT-Sicherheitsprodukte, die vor solchen Angriffen schützen sollen, da ein sehr spezifisches Verständnis des Protokolls und die Fähigkeit zur Deep Packet Inspection (DPI) erforderlich sind.

Der nun von Siemens veröffentlichte Ratgeber gibt betroffenen Anwendern Workarounds und empfiehlt entsprechende Maßnahmen. Zudem hat Siemens auch die Sicherheit in den neueren SIPROTEC 5-Relais verbessert, deren Kommunikationsprotokoll verschlüsselt ist und die über eine stärkere Sicherheit verfügen. Viele andere Schutzrelais und andere Arten von ICS-Hardware in der Industrie verwenden proprietäre Protokolle für die Programmierung. Die Sicherung dieser kritischen Geräte erfordert ein entsprechend tiefes Verständnis dieser Protokolle, ein grundlegendes Wissen über OT-Sicherheit und kontinuierliche Forschung, um potenzielle Schwachstellen zu finden und abzubilden – sei es beim Entwurf des Protokolls, bei der Implementierung oder bei der Feststellung von Missbrauchsversuchen.
Claroty
Claroty schließt die Lücke in der industriellen Cybersicherheit zwischen IT und OT. Insbesondere für Unternehmen mit hochautomatisierten Produktionsstätten und Fabriken, die einem erheblichen Sicherheits- und Finanzrisiko ausgesetzt sind, ist dies von größter Bedeutung. Mit den integrierten IT/OT-Lösungen von Claroty können Unternehmen und Betreiber kritischer Infrastrukturen ihre bestehenden IT-Sicherheitsprozesse und -technologien nutzen, um die Verfügbarkeit, Sicherheit und Zuverlässigkeit ihrer OT-Anlagen und -Netzwerke nahtlos und ohne Ausfallzeiten oder spezielle Teams zu verbessern. Die Ergebnisse sind eine höhere Verfügbarkeit und eine größere Effizienz in allen Geschäfts- und Produktionsabläufen.

www.claroty.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Phishing

Phishing-Mails mit Corona-Bezug – Cyberkriminelle attackieren Unternehmen

Cyberkriminelle nutzen die Nachrichtenlage rund um das Coronavirus, um Malware wie Backdoors oder Spyware zu verbreiten und damit speziell Unternehmen anzugreifen, wie aktuelle Kaspersky-Untersuchungen zeigen.
Cybercrime

Home Office und die Gefahr von RDP-Attacken

Die Verlagerung der Mitarbeiter in das Home Office ist eine große Herausforderung für viele Unternehmen, doch äußerst wichtig, um die Gesundheit der Angestellten vor der Corona-Pandemie zu schützen. Jedoch muss auch ein weiterer Schutz aufrecht erhalten…
Malware

„Evasive Malware“ auf Rekordniveau

IT-Bedrohungen müssen auch und gerade in Zeiten von Corona im Auge behalten werden. Das beutdeutet IT-Abteilungen sind derzeit stärker gefordert denn je. Immer mehr Mitarbeiter arbeiten von zuhause und so gilt es, den Spagat zwischen Sicherheit und…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!