Anzeige

Stromleitung

Der Sicherheitsforscher Tal Keren des Spezialisten für industrielle Cybersicherheit Claroty hat eine Schwachstelle (CVE-2019-19279) im Siemens Digsi 4-Protokoll entdeckt. Diese ermöglicht einen Denial-of-Service (DOS)-Angriff auf Siemens SIPROTEC 4 Schutzrelais, die speziell für Umspannwerke entwickelt wurden.

Es handelt sich dabei um dasselbe Protokoll, das 2016 von der Industroyer-Malware verwendet wurde. Entsprechend können ähnliche Schäden von Angreifern reproduziert werden. Claroty informierte umgehend Siemens über diese Entdeckung, woraufhin Siemens eine Empfehlung (SSA-974843) mit Behelfslösungen und angeratenen Maßnahmen veröffentlicht hat.

Die Industroyer-Malware (auch als Crashoverride bekannt) wurde 2016 für einen Angriff auf das ukrainische Stromnetz eingesetzt. Sie enthielt gezielte ICS-Payloads, die es ihr ermöglichten, mit Hilfe von ICS-Protokollen zu kommunizieren und speziell die elektrischen Umspannwerke der betroffenen Unternehmen anzugreifen. Umspannwerke sind für die Stromerzeugung, -verteilung und -transportnetze von entscheidender Bedeutung. Eine sehr wichtige Komponente in einem Umspannwerk ist das Schutzrelais, das für die Überwachung des tatsächlich übertragenen Stroms an jedem Ort verantwortlich ist und die Überstromschutzeinrichtung (elektrische Sicherung) auslösen kann, wenn etwas Unerwartetes passiert. Ohne dieses Schutzrelais besteht die Gefahr von Stromausfällen, physischen Schäden und sogar massiven Sicherheitsproblemen. Einige der von Industroyer verwendeten Payloads wurden so konzipiert, dass sie ein DOS auf den Schutzrelais und den Remote-Terminal-Einheiten (RTU), die in den anvisierten Stromnetzbetreibern eingesetzt werden, verursachen und als Kill Switch fungieren. Eine der ICS-Nutzlasten, die in der eingesetzten Industroyer-Malware (CVE-2015-5374) gefunden wurde, verursachte ein DOS auf Siemens SIPROTEC 4 Schutzrelais. Diese Schwachstelle nutzte das SIPROTEC 4-Programmierprotokoll (Digsi 4), das über den UDP-Port 50000 kommuniziert.

Die neue, von Claroty entdeckte Schwachstelle verwendet ein bösartiges Paket im selben Protokoll, um ein DOS auf diesem Relais zu verursachen, so dass ein Angreifer den von Industroyer verursachten Schaden reproduzieren kann. Dieses Digsi 4-Protokoll ermöglicht es den Benutzern, das Schutzrelais zu programmieren und sein Verhalten zu ändern. Wie viele andere ICS-bezogene Protokolle wurde auch dieses Protokoll von Siemens als proprietäres Protokoll entwickelt. Dies erhöht die Herausforderung für traditionelle IT-Sicherheitsprodukte, die vor solchen Angriffen schützen sollen, da ein sehr spezifisches Verständnis des Protokolls und die Fähigkeit zur Deep Packet Inspection (DPI) erforderlich sind.

Der nun von Siemens veröffentlichte Ratgeber gibt betroffenen Anwendern Workarounds und empfiehlt entsprechende Maßnahmen. Zudem hat Siemens auch die Sicherheit in den neueren SIPROTEC 5-Relais verbessert, deren Kommunikationsprotokoll verschlüsselt ist und die über eine stärkere Sicherheit verfügen. Viele andere Schutzrelais und andere Arten von ICS-Hardware in der Industrie verwenden proprietäre Protokolle für die Programmierung. Die Sicherung dieser kritischen Geräte erfordert ein entsprechend tiefes Verständnis dieser Protokolle, ein grundlegendes Wissen über OT-Sicherheit und kontinuierliche Forschung, um potenzielle Schwachstellen zu finden und abzubilden – sei es beim Entwurf des Protokolls, bei der Implementierung oder bei der Feststellung von Missbrauchsversuchen.
Claroty
Claroty schließt die Lücke in der industriellen Cybersicherheit zwischen IT und OT. Insbesondere für Unternehmen mit hochautomatisierten Produktionsstätten und Fabriken, die einem erheblichen Sicherheits- und Finanzrisiko ausgesetzt sind, ist dies von größter Bedeutung. Mit den integrierten IT/OT-Lösungen von Claroty können Unternehmen und Betreiber kritischer Infrastrukturen ihre bestehenden IT-Sicherheitsprozesse und -technologien nutzen, um die Verfügbarkeit, Sicherheit und Zuverlässigkeit ihrer OT-Anlagen und -Netzwerke nahtlos und ohne Ausfallzeiten oder spezielle Teams zu verbessern. Die Ergebnisse sind eine höhere Verfügbarkeit und eine größere Effizienz in allen Geschäfts- und Produktionsabläufen.

www.claroty.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…
Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!