Anzeige

Stromleitung

Der Sicherheitsforscher Tal Keren des Spezialisten für industrielle Cybersicherheit Claroty hat eine Schwachstelle (CVE-2019-19279) im Siemens Digsi 4-Protokoll entdeckt. Diese ermöglicht einen Denial-of-Service (DOS)-Angriff auf Siemens SIPROTEC 4 Schutzrelais, die speziell für Umspannwerke entwickelt wurden.

Es handelt sich dabei um dasselbe Protokoll, das 2016 von der Industroyer-Malware verwendet wurde. Entsprechend können ähnliche Schäden von Angreifern reproduziert werden. Claroty informierte umgehend Siemens über diese Entdeckung, woraufhin Siemens eine Empfehlung (SSA-974843) mit Behelfslösungen und angeratenen Maßnahmen veröffentlicht hat.

Die Industroyer-Malware (auch als Crashoverride bekannt) wurde 2016 für einen Angriff auf das ukrainische Stromnetz eingesetzt. Sie enthielt gezielte ICS-Payloads, die es ihr ermöglichten, mit Hilfe von ICS-Protokollen zu kommunizieren und speziell die elektrischen Umspannwerke der betroffenen Unternehmen anzugreifen. Umspannwerke sind für die Stromerzeugung, -verteilung und -transportnetze von entscheidender Bedeutung. Eine sehr wichtige Komponente in einem Umspannwerk ist das Schutzrelais, das für die Überwachung des tatsächlich übertragenen Stroms an jedem Ort verantwortlich ist und die Überstromschutzeinrichtung (elektrische Sicherung) auslösen kann, wenn etwas Unerwartetes passiert. Ohne dieses Schutzrelais besteht die Gefahr von Stromausfällen, physischen Schäden und sogar massiven Sicherheitsproblemen. Einige der von Industroyer verwendeten Payloads wurden so konzipiert, dass sie ein DOS auf den Schutzrelais und den Remote-Terminal-Einheiten (RTU), die in den anvisierten Stromnetzbetreibern eingesetzt werden, verursachen und als Kill Switch fungieren. Eine der ICS-Nutzlasten, die in der eingesetzten Industroyer-Malware (CVE-2015-5374) gefunden wurde, verursachte ein DOS auf Siemens SIPROTEC 4 Schutzrelais. Diese Schwachstelle nutzte das SIPROTEC 4-Programmierprotokoll (Digsi 4), das über den UDP-Port 50000 kommuniziert.

Die neue, von Claroty entdeckte Schwachstelle verwendet ein bösartiges Paket im selben Protokoll, um ein DOS auf diesem Relais zu verursachen, so dass ein Angreifer den von Industroyer verursachten Schaden reproduzieren kann. Dieses Digsi 4-Protokoll ermöglicht es den Benutzern, das Schutzrelais zu programmieren und sein Verhalten zu ändern. Wie viele andere ICS-bezogene Protokolle wurde auch dieses Protokoll von Siemens als proprietäres Protokoll entwickelt. Dies erhöht die Herausforderung für traditionelle IT-Sicherheitsprodukte, die vor solchen Angriffen schützen sollen, da ein sehr spezifisches Verständnis des Protokolls und die Fähigkeit zur Deep Packet Inspection (DPI) erforderlich sind.

Der nun von Siemens veröffentlichte Ratgeber gibt betroffenen Anwendern Workarounds und empfiehlt entsprechende Maßnahmen. Zudem hat Siemens auch die Sicherheit in den neueren SIPROTEC 5-Relais verbessert, deren Kommunikationsprotokoll verschlüsselt ist und die über eine stärkere Sicherheit verfügen. Viele andere Schutzrelais und andere Arten von ICS-Hardware in der Industrie verwenden proprietäre Protokolle für die Programmierung. Die Sicherung dieser kritischen Geräte erfordert ein entsprechend tiefes Verständnis dieser Protokolle, ein grundlegendes Wissen über OT-Sicherheit und kontinuierliche Forschung, um potenzielle Schwachstellen zu finden und abzubilden – sei es beim Entwurf des Protokolls, bei der Implementierung oder bei der Feststellung von Missbrauchsversuchen.
Claroty
Claroty schließt die Lücke in der industriellen Cybersicherheit zwischen IT und OT. Insbesondere für Unternehmen mit hochautomatisierten Produktionsstätten und Fabriken, die einem erheblichen Sicherheits- und Finanzrisiko ausgesetzt sind, ist dies von größter Bedeutung. Mit den integrierten IT/OT-Lösungen von Claroty können Unternehmen und Betreiber kritischer Infrastrukturen ihre bestehenden IT-Sicherheitsprozesse und -technologien nutzen, um die Verfügbarkeit, Sicherheit und Zuverlässigkeit ihrer OT-Anlagen und -Netzwerke nahtlos und ohne Ausfallzeiten oder spezielle Teams zu verbessern. Die Ergebnisse sind eine höhere Verfügbarkeit und eine größere Effizienz in allen Geschäfts- und Produktionsabläufen.

www.claroty.com
 


Weitere Artikel

Cybercrime

Cyberkriminalität: Woher die Gefahr droht

Der aktuelle Cyber Security Threat Radar von Swisscom zeigt, wie Cyberkriminelle infolge der Pandemie ihre Angriffsmethoden angepasst haben: mit Attacken aufs Homeoffice und mit Einsatz neuster KI-Technologie.
Smartphone Scam

„Ihr Paket kommt bald“ – Smishing und was man dagegen tun kann

Cyberkriminalität gegen die Benutzer von Mobiltelefonen, ist proportional zu deren massenhafter Nutzung angestiegen. Im Fokus sind meist Android-basierte Geräte. Schlicht, weil es so viele davon gibt. Aber auch iPhone-Nutzer sind nicht vor Smishing und andere…
Hacker

Wie sich Hacker in der Pandemie Sozialleistungen erschleichen

Im Zuge von COVID-19 stellt der Staat zahlreiche finanzielle Hilfen für Unternehmen, Selbstständige und Familien bereit. Doch diese locken auch Betrüger und Cyberkriminelle an. In Deutschland fehlt häufig die nötige Infrastruktur zur Betrugsbekämpfung – auch…
CyberCrime

Die Pandemie des Internets: Rekordhoch des Bot-Traffics in 2020

Imperva, Inc., ein Unternehmen im Bereich Cybersecurity, mit dem Ziel, Daten und alle Zugriffswege auf diese zu schützen, verzeichnete im Jahr 2020 den höchsten Bad Bot-Traffic (25,6 %) seit der Einführung des Imperva Bad Bot Reports im Jahr 2014. Die…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.