Neue Modicon PLC-Schwachstellen von Forschern aufgedeckt
Forescout-Forscher entdeckten zwei neue Schwachstellen in den speicherprogrammierbaren Steuerungen (SPS) Modicon von Schneider Electric, die eine Umgehung der Authentifizierung und die Ausführung von Remote-Code ermöglichen könnten.
Die Schwachstellen, die als CVE-2022-45788 (CVSS-Score: 7.5) und CVE-2022-45789 (CVSS-Score: 8.1) identifiziert wurden, sind Teil einer größeren Sammlung von Sicherheitslücken, die von Forescout als OT:ICEFALL bezeichnet werden. Ein Angreifer, der die Fehler erfolgreich ausnutzt, kann möglicherweise nicht autorisierten Code ausführen, eine Dienstverweigerung verursachen oder vertrauliche Informationen offenlegen.
Zu den Schwachstellen gehören die nicht authentifizierte Remotecodeausführung, eine Schwachstelle in Bezug auf Passwörter und eine Schwachstelle beim Hochladen von Dateien. Die Forscher nutzten diese Schwachstellen, um sich seitlich durch das ICS-Netzwerk zu bewegen, weitere SPS zu kompromittieren und schließlich physische Schäden an Geräten zu verursachen.
https://tuxcare.com/whitepapers/crowdstrike/
Die Schwachstellen betreffen mehrere Modicon SPS-Modelle, darunter die Modelle M221, M221 Book, M241 und M251. Die Schwachstellen sind besonders besorgniserregend, weil sie ohne Authentifizierung ausgenutzt werden können, was bedeutet, dass ein Angreifer keinen Benutzernamen oder ein Passwort benötigt, um sie auszunutzen.
Ein Angreifer beginnt den Angriff, indem er eine Sicherheitslücke in einem Wago-Koppler ausnutzt, um mit einer Modicon-SPS zu kommunizieren. Der Angreifer umgeht dann die UMAS-Dienstauthentifizierung auf der SPS und erreicht eine Remotecodeausführung auf der SPS, um Zugriff auf die Interna des Brückensteuerungssystems zu erhalten.
Der Hacker kann dann mit der Steuerung verbundene Feldgeräte manipulieren. Bevor er versucht, physischen Schaden anzurichten, nutzt der Angreifer eine Schwachstelle in einer Allen Bradley-Sicherheitssteuerung, die Unfälle verhindern soll, zur Remotecodeausführung aus.
Die Angriffsmethode ist verdeckt, so dass der Hacker eine Vielzahl von böswilligen Aktivitäten durchführen kann, ohne Verdacht zu erregen.
Schneider hatte die Forscher gebeten, die beiden Fehler nicht in die ICEFALL-Liste aufzunehmen, damit das Unternehmen mit den Kunden zusammenarbeiten kann, um die Probleme zu beheben, bevor sie öffentlich gemacht werden. Die beiden Schwachstellen CVE-2022-45788 und CVE-2022-45789 betreffen die programmierbaren Logiksteuerungen (SPS) der Reihe Modicon Unity von Schneider.
Schneider Electric hat die Schwachstellen inzwischen eingeräumt und erklärt, dass Patches zur Behebung der Schwachstellen veröffentlicht wurden.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.