Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Drei neue Schwachstellen werden ausgenutzt, um automatisierte Industriesteuerungen anzugreifen
14. Dezember 2022. TuxCare PR Team
Forscher von Vedere Labs entdeckten kürzlich drei neue Sicherheitslücken in einer langen Liste von Schwachstellen, die unter dem Namen OT:ICEFALL zusammengefasst sind.
Die Schwachstellen betreffen Produkte der Betriebstechnik (OT) von zwei deutschen Anbietern, Festo und CODESYS, und können für Angriffe auf automatisierte Industriesteuerungen und eine beliebte Software zur Programmierung von Millionen von intelligenten Geräten in kritischen Infrastrukturen verwendet werden und könnten Gerätehersteller in verschiedenen Industriesektoren betreffen.
Diese Fehler werden als CVE-2022-4048 verfolgt und betreffen CODESYS V3 Version 3.5.18 und manipulieren diese logisch. Die Sicherheitslücke CVE-2022-3079, die Festo CPX-CEC-C1 und CPX-CMXX Codesys V2-Steuerungen betrifft, ermöglicht einen nicht authentifizierten Fernzugriff auf kritische Webseitenfunktionen, was zu einer Dienstverweigerung führen kann. CVE-2022-3270 Festo Steuerungen, die das FGMC-Protokoll verwenden, ermöglichen einen unauthentifizierten Neustart der Netzwerksteuerung.
Sie alle deuten darauf hin, dass entweder ein unsicherer Ansatz verfolgt wird, bei dem die Hersteller gefährliche Funktionen einbauen, auf die ohne Authentifizierung zugegriffen werden kann, oder dass Sicherheitskontrollen, wie z. B. Kryptographie, schlecht implementiert sind.
Die Verschlüsselung von Anwendungen wird von der CODESYS V3-Laufzeitumgebung bereitgestellt, um sicherzustellen, dass Download-Code und Boot-Anwendungen verschlüsselt sind. Die CODESYS-Laufzeitumgebung wird von Hunderten von Geräteherstellern weltweit verwendet, darunter auch Festo. Es wurde festgestellt, dass CODESYS V3 vor Version 3.5.18.40 eine schwache Kryptographie für Download-Code und Boot-Anwendungen verwendet, die es Angreifern ermöglicht, geschützten Code durch Brute-Forcing von Sitzungsschlüsseln leicht zu entschlüsseln und zu manipulieren.
Die Steuerungen CPX-CEC-C1 und CPX-CMXX von Festo ermöglichen dagegen einen nicht authentifizierten Fernzugriff auf kritische Webseitenfunktionen. Jeder, der über Netzwerkzugriff auf eine Steuerung verfügt, kann zu einer versteckten Webseite im Dateisystem der Steuerung navigieren, was zu einem Neustart der Steuerung und möglicherweise zu einem Denial-of-Service führen kann.
Darüber hinaus ermöglichen Festo Controller, die das Festo Generic Multicast (FGMC) Protokoll verwenden, unauthentifizierte Controller-Reboots und andere sensible Operationen. Das Festo Field Device Tool, das über FGMC kommuniziert, kann den gleichen Effekt erzielen. Das PLC Browser Tool, mit dem Bediener Befehle erteilen können, kann auch zum Neustart von Controllern verwendet werden, ohne dass eine Authentifizierung erforderlich ist.
Empfehlungen zur Risikoreduzierung Da es aufgrund der geschäftskritischen Natur von OT-Geräten schwierig ist, diese zu patchen oder zu ersetzen, empfiehlt Forescout, dass Unternehmen Strategien zur Risikoreduzierung implementieren, die auf der Grundlage aktueller Bedrohungsdaten vorrangig die erhöhte Angriffsfläche sichern.
Darüber hinaus wurde festgestellt, dass eine Reihe von Festo-Geräten, darunter die CPX-CEC-C1-Steuerungen, mit CODESYS-Konfigurationen ausgeliefert wurden, die sie für zwei ältere, bereits früher bekannt gewordene Softwarefehler anfällig machen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in SCMedia.
