Angriffsflächen kritischer Infrastrukturen

Originalartikel von Brian Gorenc

Im Laufe des letzten Jahres sind synchronisierte und koordinierte Angriffe von kritischen Infrastrukturen in den Mittelpunkt gerückt. Das ferngesteuerte Eindringen in drei ukrainische Elektrizitätswerke im Dezember 2015 verursachte für etwa 225.000 Kunden einen Stromausfall. Malware wie BlackEnergy ist speziell auf Supervisory Control and Data Acquisition (SCADA)-Systeme zugeschnitten. Die Hintermänner konzentrieren sich vor allem darauf, Wege zu finden, um Zugang zu den Human Machine Interface (HMI)-Lösungen zu erlangen, die als Hauptknotenpunkt für das Management des Betriebs der Kontrollsysteme dienen.

Die Analyse der Advisories vom ICS-CERT und der Sicherheitslücken, die Trend Micros weltweites Netzwerk von Sicherheitsforschern, die in der Zero Day Initiative mitwirken, liefert, ermöglicht es, die Angriffsfläche zu verstehen, die von HMI-Lösungen ausgeht. Die Grafik veranschaulicht diese Ergebnisse:

Bild 1. Häufige Sicherheitslücken in SCADA HMI-Lösungen

Memory Corruption-Sicherheitslücken stellen mit 20 % den häufigsten Typus in dieser Art von Software dar. Zu dieser Kategorie gehören Stack- und Heap-basierte Buffer Overflows sowie Out-of-Bound Lese- und Schreibzugriffe. Schlimmer noch, viele dieser Software-Pakete erlauben keine Reduktion des Missbrauchs wie sie andere Standard-Software wie Webbrowser ermöglicht.

Eine weitere häufig anzutreffende Schwäche steht im Zusammenhang mit dem Management kritischer Zugangsdaten, die von Remote-Angreifern dazu genutzt werden können, um Konfigurationen zu ändern und Remote Code auszuführen. Ein gutes Beispiel dafür ist CVE-2015-6456, ein hartcodiertes Support-Konto in GE MDS PulseNET. Das Produkt wird dazu verwendet, um Geräte in Industrie-Kommunikationsnetzwerken zu überwachen. Die Zugangsdaten ermöglichen es Remote-Angreifern, auf das Konto mit allen Privilegien zuzugreifen und damit das System komplett zu kompromittieren. Bemerkenswerterweise wurde dieses Konto im User Management Panel nicht angezeigt, und das bedeutet, es konnte ohne einen Patch auch nicht deaktiviert werden.

Bild 2. ge_support-Konto in GE MDS PulseNet

Schwachstellen wie diese in SCADA HMI-Lösungen sind für Kriminelle sehr wertvoll. Ein Whitepaper wird die bekanntesten Typen von Sicherheitslücken in HMI-Lösungen der größten SCADA-Hersteller darstellen. Weitere Details über die Absicherung von ICS-Umgebungen in einer vernetzten Welt finden Interessierte hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.