DDS: allgegenwärtig, wenig beachtet und gefährlich

Originalartikel von Federico Maggi, Erik Boasson, Mars Cheng, Patrick Kuo, Chizuru Toyama, Víctor Mayoral Vilches, Rainer Vosseler, Ta-Lun Yen, Threat Researchers

Der Data Distribution Service (DDS)-Standard ist die am weitesten verbreitete, kritischste und am wenigsten bekannte Middleware-Technologie. Er steuert seit etwa einem Jahrzehnt Eisenbahnen, autonome Fahrzeuge, Flughäfen, Raumfahrzeuge, bildgebende Diagnosegeräte, Gepäckabfertigung, Industrieroboter, Militärpanzer oder auch Fregatten, und seine Verbreitung nimmt stetig zu. Deshalb haben wir innerhalb eines Forschungsprojekts, eine Zusammenarbeit von Trend Micro Research und TXOne Networks, ADLINK Labs, Alias Robotics und Trend Micro Zero Day Initiative (ZDI) die Middleware unter die Lupe genommen. Wir analysierten die DDS-Spezifikationen und die sechs Implementierungen, die von zertifizierten Anbietern mit Millionen von Implementierungen weltweit gepflegt werden. Wir entdeckten mehrere Sicherheitslücken, die zu 13 neuen CVE-IDs für die sechs gängigsten DDS-Implementierungen geführt haben. Dazu gehören eine Schwachstelle in den Standardspezifikationen und andere Einsatzprobleme im DDS-Software-Ökosystem (einschließlich eines vollständig offenen Produktionssystems). Diese Schwachstellen wurden, seit wir sie gemeldet haben, von den Anbietern gepatcht oder behoben.

Bild 1. Exponierte DDS-Systeme in 34 Ländern, anfällige Systeme, die über verschiedene IPs identifiziert wurden, über die Daten abgeflossen sind

Wir fanden innerhalb eines Monats in 34 Ländern 643 verschiedene öffentlich zugängliche DDS-Dienste, die 100 Organisationen über 89 Internet Service Provider (ISPs) betrafen. Von den DDS-Implementierungen von sieben verschiedenen Anbietern wurden 202 private IP-Adressen (die sich auf Details der internen Netzwerkarchitektur beziehen) und sieben vermeintlich geheime URLs veröffentlicht. Ein paar dieser IP-Adressen exponieren nicht gepatchte oder veraltete DDS-Implementierungen, die von einigen der Schwachstellen betroffen sind, die wir im November entdeckten und veröffentlicht haben.

Die erfolgreiche Ausnutzung dieser Schwachstellen in einem der kritischen Sektoren, in denen DDS eingesetzt wird, kann folgende Folgen haben (einschließlich der Nomenklatur, die sich auf den ATT&CK-ICS-Rahmen bezieht):

  • Kontrollverlust (T0827)
  • Safety-Verlust (T0880)
  • Denial of Service (DoST0814) via Brute Force (T0806)
  • Erleichtert Erstzugang (TA0108) über Missbrauch von Remote Services (T0866, T0886) oder Kompromittierung der Supply Chain (T0862)
  • Ermöglicht Angreifern Erkundungen durchzuführen (TA0102, T0856) über den Missbrauch des Discovery-Protokolls
  • Missbrauch des Protokolls selbst, um einen effizienten Command-and-Control-Kanal zu schaffen (T0869)

Unsere Erkenntnisse gelten weltweit und betreffen Milliarden von Geräten in allen vertikalen Bereichen, einschließlich aller kritischen Anwendungen wie autonomes Fahren, intelligenter öffentlicher Verkehr, Telekommunikation, Cloud, Gesundheitswesen, Verbraucher- und Industrierobotik sowie Verteidigungssysteme. Da es sich um eine kritische Technologie handelt, die nur wenig Aufmerksamkeit erhält, empfehlen wir anderen Forschern, DDS-Nutzern und Implementierern, das Sicherheitsbewusstsein für DDS und sein Ökosystem zu fördern. Nach unserer Analyse empfehlen wir Abhilfemaßnahmen wie:

  • Schwachstellen-Scanning (M1016)
  • Network Intrusion Prevention (M1031)
  • Netzwerksegmentierung (M1030)
  • Filtern des Netzwerkverkehrs (M1037)
  • Verhindern der Ausführung (M1038)
  • Auditing (M1047)

Auf der Grundlage unserer Erkenntnisse und einer Präsentation ihrer Auswirkungen auf die Schlüsselsektoren des DDS plädieren wir für kontinuierliche Sicherheitstests des DDS und anderer damit verbundener kritischer Technologien. Wir geben auch umsetzbare Empfehlungen für eine sichere DDS-Integration.

Um das Bewusstsein für die Bedeutung der DDS-Sicherheit zu schärfen, stellen wir in einem weiteren Beitrag den Standard vor und zeigen zwei Beispiele, wie ein Angreifer den Netzwerkverkehr intensivieren kann, was zu Echtzeit- und Determinismusproblemen führt, oder bewirken kann, dass ein autonomes Fahrzeug die Kontrolle verliert und mit Objekten kollidiert, wenn nicht die richtigen Sicherheitsmaßnahmen getroffen werden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.