Cisco Talos hat acht Schwachstellen in der Open Automation Software entdeckt, von denen zwei kritisch sind und ein Risiko für kritische Infrastrukturnetzwerke darstellen.
Kritische Schwachstellen in einer weit verbreiteten Plattform für industrielle Kontrollsysteme (ICS), die unbefugten Gerätezugriff, Remote Code Execution (RCE) oder Denial of Service (DoS) ermöglichen, könnten die Sicherheit kritischer Infrastrukturen gefährden.
Der Forscher Jared Rittle von Cisco Talos entdeckte insgesamt acht Schwachstellen – zwei davon sind kritisch – in der Open Automation Software (OAS)-Plattform, von denen die schwerwiegendste es einem Angreifer ermöglicht, beliebigen Code auf einem Zielcomputer auszuführen, heißt es in einem diese Woche veröffentlichten Blog-Post. Die Schwachstellen betreffen die Open Automation Software OAS Platform, Version 16.00.0112.
OAS, das vom gleichnamigen Unternehmen angeboten wird, erleichtert den Datentransfer zwischen proprietären Geräten und Anwendungen, einschließlich Software und Hardware. Das Herzstück ist ein sogenannter Universal Data Connector, der laut OAS-Website die „Bewegung und Umwandlung von Daten für kritische Geschäftsprozesse wie maschinelles Lernen, Data Mining, Reporting und Datenvisualisierung“ ermöglicht.
Die OAS-Plattform wird häufig in Systemen eingesetzt, in denen eine Reihe unterschiedlicher Geräte und Software miteinander kommunizieren müssen, weshalb sie häufig in ICS zu finden ist, um Industrie- und IoT-Geräte, SCADA-Systeme, Netzwerkpunkte und benutzerdefinierte Apps und APIs sowie andere Software und Hardware zu verbinden. Zu den Unternehmen, die diese Plattform nutzen, gehören Intel, Mack Trucks, die US-Marine, JBT AeroTech und Michelin.
Kritische Infrastrukturen in Gefahr
Die Präsenz der OAS-Plattform in diesen Systemen ist der Grund, warum die Schwachstellen unglaublich gefährlich sein können, bemerkte ein Sicherheitsexperte und wies darauf hin, dass diese Geräte oft für den Betrieb hochsensibler Prozesse in kritischen Branchen wie Versorgungsunternehmen und der verarbeitenden Industrie verantwortlich sind.
„Ein Angreifer, der in der Lage ist, die Funktion dieser Geräte zu stören oder zu verändern, kann kritischen Infrastruktureinrichtungen katastrophale Schäden zufügen“, schrieb Chris Clements, Vice President of Solutions Architecture beim Sicherheitsunternehmen Cerberus Sentinel, in einer E-Mail an Threatpost.
Besonders gefährlich bei ICS-Angriffen sei, dass sie nicht sofort offensichtlich seien, was ihre Entdeckung erschwere und es ihnen ermögliche, erheblichen Schaden anzurichten, ohne dass die Betreiber davon etwas mitbekommen.
Clements nannte den inzwischen berüchtigten Stuxnet-Wurm, der sich vor mehr als 10 Jahren verbreitete, als Beispiel dafür, wie viel Zerstörung eine ICS-Bedrohung anrichten kann, wenn sie unter dem Radar fliegt.
Stuxnet „war eine Fallstudie über diese Risiken, da er die industriellen Steuergeräte, auf die er abzielte, nicht sofort zerstörte, sondern ihre Funktion so veränderte, dass kritische industrielle Komponenten schließlich katastrophal ausfielen, während er den Überwachungssystemen fälschlicherweise meldete, dass alles normal funktioniere“, sagte er.
Die Schwachstellen
Von den von Cisco Talos entdeckten Schwachstellen in OAS wird diejenige mit der kritischsten Einstufung im CVSS (9.4) als CVE-2022-26833 oder TALOS-2022-1513 verfolgt. Es handelt sich dabei um einen unzulässigen Authentifizierungsfehler in der REST-API in OAS, der es einem Angreifer ermöglichen könnte, eine Reihe von HTTP-Anfragen zu senden, um die API unauthentifiziert zu nutzen, so die Forscher.
Die von den Forschern als schwerwiegendste Schwachstelle eingestufte Schwachstelle erhielt im CVSS eine Bewertung von 9.1 und wird als CVE-2022-26082 oder TALOS-2022-1493 geführt. CVE-2022-26082 ist eine Dateischreibschwachstelle in der OAS-Engine SecureTransferFiles-Funktionalität, die es einem Angreifer ermöglichen könnte, durch eine speziell gestaltete Reihe von Netzwerkanfragen beliebigen Code auf dem Zielrechner auszuführen.
Die anderen von Cisco Talos entdeckten Schwachstellen wurden als sehr schwerwiegend eingestuft. Die Schwachstelle, die zu DoS führen könnte, wird als CVE-2022-26026 oder TALOS-2022-1491 verfolgt und ist in der OAS Engine SecureConfigValues-Funktionalität der Plattform zu finden. Sie kann es einem Angreifer ermöglichen, eine speziell gestaltete Netzwerkanforderung zu erstellen, die zum Verlust der Kommunikation führen kann.
Zwei weitere Schwachstellen, CVE-2022-27169 bzw. TALOS-2022-1494 und CVE-2022-26067 bzw. TALOS-2022-1492, können es einem Angreifer ermöglichen, eine Verzeichnisliste an einem beliebigen Ort zu erhalten, der vom zugrunde liegenden Benutzer zugelassen ist, indem er eine bestimmte Netzwerkanforderung sendet, so die Forscher.
Eine weitere Schwachstelle, die als CVE-2022-26077 oder TALOS-2022-1490 bekannt ist, funktioniert auf die gleiche Weise, so die Forscher. Allerdings liefert diese Schwachstelle dem Angreifer auch eine Liste von Benutzernamen und Passwörtern für die Plattform, die in zukünftigen Angriffen verwendet werden könnten, sagten sie.
Die beiden anderen Schwachstellen könnten es einem Angreifer ermöglichen, externe Konfigurationsänderungen vorzunehmen, einschließlich der Möglichkeit, eine neue Sicherheitsgruppe und/oder neue Benutzerkonten willkürlich auf der Plattform zu erstellen. Sie werden unter den Bezeichnungen CVE-2022-26303 oder TALOS-2022-1488 und CVE-2022-26043 oder TALOS-2022-1489 geführt.
Aktualisierungen werden dringend empfohlen, können aber einige Zeit in Anspruch nehmen
Cisco Talos hat mit OAS zusammengearbeitet, um die Probleme zu beheben, und rät den Betroffenen dringend, so bald wie möglich ein Update durchzuführen. Betroffene Nutzer können die Schwachstellen auch dadurch entschärfen, dass sie für eine angemessene Netzwerksegmentierung sorgen, die Angreifern nur einen geringen Zugriff auf das Netzwerk ermöglicht, über das die OAS-Plattform kommuniziert, so die Forscher.
Obwohl die Aktualisierung von Systemen der beste Weg ist, um sich vor potenziellen Angriffen zu schützen, wenn Schwachstellen vorhanden sind, ist dies oft keine schnelle und einfache Aufgabe, insbesondere für ICS-Betreiber, so die Sicherheitsexperten.
Aufgrund der Beschaffenheit der Systeme ist es eine „immens störende“ Aufgabe, industrielle Systeme vom Netz zu nehmen, weshalb ICS-Patches oft um Monate oder Jahre verzögert werden, so Clements.
Einige Teile dieses Artikels stammen aus:
threatpost.com
NCSC-Bericht deckt auf, dass Phishing-Köder immer häufiger als Impftermine getarnt werden