Forensic Investigations / Fi Blog

Fi Blog

Die Hersteller der Automatisierungsbranche sind in puncto Sicherheit der IT-Branche immer noch weit hinterher, obwohl sie hier noch wichtiger ist als in der Office-IT. Die IT-Sicherheit ist essentielle Grundlage jeder Betriebssicherheit („Safety“). Dennoch tauchen immer wieder gravierende Sicherheitsmängel auf, die hier schon oft thematisiert wurden. Die Branche übernimmt nicht in ausreichendem Maße die Verantwortung für Ihre Produkte und wälzt somit Kosten und Risiken auf die Anwender ab.

ReVuln "0day" video

Unabhängige Sicherheitsforscher, die solche Risiken aufdecken, sehen in aller Regel keinerlei Lohn für ihre Arbeit oder werden gar noch juristisch bedroht. Fehler werden gerne lieber klein geredet statt sie konsequent zu beheben. Nun ziehen einige Akteure die Konsequenzen daraus. Die Firma ReVuln verkauft die Schwachstellen nun einfach – mit positiven wie negativen Konsequenzen.

Hinter ReVuln stehen Donato Ferrante und Luigi Auriemma – letzterer ist u.a. bereits durch die (kostenlose) Erforschung und Veröffentlichung einiger Sicherheitslücken im Industriebereich und die Entdeckung einer Lücke im Remote Desktop Protocol (RDP ) von Windows kein Unbekannter.

Entsprechend dem Video sollen konkret folgende Hersteller betroffen sein:

Eaton

  • 2x Remoteausführung beliebiger Befehle/Remote Shell
  • 1x Übernahme bestehender Sitzungen ("Session Hijacking") mit Remote Shell

General Electric Energy

  • 2x Remoteausführung beliebiger Befehle
  • 2x Herunterladen von beliebigen Dateien

Kaskad

Bild aus der ReVuln "0day" Demo

  • 1x Remoteausführung beliebiger Befehle

Rockwell Automation

  • 1x Remoteausführung beliebiger Befehle

Schneider Electric

  • 1x Remoteausführung beliebiger Befehle

SIEMENS

  • 1x Remoteausführung beliebiger Befehle

"Null Disclosure"

In welchen Produkten diese Lücken konkret enthalten sind, gab ReVuln naturgemäß nicht an. Im Gegensatz zu den bisherigen Veröffentlichungen, die nur "Proof of Concepts" (PoCs) waren, handelt es sich bei den Vorführungen im Video offenbar um vollwertige Exploits . PoCs können nur von Experten zu vollwertigen Exploits ausgearbeitet werden – PoCs selbst eignen sich nicht, ein System vollständig zu kapern. Mit fertigen Exploits ist dies jedoch auch für einen Laien leicht möglich.

Die Firma arbeitet offenbar – ähnlich dem französischen Schwachstellen-Broker VUpen – nach dem nicht unumstrittenen, sogenannten "Null Disclosure" Prinzip.

Schwachstellen werden dabei nicht an den Hersteller gemeldet, sondern auf dem Graumarkt (Schwarzmarkt?) gehandelt. Erfährt der Hersteller von der Sicherheitslücke und kann diese entsprechend beheben, ist die Lücke "verbrannt". Aufkäufer solcher sogenannter "Zero Days" sollen dabei hauptsächlich Geheimdienste sein. Diese nutzen sie mutmaßlich, um in Netze in anderen Staaten einzudringen oder Trojaner auf die PCs Ihrer Bürger einzuschmuggeln.

Wie es kommen musste

Nach der bisherigen Haltung der Branche ist es kaum verwunderlich, dass nun nach diesem Prinzip gearbeitet wird. Die Hersteller haben ihre Hausaufgaben nicht erledigt, diese von anderen erledigen lassen, und dann abgeschrieben – für die geleistete Arbeit hat wohl keines der allgemein gut verdienenden Unternehmen bezahlt, teilweise wurde die Fehlerbehebung gar noch boykottiert .

Ich kenne das nur zu gut, beispielsweise habe ich SIEMENS mehrmals angeboten, bei der Behebung der Mängel in ihren Produkten zu helfen – ohne Erfolg. Man vertraut weiterhin felsenfest den eigenen Leuten, die sich seit Jahren nicht gerade mit Ruhm bekleckern (Zitat eines US-Kollegen: „fundamentally flawed product“).

Sicherheitsforschung: Geschäftsmodelle und Verantwortungsbewusstsein

Es ist nur dem Verantwortungsbewusstsein von uns Sicherheitsforschern zu verdanken, dass bisher noch wenig ernsthaftes passiert ist – dennoch möchten wir unsere Arbeit wie jeder andere gerne bezahlt bekommen. Prinzipiell gibt es fünf Möglichkeiten:

  1. an den Hersteller geben (der will aber nichts zahlen, und ich habe nichts zu verschenken)
  2. an die Anwender geben (die können aber nichts dagegen machen, wollen ebenfalls nichts bezahlen, da ja ihr Hersteller verantwortlich ist)
  3. an irgend wen geben (will aber ich wieder nicht, da dies m.E. verantwortungslos ist)
  4. veröffentlichen (bringt kein Geld und birgt Risiken, wenn Details angegeben werden – falls nicht werden die Bugs einfach ignoriert)
  5. auf den „Zero Days“ sitzen bleiben (dafür habe ich mich momentan entschieden)

Würden wir die Lücken einfach an jemand beliebigen geben, der dafür zahlt, wäre der GAU wohl schon längst eingetreten – dies ist jedoch leider das einzige Modell, das momentan wirtschaftlich funktioniert. Wenn die Hersteller Probleme ignorieren, spielt die Zeit in jedem Fall gegen ihre Anwender – auf dem Schwarzmarkt gibt es ebenso Leute, die Sicherheitslecks finden können, und diese werden sicher keinerlei solche Skrupel haben, diese gewinnbringend zu nutzen.

Die Stunde der Wahrheit

Microsoft hat seine Lektion bereits vor über 10 Jahren gelernt . Für die Automatisierungsbranche steht dies nach wie vor aus. Da diese Systeme traditionell isoliert(er) waren, jetzt aber zunehmend vernetzt werden (Machine2Machine-Kommunikation , Manufacturing Execution Systeme , Enterprise Resource Planning , Fernwartung, ...), sind sie genauso von der allgemeinen Entwicklung betroffen wie die IT, wenn auch etwas zeitverzögert.

Die Stunde der Wahrheit ist gekommen – wer jetzt nicht handelt, wird vielleicht vom Markt weg konsolidiert werden. Hersteller, die die Sicherheit ihrer Kunden wirklich ernst nehmen, sollten ein "Bug Bounty" Programm anbieten, das Sicherheitsforscher angemessen für ihre Arbeit entlohnt, wie ich es seit Jahren fordere – alles andere ist nur hohles Marketing-Geschwätz ("Selbstverständlich nehmen wir die Sicherheit unserer Kunden sehr ernst" – nicht nur sagen, zeigen!).

Es ist bedauerlich für alle Anwender, die jetzt unter Umständen die Leidtragenden sind, dass es so weit kommen musste. Ein solch brutaler Weckruf für die Branche war aber abzusehen und ist scheinbar auch unausweichlich.

Ein solches Risiko für die Anwender war absolut vermeidbar, hätten die Hersteller die Verantwortung übernommen – auch in finanzieller Hinsicht, schließlich sind dies letztendlich Kosten, die man bei der Produktentwicklung eingespart hat, offensichtlich aber hätte investieren müssen.

Sollte ein Vertreter der betroffenen Unternehmen dies lesen – wir sind auf der SPS/IPC/Drives 2012 und bereit zu helfen (Terminabsprache zwingend erforderlich – wir haben keinen eigenen Stand).


Die CoDeSys Runtime der Kemptener Softwareschmiede 3S Smart Software Solutions GmbH ist ein Programmiersystem für speicherprogrammierbare Steuerungen (SPS) nach IEC 61131-3 .

Das System wird von Leittechniksystemherstellern (OEMs ) als Software-Basis verwendet. Zu dem Kunden von 3S Smart Software Solutions gehören laut Referenzliste mehr als 250 mehr als 350 Hersteller, u.a. Größen wie ABB, Alstom, Beckhoff, Bosch Rexrodt, Eaton, MAN, Mitsubishi, Schneider Electric und WAGO.

Durch ein Sicherheitsleck ist es u.a. möglich, ohne Authentifizierung

  • Dateien von und zur SPS zu übertragen
  • beliebige Kommandos auszuführen (Root-Shell)
  • Anwendersoftware von der SPS zu stehlen und die SPS neu zu programmieren.

Die Implementierung der CoDeSys Runtime durch den jeweiligen OEM-Hersteller kann gegebenenfalls gar nicht oder nur teilweise für diese Fehler anfällig sein. Welche Hersteller bzw. Produkte genau betroffen sind, ist nicht abschließend bekannt – die Liste der Geräte, die das System benutzen ist lang. Bisher ist jedoch lediglich ein einzelner Hersteller entdeckt worden, dessen Produkte nicht anfällig für die Sicherheitslücken sind.

Wir haben unsere Bestandskunden am ersten Tag des Bekanntwerdens (25.10.2012) hierüber informiert.

Das ICS-CERT hat inzwischen auch eine Warnung veröffentlicht: ICS-ALERT-12-097-02A .

Stellungnahme des Herstellers

Auch CoDeSys reagierte mittlerweile, wenn auch mit einem relativ enttäuschenden Statement :

  • [...] Eine passwortgeschützte und öffentlich zugreifbare CODESYS Steuerung ist trotz Passwortschutz noch ansprechbar. So können [...] weiterhin etwa Kommandos mit der Shell der Steuerung ausgeführt oder Applikationen geladen werden.
    [...]
    Generell stellen wir in CODESYS keine Bordmittel zur Verfügung, die eine Steuerung vor einem ernsthaften Angriff aus dem Internet schützen sollen. Sollten wir dieses mit der vorhandenen Passwort-Funktion suggeriert haben, war das nicht beabsichtigt. [...]

Einschätzungsverfehlung

Noch im ersten Absatz wird noch von einem "Passwortschutz" gesprochen, später nur noch von "Passwort-Funktion". Eine solche Wortklauberei ist nicht zielführend. Welchen Zweck außer dem "Passwortschutz" eine "Passwort-Funktion" ansonsten haben sollte, bleibt die Erklärung ebenso schuldig.

Ist es realistisch, dass der Anwender annimmt, dass eine "Passwort-Funktion" etwa dazu dient

  • seine Fähigkeiten beim Maschineschreiben aufzufrischen oder
  • ihm helfen soll, den Arbeitstag herum zu bekommen?

Natürlich ist das absurd – die Benennung der Funktion und das allgemein Übliche definiert eine ganz klare Anwendererwartung.

Der Anwender konnte gar nicht erkennen, dass die "Passwort-Funktion" kein "Passwortschutz" ist. Gibt man von der CoDeSys-IDE aus das falsche Passwort an, wird der Zugang nämlich – genau wie erwartet – nicht gewährt. Lediglich durch andere Mechanismen wie selbstgeschriebene Programme ist es möglich, ohne Passwort zuzugreifen.

Kommunikationsverfehlung

Leider informiert dieses Statement auch nicht darüber, dass neben v2.3 auch noch andere – wahrscheinlich alle – Versionen betroffen sind, wie mittlerweile aus Fachkreisen zu hören ist. Ebensowenig wird klar kommuniziert, dass dieser Mangel ein kritisches Risiko darstellt, selbst wenn die SPS nicht vom Internet – also "öffentlich" – zugänglich ist und – wie empfohlen – durch Firewall(s) und VPN(s) geschützt ist. Des weiteren benötigt es dafür keinen "ernsthaften Angriff" um die Sicherheitslücke auszunutzen – ein Herumprobieren von 'Skript-Kiddies ' mit frei verfügbaren Werkzeugen genügt. Auch ein verärgerter Mitarbeiter ('malicious Insider') wird die Lücke ebenfalls ohne große technische Kenntnisse nutzen können.

Fazit

In puncto Kommunikation wurde ein Großteil von dem falsch gemacht, was falsch zu machen ist. Das Statement hat m.E. folgende Grundregeln verletzt:

  • die Problematik weder zu verharmlosen noch zu dramatisieren,
  • nicht zu versuchen, unhaltbare Entschuldigungen oder Ausreden zu suchen,
  • objektiv richtig, klar und eindeutig zu sein,
  • konstruktive Hilfestellung statt bekannten Phrasen und Allgemeinplätzen zu bieten
  • einen Ausblick auf eine Problemlösung für den Endanwender zu bieten

Gerne beraten wir Hersteller und Anwender auch in Kommunikationsfragen bei Sicherheitsvorfällen.

Immerhin hat man wohl für OEM-Kunden eine fehlerbereinigte Version bereitgestellt. Ob und wann die OEMs diese Fehlerbereinigung in Ihre Produkte integrieren, bleibt jedoch dem einzelnen Hersteller überlassen. Schön wäre es, wenn CoDeSys seine OEMs aktiv anhalten würde, die Fehlerbereinigung auf Ihre Geräte anzuwenden, aktualisierte Firmware bereitzustellen oder zumindest einen Zeitplan zu nennen – geht dies doch auf ursächlich auf das Unternehmen zurück.

Der Sachschaden für einen offensichtlich vermeidbaren Fehler ist enorm –

  • i Hersteller x j Produkte x k Anwender x m Installationen x n € pro Feld-Upgrade

extrem konservative Abschätzung:

  • 100 Hersteller x 1 Produkt x 100 Anwender x 10 Installationen x 50 € pro Feld-Upgrade = 5 Mio. € +++ verbrannt

– dies zeigt die besondere Verantwortung von Platformanbietern. Kosten für die OEMs sind dabei noch nichtmal mitberechnet.

Leider erfährt der Endanwender bisher noch nicht einmal, ob sein Gerät betroffen ist oder nicht.

Kostenloser Test

Wenn Sie uns ein Exemplar Ihrer Steuerung postalisch zukommen lassen, testen wir diese kostenlos auf den Fehler! (Nur nach vorheriger Absprache , Rückversand erfolgt unfrei. Wir behalten uns vor, den kostenlosen Test auch ohne Angabe von Gründen abzulehnen.)

Automatisierte Tools können dies bei der Vielfalt der unterschiedlichen Implementierungen durch die einzelnen Hersteller gegenwärtig (noch) nicht leisten.

Gerne testen wir Ihre Systeme auch vor Ort (normal kostenpflichtig) professionell und neutral auf die Existenz dieser und anderer Schwachstellen.

UPDATE 23.11.2012: 3S / CoDeSys hat die Homepage überarbeitet. Die Listen der Hersteller und Geräte, die das System einsetzen, lässt sich nicht wieder auffinden, weder über die Homepage noch über Google. Links aktualisiert bzw. entfernt.

UPDATE 19.12.2012: Der 3S / CoDeSys Support hat mir geschrieben, die Homepage sei zur SPS/IPC/Drives 2012 auf das neue CI Design umgestellt worden. Es sei unrichtig, dass die Geräteliste jemals nicht mehr auf der Homepage verfügbar war. Möglich, dass ich sie nur übersehen hatte und Google die neue Seite noch nicht indexiert hatte. Auf jeden Fall ist sie auch auf der neuen Seite online . Hier ist gar von über 350 Herstellern die Rede.

Auf meine Nachfrage, welche Geräte nun konkret von dem Problem betroffen seien und wie der aktuelle Status zur Verfügbarkeit von Updates der einzelnen Hersteller sei, erklärte man, dass man dazu nichts sagen könne, da die OEMs keine Rückmeldung gäben und man nicht wisse, welche Varianten und Versionsstände in Ihren Produkte integriert wurden.


RuggedCom, Hersteller von Netzwerktechnik, die besonders für den Einsatz in den kritischen Bereichen Energie, Militär, Transportwesen und produzierendem Gewerbe angepriesen wird, schreibt die neueste Posse bei den nicht abreißenden Pannenserien in der Leittechnik.

Bereits vor über einem Jahr war der Hersteller von dem Sicherheitsforscher Justin W. Clarke benachrichtigt worden, dass sich die Zugangspassworte zu seinem mit dem "Rugged Operating System" (ROS) ausgerüsteten Geräten ganz leicht anhand deren MAC-Adressen berechnen lassen. Der Hersteller räumte die Sicherheitslücke zwar offenbar ein, boykottierte aber deren Beseitigung. Nicht einmal die Einschaltung des US-CERT konnte den Hersteller dazu bewegen, diesen Mangel zu beheben, obwohl dessen Beseitigung -zumindest für den Hersteller- sicherlich trivial und mit vergleichsweise geringem Aufwand verbunden gewesen wäre.

Die Bezeichnung "Rugged" (dt. robust, stabil) mutet in diesem Kontext deshalb einmal mehr wie ein schambefreiter Marketing-Hype an. Es lässt sich nicht genau festmachen, ob es mangelndes Sicherheitsbewusstsein, Fehlorganisation, mangelnde Kultur beim Umgang mit eigenen Fehlern, bloße Ignoranz, gar Absicht oder eine Kombination dieser Faktoren ist, die dazu führen, dass hier nicht gehandelt wird. Vielleicht sollten sich solche Herstellerfirmen hier an den Weisheiten der Shaolin-Mönche orientieren:

  • Lernen ohne zu denken ist umsonst,
    denken ohne zu lernen ist gefährlich.
    Einen Fehler zu begehen und ihn nicht zu korrigieren,
    erst das heißt wirklich einen Fehler zu begehen.

Es ist eigentlich fast unmöglich, dass einem ein solcher gravierender Mangel selbst bei einer nur einigermaßen gewissenhaften Prüfung der eigenen Produkte "durch die Lappen" geht. Das ein solch gravierendes Problem aber nach über einem Jahr nicht abgestellt wurde, kann selbst mit Unfähigkeit schwerlich noch erklärt werden. Dabei kann es sich fast nur noch um gezielte Politik oder integrale, unter Umständen die eigene Existenz bedrohende Strukturmängel innerhalb des Unternehmens handeln.

Diese Politik kommt schon in der verwendeten Sprache zum Ausdruck - im Hersteller-Advisory spricht man lieber von einem "Problem" statt von einer knallharten Sicherheitslücke und sichert natürlich zu, dass dies überprüft wird. Es ist für mich äußerst fraglich, was man -nach mehr als einem Jahr- noch überprüfen möchte und noch nicht weiß, oder längst hätte wissen müssen.

Womöglich wird einmal mehr solange überprüft, bis wieder Gras über das "Problem" gewachsen ist, wenn das Thema wieder aus den Medien verschwunden ist. Dem Sicherheitsforscher, den man bei Dutzenden Zuschriften kaum mehr als ignoriert hat, dankt man noch recht höflich oder erklärt gar, dass diesem der Einblick in die Materie oder das Wissen um die Zusammenhänge fehle. Diese Strategien riechen irgendwie nach einem Deja Vu.

Ironie des Schicksals: RuggedCom war erst kürzlich von SIEMENS übernommen worden. Na dann - auf das zusammenwächst, was zusammen gehört!

UPDATE 30.04.2012: Das ICS-CERT hat ein aktualisiertes Advisory veröffentlicht, lt. dem der Hersteller beabsichtigt, innerhalb des nächsten Monats einen Patch zu veröffentlichen. RuggedCom hat seine Advisory-Seite aktualisiert und spricht nun klar von einer "factory backdoor". Der Hersteller will zudem die unsicheren (und in aller Regel unnötigen) Telnet- und RSH-Zugänge standardmäßig abschalten. Warum nicht gleich so.


SCADA Security Scientific Symposium (S4)

Im Rahmen des „Project Basecamp“ des „SCADA Security Scientific Symposium (S4)“ in Miami wurden Speicherprogrammierbare Steuerungen (SPSen, engl. Programmable Logic Controller (PLC)) und Remote Terminal Units (RTUs) wohl das erste mal unabhängig untersucht. Den Auftakt machte bereits letztes Jahr Dillon Beresfords Vortrag auf der BlackHat-Sicherheitskonferenz 2011 , der diverse Fehler wie Passwort-Replay und Backdoors in S7-Steuerungen von SIEMENS nachwies. Nun wurden Geräte verschiedenster Hersteller einer Untersuchung unterzogen. Wie nicht anders erwartet, sind dabei diverse Mängel aufgeflogen.

Eklatante Mängel in vielen Bereichen. Bild (c) Dale G. Peterson.

Von diesen Geräten wurden wieder hunderte Geräte am öffentlichen Internet gefunden. Bereits letztes Jahr hatten wir davor gewarnt , die Warnung scheint jedoch einige Anwender nicht erreicht haben.

Faktenlage ein offenes Geheimnis

Es ist ein offenes Geheimnis, dass in der Industrie eingesetzte Leittechnikkomponenten wie SPSen und RTUs extrem fehleranfällig sind. Dies ist jedem bekannt, der schon einmal ein Security Audit bzw. einen Penetrationstest im Industriebereich durchgeführt hat. Auch vielen Anwendern ist die Problematik bekannt. Selbst simpelste Tests wie Ping Sweeps oder übergroße Pakete bringen derartige Hardware oft zum Stillstand (Denial of Service (DoS)).

Entschlossenes Handeln leider Fehlanzeige

Trotzdem handeln sowohl Hersteller als auch Anwender nicht entschlossen genug, um eine bekannte Problematik in den Griff zu bekommen. Selbst der Stuxnet-Weckruf scheint nicht ausgereicht zu haben, dass die Hersteller ihre Geräte endlich sicher machen.

Obwohl die Hersteller zig Millionen mit ihren Geräten verdienen, müssen Sicherheitsforscher ohne jedes Budget Ihre Freizeit opfern, um solche Mängel im Sinne der Endanwender herauszufinden.

Die Anwender müssen hier darauf beharren, dass die Fehler beseitigt werden. Es kann nicht sein, Probleme als gegeben hinzunehmen, die im IT-Bereich niemals akzeptabel wären, obwohl die Auswirkungen im ICS-Bereich noch gravierender sein können.

Es bleibt abzuwarten, ob sich andere Hersteller hier professioneller verhalten als SIEMENS nach Beresfords Vortrag. Beim Elektroriesen verläuft offenbar alles im Sande: Probleme werden entweder ignoriert oder als Nicht-Problem umdefiniert.

Ich empfehle vorsorglich einen Blick auf das gute alte „Security Excuse Bingo “ - wenn Sie solche oder ähnliche Sprüche hören, läuft eindeutig etwas falsch...

UPDATE 11.04.2012: Aktualisierte Alerts des ICS-CERT; zu General Electric D20ME, Rockwell Automation / Allen-Bradley ControlLogix und MicroLogix, Schneider Electric Modicon Quantum und Koyo / Direct LOGIC H4-ES sind öffentliche Exploits erschienen. Informationen oben ergänzt und Links aktualisiert. Konkrete Problemlösungen sind bisher leider immer noch nicht vorhanden.

UPDATE 12.04.2012: Als wollten Sie mich Lügen strafen veröffentlicht Koyo als erster Hersteller Firmware-Updates; Abschnitt oben entsprechend ergänzt.


Innerhalb weniger Tage wurden zwei verschiedene Angriffe auf Betriebsstätten von US-amerikanische Wasserver- und Entsogungsbetriebe bekannt.

Pumpenschaden in Springfield, Illinois

Beim ersten Angriff wurde laut Bericht von The Register eine Pumpe mutmaßlich durch wiederholtes Ein- und Ausschalten zerstört. Die betroffene Anlage soll sich in Springfield, Illinois befinden und bereits mehrere Monate von Hackern infiltriert gewesen sein.

Die Angaben sollen aus einem offiziellen Regierungsbericht stammen, der einem Sicherheitsspezialisten zugespielt wurde. FBI und Department of Homeland Security (DHS) würden ermitteln, hieß es in einem offiziellen Statement des DHS.

Die Behörde hat jedoch offenbar darauf verzichtet, die Öffentlichkeit oder andere Betreiber solcher kritischer Infrastrukturen zu informieren.

Einbruch in South Houston, Texas

Durch den Vorfall und die Vorgehensweisen offizieller Stellen wurde offenbar ein weiterer Hacker auf den Plan gerufen. Er drang nach eigenen Angaben in die Systeme der Wasserver- und Entsorgung von South Houston, Texas ein und fertigte einige Screenshots des Systems an. Eine Beschädigung der Anlage lag jedoch offenbar nicht in seiner Intention.

Zu seinen Beweggründen sagte er, er sei es leid, dass das DHS dazu tendiere, den "absolut erbärmlichen Zustand der nationalen [kritischen] Infrastrukturen herunterzuspielen".

Der Hacker sagte im Interview mit ThreatPost, sein Angriff sei "kein Advanced Persistant Threat", kein Ergebniss "unglaublicher technischer Fähigkeiten", sondern "krasser Dummheit".

HMI-Bild der Abwasseraufbereitung Michigan Street, Satelitenfoto zum Vergleich

Er benötigte "so gut wie gar keine Kenntnisse", "ein zweijähriger mit SIMATIC-Grundkenntnissen könne einen solchen Angriff reproduzieren" ergänzte er in seinem Statement bei Pastebin.

Ursache für den Einbruch war offenbar ein direkt über das Internet erreichbare HMI-Bedienoberfäche des Wasserwerks in Kombination mit mangelhafter Kennwortsicherheit. Das Kennwort sei nur drei Zeichen lang gewesen, behauptet der Hacker.

Bewertung, Hoax oder nicht?

Solche Angriffe benötigen auf einer Kenntnisskala von 1 bis 10 sicher nur 1-2 Punkte. Mit 3-4 Punkten lassen sich gegen solche schwach geschützten und mit gravierenden Designfehlern behafteten Systeme schon Angriffe gegen Sicherheitslücken durchführen, die weltweite Auswirkungen haben könnten. Aber selbst viel trivialere Mittel als solche Exploits genügen oft bereits.

HMI-Bild Tank und Wasserturm in der Nevada Street, Satelitenfoto und Street View zum Vergleich.

Bestätigt wurde der zweite Angriff bisher nicht. Es wäre aber nicht das erste Mal, dass Automatisierungssysteme über das öffentliche Internet erreichbar sind . Die HMI-Bilder der Anlage entsprechen auf den ersten Blick bei der

HMI-Bild mit Rechtschreibfehler, Wassertank in der Virginia Avenue, Satelitenfoto und Street View zum Vergleich

Das Anlagenbild enthält hier zwar einen Schreibfehler ("Virgina" statt "Virginia"), was auch auf einen Hoax hindeuten könnte. Allerdings wäre für einen solchen Scherz sehr viel Aufwand erforderlich, weshalb ich nicht an ein Fake glaube.

Fraglich bleibt dann allerdings, warum die zuständigen Behörden einen solchen gravierenden Sicherheitsmangel nicht entdeckt haben, der noch dazu einfach und bequem vom Büroschreibtisch aus aufzuspüren ist.

UPDATE 29.11.2011: Der erste Fall (Pumpenschaden) passierte im Curran-Gardner Water District, Springfield, Illinois. Eine Warnung des Illinois State Terrorism and Intelligence Center (STIC) war in die Öffentlichkeit gelangt und bennante als Ursache einen Hackerangriff von russischen IP-Adressen. Das Dokument liegt Forensic Investigations vor. Der Vorsitzende der Wasserbetriebe, Don Craver, hatte in einem Interview ebenfalls bestätigt , dass es Anzeichen eines Einbruchs gegeben habe.

Das ICS-CERT verneint den Vorfall nun nicht explizit , sondern führt lediglich an, das dafür keine Beweise vorlägen. Kleiner aber feiner Unterschied. Es wäre auch ein ungutes Signal, wenn bekannt würde, dass kritische Infrastrukturen oftmals sehr leicht angreifbar sind. Forensic Investigations liegen weitere nicht-öffentliche Dokumente vor, aus denen hervorgeht, dass man genau solche Angriffe befürchtet.

Zu dem zweiten Vorfall in South Houston, Texas wird keine Stellung bezogen, was für sich ebenfalls aussagekräftig ist.

UPDATE 02.12.2011: Beim ersten Fall, dem Pumpenschaden im Curran-Gardner Water District, Springfield, Illinois handelte es sich nicht um einen Hackerangriff. Vielmehr war Jim Mimlitz, Techniker bei einem Dienstleister des Wasserwerks, gebeten worden, sich die Probleme mit der Pumpe anzuschauen. Er befand sich gerade im Urlaub in Russland - daher verzeichneten die Logs Zugriffe von russischen IP-Adressen unter seinem Login-Namen.

Das Wasserwerk alarmierte die Terrorismusabwehr Illinois State Terrorism and Intelligence Center (STIC), das FBI ermittelte, und das ICS-CERT bei der Heimatschutzbehörde DHS entsandte ein Einsatzkommando mit dem Flugzeug. Keiner dieser vier Akteure war schlau genug, das Offensichtliche zu tun: den Dienstleister anzurufen und zu fragen, ob und von wo er sich eingeloggt hatte. Das STIC machte sich offenbar auch mehr Sorgen darum, wie sein vertraulicher Bericht an die Öffentlichkeit gelangen konnte, als um die Verifikation des Inhalts. Mit dem angeblich gehackten Dienstleister hat man vor der Veröffentlichung der Warnung noch nicht einmal Kontakt aufgenommen.

Laut Mimlitz' Aussage war es außerdem klar ersichtlich, dass ein mechanischer oder elektrischer Schaden Ursache für das Pumpenversagen war. Das eigentlich Interessante in dem Interview mit Jim Mimlitz ist jedoch, dass das System für den Remote-Zugriff uralt und offenbar völlig fehlkonfiguriert war, was ständig Probleme bei der Anmeldung verursachte. Mangelnde Wartung und fehlerhafte Konfiguration solcher Systeme kann tatsächlich leicht die Tür für einen Hackerangriff aufreißen. Ebenfalls fraglich bleibt, warum Anmeldungen aus Russland überhaupt möglich sind, wenn man sich doch so sehr vor ihnen fürchtet.

Entgegen einigen Medienberichten, die beide Fälle miteinander in Verbindung brachten, ist der zweite Fall in South Houston, Texas bisher nicht als Fehlalarm enttarnt.

UPDATE 03.12.2011: Im Gegenteil ist der zweite Fall in South Houston, Texas bereits am 16.11.2011 durch ein Interview des örtlichen Bürgermeisters Joe Sato mit der Lokalzeitung The Houston Chronicle bestätigt worden . Amerikanische Lokalzeitungen sind etwas unterhalb meines Radars; danke an die US-Kollegen für den Hinweis. Der Hacker hat dort keinen Schaden angerichtet, da er das auch nicht beabsichtigte. Das betroffene System wurde erstmal vom Netz genommen.


Auch dieses Jahr werden wir wieder auf der SPS/IPC/DRIVES Messe 2011 anwesend sein, die dieses Jahr vom 22. bis 24. November wieder im Nürnberger Messezentrum stattfindet. Der Veranstalter Mesago Messemanagement war so freundlich, uns Dauerkarten zuzusenden.

Die Messe bricht dieses Jahr schon im Vorfeld mehrere Rekorde und vermeldet erstmals über 1.400 Aussteller aus fast 40 Ländern. Mit erstmals 12 Hallen wird die magische Marke von 100.000 m2 Ausstellungsfläche durchbrochen.

Vereinbaren Sie jetzt einen Termin , um mit uns über Themen wie Sicherheits-Auditierung Ihrer Produkte , Auditierung Ihres Produktionsnetzes oder SCADA/ICS-Sicherheit zu diskutieren.

Ein paar Termine sind kurzfristig noch zu vergeben. Wir freuen uns auf ein persönliches Kennenlernen.

Impressionen von der letztjährigen SPS/IPC/DRIVES Messe 2010 finden Sie hier .

UPDATE 25.11.2011: Wir bedanken uns recht herzlich für all die interessanten und konstruktiven Gespräche auf der Messe und die rege Nachfrage. Im Vergleich zum Vorjahr konnten wir ein stark ansteigendes Interesse am Thema Security verzeichnen und rannten bei einigen Herstellern offene Türen ein, während sich manche immer noch bedeckt hielten.

Die Messe selbst konnte mit über 56.000 Besuchern auch in dieser Hinsicht ebenfalls zulegen.

Nachfolgend ein paar Impressionen der SPS/IPC/DRIVES Messe 2011.

Am ersten Tag konnte die Messe mit Kaiserwetter aufwarten (Innenhof Richtung Halle 4A)

Einer der Hauptpublikumsmagneten der Messe war der Festo SmartBird

An der Software-Front bleiben noch Hausaufgaben zu erledigen...

SIEMENS will mit seinem neuen Geschäftsbereich 'Infrastructure & Cities' auch bei kommunalen Ver- und Entsorgern punkten.

Viele weitere Bilder finden Sie in der nachfolgenden Bildgallerie:


Lange schon war die Nachahmung des Stuxnet-Wurms in der Diskussion . Nun ist den Analysten von Symantec eine Duqu [dyü-kyü] getaufte Software aus dem europäischen Raum zugespielt worden. Die Malware sei Duqu getauft worden, da sie Dateien mit dem Präfix "~DQ" anlege. Symantec hat dazu ein technisches Papier , F-Secure und McAfee berichteten, das ICS-CERT hat ALERT-11-291-01 ALERT-11-291-01A ALERT-11-291-01B ALERT-11-291-01D ALERT-11-291-01E herausgegeben.

Anatomie des Rootkit-Teils von Duqu. Bild (c) Symantec

F-Secure schreibt , der Kernel Rootkit Treiber von Duqu (JMINET7.SYS) sei Stuxnet so ähnlich, dass deren Analyse-Systeme es für Stuxnet (MRXCLS.SYS) hielten.

Während Stuxnet mutmaßlich gestohlene Zertifikate der taiwanesischen Firmen RealTek und JMicron verwendete, sei die Duqu Malware mit einem Zertifikat der ebenfalls taiwanesischen Firma C-Media Electronics Incorporation signiert. Wie die beiden anderen Zertifikate sei es von VeriSign ausgestellt und am 14.10.2011 zurückgezogen worden. Dies dürfte aber nur wenig Wirkung zeigen, da ältere Systeme wie Windows XP dies nicht ausreichend überprüfen.

Symantec berichtet , Duqu sei nicht darauf ausgelegt, Automatisierungssysteme direkt zu sabotieren, sondern vielmehr sehr spezifische Dokumente wie Anlagen- und Gerätedesigns zur Vorbereitung zukünftiger Attacken zu stehlen. Der informationsstehlende Trojaner verfüge über eine Command & Control Infrastruktur, mit der er per HTTP oder HTTPS kommuniziere. Der C&C Server, über den die Steuerung des so gebildeten Botnets erfolgt, stünde in Indien und sei noch aktiv.

Das zurückgezogene Zertifikat der Rootkit-Komponente von Duqu (cmi4432.sys)

Der Verbreitungsweg sei noch unbekannt, die Malware würde sich im Gegensatz zu Stuxnet nicht selbst replizieren, sei also kein Wurm. Die Zahl der Organisationen, auf die die Malware abziele, sei sehr klein (<=2), darunter befänden sich Hersteller von Industrieautomatisierungssystemen. Als wahrscheinlichsten Verbreitungsweg kann man deshalb Social Engineering mittels Email- Scams mutmaßen. Die Schadsoftware würde sich zudem nach 36 Tagen selbst zerstören.

Zu den Fähigkeiten der Schadsoftware gehörten das Sammeln von Systeminformationen, Auswerten der Netzwerktopologie und das Aufzeichnen von Tastatureingaben ("Keylogging"). Es seien bereits mehrere Varianten aufgetaucht.

McAfee's Blogeintrag kann derzeit keine neuen Erkenntnisse beisteuern.

In den Medien wird hier vom "Vorgänger vom Nachfolger", "Sohn" oder "Bruder" von Stuxnet gesprochen. Bruder trifft es wohl am ehesten, da beide "genetisch" ähnlich sind. Ob es tatsächlich der "Vorgänger vom Nachfolger" ist, erscheint aus meiner Sicht spekulativ und unlogisch. Warum man erst von bestimmten Herstellern Informationen stehlen sollte erscheint schleierhaft, da ein weiterer Angriff nach diesem Schema auch so leicht möglich wäre.

UPDATE 21.10.2011: Das ICS-CERT hat einen aktualisierten Alert Alert , der die unzensierte IP-Adresse des Command&Control Servers benennt. Der Server wurde mittlerweile abgeschaltet.

Das Symantec-Papier zeigt keine wirklichen Besonderheiten des Trojaners. Interessant ist aber, dass Duqu die schon von Stuxnet bekannte Liste der zu umgehenden Virenscanner um die zwei chinesischen Hersteller Rising International und 360 erweitert hat. Auch interessant: Symantec hat laut Paper keine Ahnung, wie der Trojaner genau mit dem C&C Server kommuniziert(e), und wo im Code sich ein Selbstzerstörungsmechanismus befinden soll, weiß aber gleichzeitig, dass es genau nach 36 Tagen ist, und der Trojaner es selbst tut, und nicht ferngesteuert. Na dann.

Die Hashsummen der bisher bekannten vier Varianten des Duqu-Rootkits.

UPDATE 22.10.2011: Jetzt ist es offiziell: Duqu zielt NICHT auf Betreiber oder Hersteller von Automatisierungssystemen ab, vermeldet das ICS-CERT in Koordination mit Symantec und CrySyS , den Entdeckern von Duqu. Ich wollte es nicht so direkt schreiben, wie aber schon vermutet handelt es sich wohl um eine PR-Ente von Symantec. Ob die Geschichte mit dem Diebstahl sensitiver Dokumente von Automatisierungsherstellern gänzlich frei erfunden oder eine bloße Vermutung war, die als Faktum verkauft wurde, werden wir wohl nie erfahren. Der ICS-Security-Community wurde damit ein echter Bärendienst erwiesen.

Nebenbei hat das ICS-CERT im aktualisierten Duqu-Papier versäumt zu melden, dass neben den zwei bekannten Varianten noch zwei weitere gefunden wurden, weswegen ich das mit dem "ganz gezielten Angriff" auch nicht glauben konnte.
Die Rootkit-Treiber der vier bisher bekannten Varianten heißen "cmi4432.sys ", "jminet7.sys ", "adpu321.sys " und "nfrd965.sys ". Lediglich "cmi4432.sys" trägt eine vormals gültige digitale Signatur. Das zum Signieren benutzte Zertifikat wurde aber mittlerweile zurückgezogen.

UPDATE 27.10.2011: Aktualisierter Alert des ICS-CERT. Ergänzt werden Informationen aus einem Blog-Artikel von Kaspersky Labs. Berichtet wird dort von einem Infektionsfall im Sudan und drei Fällen im Iran. Dabei seien weitere, jeweils unterschiedliche, Dateinamen des Rootkit-Treibers festgestellt worden, namentlich "adp55xx.sys", "iraid18.sys", "igdkmd16b.sys", "bpmgs.sys" und "noname.sys". Ein Zusammenhang mit industriellen Automatisierungssystemen oder zwischen den Opfern bestünde nicht.

UPDATE 02.11.2011: Aktualisiertes Symantec-Papier zu Duqu. Symantec spricht von mittlerweile 14 Varianten.

Das "Verfallsdatum" des Trojaners lässt sich laut einem Blogeintrag von ESET in dessen Konfigurationsdatei angeben, analog zu Stuxnet. Dieses Verfallsdatum kann offenbar entsprechend verlängert werden.

Der Dropper (Duqu-"Installationsprogramm") wurde mittlerweile ebenfalls entdeckt. Er soll in einem Word-Dokument enthalten sein und nutzt eine bisher unbekannte Sicherheitslücke ("0day") in Microsoft-Betriebssystemen aus. Microsoft hat die Lücke bestätigt und arbeitet an der Behebung .

Command and Control Weiterleitung an das interne Netz mittels RPC-over-SMB. Bild (c) Symantec

Ein weiterer Server zur Fernsteurung ("Command & Control") in Belgien wurde entdeckt und vom Netz genommen.

Symantec und ESET berichten übereinstimmend, Duqu besitze einen zu Stuxnet analogen Kommunikationsmechanismus . Dieser könne Kommandos von einem infizierten Rechner mit Internetverbindung an einen internen Rechner ohne Internetverbindung weiterreichen. Dabei verwende Duqu RPC über SMB ("Named Pipes "), was von keiner Firewall blockiert werden wird.

Insgesamt also viele Parallelen, neben den völlig verschiedenen Payloads und Angriffszielen. Symantec spricht von mittlerweile 3 verschiedenen Payloads, die alle Informationen zu eingesetzten Systemen und/oder der Netztopologie entwenden.

UPDATE 04.11.2011: (!!!WICHTIG!!!) Microsoft hat ein Advisory und ein Fix-It herausgegeben, das die Ausnutzung der Sicherheitslücke (CVE-2011-3402 ) durch den Duqu-Installer verhindern soll. Die Sicherheitslücke betrifft alle Windows-Versionen und ermöglicht Privilegieneskalation. Der Fehler steckt im Windows-Kernel, genauer gesagt dem Parsen von TrueType Fonts. Voraussichtlich wird Microsoft diese Lücke mit dem November-Patchday am nächsten Dienstag (08.11.2011) noch nicht endgültig schließen. Es empfiehlt sich deshalb die Benutzung des Fix-Its, um kein zu großes Zeitfenster für eine Infektion entstehen zu lassen.

UPDATE 05.11.2011: Die im Advisory 2639658 beschriebenen manuellen Workarounds funktionieren unter Windows XP und Server 2003 nur für englischsprachige Windows-Versionen. In nicht-englischen Windows-Versionen ist der Benutzergruppenname "everyone" durch das jeweilige lokalisierte Äquivalent zu ersetzen (z.B. Deutsch: "Jeder"). Das Fix-It funktioniert auch auf nicht-englischen Sprachversionen. Sowohl die manuelle als auch die automatische Methode verhindern den Zugriff auf die Datei "t2embed.dll". Unter Windows XP und Server 2003 führt das zu der unerwünschten Nebenwirkung, dass die Updates KB972270 (MS10-001) und KB982132 (MS10-076) ständig erneut angeboten werden, auch wenn diese schon installiert sind oder nochmals installiert werden. Es empfiehlt sich deshalb, diese Updates entweder zu ignorieren oder auszublenden.

UPDATE 09.11.2011: Neues gemeinsames Papier des US-CERT und des ICS-CERT ("Joint Security Awareness Report"). Keine neuen Erkenntnisse, lediglich Zusammenfassung.

UPDATE 13.12.2011: Microsoft schließt die Duqu-Lücken im Windows-Kernel-Treiber win32k.sys (MS11-087 /CVE-2011-3402 ) wie erwartet im Zuge des Dezember-Patchdays . Das oben beschriebene Fix-It wird damit obsolet. Diese (Symantec PR- und FUD-)Story ist damit beendet.


it-sa - Die IT-Security-Messe

Auch dieses Jahr besuchten wir wieder die it-sa IT-Security-Messe in Nürnberg. Die Messe ist im Vergleich zu den Vorjahren enorm gewachsen und entsprechend in die wesentlich größere Halle 12 umgezogen. Sowohl bei Ausstellern als auch Besuchern hat die Internationalität im Vergleich zu den Vorjahren stark zugenommen. Die it-sa wurde vom SecuMedia Verlag ins Leben gerufen und in Ihrem nunmehr dritten Jahr von der Nürnberg Messe übernommen.

Nürnberg Messe

Parallel zur it-sa fanden noch die Messen POWTECH (Internationale Fachmesse für Mechanische Verfahrenstechnik), TechnoPharm (Internationale Fachmesse für Life Science Prozesstechnologien) sowie der INDEX Safety Congress und der CleanRoomCongress statt.

Freundlicherweise hat mich der SecuMedia Verlag auf die it-sa eingeladen, der dort seine neue Publikation "Informationsdienst SCADA-Sicherheit - IT-Security für Systeme der Automatisierungs-, Leit- und Steuertechnik " erstmals präsentierte, für die ich auch einen Beitrag verfasst habe .

Gleich zu Beginn besuchte ich den Workshop "IT-Security industrieller Netzwerke", der Insidern jedoch nichts wirklich Neues bieten konnte.

Neben diversen Terminen und Standbesuchen habe ich mir einige der Vorträge in den Foren angesehen. Neben Forum "Blau" (Technik) und Forum "Rot" (Management) gab es dieses Jahr erstmals zusätzlich ein Auditorium mit Sonderveranstaltungen, die aber teilweise nur mäßig besucht waren. Konzeptionell ermöglichte das Auditorium mit variablen Vortragslängen jedoch detailiertere Eröterung eines Themas als die Foren, bei denen die Beiträge fast ausnahmslos auf nur 15 Minuten beschränkt waren. Dementsprechend hatten die Referenten wenig Möglichkeiten, in die Tiefe zu gehen, was sich der eine oder andere fachkundige Besucher sicher gewünscht hätte.

Zu den Keyspeakern zählte Dr. Taher Elgamal, Bundesinnenminister Dr. Hans-Peter Friedrich hielt beim MesseCampus die Keynote.

Hier geht's entlang

Dr. Hans-Peter Friedrich bei seiner Keynote (c) Messe Nürnberg/Thomas Geiger

Das BSI präsentierte sich mit einem großzügigen Stand

Ari Takanen von Codenomicon: "Security for the Internet of Things"

Weitere Impressionen von der Messe finden Sie in der nachfolgenden Bildergallerie.

Weitere Bilder finden Sie auch beim Presse-Service der it-sa .


Luigi Ariemma hat gestern erneut diverse Sicherheitslücken in Industriesoftwareprodukten veröffentlicht. Bereits im März diesen Jahres hatte er 34 Lücken in SCADA und HMI-Systemen offengelegt . Betroffen sind diesmal die folgenden Produkte und Versionen:

Es ist davon auszugehen, das ältere Versionen der genannten Produkte ebenfalls mit diesen Sicherheitslücken behaftet sein könnten.

Gerne können Sie sich an uns wenden , wenn Sie als Hersteller oder Anwender dieser Produkte betroffen sind. Wir helfen Ihnen gerne bei der

  • Fehlerbeseitigung
  • Auditierung, Risikobewertung und -minderung
  • Signaturentwickelung für Intrusion Detection/Prevention Systeme und
  • Modulentwicklung für Vulnerability Scanning/Vulnerability Assessment Produkte.

Nochmals mein Appell an die Hersteller

Wenn Sie Hersteller sind, bieten Sie ein 'Bug Bounty' Programm. Zeigen Sie Sicherheitsforschern und Kunden damit, das Ihnen die Sicherheit Ihrer Produkte wirklich etwas wert ist und Sie Interesse an entsprechender Zusammenarbeit haben. Sicherheitsforschung dient Ihnen und der Sicherheit Ihrer Kunden, zum Nulltarif kann das aber nicht funktionieren. Als neutral gedachte Stellen wie das ICS-CERT nehmen Ihre Aufgaben leider auch unzureichend wahr . Nur mit einer partnerschaftlichen Zusammenarbeit und finanziellen Anreizen wird man fähige Leute wie Luigi Ariemma überzeugen können, Ihre Arbeit nicht einfach zu veröffentlichen oder gar am Grau- oder Schwarzmarkt zu verkaufen.

UPDATE 19.09.2011: Mittlerweile verfügbare CVE-Nummern ergänzt, Hinweise auf öffentlich kursierende Exploits ergänzt, Konkretisierung zu Progrea Movicon und Azeotech DAQFactory.

UPDATE 20.09.2011: Aktualisiertes Advisory zu Rockwell RSLogix.

UPDATE 21.09.2011: Aktualisiertes Advisory zu Measuresoft ScadaPro, Update 4.0.1 verfügbar.

UPDATE 22.09.2011: Aktualisiertes Advisory zu Azeotech DAQFactory, Update 5.86 verfügbar. Cogent DataHub: Hinweis auf öffentlich kursierenden Exploit ergänzt und Information konkretisiert.

UPDATE 27.09.2011: Zwei weitere 0day-Lücken in Carel PlantVisor sind aufgetaucht. Hinweis auf kursierende Exploits ergänzt.

UPDATE 29.09.2011: Luigi Auriemma hat weitere Lücken in Sunway ForceControl SCADA und ARC Informatique PcVue veröffentlicht. Zu Sunway ForceControl SCADA kursiert bereits ein öffentlicher Exploit. Entsprechende Informationen hinzugefügt.

UPDATE 04.10.2011: Neues Advisory zu Rockwell RSLogix, Security-Updates zu einigen Versionen erhältlich.

UPDATE 07.10.2011: Aktualisiertes Advisory zu Rockwell RSLogix, Security-Updates zu allen Versionen erhältlich.

UPDATE 10.10.2011: Advisories und Security-Updates zu Cogent DataHub und Beckhoff TwinCAT. Betroffene Versionen konkretisiert.

UPDATE 17.10.2011: Luigi Auriemma hat nochmal nachgelegt und weitere Produktlücken veröffentlicht. Betroffen sind diesmal IRAI Automgen, atvise webMI2ADS, Open Automation Software OPC Systems.NET und MICROSYS Promotic. Zudem ist ein öffentlicher Exploit zu PcVue erschienen. Informationen oben ergänzt.

UPDATE 22.10.2011: Advisory zu Progea Movicon, der Hersteller stellt Updates bereit. Informationen ergänzt.

UPDATE 28.11.2011: Zu Beckhoff TwinCat, atvise webMI2ADS, Open Automation Software OPC Systems.NET und MICROSYS Promotic sind Exploits erschienen. Luigi Auriemma hat heute weitere Lücken im Siemens Automation License Manager und in Siemens SIMATIC WinCC flexible SP2 Security Patch 1 veröffentlicht. Diese Versionen liegen uns momentan nicht vor, sodass wir diese Bugs im Moment nicht testen können. Informationen oben ergänzt bzw. aktualisiert.

UPDATE 29.11.2011: Ein weiterer Bug in MICROSYS Promotic: Speicherbenutzung nach Freigabe ("use-after-free"). 3S CoDeSys hat es ebenfalls erwischt. Das ICS-CERT ist aufgewacht und hat Alerts für SIEMENS Automation License Manager, SIEMENS WinCC flexible und Optima APIFTP Server herausgegeben; im letzteren Fall mit kaum mehr als zwei Wochen Verzögerung. Informationen ergänzt.

UPDATE 30.11.2011: Zweiter Alert des ICS-CERT zu MICROSYS Promotic. Link ergänzt.

UPDATE 02.12.2011: Öffentlicher Exploit zu 3S CoDeSys erschienen. Warnung ergänzt. ICS-CERT nach kurzer Wachphase wieder im Tiefschlaf.

UPDATE 03.12.2011: Aktualisierter Alert zu SIEMENS Automation License Manager, SIEMENS WinCC flexible und endlich ein Alert zu 3S CoDeSys. Der Alert zu 3S CoDeSys ist nicht nur verspätet, sondern auch noch falsch und unvollständig: Researcher war Luigi Ariemma, Hinweis auf öffentlichen Exploit fehlt, Liste der Mängel ist unvollständig.

UPDATE 07.12.2011: Advisory des ICS-CERT und Updates zu PcVue verfügbar. Daneben sind die Schwesterprodukte FrontVue/PlantVue ebenfalls betroffen. Informationen zu den Schwachstellen konkretisiert und CVE-Nummern hinzugefügt.

UPDATE 08.12.2011:Das ICS-CERT hat das unvollständige Advisory zu 3S CoDeSys korrigiert.

UPDATE 13.01.2012: Aufgrund unseres Urlaubs diesmal etwas verspäteter Nachtrag: Updates zu CoDeSys, dem SIEMENS Automation License Manger und OPC Systems.NET sind erschienen, das ICS-CERT hat entsprechende Advisories herausgegeben. Um es gleich vorweg zu nehmen: Das SIEMENS-Update lindert zwar scheinbar die gemeldeten Fehler, aber der Automation License Manager bleibt nach wie vor anfällig. Bereits mit dem trivialsten möglichen Test ist es uns gelungen, ALM zum Absturz (Denial of Service) zu bringen, was einen Anlagenstillstand auslösen könnte. Weitere Informationen oben im entsprechenden Abschnitten ergänzt.

UPDATE 17.01.2012: Mit dem Rockwell FactoryTalk RNADiagServer gesellt sich ein weiteres Produkt zur Liste. Hinweise ergänzt.

UPDATE 28.01.2012: Aktualisiertes Advisory zu OPC Systems.NET. Ein weiterer Fehler (Pufferüberlauf) wurde veröffentlicht, der mit dem Update 5.0 aber offenbar ebenfalls korrigiert ist. Advisory zu MICROSYS Promotic, ein Update ist erschienen, das die Fehler korrigieren soll. Nach den vorliegenden Informationen wurden aber scheinbar nur 3 von insgesamt 4 Fehlern behoben. Entsprechende Informationen und CVE-Nummern ergänzt.

UPDATE 12.04.2012: Certec veröffentlicht Updates zu atvise webMI2ADS und MICROSYS beseitigt den verbliebenen, bisher nicht behobenen 'Use-After-Free' Fehler in Promotic. Entsprechende Informationen, CVE-Nummern, Advisories und Update-Links ergänzt.


Das ICS-CERT hat die "Protokollmängel" und Sicherheitslücken nochmals in dem Dokument ICS-ALERT-11-223-01 ICS-ALERT-11-223-01A zusammengefasst, das leider nur wenig Konkretes und wenig Klarheit liefert. Hier das Wichtigste in Kürze:

Lesen und Schreiben von Speicherinhalten

("Read/Write of Memory")

  • Auslesen von Speicherinhalten der SPS – Bild (c) Dillon Beresford/NSS Labs

    bestätigt für S7-1200
  • unbestätigt für S7-200/S7-300/S7-400
  • dies soll lediglich ein designgemäßer Mangel des ISO-TSAP Protokolls sein, unklar warum es also nicht für andere Geräte bestätigt wird

 

Ausführen von Befehlen über nicht-verschlüsselte und nicht-authentifizierte Kanäle

("Execution of commands over a clear-text, unauthenticated protocol")

  • bestätigt für S7-1200/S7-200/S7-300/S7-400
  • dies soll lediglich ein designgemäßer Mangel des ISO-TSAP Protokolls sein

Umgehung des Passwort-Authentifizierungsverfahrens

("Bypass of a PLC password protection algorithm")

  • bestätigt für S7-1200/S7-200/S7-300/S7-400
  • soll für S7-1200 behoben sein

Unautorisiertes Abschalten des Passwort-Authentifizierungsverfahrens

[durch Schreiben des Speichers, Anmerkung des Verfassers] ("Unauthorized disabling of a password protection mechanism")

  • Die SPS gibt bereitwillig Auskunft über Typ, Seriennummer und Firmwarestand, sodass etwaige Sicherheitslücken einfach und automatisiert ausgenutzt werden können – Bild (c) Dillon Beresford/NSS Labs

    bestätigt für S7-1200

  • soll für S7-1200 behoben sein
  • unbestätigt für S7-200/S7-300/S7-400
  • unklar warum hier kein konkreter Status (betroffen/nicht betroffen) für diese Geräte benannt wird

Denial-of-Service (DoS) Schwachstelle im eingebetteten Webserver der SPS Firmware

("Denial-of-service (DoS) vulnerability in the Web server embedded in the PLC firmware")

  • bestätigt für S7-1200
  • soll für S7-1200 behoben sein
  • es fehlt ein expliziter Hinweis, dass andere Geräte nicht betroffen sind

Authentifizierte Diagnosefunktionen über TELNET und HTTP mit hartcodiertem Passwort

[konkret auch Hintertürchen genannt, Anmerkung des Verfassers] ("Authenticated diagnostic command shell through both TELNET and HTTP using hardcoded credentials"

  • bestätigt für S7-300 (nur bestimmte ältere Versionen, siehe ICS-ALERT-11-204-01B )
  • Benutzername und Passwort sind bereits öffentlich bekannt
  • es fehlt ein expliziter Hinweis, dass andere Geräte nicht betroffen sind

Mysteriosum: das Transportprotokoll ist an allem Schuld

Es stimmt zwar, dass das ISO-TSAP v3 Protokoll (RFC 1006 ) Authentifizierung und Verschlüsslung nicht vorgesehen hat und damit im wahrsten Sinne des Wortes für 'offene Kommunikation' steht. Es wurde im Mai 1987 letzmalig überarbeitet und ist damit seit nahezu einem viertel Jahrhundert unverändert.

Aber: ISO-TSAP definiert lediglich den Transport, aber nichts zum Lesen und Schreiben von Speicherinhalten, Passwortsicherungen, oder dem Ausführen von Kommandos. Es ist, als würde man behaupten, TCP/IP wäre daran Schuld, dass die Kennwortsicherung meines FTP-Servers nicht funktioniert.

Die Authentifizierung und Verschlüsslung muss auch nicht auf Ebene des Transports passieren; dies ist sogar die Regel, wenn wir prominente Internet-Protokolle wie HTTPS oder SSH betrachten, die alle nicht auf der Transportebene sichern.

Warum ist die Information immer noch so vage?

Sowohl dem ICS-CERT als auch SIEMENS als Hersteller stehen Dillons Exploits und entsprechende SPS'en zur Verfügung. Welche Geräte von welchen Problemen betroffen sind, läßt sich locker in weniger als einer Stunde ermitteln. Der geneigte Leser mag sich die Frage stellen, wieso fast drei Monate nach dem Bekanntwerden der Probleme immer noch so wenig Information verfügbar ist und das Papier des ICS-CERT für einige Probleme auf einigen Maschinen immer noch ein "unconfirmed" ("unbestätigt") enthält.

Der Hersteller, der nicht will, und das CERT, das nicht darf?

Dale G. Peterson gibt hierzu eine eigene Theorie ab . Er erklärt, dass ICS-CERT sei identisch mit dem Idahoe National Laboratory (INL). Das INL hätte seit Jahren Sicherheitsuntersuchungen mit hohen Budgets für die großen Hersteller durchgeführt und Equipment im Wert von Hunderttausenden von Dollar für Ihre Labore erhalten.

Anschließend sei das INL mit der Aufgabe als Industrial Controls Systems Computer Emergency Response Team (ICS-CERT) betraut worden, da dies der richtige Platz für die Ansiedlung zu sein schien.

Die vorhandenen Kontakte zu den großen Herstellern seien jedoch kein Kapital für das INL gewesen, sondern Verpflichtungen. Zudem sei das INL aus früheren Zeiten mit Geheimhaltungsvereinbarungen geknebelt, sodaß es seine Aufgabe gar nicht wahrnehmen könne, und darüber hinaus in einem riesigen Interessenskonflikt stünde.

Hier noch die Dokumente von Dillon Beresford. Für Insider: es lohnt sich besonders, den Abschnitt "Disclosure Process" im White Paper zu lesen und zu überdenken.

UPDATE 23.08.2011: Das ICS-CERT hat Update A zum ICS-ALERT-11-223-01 veröffentlicht, Link oben aktualisiert. Statt mehr Transparenz in die Sache zu bringen, als einzige Ergänzung die zweizeilige Ansage, das es "auf Grund der getroffenen Designentscheidungen" nicht möglich sei, alle Probleme kurzfristig zu lösen. Ich hätte da schon einen Tipp, auf was das hinausläuft...

Der Kollege Ralph Langner hat nun auch einen Artikel, in dem er die "fehlerhafte Analyse und irreführenden Ratschläge " des ICS-CERT viel ausführlicher beschreibt, als ich das oben getan habe. Er kommt zur gleichen Schlussfolgerung, dass eben nicht das offene Transportprotokoll ISO-TSAP der Grund für die Mängel ist und hat sogar den selben Vergleich mit FTP + TCP/IP herangezogen wie ich.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31