Forensic Investigations / Fi Blog

Fi Blog

Luigi Ariemma hat gestern erneut diverse Sicherheitslücken in Industriesoftwareprodukten veröffentlicht. Bereits im März diesen Jahres hatte er 34 Lücken in SCADA und HMI-Systemen offengelegt . Betroffen sind diesmal die folgenden Produkte und Versionen:

Es ist davon auszugehen, das ältere Versionen der genannten Produkte ebenfalls mit diesen Sicherheitslücken behaftet sein könnten.

Gerne können Sie sich an uns wenden , wenn Sie als Hersteller oder Anwender dieser Produkte betroffen sind. Wir helfen Ihnen gerne bei der

  • Fehlerbeseitigung
  • Auditierung, Risikobewertung und -minderung
  • Signaturentwickelung für Intrusion Detection/Prevention Systeme und
  • Modulentwicklung für Vulnerability Scanning/Vulnerability Assessment Produkte.

Nochmals mein Appell an die Hersteller

Wenn Sie Hersteller sind, bieten Sie ein 'Bug Bounty' Programm. Zeigen Sie Sicherheitsforschern und Kunden damit, das Ihnen die Sicherheit Ihrer Produkte wirklich etwas wert ist und Sie Interesse an entsprechender Zusammenarbeit haben. Sicherheitsforschung dient Ihnen und der Sicherheit Ihrer Kunden, zum Nulltarif kann das aber nicht funktionieren. Als neutral gedachte Stellen wie das ICS-CERT nehmen Ihre Aufgaben leider auch unzureichend wahr . Nur mit einer partnerschaftlichen Zusammenarbeit und finanziellen Anreizen wird man fähige Leute wie Luigi Ariemma überzeugen können, Ihre Arbeit nicht einfach zu veröffentlichen oder gar am Grau- oder Schwarzmarkt zu verkaufen.

UPDATE 19.09.2011: Mittlerweile verfügbare CVE-Nummern ergänzt, Hinweise auf öffentlich kursierende Exploits ergänzt, Konkretisierung zu Progrea Movicon und Azeotech DAQFactory.

UPDATE 20.09.2011: Aktualisiertes Advisory zu Rockwell RSLogix.

UPDATE 21.09.2011: Aktualisiertes Advisory zu Measuresoft ScadaPro, Update 4.0.1 verfügbar.

UPDATE 22.09.2011: Aktualisiertes Advisory zu Azeotech DAQFactory, Update 5.86 verfügbar. Cogent DataHub: Hinweis auf öffentlich kursierenden Exploit ergänzt und Information konkretisiert.

UPDATE 27.09.2011: Zwei weitere 0day-Lücken in Carel PlantVisor sind aufgetaucht. Hinweis auf kursierende Exploits ergänzt.

UPDATE 29.09.2011: Luigi Auriemma hat weitere Lücken in Sunway ForceControl SCADA und ARC Informatique PcVue veröffentlicht. Zu Sunway ForceControl SCADA kursiert bereits ein öffentlicher Exploit. Entsprechende Informationen hinzugefügt.

UPDATE 04.10.2011: Neues Advisory zu Rockwell RSLogix, Security-Updates zu einigen Versionen erhältlich.

UPDATE 07.10.2011: Aktualisiertes Advisory zu Rockwell RSLogix, Security-Updates zu allen Versionen erhältlich.

UPDATE 10.10.2011: Advisories und Security-Updates zu Cogent DataHub und Beckhoff TwinCAT. Betroffene Versionen konkretisiert.

UPDATE 17.10.2011: Luigi Auriemma hat nochmal nachgelegt und weitere Produktlücken veröffentlicht. Betroffen sind diesmal IRAI Automgen, atvise webMI2ADS, Open Automation Software OPC Systems.NET und MICROSYS Promotic. Zudem ist ein öffentlicher Exploit zu PcVue erschienen. Informationen oben ergänzt.

UPDATE 22.10.2011: Advisory zu Progea Movicon, der Hersteller stellt Updates bereit. Informationen ergänzt.

UPDATE 28.11.2011: Zu Beckhoff TwinCat, atvise webMI2ADS, Open Automation Software OPC Systems.NET und MICROSYS Promotic sind Exploits erschienen. Luigi Auriemma hat heute weitere Lücken im Siemens Automation License Manager und in Siemens SIMATIC WinCC flexible SP2 Security Patch 1 veröffentlicht. Diese Versionen liegen uns momentan nicht vor, sodass wir diese Bugs im Moment nicht testen können. Informationen oben ergänzt bzw. aktualisiert.

UPDATE 29.11.2011: Ein weiterer Bug in MICROSYS Promotic: Speicherbenutzung nach Freigabe ("use-after-free"). 3S CoDeSys hat es ebenfalls erwischt. Das ICS-CERT ist aufgewacht und hat Alerts für SIEMENS Automation License Manager, SIEMENS WinCC flexible und Optima APIFTP Server herausgegeben; im letzteren Fall mit kaum mehr als zwei Wochen Verzögerung. Informationen ergänzt.

UPDATE 30.11.2011: Zweiter Alert des ICS-CERT zu MICROSYS Promotic. Link ergänzt.

UPDATE 02.12.2011: Öffentlicher Exploit zu 3S CoDeSys erschienen. Warnung ergänzt. ICS-CERT nach kurzer Wachphase wieder im Tiefschlaf.

UPDATE 03.12.2011: Aktualisierter Alert zu SIEMENS Automation License Manager, SIEMENS WinCC flexible und endlich ein Alert zu 3S CoDeSys. Der Alert zu 3S CoDeSys ist nicht nur verspätet, sondern auch noch falsch und unvollständig: Researcher war Luigi Ariemma, Hinweis auf öffentlichen Exploit fehlt, Liste der Mängel ist unvollständig.

UPDATE 07.12.2011: Advisory des ICS-CERT und Updates zu PcVue verfügbar. Daneben sind die Schwesterprodukte FrontVue/PlantVue ebenfalls betroffen. Informationen zu den Schwachstellen konkretisiert und CVE-Nummern hinzugefügt.

UPDATE 08.12.2011:Das ICS-CERT hat das unvollständige Advisory zu 3S CoDeSys korrigiert.

UPDATE 13.01.2012: Aufgrund unseres Urlaubs diesmal etwas verspäteter Nachtrag: Updates zu CoDeSys, dem SIEMENS Automation License Manger und OPC Systems.NET sind erschienen, das ICS-CERT hat entsprechende Advisories herausgegeben. Um es gleich vorweg zu nehmen: Das SIEMENS-Update lindert zwar scheinbar die gemeldeten Fehler, aber der Automation License Manager bleibt nach wie vor anfällig. Bereits mit dem trivialsten möglichen Test ist es uns gelungen, ALM zum Absturz (Denial of Service) zu bringen, was einen Anlagenstillstand auslösen könnte. Weitere Informationen oben im entsprechenden Abschnitten ergänzt.

UPDATE 17.01.2012: Mit dem Rockwell FactoryTalk RNADiagServer gesellt sich ein weiteres Produkt zur Liste. Hinweise ergänzt.

UPDATE 28.01.2012: Aktualisiertes Advisory zu OPC Systems.NET. Ein weiterer Fehler (Pufferüberlauf) wurde veröffentlicht, der mit dem Update 5.0 aber offenbar ebenfalls korrigiert ist. Advisory zu MICROSYS Promotic, ein Update ist erschienen, das die Fehler korrigieren soll. Nach den vorliegenden Informationen wurden aber scheinbar nur 3 von insgesamt 4 Fehlern behoben. Entsprechende Informationen und CVE-Nummern ergänzt.

UPDATE 12.04.2012: Certec veröffentlicht Updates zu atvise webMI2ADS und MICROSYS beseitigt den verbliebenen, bisher nicht behobenen 'Use-After-Free' Fehler in Promotic. Entsprechende Informationen, CVE-Nummern, Advisories und Update-Links ergänzt.


BlackHat Las Vegas 2011 - Embedding Security

BlackHat Las Vegas 2011 - Embedding Security

USB-Angriffe sind nicht neu. Prominente Beispiele sind der 'LNK-Bug ' oder der im Frühjahr auf der BlackHat DC gezeigte Angriff per simulierter Tastatur . Auf noch niedriger Ebene ging Andy Davis von NGSSecure vor.

Mit einem Testgerät, das mit einem selbstgeschriebenen Programm instrumentiert wurde, gelang es ihm nach eigener Aussage, Schwachstellen u.a. in Windows 7, der Xbox 360, Solaris 11 Express, Apple OS X und diversen Embedded-Systemen zu finden. Dies ermögliche "Jailbreaks", Entsperren gesperrter Arbeitsstationen, heimliche Installation von Schadsoftware oder Diebstahl sensitiver Daten.

Da Endpoint Protection Lösungen meist auf höherer Ebene arbeiteten, seien Sie gegen solche Angriffe und Sicherheitslücken in USB-Treibern oft wirkungslos. Der einzig effektive Schutz sei das Abschalten der USB-Schnittstellen im BIOS des Systems oder deren Versiegelung mit Epoxidharz.


Man mag es als 'Dummheit' bezeichnen, Automatisierungssysteme ins öffentliche Netz zu stellen, aber es ist nicht unbedingt Dummheit.

Arroganz der Sicherheitsfachleute

Ich halte es da mit Bruce Schneiers Kommentar (deutschsprachiger Bericht bei WinFuture ), der auf eine Untersuchung , wie viele Benutzer gefundene USB-Sticks arglos in PCs einstecken, feststellte, dass dies keine Dummheit wäre. Schließlich seien USB-Sticks doch genau dafür da. Dummheit wäre es, zu versuchen 'darauf zu spielen wie auf einer Okarina ' oder damit 'ein Omelett zubereiten' zu wollen. Er wirft den Sicherheitsleuten Arroganz vor und hält die Untersuchung an sich für sinnlos. Für ihn ist es, als würde man zu der Erkenntnis gelangen '75 Prozent der Menschen, die eine liegen gelassene Zeitung im Bus finden, lesen diese'. Im Hintergrund eines Computersystems gingen jedoch zu viele implizite Dinge vor sich, von denen der Benutzer im Allgemeinen nichts wüsste. Er sieht hier klar die Hersteller in der Pflicht, nicht einfach Programme von potentiell nicht vertrauenswürdigen Datenträgern zu starten. Microsoft hat hier im Übrigen auch gehandelt .

1 Fehler + noch 1 Fehler = 1 Problem

Ähnlich ist es auch im vorliegenden Fall: SPS'en sind dazu gemacht, sie ans Netz anzuschließen, wenn auch nicht unbedingt ans öffentliche Netz. Dennoch geben weder Beschreibung noch die Administrationsoberfläche einen solchen Hinweis ('Sind Sie sicher, dass Sie eine öffentliche IP-Adresse verwenden möchten?'). Auch ein werksseitig individuell pro Gerät gesetztes Passwort gibt es leider nicht ('secure by default'). Wenn zusätzlich noch eine Sicherheitslücke vorhanden ist, und sich die SPS gar noch ohne ein Passwort stoppen lässt ('Denial of Service'), ist das Desaster perfekt.

Die Legende vom 'Air Gap' oder 'Inselnetz'

Selbst ohne öffentlich im Netz erreichbar zu sein, sind Automatisierungssysteme Gefahren ausgesetzt. Gelingt ein Einbruch in das Firmennetzwerk, kann ein Hacker oder eine Schadsoftware von dort auf die Automatisierungssysteme zugreifen. Die Legende vom 'Air Gap', der physikalischen Trennung von Firmennetz und Anlagennetz, wird zwar immer noch hartnäckig propagiert, dürfte jedoch für Anwender komplexerer oder verteilter Anlagen mit Produktionsplanung-Steuerung, Extranet und Koordination mit Zulieferern/Kunden kaum realisierbar sein. Selbst physikalisch isolierte Netzwerke sind nicht ohne Risiko, da über tragbare Rechner und Wechseldatenträger ebenso Schadsoftware eingeschleppt werden kann, nichts anderes war bei Stuxnet der Fall. Vor fast einem Jahr hatte ich über diese und weitere Fakten bereits geschrieben . Wie einer der amerikanischen Kollegen jüngst festgestellt hatte, existiert ein solches 'Air Gap' nicht einmal in den Sicherheits-Leitfäden von SIEMENS oder Rockwell – er spottete 'Can you spot the air gap [...]? Funny, neither can I.'

Fazit

Überall wo Menschen arbeiten, passieren Fehler. Vorausschauendes und verantwortliches Handeln eines Platformanbieters kann jedoch größeren Schaden durch einen solchen Fehler häufig verhindern. Vor allem flächendeckenden Schaden. Platformanbieter und Implementierer sind hier aus meiner Sicht mehr in der Pflicht als der Endkunde, dennoch muss auch der Endkunde seinen Blick für Gefahren schärfen, da er letztendlich auch immer der primär Betroffene sein wird.

Es gibt jedoch in der heutigen vernetzten Welt keine Alternative – Automatisierungssysteme müssen sicher werden. Hört endlich auf, den Kunden die Schuld zu geben.

P.S.: (!) Wer seine S7-300-Firmware schon Ewigkeiten nicht mehr aktualisiert hat, sollte dies schleunigst tun. Auch hier gab es hart-codierte Passwörter ('Backdoors'), die seit heute öffentlich im Netz stehen (ICS-CERT Security Alert 11-204-01B ). Auffindbar für jeden, der es nicht ohnehin schon wusste.


Mittlerweile sei die Version 3 des bekannten Banking-Trojaners Zbot/ZeuS in der freien Wildbahn erschienen, berichten CA in ihrem Community Blog . Die neue Version betreibt gezielt Treibjagd auf die am häufigsten mit Trojanern infizierten, wohlhabenden Länder wie USA, Spanien, das Vereinigte Königreich und auch Deutschland und erschwere die Analyse durch Sicherheitsspezialisten weiter.

Unter den betroffenen deutschen Banken befänden sich u.a. die Commerzbank, die Deutsche Bank, und das Finanzportal des IT-Sicherheitsdienstlers Fiducia IT AG aus dem Volksbanken-Reiffeisenbanken Verbund. Eine kurze Überprüfung der betroffenen deutschen Sites hat nebenbei ergeben, das die u.a. betroffene Website commerzbanking.de nicht einmal die PCI-DSS Richtlinien für die Bankensicherheit zu erfüllen scheint und auch als schwach bekannte Verschlüsselungsverfahren zulässt.

Das TAN, iTAN und HBCI -Verfahren konnte der Trojaner bereits in den vorigen Versionen überwinden .

Das iTANplus-Verfahren muss ebenfalls als gebrochen angesehen werden. Beim iTANplus-Verfahren werden die Transaktionsdaten vor der Eingabe der TAN nochmals in einem CAPTCHA zusammen mit dem Geburtsdatum des Kontoinhabers dargestellt. Das Verfahren ist (nahezu) so leicht zu brechen wie das iTAN-Verfahren, lediglich die Information des Geburtsdatums muss der Angreifer erfassen und dem Konto zuordnen. Dies kann entweder über automatische Texterkennung , über Datenbanken mit Geburtsdaten, oder einmalig manuell geschehen. In den Entwicklungs- und Schwellenländern hat sich jedoch bereits eine regelrechte Industrie gebildet, um CAPTCHAs zu brechen . Anschließend ist es ebenso wie die anderen Verfahren per Man-in-the-Middle-Angriff zu überwinden.

Das mTAN-Verfahren , bei dem der Kontoinhaber TAN und ggf. Transaktionsdaten per SMS auf sein Handy bekommt, bietet hier aufgrund des Medienbruchs zwar etwas mehr Sicherheit, ist aber auch zu brechen, wenn die Telefonnummer des Handys online mit Hilfe der PIN geändert werden kann (bad idea™). Werden die Transaktionsdaten gar nicht mitgesendet, hat der Kontoinhaber trotz größter Sorgfalt keine Möglichkeit, einen MITM-Angriff durch einen Trojaner zu erkennen.

Fiducias Pressemitteilung zur kürzlich im Rahmen der InitiativeD21 (N)Onliner-Atlas2010 erschienen Sonderstudie "Online-Banking - mit Sicherheit! " liest sich mit Aussagen wie "Online-Banking wird immer beliebter" sehr positiv. Etwas unter den Tisch fällt dabei, dass obwohl die Kunden lt. der Studie Sicherheit und Datenschutz als die wichtigsten Kriterien überhaupt ansehen, sich der Anteil der Menschen, die Online-Banking aus diesen Gründen kategorisch ablehnen, von 4,3% in 2009 auf 20,2% in 2010 nahezu verfünffacht habe (u.a. Heise Online berichtete ).

Dies ist auch völlig berechtigt, meldet der Sicherheitsdienstleister Secunia doch in seinem Halbjahresbericht 2010 , dass allein in der ersten Jahreshälfte 2010 fast so viele Sicherheitslücken in PC-Software gefunden worden wären, die das Eindringen von Trojanern ermöglichen, wie im ganzen Jahr 2009. Die ohnehin schon höchste Bedrohungslage aller Zeiten wird durch den vermehrten Einsatz von Smartphones, die ebenfalls durch Trojaner und Viren infiziert werden können, zusätzlich angeheizt.

Interessant für die Online-Banking Studie wäre gewesen zu ermitteln, welcher Anteil unter den tatsächlichen Nutzern Bedenken beim Online-Banking hat, und welche.

Nebenbei fiel mir noch zufällig auf, dass die Studie ohne Quellenangabe teilweise wortwörtlich von Wikipedia abzuschreiben scheint (vgl. S. 15 der Studie unten mit "SmartTAN " und "SmartTANplus "), jedenfalls wenn man dem Changelog von Wikipedia glauben darf.

Da die Kunden, wie der Studie ebenfalls zu entnehmen ist, kaum selbst bereit seien, etwas für die Sicherheit zu tun, oder gar dafür zu bezahlen, und Datenschutz und Sicherheit als Selbstverständlichkeit sähen, liegt hier m.E. dringend Handlungsbedarf auf Seiten der Banken, die unsicheren Verfahren auszutauschen.

Ebenfalls Handlungsbedarf sehe ich im Bereich der Politik und der Rechtssprechung, hier für mehr Verbraucherschutz zu sorgen, und zumindest bei Einsatz bekanntermaßen unsicherer Verfahren die Haftung in Richtung der Banken zu verlagern.

Bankkunden, Banken, Bankenaufsicht, Politiker oder Organe der Rechtspflege können sich gerne jederzeit für prophylaktische Beratung, Schulung oder forensische Beweisführung vertrauensvoll an uns wenden .

UPDATE 29.07.2010: Gemäß der von Verizon Business veröffentlichten Studie "Data Breach Report 2010 " sei die Finanzbranche das Angriffsziel Nummer 1 von Online-Kriminellen, berichtet Heise Online.

UPDATE 29.07.2010:McAfee berichteten in Ihrem Blog, dass Zbot/ZeuS mittlerweile den im Zusammenhang mit den Angriffen auf die SIEMENS Simatic WinCC und PCS 7 SCADA -Systeme bekannt gewordenen, hochkritischen 'LNK Bug' (CVE-2010-2568 ) aktiv ausnutzt.

UPDATE 03.09.2010: Die Deutscher Bank Research, GfK und Google hätten eine Studie veröffentlicht, dass der Anteil der Online-Finanzgeschäfte immer höher würde , was den Handlungsdruck m.E. verstärkt oder wenigstens verstärken sollte.

UPDATE 27.09.2010: Die neuste Version von ZeuS nehme nun auch SMS-TAN (auch mobile TAN, mTAN genannt) ins Visier , berichtet heise online unter Bezug auf eine Veröffentlichung von S21sec . Die Malware versuche dabei, dem Opfer ein angebliches Sicherheitsupdate für das Handy unterzujubeln, welches ebenfalls einen Man-in-the-middle Angriff ausführe. Die ZeuS-Handy-Malware sei bisher auf die Infektion von Symbian und BlackBerry SmartPhones ausgerichtet.

UPDATE 09.10.2010:16-jähriger demonstriert Sicherheitslücken bei 17 Banken , er nutzte hierbei XSS -Lücken, die sich auch für Man-in-the-middle Angriffe nutzen lassen. Das bestätigt meinen Eindruck weiter, dass hier nie oder nicht regelmäßig nach Änderungen professionelle Audits stattfinden und selbst triviale Methoden ausreichend sind, die meisten Websites zu überlisten.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30