[datensicherheit.de, 31.05.2021] Das Claroty Research Team hat nach eigenen Angaben eine „schwerwiegende“ Sicherheitslücke (CVE-2020-15782) zur Umgehung des Speicherschutzes speicherprogrammierbarer Steuerungen (SPS) von Siemens (SIMATIC S7-1200 und S7-1500) identifiziert und gemeldet.

Abbildung: Claroty

Claroty Research Team: Entwicklung der Angriffe auf Siemens-Steuerungen

Missbrach möglich: Schwachstelle auf Steuerungen mit deaktiviertem Zugriffsschutz

Angreifer könnten diese Schwachstelle auf Steuerungen mit deaktiviertem Zugriffsschutz missbrauchen, um Lese- und Schreibzugriff zu erlangen und aus der Ferne bösartigen Code auszuführen. Siemens habe bereits die Firmware der betreffenden Geräte aktualisiert und entsprechende Hinweise für seine Kunden veröffentlicht.
Den Nutzern werde dringend geraten, ihre Systeme entsprechend zu aktualisieren. Bislang gebe es keine Hinweise darauf, dass die Sicherheitslücke bereits ausgenutzt wurde.

Über die Schwachstelle wäre es möglich, die SPS-Sandbox in den SPS-CPUs von Siemens zu umgehen

Die Ausführung von nativem Code auf einem industriellen Steuerungssystem wie einer speicherprogrammierbaren Steuerung (SPS) sei ein Ziel, welches nur relativ wenige hochqualifizierte Angreifer bislang erreicht hätten. Diese komplexen Systeme verfügten über zahlreiche In-Memory-Schutzmechanismen, die überwunden werden müssten, damit ein Angreifer nicht nur den Code ausführen kann, sondern auch unentdeckt bleibt.
Um diese Ebene der Code-Ausführung zu erreichen, sei bislang ein physischer Zugang oder Techniken, die auf Engineering-Workstations und andere Verbindungen zur SPS abzielten, nötig gewesen. „Durch die entdeckte Schwachstelle ist es jedoch möglich, die SPS-Sandbox in den SPS-CPUs von Siemens zu umgehen und so nativen Code in geschützten Speicherbereichen auszuführen“, warnt Claroty.

Offenlegung der Schwachstelle Resultat der bestehenden Partnerschaft zwischen Siemens und Claroty

Die Offenlegung der Schwachstelle sei ein Resultat der bestehenden Partnerschaft zwischen Siemens und Claroty. Deren enge Abstimmung habe den Austausch von technischen Details, Angriffstechniken und Ratschlägen zur Schadensbegrenzung umfasst:
Diese hätten dazu beigetragen, dass die Patches im aktuellen Update von Siemens verfügbar seien. „Beide Unternehmen raten den Anwendern dringend die Durchführung eines Updates, da es sich um eine kritische Sicherheitslücke handelt.“

Weitere Informationen zum Thema:

Siemens Security Advisory by Siemens ProductCERT, 28.05.2021
SSA-434534: Memory Protection Bypass Vulnerability in SIMATICS7-1200 and S7-1500 CPU Families

[datensicherheit.de, 04.02.2021] In der zweiten Jahreshälfte 2020 waren 71 Prozent der aufgedeckten Schwachstellen in industriellen Steuerungssystemen (ICS) aus der Ferne ausnutzbar. Zu diesem Ergebnis kommt der zweite halbjährliche ICS Risk & Vulnerability Report von Claroty. Im Vergleich zu 2019 wurden demnach ein Viertel mehr ICS-Schwachstellen offengelegt, im Vergleich zum ersten Halbjahr 2020 betrug die Steigerung 33 Prozent. Der Bericht kombiniert die Entdeckungen des Claroty-Forscherteams mit vertrauenswürdigen öffentlichen Quellen wie der National Vulnerability Database (NVD), dem Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), CERT@VDE, MITRE sowie den Industrieautomationsherstellern Schneider Electric und Siemens.

449 Schwachstellen in ICS-Produkten von 59 Anbietern bekanntgeworden

Im zweiten Halbjahr 2020 wurden 449 Schwachstellen in ICS-Produkten von 59 Anbietern bekannt. Davon wurden 70 Prozent mit hohen oder kritischen CVSS-Scores (Common Vulnerability Scoring System) bewertet. Gut Dreiviertel (76 %) dieser Schwachstellen können zudem ohne Authentifizierung ausgenutzt werden.

„Die beschleunigte Konvergenz von IT- und OT-Netzwerken aufgrund der digitalen Transformation steigert zwar die Effizienz von industriellen Prozessen, vergrößert aber auch die Angriffsfläche“, erklärt Amir Preminger, Vice President of Research bei Claroty. „Staatlich unterstützte Angreifer haben offensichtlich viele Aspekte des Netzwerkperimeters im Blick, um diese auszunutzen, und auch Cyberkriminelle konzentrieren sich speziell auf ICS-Prozesse. Deshalb ist der Einsatz von Sicherheitstechnologien wie netzwerkbasierte Erkennung und sicherer Fernzugriff im industriellen Umfeld von größter Bedeutung. Gleichzeitig ist es sehr ermutigend zu sehen, dass das Interesse an industriellen Steuerungssystemen innerhalb der Sicherheitsforscher-Community wächst. Wir müssen diese Schwachstellen stärker beleuchten, um die Bedrohungen auf Abstand zu halten.“

Schwachstellen in ICS-Produkten, Bild: Claroty

Mehr Schwachstellen in kritischen Sektoren wie Fertigung, Energie, Wasser und Abwasser

Im Bereich der Kritischen Infrastruktur (KRITIS) waren vor allem die kritische Fertigung, Energie, Wasser und Abwasser sowie gewerbliche Anlagen von den im zweiten Halbjahr 2020 bekannt gewordenen Schwachstellen betroffen. Diese Bereiche zeigen durchweg einen Anstieg gegenüber den beiden Vorjahren:

• Kritische Fertigung: Steigerung um 15 Prozent gegenüber der zweiten Jahreshälfte 2019 und zwei Drittel mehr (66 %) identifizierte Schwachstellen als im zweiten Halbjahr 2018
• Energie: Plus acht Prozent gegenüber dem zweiten Halbjahr 2019 und 74 Prozent gegenüber der zweiten Jahreshälfte 2018
• Wasser und Abwasser: Steigerung um mehr als die Hälfte (54 %) gegenüber der zweiten Jahreshälfte 2019 und 63 Prozent gegenüber dem zweiten Halbjahr 2018
• Gewerbliche Anlagen: Steigerung um 14 Prozent gegenüber der zweiten Jahreshälfte 2019 und 140 Prozent gegenüber dem zweiten Halbjahr 2018

Mehr externe Forscher bewerten ICS-Schwachstellen

Die Anzahl der 2020 identifizierten Schwachstellen stieg um mehr als 30 Prozent im Vergleich zu 2018 und um fast 25 Prozent im Vergleich zu 2019. Hierzu tragen vor allem zwei Faktoren bei: Zum einen ein erhöhtes Bewusstsein für die Risiken, die von ICS-Schwachstellen ausgehen, und zum anderen eine steigende Zahl von Anbietern und Security-Forschern, die sich darauf konzentrieren, Sicherheitslücken so effektiv und effizient wie möglich zu identifizieren und zu beheben. Dies verdeutlicht, dass sich die auf ICS-Produkte spezialisierte Forschung zunehmend etabliert.

Forscher von Drittanbietern, insbesondere von Cybersecurity-Unternehmen, waren für 61 Prozent der Entdeckungen verantwortlich. Dies verdeutlicht einen Wandel des Fokus von der reinen IT-Sicherheit hin in Richtung ICS und verdeutlicht zudem die beschleunigte Konvergenz zwischen IT und OT. Aus dem Bereich der externen Forscher haben 22 Prozent zum ersten Mal eine Sicherheitslücke gemeldet. Dies kann als positives Zeichen für ein wachsendes Interesse für den Bereich der ICS-Schwachstellenforschung gesehen werden.

Die Sicherheitsforscher von Claroty entdeckten und veröffentlichten im Berichtszeitraum 41 Schwachstellen, von denen 14 Hersteller betroffen waren. Insgesamt haben die Claroty-Spezialisten bis heute mehr als 70 ICS-Schwachstellen identifiziert und offengelegt.

Weitere Informationen zum Thema:

datensicherheit.de, 20.08.2020
CLAROTY warnt vor Risiken des Fernzugriffs auf industrielle Netzwerke

Claroty
The Claroty Biannual ICS Risk & Vulnerability Report: 2H 2020

[datensicherheit.de, 08.09.2018] Eine weltweite Umfrage von Trend Micro zeigt, dass CISO und Sicherheitsexperten nur für 38 Prozent der IoT-Projekte in Unternehmen konsultiert werden. Fast 33 Prozent der Befragten geben an, dass ihnen nicht bekannt ist, wer in ihrem Unternehmen für IoT-Sicherheit verantwortlich ist. Befragte Unternehmen berichten von durchschnittlich drei Angriffen auf vernetzte Industrieanlagen im vergangenen Jahr.

Die Umfrageergebnisse zeigen, dass sich Unternehmen auf der ganzen Welt unnötigen Cyberrisiken aussetzen, weil sie versäumen, IT-Sicherheitsteams bei ihrer Planung von Internet-of-Things-Projekten (IoT-Projekten) mit einzubinden.

Eine Umfrage des japanischen IT-Sicherheitsunternehmens unter 1150 IT- und Sicherheitsentscheidungsträgern in Deutschland, Frankreich, Japan, Großbritannien und den USA ergab, dass 79 Prozent zwar ihre IT-Abteilung bei der Auswahl industrieller IoT-Lösungen miteinbeziehen, aber nur 38 Prozent ihre Sicherheitsteams.

„Es ist erstaunlich, wie IT-Sicherheitsteams aus IoT-Projekten ausgeschlossen werden, obwohl dies die Unternehmen eindeutig unnötigen Cyberrisiken aussetzt“, sagt Udo Schneider, Security Evangelist bei Trend Micro. „Unsere Studie zeigt, dass zu viele Unternehmen weltweit Sicherheit nicht als Teil ihrer IoT-Strategie priorisieren, was sie anfällig für Angriffe macht. Wenn Sicherheit nicht im Rahmen der Implementierung berücksichtigt wird, bleiben diese Geräte oftmals gefährdet und anfällig, da sie größtenteils nicht für Updates oder Patches ausgelegt sind.“

Die Untersuchung ergab, dass die befragten Unternehmen im vergangenen Jahr mehr als 2,5 Millionen Dollar für IoT-Initiativen ausgegeben haben und planen, in den nächsten 12 Monaten erneut so viel zu investieren. Angesichts solch hoher finanzieller Investitionen sollte auch in Sicherheit investiert werden, um die Risiken für vernetzte Industrieanlagen zu minimieren. Doch nur 56 Prozent der neuen IoT-Projekte beziehen einen Chief Information Security Officer (CISO) als einen der Entscheidungsträger bei der Auswahl von Sicherheitslösungen mit ein.

Laut IDC kann die IoT-Befähigung, die womöglich eine erstmalige Anbindung von industriellen Kontrollsystemen an das Internet beinhaltet, Software-Schwachstellen offen legen, die Unternehmensdaten gefährden. Obendrein ermöglichen sie Angreifern, softwarebasierte Sicherheitsmechanismen gezielt anzugreifen und potenziell zu manipulieren, um der Öffentlichkeit absichtlich oder unbeabsichtigt physische Schäden zuzufügen. [1]

Die Studie bestätigt diese Befürchtungen insofern, dass sie ergab, dass Unternehmen im vergangenen Jahr durchschnittlich drei Angriffe auf ihre vernetzten Anlagen erlitten. Dies zeigt, dass das Risiko, das von ungesicherten IoT-Anlagen ausgeht, Auswirkungen auf Unternehmen weltweit hat.

Darüber hinaus gaben 93 Prozent der Befragten an, dass IoT-Anwendungen schon mindestens eine Bedrohung für kritische Infrastrukturen in ihrem Unternehmen verursacht haben. Die häufigsten Gefahren durch zusätzliche Verbindungen entstehen durch komplexe Infrastrukturen, eine erhöhte Anzahl von Endpunkten und einem Mangel an angemessenen Sicherheitsmaßnahmen.

[1] IDC, IDC FutureScape: Worldwide IoT 2018 Predictions, Oktober 2017

Weitere Informationen zum Thema:

datensicherheit.de, 07.09.2018
Kooperation beim Schutz des Industrial Internet of Things

datensicherheit.de, 31.08.2018
CAST-Workshop: IoT – Anforderungen und Herausforderungen an die IT-Sicherheit

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 09.12.2016
CISO Security Studie: Über 80 Prozent der Unternehmen mit IT-Sicherheits-Strategie

[datensicherheit.de, 24.02.2016] Honeywell Process Solutions (HPS) und Palo Alto Networks arbeiten ab sofort zusammen, um die Cybersicherheit von Steuerungssystemen, die in Industrieanlagen und kritischen Infrastrukturen zum Einsatz kommen, zu verbessern. Honeywells Geschäftszweig Industrial Cyber Security bietet nun die Next-Generation-Sicherheitsplattform von Palo Alto Networksfür Industriekunden an. Die Zusammenarbeit ermöglicht es den Kunden, Cyberangriffe auf ihre Prozesskontrollnetzwerk (PCN)- und Betriebstechnik (OT)-Umgebungen besser abzuwehren. So können sie ihre Anlagen schützen sowie die Produktionsverfügbarkeit und Sicherheit maximieren.

Die gemeinsame Lösung bietet eine detaillierte Überwachung des Verkehrs in Prozessnetzwerken und eine fortschrittliche Bedrohungsabwehr für die gesamte Automatisierungsumgebung. Dabei wird erweiterte und nativ integrierte Sicherheitsplattform von Palo Alto Networks mit Honeywells einzigartigem Know-how im Bereich der Prozesssteuerung kombiniert. Das Ergebnis ist eine Cybersicherheitslösung, die für industrielle Kunden zugeschnitten ist. Das neue Next-Generation-Lösungsangebot erweitert Honeywells umfassendes Portfolio an Cyber-Security-Lösungen, einschließlich seiner Industrial Cyber ​​Security Risk Manager-Plattform.

„Die Zusammenarbeit mit Palo Alto Networks erweitert unsere Fähigkeit, proaktive Intrusion-Prevention-Funktionen bereitzustellen, woraus ein robusterer Schutz für unsere Kunden resultiert. Dies ist ein Beispiel von Honeywells einzigartigem Multi-Vendor-Konzept, das State-of-the-Art-Technologie mit ausgewiesener Expertise integriert. So können sich Kunden auf unsere Cyber-Security-Funktionen verlassen, schnell und effektiv Bedrohungen verhindern und sich auf das Tagesgeschäft konzentrieren“, erklärte Jeff Zindel, Vice President und General Manager, Cybersecurity, bei Honeywell Process Solutions.

„Die Anbindung lebenswichtiger Infrastruktur an das industrielle Internet der Dinge (IIoT) bringt  großen Nutzen, ist aber auch mit Cyberrisiken verbunden. Unsere Zusammenarbeit mit Honeywell adressiert diese Risiken mit Sicherheitslösungen der nächsten Generation. Diese wurden entwickelt, um die Bedürfnisse der industriellen Kunden zu erfüllen. Damit bieten wir Funktionen zur Bedrohungserkennung und -prävention, wie sie bislang nicht eingesetzt wurden in der Branche“, kommentierte Chad Kinzelberg, Senior Vice President of Business and Corporate Development, bei Palo Alto Networks.

[datensicherheit.de, 03.05.2013] Experten der Fachzeitschrift c’t haben zahlreiche Sicherheitslücken in hunderten von deutschen Industrieanlagen gefunden. Details sind in der c’t 11/2013, die ab Montag, 06. Mai 2013, erhältlich ist, zu lesen. Das BSI hat das Problem ebenfalls als kritisch eingestuft.

Bild: ISF

Steve Durbin, Global Vice President des herstellerunabhängigen Information Security Forums (ISF), fordert ein Umdenken

Steve Durbin, Global Vice President des Information Security Forums, kommentiert:

„Die Sicherheitslücken in zahlreichen deutschen Industrieanlagen zeigen, dass das Thema IT-Sicherheit bei Behörden und Wirtschaft immer noch nicht den notwendigen Stellenwert hat. Dadurch wird es Angreifern sehr leicht gemacht. Bisher ist das meistens gut gegangen, aber darauf sollte man sich nicht verlassen.
Die meisten Sicherheitsmängel kommen zustande, weil sich viele Unternehmen und Behörden neue Technologien und Methoden zunutze machen, ohne deren Sicherheit ausreichend zu überprüfen. Die damit verbundenen Risiken sind nicht kontrollierbar. Deshalb müssen sich zwei Dinge ändern: Zum einen muss IT-Sicherheit endlich die angemessene Aufmerksamkeit gewidmet werden. Zum anderen brauchen wir einen Richtungswechsel bei der Entwicklung neuer technischer Produkte und Technologien. Sicherheitsaspekte müssen dabei viel stärker als bisher berücksichtigt werden. Wir sprechen zwar immer wieder darüber, dass wir ‚Security by Design’ benötigen. In der Realität ist aber – wie der aktuelle Fall zeigt – ‚Unsecurity by Design’ noch immer der dominierende Standard.“

Weitere Informationen zum Thema:

heise online, 02.04.2013
Kritische Schwachstelle in hunderten Industrieanlagen

Information Security Forum
the world’s leading independent authority on information security