IT-Sicherheit von Industrieanlagen
Modipwn-Schwachstelle in SPSen von Schneider Electric
Modicon-Steuerungen von Schneider Electric könnten über eine Schwachstelle anfällig für RCE-Angriffe sein. Das haben die IT-Sicherheitsspezialisten von Armis bekanntgegeben. Das Sicherheitsupdate ist in Arbeit.
IT-Sicherheitsforscher von Armis, Anbieter einer Unified Asset Visibility- und Sicherheitsplattform, haben am 13. Juli 2021 die Entdeckung einer Schwachstelle für Remote Code Execution (RCE) in speicherprogrammierbaren Steuerungen von Schneider Electric Modicon bekanntgegeben. Die als Modipwn bezeichnete Schwachstelle (CVE-2021-22779) ermöglicht die Übernahme der betroffenen Geräte, indem sie das UMAS-Protokoll ausnutzt.
Systeme weltweit betroffen
Betroffen sind Modicon M340, M580 und andere Modelle der Modicon-Serie, die in der Fertigung, der Gebäudeautomatisierung, im Gesundheitswesen und in Unternehmensumgebungen eingesetzt werden. Diese Geräte werden häufig in der Fertigung zur Steuerung von Produktionslinien, in Gebäuden zur Steuerung von Aufzügen und HLK-Systemen sowie in Scada-Servern auf der ganzen Welt eingesetzt. Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen
KI in Fertigungsbranche vorn
Wie würde ein Angreifer Modipwn verwenden?
Ein Angriff, der Modipwn ausnutzt, würde mit einem Netzwerkzugriff auf eine Modicon SPS beginnen. Durch diesen Zugriff kann der Angreifer undokumentierte Befehle im UMAS-Protokoll ausnutzen und einen bestimmten Hash aus dem Speicher des Geräts auslesen. Mithilfe dieses Hashs kann der Angreifer die sichere Verbindung zwischen der Steuerung und ihrer Verwaltungs-Workstation übernehmen, um die Steuerung mit einer passwortlosen Konfiguration neu zu konfigurieren. Dadurch kann der Angreifer weitere undokumentierte Befehle missbrauchen, die zur Remote-Code-Ausführung führen – bis hin zu einer Übernahme des Geräts. Diese Übernahme kann dann dazu verwendet werden, Malware auf der Steuerung zu installieren, die deren Betrieb verändert und die Existenz dieser Veränderungen vor der Workstation, die diese Steuerung verwaltet, verbirgt.
Ähnliche Lücken bereits geschlossen
Angriffe dieser Art wurden schon früher beobachtet; die Triton-Malware wurde beispielsweise für Sicherheitssteuerungen von Schneider Electric entdeckt, die in petrochemischen Anlagen in Saudi-Arabien eingesetzt werden. „Armis und Schneider Electric haben zusammen gearbeitet, um sicherzustellen, dass die richtigen Sicherheitsvorkehrungen getroffen werden. Wir fordern alle betroffenen Organisationen auf, jetzt Maßnahmen zu ergreifen“, sagt Ben Seri (Bild), VP of Research bei Armis. „Das Problem mit diesen Legacy-Geräten in OT-Umgebungen ist, dass sie historisch gesehen über unverschlüsselte Protokolle entwickelt wurden. Es wird einige Zeit dauern, diese schwachen zugrunde liegenden Protokolle zu beseitigen.“ Das Manufacturing Execution System (MES) HYDRA optimiert Produktionsprozesse für Fertigungsunternehmen, um Wettbewerbsvorteile zu erzielen. ‣ weiterlesen
MES-Integrator und 360-Grad-Partner für optimierte Fertigung
Der Softwarehersteller Armis hat Informationen zur Schwachstelle auf seinem Blog veröffentlicht.