Drei nicht weiter genannte Hersteller von Mobilfunkroutern für die Industrie sollen Schwachstellen in ihren Plattformen für das Cloudmanagement aufweisen: Durch diese seien die Betriebsnetze der Kunden externen Angriffen ausgesetzt. Diese Problematik werfe Fragen über die Sicherheit der Verbindung von OT mit der Cloud auf und lege die Notwendigkeit von standardisierten Branchenvorschriften zur Beseitigung solcher Sicherheitsrisiken nahe.

Roni Gavrilov, Security Researcher bei OTORIO, hat auf der Konferenz Black Hat Asia 2023, die vom 9. bis 12. Mai im Marina Bay Sands in Singapur stattfand, über wichtige Erkenntnisse und Tipps zur Behebung der Probleme auf diesem Sektor gesprochen. Laut Gavrilov versetzt ein industrieller Mobilfunkrouter mehrere Geräte in die Lage, sich über ein Mobilfunknetz mit dem Internet zu verbinden. Solche Router würden häufig in industriellen Umgebungen eingesetzt, zum Beispiel in Fertigungsbetrieben oder auf Bohrinseln, auf denen herkömmliche kabelgebundene Internetverbindungen eventuell nicht zur Verfügung stehen oder nicht zuverlässig sind.

Angreifbare Cloudplattformen

Die Hersteller dieser Geräte verwenden Cloudplattformen, um ihren Kunden Funktionen wie zum Beispiel Fernverwaltung, Skalierbarkeit, Analysen und Security zu liefern. Die Untersuchung von OTORIO ermittelte jedoch 11 Schwachstellen in den untersuchten Cloudplattformen, die die Ausführung von Remote-Code und die vollständige Kontrolle von außen über Hunderttausende von Geräten und OT-Netzwerken ermöglichen sollen – in einigen Fällen sogar über solche, die nicht aktiv für die Nutzung in der Cloud konfiguriert seien.

"Da der Einsatz von IIoT-Geräten immer beliebter wird, ist es besonders wichtig, sich darüber klar zu sein, dass die Plattformen von Cloudmanagement von Bedrohungsakteuren ins Visier genommen werden können", erläuterte Gavrilov auf der Konferenz. "Eine einzelne IIoT-Plattform eines Herstellers, die für die Zwecke der Angreifer ausgenutzt wird, könnte als Dreh- und Angelpunkt für sie funktionieren und auf Tausende von Umgebungen gleichzeitig zugreifen."

OTORIO entdeckte bei seinen Untersuchungen eine breite Palette von Angriffsvektoren, die auf dem Sicherheitsniveau der Cloudplattform des jeweiligen Anbieters beruhen. Darunter seien auch mehrere Schwachstellen in M2M-Protokollen (Machine-to-Machine) und schwache Mechanismen zur Asset-Registrierung. In einigen Fällen ermöglichen diese Sicherheitslücken den externen Angreifern folgende Zugriffe:

• Root-Zugriff über eine Reverse-Shell zu erlangen;
• Geräte im Produktionsnetzwerk zu kompromittieren, um unbefugten Zugriff und Kontrolle mit Root-Rechten zu ermöglichen sowie
• die Funktionsfähigkeit von Geräten zu beeinträchtigen, um sensible Informationen herauszuschleusen und Operationen wie zum Beispiel einen Shutdown durchzuführen.

Einige Angriffe erforderten Identifikatoren wie zum Beispiel den Zugang zur MAC-Adresse, die Seriennummer oder die IMEI, um in mit der Cloud verbundene Geräte einzudringen, andere seien hingegen noch nicht betroffen. Ein ernsthaftes Problem, das bei allen drei Herstellern auftrete, bestünde darin, dass ihre Plattformen Geräte offenlegen, die nicht für die Verwendung in der Cloud konfiguriert wurden. Darüber hinaus könnten Attacken auf diese Geräte alle Sicherheitsebenen des Purdue Enterprise Reference Architecture Model für mehrere verschiedene Anbieter umgehen.