Meldung

Industriesteuerung von Schneider Electric angreifbar

Sicherheitsforscher von Armis haben die Entdeckung einer Schwachstelle für Remote Code Execution in speicherprogrammierbaren Steuerungen (SPS) von Schneider Electric Modicon bekannt gegeben. Die als Modipwn bezeichnete Schwachstelle ermöglicht die vollständige Übernahme der betroffenen Geräte, indem sie das UMAS-Protokoll ausnutzt.
Steuerungssysteme der Modicon-Serie von Schneider Electric sind angreifbar.
Betroffen sind laut Armis [1] Modicon M340, M580 und andere Modelle der Modicon-Serie, die in der Fertigung, der Gebäudeautomatisierung, im Gesundheitswesen und in Unternehmensumgebungen eingesetzt werden. Diese Geräte werden häufig in der Fertigung zur Steuerung von Produktionslinien, in Gebäuden zur Steuerung von Aufzügen und HLK-Systemen sowie in SCADA-Servern auf der ganzen Welt eingesetzt.

Ein Angriff, der Modipwn ausnutzt, würde mit einem Netzwerkzugriff auf eine Modicon SPS beginnen. Durch diesen Zugriff kann der Angreifer undokumentierte Befehle im UMAS-Protokoll ausnutzen und einen bestimmten Hash aus dem Speicher des Geräts auslesen. Mithilfe dieses Hashs kann der Angreifer die sichere Verbindung zwischen der Steuerung und ihrer Verwaltungsworkstation übernehmen, um die Steuerung mit einer passwortlosen Konfiguration neu zu konfigurieren. Dadurch kann der Angreifer weitere undokumentierte Befehle missbrauchen, die zur Remote-Code-Ausführung führen - einer vollständigen Übernahme des Geräts.

Diese Übernahme kann dann dazu verwendet werden, Malware auf der Steuerung zu installieren, die deren Betrieb verändert und die Existenz dieser Veränderungen vor der Workstation, die diese Steuerung verwaltet, verbirgt. Die CVE für diese Sicherheitslücke lautet CVE-2021-22779.

Ausgefeilte Angriffe dieser Art wurden schon früher in freier Wildbahn beobachtet; die Triton-Malware wurde beispielsweise für Sicherheitssteuerungen von Schneider Electric entdeckt, die in petrochemischen Anlagen in Saudi-Arabien eingesetzt werden. Angriffe, die den Betrieb von Industriesteuerungen verändern, sind eine Bedrohung sowohl für die Geschäftskontinuität als auch für die Sicherheit, und Angriffe, die sich vor Überwachungslösungen verstecken, können extrem schwierig zu erkennen sein.
13.07.2021/dr

Tipps & Tools

Intensiv-Seminar "Aufbau einer PKI unter Windows Server" [2.08.2021]

Microsoft verwendet Zertifikate für mehrere PKI-fähige Produkte, daher bedarf es sowohl innerhalb der Organisation als auch für externe Partner einer fehlerfreien Zertifikatausstellung. Anfang September erfahren Sie in unserem Intensiv-Seminar in Hamburg, was Sie beim Aufbau einer Public-Key-Infrastruktur unter Windows Server beachten müssen. Dabei zeigen wir unter anderem, wie Sie PKI-fähige Anwendungen identifizieren und eine Testumgebung aufbauen und konfigurieren. Zögern Sie nicht zu lange – und sichern Sie sich einen der letzten Restplätze für das Intensiv-Seminar! Abonnenten nehmen wie immer zum Vorzugspreis teil. [mehr]

Sicherheitslücke in systemd begünstigt Denial-of-Service-Attacken [30.07.2021]

Das Qualys Research Team hat eine schwerwiegende Sicherheitslücke in Linux-Betriebssystemen identifiziert. Für den den systemd-Daemon betreffenden Bug weit verbreiteter OS wie RHEL 8 und Debian 10 ist ein Patch verfügbar. [mehr]

Fachartikel

SOC-Grundlagen: Weniger Fehlmeldungen durch besseren Kontext [21.07.2021]

Wer als Sicherheitsspezialist in einem Security Operations Center arbeitet, der wird tagein, tagaus mit einer schier endlosen Flut an Meldungen konfrontiert. Jedoch sind nicht alle dieser Nachrichten wirklich sicherheitsrelevant, denn bei einem Großteil handelt es sich um Fehlalarme oder unwichtige Informationen. Der Artikel erklärt, wie mehr Datenkontext dabei helfen kann, zwischen echten Signalen und sogenanntem Rauschen zu unterscheiden, um dem Problem der Alarmmüdigkeit entgegenzuwirken. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen