Die Forscher des Kaspersky ICS CERT haben mehrere Schwachstellen in einem verbreiteten Framework von CODESYS entdeckt, das für die Entwicklung industrieller Geräte wie speicherprogrammierbarer Steuerungen (SPS) und Mensch-Maschine-Schnittstelle (MMS) verwendet wird; sie werden in fast jeder automatisierten Industrieanlage von der kritischen Infrastruktur bis hin zu Produktionsprozessen eingesetzt. Die entdeckten Sicherheitslücken hätten es einem potenziellen Angreifer ermöglicht, Angriffe sowohl lokal als auch remote durchzuführen. Die Schwachstellen wurden vom Hersteller behoben.
SPS sind Geräte, die Prozesse automatisieren, die bisher manuell oder mit Hilfe komplexer elektromechanischer Geräte durchgeführt wurden. Damit diese korrekt funktionieren, müssen sie entsprechend programmiert werden. Die Programmierung erfolgt über ein spezielles Software-Framework, mit dessen Hilfe Ingenieure Anweisungen für Prozessautomatisierungsprogramme codieren und hochladen können. Damit wird auch eine Laufzeitumgebung (Runtime Execution Environment) für den PS-Programmcode zu Verfügung gestellt. Die Software wird in verschiedenen Umgebungen eingesetzt, darunter in der Produktion, für die Energieerzeugung oder in Smart-City-Infrastrukturen.
Die Kaspersky-Forscher untersuchten ein komplexes, leistungsstarkes Tool zur Entwicklung und Steuerung von SPS-Programmen. Sie fanden dabei mehr als ein Dutzend Sicherheitsprobleme im Hauptnetzwerkprotokoll des Frameworks sowie in der Framework-Laufzeit, von denen vier als besonders schwerwiegend eingestuft und mit den Schwachstellen-IDs CVE-2018-10612, CVE-2018-20026, CVE-2019-9013 und CVE-2018-20025 versehen wurden. Je nach Sicherheitslücke hätten Angreifer:
- Netzwerkbefehls- und Telemetriedatenfehler abfangen und fälschen,
- Kennwörter und andere Authentifizierungsinformationen stehlen und nutzen,
- schädlichen Code in die Laufzeit einschleusen und
- die Berechtigungen des Angreifers im System ausweiten sowie
- andere nicht autorisierte Aktionen durchführen können – und so ihre Anwesenheit verschleiern.
Ein Angreifer wäre damit in der Lage gewesen, die Funktionalität der SPS zu beeinträchtigen oder die vollständige Kontrolle über sie zu erlangen, ohne dass dies vom OT (Operation Technology)-Personal hätte entdeckt werden können. Sie hätten den Betrieb beeinträchtigen oder vertrauliche Daten wie geistiges Eigentum und andere sensible Informationen stehlen können, zum Beispiel zu Fabrikationsfähigkeiten der Fabrik oder neue Produkte. Außerdem wären eine Überwachung sowie das Sammeln weiterer sensibler Informationen möglich gewesen. (rhh)
Kaspersky Lab