Der Sicherheitsforscher Tal Keren des Spezialisten für industrielle Cybersicherheit Claroty hat eine Schwachstelle (CVE-2019-19279) im Siemens-Digsi-4-Protokoll entdeckt. Diese ermöglicht einen Denial-of-Service- (DoS-)Angriff auf „Siemens SIPROTEC 4 Schutzrelais“, die speziell für Umspannwerke entwickelt wurden. Es handelt sich dabei um dasselbe Protokoll, das 2016 von der Industroyer-Malware verwendet wurde. Entsprechend können ähnliche Schäden von Angreifern reproduziert werden. Claroty informierte umgehend Siemens über diese Entdeckung, woraufhin Siemens eine Empfehlung (SSA-974843) mit Behelfslösungen und angeratenen Maßnahmen veröffentlicht hat.
Die Industroyer-Malware (auch als Crashoverride bekannt) wurde 2016 für einen Angriff auf das ukrainische Stromnetz eingesetzt. Sie enthielt gezielte ICS-Payloads, die es ihr ermöglichten, mit Hilfe von ICS-Protokollen zu kommunizieren und speziell die elektrischen Umspannwerke der betroffenen Unternehmen anzugreifen. Umspannwerke sind für die Stromerzeugung, -verteilung und -transportnetze von entscheidender Bedeutung. Eine sehr wichtige Komponente in einem Umspannwerk ist das Schutzrelais, das für die Überwachung des tatsächlich übertragenen Stroms an jedem Ort verantwortlich ist und die Überstromschutzeinrichtung (elektrische Sicherung) auslösen kann, wenn etwas Unerwartetes passiert. Ohne dieses Schutzrelais besteht die Gefahr von Stromausfällen, physischen Schäden und sogar massiven Sicherheitsproblemen. Einige der von Industroyer verwendeten Payloads wurden so konzipiert, dass sie ein DoS auf den Schutzrelais und den Remote-Terminal-Einheiten (RTU), die in den anvisierten Stromnetzbetreibern eingesetzt werden, verursachen und als Kill-Switch fungieren. Eine der ICS-Nutzlasten, die in der eingesetzten Industroyer-Malware (CVE-2015-5374) gefunden wurde, verursachte ein DoS auf Siemens-SIPROTEC-4-Schutzrelais. Diese Schwachstelle nutzte das SIPROTEC-4-Programmierprotokoll (Digsi 4), das über den UDP-Port 50000 kommuniziert.
Die neue, von Claroty entdeckte Schwachstelle verwendet ein bösartiges Paket im selben Protokoll, um ein DoS auf diesem Relais zu verursachen, so dass ein Angreifer den von Industroyer verursachten Schaden reproduzieren kann. Dieses Digsi-4-Protokoll ermöglicht es den Benutzern, das Schutzrelais zu programmieren und sein Verhalten zu ändern. Wie viele andere ICS-bezogene Protokolle wurde auch dieses Protokoll von Siemens als proprietäres Protokoll entwickelt. Dies erhöht die Herausforderung für traditionelle IT-Sicherheitsprodukte, die vor solchen Angriffen schützen sollen, da ein sehr spezifisches Verständnis des Protokolls und die Fähigkeit zur Deep-Packet-Inspection (DPI) erforderlich sind.
Der nun von Siemens veröffentlichte Ratgeber gibt betroffenen Anwendern Workarounds und empfiehlt entsprechende Maßnahmen. Zudem hat Siemens auch die Sicherheit in den neueren SIPROTEC-5-Relais verbessert, deren Kommunikationsprotokoll verschlüsselt ist und die über eine stärkere Sicherheit verfügen. Viele andere Schutzrelais und andere Arten von ICS-Hardware in der Industrie verwenden proprietäre Protokolle für die Programmierung. Die Sicherung dieser kritischen Geräte erfordert ein entsprechend tiefes Verständnis dieser Protokolle, ein grundlegendes Wissen über OT-Sicherheit und kontinuierliche Forschung, um potenzielle Schwachstellen zu finden und abzubilden – sei es beim Entwurf des Protokolls, bei der Implementierung oder bei der Feststellung von Missbrauchsversuchen.
#Claroty