Die Claroty-Forscher Amir Preminger und Yehuda Anikster entdeckten kürzlich drei neue Windows-basierte Schwachstellen in „B&R Automation Studio“, einer integrierten Softwareumgebung für die industrielle Automatisierung, die eine breite Palette von OT-Funktionen wie Steuerungen, Mensch-Maschine-Schnittstellen (HMIs) und Betriebssicherheit unterstützt. B&R-Automation-Studio wird weltweit eingesetzt, insbesondere in Unternehmen der Chemie- und Energiebranche sowie in kritischen Fertigungsbetrieben.
Die entdeckten Schwachstellen beziehen sich speziell auf den Update-Dienst des Produkts, erfordern lediglich ein geringes Maß an Kenntnissen, um sie auszunutzen, und können durch entfernte Codeausführung ausgenutzt werden. Nach der Benachrichtigung durch Claroty stellte B&R Automation Patches für diese Schwachstellen sowie ein US-CERT Advisory zur Verfügung. B&R Automation gibt an, keine Beweise gefunden zu haben, die darauf hinweisen, dass eine der von Claroty entdeckten Schwachstellen böswillig genutzt wurde. Die Ergebnisse von Preminger und Anikster stellen jedoch ein anschauliches Beispiel dafür dar, wie ein Angreifer Software-Schwachstellen ausnutzen kann, um Computer zu kompromittieren, die für technische Arbeiten innerhalb einer OT-Umgebung verwendet werden.
Folgende Schwachstellen wurden von den Forschern identifiziert:
- Ungenügendes Privilegien-Management (CVE-2019-19100): Diese Privilegieneskalations-Schwachstelle könnte authentifizierten Benutzern erlauben, beliebige Dateien über eine exponierte Schnittstelle zu löschen.
- Fehlender erforderlicher kryptografischer Schritt (CVE-2019-19101): Diese fehlende Sicherheits-Kommunikationsdefinition, die zu unvollständiger TLS-Verschlüsselung und -Validierung führt, kann nicht authentifizierten Benutzern ermöglichen, Man-in-the-Middle- (MITM-)Angriffe über den B&R-Update-Server durchzuführen.
- Path-Traversal (CVE-2019-19102): Diese Directory-Traversal-Schwachstelle in „SharpZipLib“ („Zip-Slip“) ermöglicht es nicht authentifizierten Benutzern, in bestimmte lokale Verzeichnisse zu schreiben
Laut Preminger könnte ein Angreifer den fehlenden erforderlichen kryptografischen Schritt mit der Path Traversal-Schwachstelle kombinieren, um während eines Software-Updates einzugreifen, einen MITM-Angriff durchzuführen und seinen eigenen bösartigen Code im Netzwerk eines Opfers zu installieren. Unter Ausnutzung dieser Schwachstellen könnte ein Bedrohungsakteur einen DNS-Cache-Poisoning-Angriff gegen Computer innerhalb eines OT-Netzwerks durchführen, während er sich als B&R-Update-Server ausgibt, um nicht entdeckt zu werden. Bei einem DNS-Cache-Poisoning-Angriff (oftmals auch als DNS-Spoofing bezeichnet) leitet ein Angreifer den Datenverkehr zu einem böswilligen Ziel um, während er die DNS-Einträge so verändert, dass der Eindruck einer normalen, legitimen Aktivität entsteht. „Dieser Angriff basiert auf der Entführung einer Domäne, was viel einfacher wird, wenn der Angreifer Zugang zu einem geschlossenen ICS-Netzwerk erhalten hat“, erklärte Preminger kürzlich in einem Interview mit SecurityWeek. „Häufig gibt es keine DNS-Server, die dem Client antworten können. Windows greift dann auf lokale Entdeckungsprotokolle zurück, die leichter zu täuschen sind.“
Maßnahmen zur Risikominimierung
B&R Automation empfiehlt die Durchführung von Produkt-Updates zum frühestmöglichen Zeitpunkt und hat für Anwender, die nicht in der Lage sind, sofort ein Upgrade durchzuführen, mehrere Abhilfemaßnahmen vorgesehen.
#Claroty