Das Forscherteam von Claroty hat im Juni Schneider Electric über vier Schwachstellen in der speicherprogrammierbaren Steuerung (SPS) „Modicon M221“ und „EcoStruxure Machine Expert Basic“ informiert. Die Schwachstellen könnten es einem fortgeschrittenen Angreifer ermöglichen, die Authentisierung auf diesen Geräten zu umgehen, die Verschlüsselung zur Sicherung von Datenübertragungen zu knacken, den Code zu ändern und Befehle auszuführen. Daraufhin hat Schneider Electric Handlungsempfehlungen für Anwender entwickelt und veröffentlicht: So wird empfohlen, die entsprechenden Netzwerke zu segmentieren und mittels Firewall den unbefugten Zugriff auf den TCP-Port 502 zu blockieren. Schneider rät den Anwendern außerdem, nicht verwendete Protokolle, insbesondere das Programmierprotokoll, innerhalb der Modicon M221-Anwendung zu deaktivieren.
Im Rahmen der digitalen Transformation werden bislang strikt getrennte OT-Netzwerke und -Geräte mit IT-Infrastrukturen verbunden, darunter auch zahlreiche Anlagen aus Zeiten, in denen Cybersecurity noch kein Thema war und sie nur physisch erreicht werden konnten. Der ICS Risk & Vulnerability Report zeigt die Folgen der sich immer weiter entwickelnden Dynamik dieser Konvergenz: Demnach sind sieben von zehn aufgedeckten Schwachstellen auch aus der Ferne ausführbar. Hersteller von industriellen Anlagen reagieren unterschiedlich auf diese Herausforderungen. Anbieter wie Schneider Electric und Rockwell Automation haben beispielsweise umfangreiche Sicherheitsteams aufgebaut und Programme zur Offenlegung von Schwachstellen entwickelt. Diese erleichtern den Wissensaustausch zwischen Forschern und Anbietern und verbessern so nachhaltig die Integrität, Sicherheit und Zuverlässigkeit von Industriegeräten.
Modicon-M221-Steuerungen werden in verschiedenen Industriezweigen als kostengünstige Geräte zur grundlegenden Automationssteuerung eingesetzt. Um die identifizierten Schwachstellen auszunutzen, müssen Angreifer zunächst Zugang zum OT-Netzwerk erhalten. Durch das Abhören des Netzwerkverkehrs zwischen der Modicon-M221-SPS und Ecostruxure-Machine-Expert-Basic wären sie dann in der Lage, die Authentifizierungsmechanismen des Geräts und die entsprechende Verschlüsselung zu erfassen. Insbesondere schwache Verschlüsselungen können dabei leicht überwunden werden und die Angreifer sich so gegenüber dem PLC authentifizieren. Aufgrund der engen und vertrauensvollen Zusammenarbeit zwischen Claroty und Schneider Electric konnten die vier Schwachstellen schnell adressiert und entsprechende Empfehlungen veröffentlicht werden. Überdies entwickelt Schneider Electric die Sicherheit dieser Geräte seit 2017 kontinuierlich weiter, da sie vermehrt auch in konvergenten Umgebungen eingesetzt werden. Zusätzliche Information über die Schwachstellen und weiterführende Hinweise finden sich im Blog von Claroty.
#Claroty
