Team82, die Forschungsabteilung des Spezialisten für die Sicherheit von cyber-physischen Systemen (CPS) in Industrie-, Healthcare- und Unternehmensumgebungen Claroty, und Rockwell Automation haben gemeinsam zwei Schwachstellen in speicherprogrammierbaren Steuerungen (SPS) und Engineering-Workstation-Software von Rockwell veröffentlicht.
CVE-2022-1161 betrifft zahlreiche Versionen der Logix-Steuerungen von Rockwell und wurde mit dem höchsten CVSS-Wert von 10 eingestuft, während CVE-2020-1159 mehrere Versionen der Studio 5000 Logix Designer-Anwendung betrifft. Durch die Schwachstellen könnte modifizierter Code auf eine SPS heruntergeladen werden, während der Prozess für die Techniker an ihren Workstations scheinbar normal abläuft. Dies erinnert an Stuxnet und die Rogue7-Angriffe. Rockwell stellt den Anwendern ein Tool zur Verfügung, das solchen versteckten Code aufspürt. Zudem wird den Anwendern dringend empfohlen, die betroffenen Produkte zu aktualisieren, wodurch Manipulationen aufgedeckt werden können.
Getarnte Angriffe möglich
Erfolgreiche getarnte Angriffe auf speicherprogrammierbare Steuerungen (SPS) gehören zu den seltensten, zeitaufwändigsten und investitionsintensivsten Angriffen. Die Stuxnet-Autoren legten hier den Grundstein, indem sie einen Weg fanden, bösartigen Bytecode, der auf einer SPS läuft, zu verbergen, während der Techniker, der die Steuerung programmiert, auf seiner Workstation nur den normalen Zustand sieht. Hierzu müssen der Bytecode und der Textcode entkoppelt werden. Bei dem Rogue7-Angriff auf Siemens SIMATIC S7-SPSen konnten die Forscher beispielsweise den textuellen Code verändern, während sie den bösartigen Bytecode an die SPS übermittelten.
Team82 hat die SPS-Plattform von Rockwell Automation auf diese Stuxnet-ähnlichen Angriffe getestet. Dabei wurden zwei Schwachstellen aufgedeckt, die die Logix-Steuerungen und die Logix-Designer-Anwendung für Engineering-Workstations des Unternehmens für solche Angriffe anfällig machen. Angreifer, die in der Lage sind, die SPS-Logik unauffällig zu modifizieren, könnten physische Schäden in Fabriken verursachen, welche die Sicherheit von Fertigungsstraßen und die Zuverlässigkeit von Robotern beeinträchtigen.
Angriff wie bei Stuxnet erfolgreich
Durch die beiden identifizierten Schwachstellen ist es möglich, den Textcode vom Binärcode zu entkoppeln und auf die SPS zu übertragen, wobei nur der eine, nicht aber der andere modifiziert wird. Dadurch glaubt der Techniker, dass auf der SPS der reguläre Code ausgeführt wird, während in Wirklichkeit jedoch ein völlig anderer, potenziell bösartiger Code läuft.
Mehr bei Claroty.comÜber Claroty Claroty, die Industrial Cybersecurity Company, hilft ihren weltweiten Kunden, ihre OT-, IoT- und IIoT-Anlagen zu erkennen, zu schützen und zu verwalten. Die umfassende Plattform des Unternehmens lässt sich nahtlos in die bestehende Infrastruktur und Prozesse der Kunden einbinden und bietet eine breite Palette an industriellen Cybersicherheitskontrollen für Transparenz, Bedrohungserkennung, Risiko- und Schwachstellenmanagement sowie sicheren Fernzugriff – bei deutlich reduzierten Gesamtbetriebskosten.