Schwerwiegende Schwachstellen bei Rockwell Automation

B2B Cyber Security ShortNews

Beitrag teilen

Team82, die Forschungsabteilung des Spezialisten für die Sicherheit von cyber-physischen Systemen (CPS) in Industrie-, Healthcare- und Unternehmensumgebungen Claroty, und Rockwell Automation haben gemeinsam zwei Schwachstellen in speicherprogrammierbaren Steuerungen (SPS) und Engineering-Workstation-Software von Rockwell veröffentlicht.

CVE-2022-1161 betrifft zahlreiche Versionen der Logix-Steuerungen von Rockwell und wurde mit dem höchsten CVSS-Wert von 10 eingestuft, während CVE-2020-1159 mehrere Versionen der Studio 5000 Logix Designer-Anwendung betrifft. Durch die Schwachstellen könnte modifizierter Code auf eine SPS heruntergeladen werden, während der Prozess für die Techniker an ihren Workstations scheinbar normal abläuft. Dies erinnert an Stuxnet und die Rogue7-Angriffe. Rockwell stellt den Anwendern ein Tool zur Verfügung, das solchen versteckten Code aufspürt. Zudem wird den Anwendern dringend empfohlen, die betroffenen Produkte zu aktualisieren, wodurch Manipulationen aufgedeckt werden können.

Getarnte Angriffe möglich

Erfolgreiche getarnte Angriffe auf speicherprogrammierbare Steuerungen (SPS) gehören zu den seltensten, zeitaufwändigsten und investitionsintensivsten Angriffen. Die Stuxnet-Autoren legten hier den Grundstein, indem sie einen Weg fanden, bösartigen Bytecode, der auf einer SPS läuft, zu verbergen, während der Techniker, der die Steuerung programmiert, auf seiner Workstation nur den normalen Zustand sieht. Hierzu müssen der Bytecode und der Textcode entkoppelt werden. Bei dem Rogue7-Angriff auf Siemens SIMATIC S7-SPSen konnten die Forscher beispielsweise den textuellen Code verändern, während sie den bösartigen Bytecode an die SPS übermittelten.

Team82 hat die SPS-Plattform von Rockwell Automation auf diese Stuxnet-ähnlichen Angriffe getestet. Dabei wurden zwei Schwachstellen aufgedeckt, die die Logix-Steuerungen und die Logix-Designer-Anwendung für Engineering-Workstations des Unternehmens für solche Angriffe anfällig machen. Angreifer, die in der Lage sind, die SPS-Logik unauffällig zu modifizieren, könnten physische Schäden in Fabriken verursachen, welche die Sicherheit von Fertigungsstraßen und die Zuverlässigkeit von Robotern beeinträchtigen.

Angriff wie bei Stuxnet erfolgreich

Durch die beiden identifizierten Schwachstellen ist es möglich, den Textcode vom Binärcode zu entkoppeln und auf die SPS zu übertragen, wobei nur der eine, nicht aber der andere modifiziert wird. Dadurch glaubt der Techniker, dass auf der SPS der reguläre Code ausgeführt wird, während in Wirklichkeit jedoch ein völlig anderer, potenziell bösartiger Code läuft.

Mehr bei Claroty.com

Über Claroty

Claroty, die Industrial Cybersecurity Company, hilft ihren weltweiten Kunden, ihre OT-, IoT- und IIoT-Anlagen zu erkennen, zu schützen und zu verwalten. Die umfassende Plattform des Unternehmens lässt sich nahtlos in die bestehende Infrastruktur und Prozesse der Kunden einbinden und bietet eine breite Palette an industriellen Cybersicherheitskontrollen für Transparenz, Bedrohungserkennung, Risiko- und Schwachstellenmanagement sowie sicheren Fernzugriff – bei deutlich reduzierten Gesamtbetriebskosten.


 

Passende Artikel zum Thema

Cybergefahr Raspberry Robin

Ein führender Anbieter einer KI-gestützten, in der Cloud bereitgestellten Cyber-Sicherheitsplattform, warnt vor Raspberry Robin. Die Malware wurde erstmals im Jahr ➡ Weiterlesen

Neue Masche Deep Fake Boss

Anders als bei klassischen Betrugsmaschen wie der E-Mail-gestützten Chef-Masche, greift die Methode  Deep Fake Boss auf hochtechnologische Manipulation zurück, um ➡ Weiterlesen

Einordnung der LockBit-Zerschlagung

Den europäischen und amerikanischern Strafverfolgungsbehörden ist es gelungen, zwei Mitglieder der berüchtigten LockBit-Gruppierung festzunehmen. Dieser wichtige Schlag gegen die Ransomware-Gruppe ➡ Weiterlesen

Die Bumblebee-Malware ist wieder da

Die Bumblebee-Malware wird nach mehrmonatiger Abwesenheit wieder von Cyberkriminellen eingesetzt. IT-Sicherheitsexperten konnten kürzlich eine E-Mail-Kampagne identifizieren, die die Marke des ➡ Weiterlesen

Microsoft Defender lässt sich austricksen

In Microsofts Virenschutzprogramm Defender steckt eine Komponente, die eine Ausführung von Schadcode mithilfe von rundll32.exe erkennen und unterbinden soll. Dieser ➡ Weiterlesen

Ransomware-Attacke auf IT-Dienstleister

Ein in Schweden stationiertes Rechenzentrum des finnischen IT-Dienstleisters Tietoevry wurde kürzlich mit Ransomware angegriffen. Zahlreiche Unternehmen, Behörden und Hochschulen sind ➡ Weiterlesen

Bedrohungspotenzial durch staatliche Akteure

Das Ausmaß der aktuellen Bedrohungslage veranschaulicht ein Cyberangriff, der sich vor kurzem in der Ukraine ereignet hat. Laut dem staatlichen ➡ Weiterlesen

Kritische Schwachstellen bei Fortinet

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Sicherheitslücke in mehreren Versionen des Fortinet-Betriebssystems FortiOS, das etwa ➡ Weiterlesen