30. Juli 2020 Klaus Lorbeer/pi

Claroty deckt Schwachstellen in industriellen VPNs auf

Forscher von Claroty haben in den letzten Monaten mehrere Schwachstellen bei der Remote-Codeausführung in VPN-Implementierungen entdeckt, die insbesondere für den Fernzugriff auf OT-Netzwerke genutzt werden. [...]

Proof of Concept: Das Claroty-Forscherteam zeigt, wie ein Angreifer Phishing-Taktiken einsetzen könnte, um die eWon-Schwachstelle auszunutzen und die vollständige Übernahme eines VPN-Client-Rechners zu erreichen.
Proof of Concept: Das Claroty-Forscherteam zeigt, wie ein Angreifer Phishing-Taktiken einsetzen könnte, um die eWon-Schwachstelle auszunutzen und die vollständige Übernahme eines VPN-Client-Rechners zu erreichen. (c) Claroty

Auch im industriellen Umfeld mussten Unternehmen als Folge der Corona-Pandemie verstärkt auf Fernzugriff setzen und nutzten hierfür vor allem VPN-Server und -Clients, um ihren entfernten Mitarbeitern die Arbeit von Zuhause aus zu ermöglichen. Die identifizierten Sicherheitslücken ermöglichen Angreifern die volle Kontrolle über VPN-Server und VPN-Clients sowie einen umfassenden Zugriff auf interne, gesicherte Netzwerke unter Umgehung des Perimeterschutzes. Die gefährdeten Produkte von Secomea, Moxa und HMS Industrial Networks werden weltweit vor allem von Energie und Wasserversorgungsunternehmen eingesetzt, bei denen eine sichere Verbindung zu entfernten Standorten entscheidend ist. Die gefundenen Schwachstellen verdeutlichen die speziellen, in der Natur des OT-Fernzugriffs liegenden Risiken. VPNs sind in der IT ein bewährtes Verfahren. Im Bereich der OT sind jedoch strengere rollen- und richtlinienbasierte Kontrollen und Überwachungsfunktionen erforderlich, um einen sicheren Fernzugriff zu gewährleisten. Durch den Einsatz von VPNs erzielen Unternehmen in diesem Bereich folglich nur eine scheinbare Sicherheit.

Die entdeckten Schwachstellen ermöglichen drei unterschiedliche Angriffsvektoren

Cloud: Anfällige Fernzugriffsserver können als hocheffektive Angriffsflächen für Angreifer, die auf das VPN zielen, dienen. Diese Server sind kritische Punkte, da sie mit einem „Bein“ im für alle zugänglichen Internet stehen und mit dem anderen „Bein“ im gesicherten, internen Netzwerk – jenseits aller Sicherheitsmaßnahmen am Perimeter. Wenn Angreifer Zugang zu ihm erhalten, können sie also nicht nur den internen Datenverkehr einsehen, sondern auch so kommunizieren, als wären sie ein legitimer Host innerhalb des Netzwerks. 
Secomea GateManager ist ein weit verbreiteter ICS-Fernzugriffsserver, der weltweit als Cloud-basierte SaaS-Lösung eingesetzt wird. Der entdeckte Fehler tritt aufgrund einiger der vom Client bereitgestellten HTTP-Anfrage-Header auf und ermöglicht Angreifern eine entfernte Codeausführung, ohne dass eine Authentifizierung erforderlich ist. Auf diese Weise können sie vollen Zugriff auf das interne Netzwerk erhalten und den gesamten Datenverkehr, der über das VPN läuft, entschlüsseln.

Anlagen: Eine der großen Herausforderungen im Bereich ICS ist die sichere Verbindung zwischen entfernten Standorten und dem Hauptrechenzentrum, in dem sich der SCADA-/Datenerfassungsserver befindet. In jüngster Zeit gab es zahlreiche Vorfälle, bei denen auf internetfähige ICS-Geräte direkt und ohne Anmeldeinformationen zugegriffen wurde. Um dies zu vermeiden, sind verschiedene ICS-VPN-Lösungen in der Lage, sichere Fernverbindungen zwischen Standort und Zentrale herzustellen.
EDR-G902/3 von Moxa ist ein industrieller VPN-Server, All-in-One-Router, der über eine Firewall und Network Access Translation (NAT) verfügt. Claroty-Forscher entdeckten hier eine Stack-basierte Overflow-Schwachstelle, die von Angreifern eine entfernte Codeausführung ohne die Notwendigkeit von Anmeldedaten ermöglicht. 

Client: Eine weitere weit verbreitete Angriffsfläche für die Angriffe auf VPNs ist der Client. Wer die Herrschaft über einen Computer eines autorisierten Benutzers erlangt, der kann auf die VPN-Zugangsdaten dieses Benutzers sowie auf die Zugangsdaten für andere Mitarbeiter-Accounts zugreifen. Hierdurch können Angreifer in das Unternehmensnetzwerk eindringen und dort Fuß fassen, ohne hierfür die Server-Instanz angreifen zu müssen.
eWon von HMS Industrial Networks bietet Konnektivitätslösungen, die es Maschinenbauern und Fabrikbetreibern ermöglichen, die Leistung ihrer Anlagen aus der Ferne zu überwachen. Die Claroty-Forscher entdeckten hier einen kritischen Stack-Buffer-Overflow-Bug. Dieser kann durch den Besuch einer bösartigen Website oder das Öffnen einer bösartigen E-Mail, die ein speziell gestaltetes HTML-Element enthalten, ausgenutzt werden. Das Opfer muss beispielsweise nur dazu gebracht werden, die bösartige E-Mail aufzurufen. Sobald der E-Mail-Client (z.B. Outlook) die manipulierten Bilder lädt, startet der Exploitation-Prozess und die Angreifer können Code ausführen und den Rechner des Opfers vollständig übernehmen.

Die Claroty-Experten haben die Hersteller bereits über die Schwachstellen informiert, die bereits auch schon entsprechende Patches zur Verfügung gestellt haben. Diese gibt es hier zum Download: Secomea Gate Manager, Moxa EDR-G902 und EDR-G903, eWon Version 6.5.5.

Weitere Informationen zu den Sicherheitslücken finden Interessierte im (englischsprachigen) Claroty-Blog.

Nachfolgen ein kurzes Demo-Video:

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

21. November 2024 Andrea Wörrlein *

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

21. November 2024

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

21. November 2024 Wolfgang Franz

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*