Claroty findet Schwachstellen in industrieller Automatisierungssoftware

Die Claroty-Forscher Amir Preminger und Yehuda Anikster entdeckten drei neue Windows-basierte Schwachstellen in B&R Automation Studio, einer integrierten Softwareumgebung für die industrielle Automatisierung, die eine breite Palette von OT-Funktionen wie Steuerungen, Mensch-Maschine-Schnittstellen und Betriebssicherheit unterstützt. [...]

Sicherheitsforscher von Claroty decken Schwachstellen in industrieller Automatisierungssoftware auf.
Sicherheitsforscher von Claroty decken Schwachstellen in industrieller Automatisierungssoftware auf. (c) Michal Jarmoluk / Pixabay

B&R Automation Studio wird weltweit eingesetzt, insbesondere in Unternehmen der Chemie- und Energiebranche sowie in kritischen Fertigungsbetrieben. Die entdeckten Schwachstellen beziehen sich speziell auf den UpdateDienst des Produkts, erfordern lediglich ein geringes Maß an Kenntnissen, um sie auszunutzen, und können durch entfernte Codeausführung ausgenutzt werden. Nach der Benachrichtigung durch Claroty stellte B&R Automation Patches für diese Schwachstellen sowie ein US-CERT Advisory zur Verfügung. B&R Automation weist darauf hin, dass keine Hinweise gefunden wurden, dass eine der von Claroty entdeckten Schwachstellen böswillig genutzt wurde. Die Ergebnisse von Preminger und Anikster stellen jedoch ein anschauliches Beispiel dafür dar, wie ein Angreifer SoftwareSchwachstellen ausnutzen kann, um Computer zu kompromittieren, die für technische Arbeiten innerhalb einer OT-Umgebung verwendet werden.Folgende Schwachstellen wurden von den Forschern identifiziert:

  • Ungenügendes Privilegien-Management (CVE-2019-19100): Diese Privilegieneskalationsschwachstelle könnte authentifizierten Benutzern erlauben, beliebige Dateien über eine exponierte Schnittstelle zu löschen.
  • Fehlender erforderlicher kryptografischer Schritt (CVE-2019-19101): Diese fehlende Sicherheitskommunikationsdefinition, die zu unvollständiger TLS-Verschlüsselung und -Validierung führt, kann nicht authentifizierten Benutzern ermöglichen, Man-in-the-Middle (MITM)-Angriffe über den B&R Update-Server durchzuführen.
  • Path Traversal (CVE-2019-19102): Diese Directory Traversal-Schwachstelle in SharpZipLib („Zip-Slip“) ermöglicht es nicht authentifizierten Benutzern, in bestimmte lokale Verzeichnisse zu schreiben.

Laut Preminger könnte ein Angreifer den fehlenden erforderlichen kryptografischen Schritt mit der Path-Traversal-Schwachstelle kombinieren, um während eines SoftwareUpdates einzugreifen, einen MITM-Angriff durchzuführen und seinen eigenen bösartigen Code im Netzwerk eines Opfers zu installieren. Unter Ausnutzung dieser Schwachstellen könnte ein Bedrohungsakteur einen DNS-Cache-Poisoning-Angriff gegen Computer innerhalb eines OT-Netzwerks durchführen, während er sich als B&R-UpdateServer ausgibt, um nicht entdeckt zu werden. Bei einem DNS-Cache-Poisoning-Angriff (oftmals auch als DNS-Spoofing bezeichnet) leitet ein Angreifer den Datenverkehr zu einem böswilligen Ziel um, während er die DNS-Einträge so verändert, dass der Eindruck einer normalen, legitimen Aktivität entsteht. „Dieser Angriff basiert auf der Entführung einer Domäne, was viel einfacher wird, wenn der Angreifer Zugang zu einem geschlossenen ICS-Netzwerk erhalten hat“, erklärte Preminger kürzlich in einem Interview mit SecurityWeek. „Häufig gibt es keine DNSServer, die dem Client antworten können. Windows greift dann auf lokale Entdeckungsprotokolle zurück, die leichter zu täuschen sind.“

Maßnahmen zur Risikominimierung

B&R Automation empfiehlt die Durchführung von Produkt-Updates zum frühestmöglichen Zeitpunkt und hat für Anwender, die nicht in der Lage sind, sofort ein Upgrade durchzuführen, mehrere Abhilfemaßnahmen vorgesehen.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*