Dutzende Schwachstellen in OT-Komponenten

Security-Forscher von Forescout haben in der Industrie im Einsatz stehende OT-Komponenten (Operational Technology) unter die Lupe genommen und insgesamt 56 Schwachstellen entdeckt. [...]

Foto: MichalJarmoluk/Pixabay

Die Hersteller von OT-Komponenten (Operational Technology) sind weit davon entfernt, fundamentale Secure-by-Design-Prinzipien zu beachten. So kann das Fazit lauten, wenn man sich die Ergebnisse einer Studie der IT-Scurity-Spezialistin Forescout zu Gemüte führt.

Denn die Experten haben 56 Schwachstellen in OT-Komponenten von zehn verschiedenen Herstellern entdeckt. Das Besondere bei den Sicherheitslücken: Sie beruhen nicht auf eigentlichen Programmierfehlern, sondern auf mangelhafter Implementierung und unzureichendem Design der entsprechenden Funktionalitäten.

Betroffen sind OT-Komponenten von namhaften Firmen wie Emerson, Honeywell, Motorola und Siemens.

„Unter Ausnutzung dieser Schwachstellen können Angreifer mit Netzwerkzugriff auf ein Zielgerät aus der Ferne Code ausführen, die Logik, Dateien oder Firmware von OT-Geräten ändern, die Authentifizierung umgehen, Anmeldedaten kompromittieren“, berichten die Forescout-Forscher in dem Report.

Schlussendlich könnten Hacker so die Geräte außer Betrieb nehmen oder eine Reihe von betrieblichen Störungen verursachen, heißt es weiter.

Konkret handelt es sich bei den identifizierten Schwachstellen, die unter der Bezeichnung „OT:Icefall“ zusammengefasst wurden, hauptsächlich um unsichere Protokolle, Implementierungen schwacher Verschlüsselungsverfahren, unsichere Update-Mechanismen für die Firmware oder unsauber eingerichtete Authentifizierungs-Methoden.

Gemäß Forescout lassen sich 14 Prozent der Lücken zur Ausführung von Schadcode aus der Ferne (Remote Code Execution) missbrauchen. 21 Prozent der Schwachstellen können zu Firmware-Manipulationen führen.

Schwachstellen trotz Zertifizierung

Interessanterweise waren viele der beanstandeten Komponenten nach im OT-Umfeld gebräuchlichen Standards zertifiziert, darunter IEC 62443, NERC CIP und NIST SP 800-82.

„Diese Bemühungen zur Härtung der Geräte seitens der Standardisierungsstellen haben sicherlich zu erheblichen Verbesserungen in den Bereichen Entwicklung von Security-Programmen, Risikomanagement sowie auf der Design- und Architektur-Ebene beigetragen“, stellt der Report zwar fest.

„Sie waren aber weniger erfolgreich dabei, sichere Entwicklungszyklen für einzelne Systeme und Komponenten zu etablieren“, lautet daher die Schlussfolgerung der Forscher.

Es handle sich somit um Jahrzehnte unsicherer Entwicklungspraktiken in der OT, mit denen sich Betreiber von Industrieanlagen nun herumschlagen müssten, wird folglich konstatiert.

*Jens Stark ist Autor bei com!professional.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*