Ein neuer weit verbreiteter IoT-Kompromiss könnte Millionen von Logik-Controller-Chips beeinträchtigen

AKTUALISIERT 12:05 EDT / 15. AUGUST 2023

von David Strom

Der Microsoft-Sicherheitsforscher Vladimir Tokarev demonstrierte einen interessanten Angriff auf die Automatisierungssoftware für das industrielle Internet der Dinge namens Codesys.

Tokarev, der den Exploit letzte Woche auf der jährlichen BlackHat-Sicherheitskonferenz in Las Vegas vorführte, nutzte ein Miniatur-Aufzugsmodell, um zu demonstrieren, wie der Angriff seine Kabine zum Absturz bringen konnte. Die Software – und was noch wichtiger ist, ihr Software-Entwicklungskit – wird häufig in Millionen von speicherprogrammierbaren Steuerungen oder SPS-Chips verwendet, die alles steuern, von Ampeln und Wasseraufbereitungsanlagen bis hin zur Automatisierung von Gewerbegebäuden und Energieleitungen.

Im vergangenen September entdeckte Tokarev 16 Schwachstellen, die er gemeinsam als CoDe16 bezeichnet. Diese nutzen sowohl Remote-Codeausführung als auch Denial-of-Service-Techniken, um die Kontrolle über die SPS zu übernehmen und es Angreifern zu ermöglichen, Malware einzuschleusen.

„Da Codesys von vielen Anbietern verwendet wird, kann eine Schwachstelle viele Sektoren, Gerätetypen und Branchen betreffen, ganz zu schweigen von mehreren Schwachstellen“, sagte er in einem Blogbeitrag, in dem er die Forschung beschrieb. Microsoft Corp. schätzt, dass die Software in 1.000 verschiedenen Gerätetypen von mehr als 500 Herstellern verwendet wird.

Dies ist nicht die erste Codesys-Sicherheitslücke. Im vergangenen November stellten Forescout-Forscher ein weiteres Problem mit der Software fest, das ihre Logikprozesse beeinträchtigt.

Tokarev hat seine Analyse und seinen Code auf GitHub veröffentlicht, damit andere ihn prüfen können, zusammen mit einem Tool, mit dem Unternehmen gefährdete Komponenten identifizieren können. Das Codesys-Framework verwendet eigene Netzwerkprotokolle und spezielle TCP/IP-Portnummern, die er zurückentwickeln musste, um seine Funktionsweise zu verstehen und diese Schwachstellen zu entdecken.

Viele der Angriffe nutzten Pufferüberlaufbedingungen. Tokarev stellte in seiner Arbeit eine Vielzahl von Geräten zusammen und zeigte den Konferenzteilnehmern dieses Foto:

Codesys wird mit einer Windows-basierten Verwaltungssoftware und einem Simulator geliefert, der zu Testzwecken verwendet wird. „Aufgrund seiner Beliebtheit und seiner weltweiten Verbreitung ist es ein sehr interessanter, kritischer Angriffsvektor, der geschützt und entschärft werden sollte“, sagte er auf der Konferenzsitzung.

Codesys-Versionen vor c.3.5.19.0 sind anfällig für die entdeckten Schwachstellen, und Benutzer sollten ihre Firmware über diesen Link aktualisieren. Microsoft hat weitere Empfehlungen, darunter Netzwerksegmentierung, um die SPS vom direkten Online-Zugriff zu isolieren, sowie Techniken zur Verwaltung der geringsten Rechte, um Benutzer einzuschränken, die Zugriff auf die Geräte haben und die Möglichkeit haben, Änderungen an den Komponenten zu veröffentlichen.

DANKE

Ein neuer weit verbreiteter IoT-Kompromiss könnte Millionen von Logik-Controller-Chips betreffen

MongoDB stellt Datenverschlüsselungstechnologie für Entwickler vor, um den Datenschutz und die Compliance zu verbessern

Neue Berichte zeigen, dass Phishing zunimmt – und immer ausgefeilter wird

Nutanix bietet einen Schnellstartansatz für die KI-Entwicklung

Dialpad integriert generative KI in seine gesamte Callcenter-Suite

Das Full-Stack-Observability-Startup Highlight startet mit einer Finanzierung von 8 Millionen US-Dollar

Ein neuer weit verbreiteter IoT-Kompromiss könnte Millionen von Logik-Controller-Chips betreffen

SICHERHEIT – VON DAVID STROM. VOR 1 MIN

MongoDB stellt Datenverschlüsselungstechnologie für Entwickler vor, um den Datenschutz und die Compliance zu verbessern

BIG DATA – VON JOHN FURRIER. VOR 34 MIN

Neue Berichte zeigen, dass Phishing zunimmt – und immer ausgefeilter wird

SICHERHEIT – VON DAVID STROM. VOR 3 STUNDEN

Nutanix bietet einen Schnellstartansatz für die KI-Entwicklung

KI – VON PAUL GILLIN. VOR 3 STUNDEN

Dialpad integriert generative KI in seine gesamte Callcenter-Suite

KI – VON PAUL GILLIN. VOR 3 STUNDEN

Das Full-Stack-Observability-Startup Highlight startet mit einer Finanzierung von 8 Millionen US-Dollar

APPS – VON MIKE WEATLEY. VOR 3 STUNDEN