Ein neuer weit verbreiteter IoT-Kompromiss könnte Millionen von Logik-Controller-Chips beeinträchtigen
AKTUALISIERT 12:05 EDT / 15. AUGUST 2023
von David Strom
Der Microsoft-Sicherheitsforscher Vladimir Tokarev demonstrierte einen interessanten Angriff auf die Automatisierungssoftware für das industrielle Internet der Dinge namens Codesys.
Tokarev, der den Exploit letzte Woche auf der jährlichen BlackHat-Sicherheitskonferenz in Las Vegas vorführte, nutzte ein Miniatur-Aufzugsmodell, um zu demonstrieren, wie der Angriff seine Kabine zum Absturz bringen konnte. Die Software – und was noch wichtiger ist, ihr Software-Entwicklungskit – wird häufig in Millionen von speicherprogrammierbaren Steuerungen oder SPS-Chips verwendet, die alles steuern, von Ampeln und Wasseraufbereitungsanlagen bis hin zur Automatisierung von Gewerbegebäuden und Energieleitungen.
Im vergangenen September entdeckte Tokarev 16 Schwachstellen, die er gemeinsam als CoDe16 bezeichnet. Diese nutzen sowohl Remote-Codeausführung als auch Denial-of-Service-Techniken, um die Kontrolle über die SPS zu übernehmen und es Angreifern zu ermöglichen, Malware einzuschleusen.
„Da Codesys von vielen Anbietern verwendet wird, kann eine Schwachstelle viele Sektoren, Gerätetypen und Branchen betreffen, ganz zu schweigen von mehreren Schwachstellen“, sagte er in einem Blogbeitrag, in dem er die Forschung beschrieb. Microsoft Corp. schätzt, dass die Software in 1.000 verschiedenen Gerätetypen von mehr als 500 Herstellern verwendet wird.
Dies ist nicht die erste Codesys-Sicherheitslücke. Im vergangenen November stellten Forescout-Forscher ein weiteres Problem mit der Software fest, das ihre Logikprozesse beeinträchtigt.
Tokarev hat seine Analyse und seinen Code auf GitHub veröffentlicht, damit andere ihn prüfen können, zusammen mit einem Tool, mit dem Unternehmen gefährdete Komponenten identifizieren können. Das Codesys-Framework verwendet eigene Netzwerkprotokolle und spezielle TCP/IP-Portnummern, die er zurückentwickeln musste, um seine Funktionsweise zu verstehen und diese Schwachstellen zu entdecken.
Viele der Angriffe nutzten Pufferüberlaufbedingungen. Tokarev stellte in seiner Arbeit eine Vielzahl von Geräten zusammen und zeigte den Konferenzteilnehmern dieses Foto:
Codesys wird mit einer Windows-basierten Verwaltungssoftware und einem Simulator geliefert, der zu Testzwecken verwendet wird. „Aufgrund seiner Beliebtheit und seiner weltweiten Verbreitung ist es ein sehr interessanter, kritischer Angriffsvektor, der geschützt und entschärft werden sollte“, sagte er auf der Konferenzsitzung.
Codesys-Versionen vor c.3.5.19.0 sind anfällig für die entdeckten Schwachstellen, und Benutzer sollten ihre Firmware über diesen Link aktualisieren. Microsoft hat weitere Empfehlungen, darunter Netzwerksegmentierung, um die SPS vom direkten Online-Zugriff zu isolieren, sowie Techniken zur Verwaltung der geringsten Rechte, um Benutzer einzuschränken, die Zugriff auf die Geräte haben und die Möglichkeit haben, Änderungen an den Komponenten zu veröffentlichen.
DANKE
Ein neuer weit verbreiteter IoT-Kompromiss könnte Millionen von Logik-Controller-Chips betreffen
MongoDB stellt Datenverschlüsselungstechnologie für Entwickler vor, um den Datenschutz und die Compliance zu verbessern
Neue Berichte zeigen, dass Phishing zunimmt – und immer ausgefeilter wird
Nutanix bietet einen Schnellstartansatz für die KI-Entwicklung
Dialpad integriert generative KI in seine gesamte Callcenter-Suite
Das Full-Stack-Observability-Startup Highlight startet mit einer Finanzierung von 8 Millionen US-Dollar
Ein neuer weit verbreiteter IoT-Kompromiss könnte Millionen von Logik-Controller-Chips betreffen
SICHERHEIT – VON DAVID STROM. VOR 1 MIN
MongoDB stellt Datenverschlüsselungstechnologie für Entwickler vor, um den Datenschutz und die Compliance zu verbessern
BIG DATA – VON JOHN FURRIER. VOR 34 MIN
Neue Berichte zeigen, dass Phishing zunimmt – und immer ausgefeilter wird
SICHERHEIT – VON DAVID STROM. VOR 3 STUNDEN
Nutanix bietet einen Schnellstartansatz für die KI-Entwicklung
KI – VON PAUL GILLIN. VOR 3 STUNDEN
Dialpad integriert generative KI in seine gesamte Callcenter-Suite
KI – VON PAUL GILLIN. VOR 3 STUNDEN
Das Full-Stack-Observability-Startup Highlight startet mit einer Finanzierung von 8 Millionen US-Dollar
APPS – VON MIKE WEATLEY. VOR 3 STUNDEN
„TheCUBE ist ein wichtiger Partner der Branche. Ihr seid wirklich ein Teil unserer Veranstaltungen und wir wissen es wirklich zu schätzen, dass ihr kommt, und ich weiß, dass die Leute auch die von euch erstellten Inhalte schätzen“ – Andy JassyDANKE