Kritische Schwachstelle gefährdet industrielle Automatisierungssysteme

[English]Sicherheitsforscher haben In der Implementierung des 499ES EtherNet/IP (ENIP) Adaptor Source Code eine Schwachstelle gefunden, die Automatisierungskomponenten unter Umständen angreifbar macht.


Anzeige

Die US-Behörde CISA (Cybersecurity & Infrastructure Security Agency) hat zum 17. November 2020 eine entsprechende Warnung herausgegeben. Der 499ES EtherNet/IP (ENIP) Adaptor wird in vielen industriellen Steuerungs- und Automatisierungssystemen – Real Time Automation (RTA) – zur Kommunikation eingesetzt.

Der EtherNet/IP Adapter

EtherNet/IP (EtherNet Industrial Protocol, oft auch nur EIP genannt) ist ein Echtzeit-Ethernet, welches hauptsächlich in der Automatisierungstechnik verwendet wird. EtherNet/IP wurde von Allen-Bradley (gehört zu Rockwell Automation) entwickelt und später als offener Standard an die Open DeviceNet Vendor Association (ODVA) übergeben.

1998 wurde von einem Arbeitskreis der ControlNet International ein Verfahren entworfen, um das bereits veröffentlichte Applikationsprotokoll Common Industrial Protocol auf Ethernet zu setzen. Auf diesem Verfahren basierend wurde im März 2000 EtherNet/IP als offener Industriestandard veröffentlicht. Daran waren die ControlNet International (CI), die Open DeviceNet Vendor Association (ODVA) sowie die Industrial Ethernet Association (IEA) beteiligt.

Neben Profinet und Modbus/TCP ist EtherNet/IP ein derzeit verbreiteter Ethernet basierter Feldbus. Seit 2002 wurden bis 2006 über eine Million Feldgeräte verkauft. Derzeit unterstützen rund 150 Hersteller innerhalb der ODVA das Busprotokoll. EtherNet/IP ist in Nordamerika der Standard für E/A-Anwendungen in der Industrie.

Basierend auf den grundlegenden TCP/IP-Protokollen TCP und UDP unterstützt EtherNet/IP die Durchgängigkeit zwischen Officenetzwerk und der zu steuernden Anlage. EtherNet/IP Endgeräte unterstützen DHCP und BootP bei der Vergabe der IP-Adresse. Zur Inbetriebnahmeunterstützung (Diagnose) von EtherNet/IP-Netzen kann der im Interfacemodul der SPS-Steuerung integrierten Webserver benutzt werden, oder die in anderen EtherNet/IP-Geräten enthaltenen Webserver. Weitere Details lassen sich der Wikipedia entnehmen.

EtherNet/IP Adapter Source Code Stack

Der Hersteller RTA (RT-Automation) bietet eine Implementierung des EtherNet/IP Adapters als 'EtherNet/IP Adapter Source Code Stack' an. Diese Lösung ist in ANSI-C geschrieben, besitzt eine eigene API und kann in vielen Betriebssystemen wie:

  • Windows
  • VxWorks
  • Net Silicon
  • Rabbit
  • ARC MQX
  • Quadros
  • Netburner
  • Freescale
  • Linux
  • Mentor Nucleus
  • Open TCP
  • Microchip
  • PowerQUICC II Pro

eingesetzt werden. Automatisierungs- und Steuerungshersteller erhalten den Quellcode des EtherNet/IP-Adapters und können diesen in eigene Lösungen integrieren.

Die Schwachstelle

Die jetzt im 499ES EtherNet/IP (ENIP)-Stack der Real-Time Automation (RTA)bekannt gewordene kritische Schwachstelle (Stack-based Buffer Overflow) könnte durch speziell präparierte Pakete für Remote-Angriffe auf verwundbare industrielle Steuerungssysteme ausgenutzt werden. Entdeckt wurde die Schwachstelle von Sharon Brizinov, einer Sicherheitsforscherin beim Sicherheitsunternehmen Claroty. Der Schwachstelle wurde die CVE-2020-25159 und ein CVSS v3-Basiswert von 9,8 zugeordnet.


Anzeige

Betroffen sind alle Versionen des 499ES EtherNet/IP-Adapter-Quellcodes vor der Versions 2.28. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte zu einem Denial-of-Service-Zustand führen, und ein Pufferüberlauf könnte die Remote-Codeausführung ermöglichen. RTA hat hier noch einige Hinweise dazu geliefert. Der Code in älteren Versionen des RTA-Produkts versuchte, die RAM-Nutzung zu reduzieren, indem die Größe eines bestimmten Puffers, der in einer EtherNet/IP Forward Open-Anfrage verwendet wird, begrenzt wurde. Durch die Begrenzung des RAM ist es einem Angreifer möglich, einen Pufferüberlauf zu provozieren und damit zu versuchen, die Kontrolle über das Gerät zu erlangen.

Dieser Code wurde inzwischen geändert und ist in den aktuellen EtherNet/IP-Software-Revisionsebenen kein Problem. The Hacker News schreibt hier, dass die Version 2.28 des EtherNet/IP-Adaptor Source Code Stacks am 21. November 2012 veröffentlicht wurde. Vordergründig müssen die Hersteller von Steuerungs- und Automatisierungssystemen, die diesen 499ES EtherNet/IP (ENIP) Adaptor Source Code einsetzen, reagieren und die Software auf Version 2.28 aktualisieren. Anschließend muss das Produkt an Kunden ausgeliefert werden – was weltweit sicher zig Anlagen betrifft.

Aus meiner Tätigkeit in diesem Bereich, die allerdings 27 Jahre her ist, bleibt Industriekunden, die nicht selbst eine Implementierung per 499ES EtherNet/IP (ENIP) Adaptor Source Code aufgesetzt haben, nur übrig, sich an die Hersteller ihrer Automatisierungssysteme zu wenden und nachzufragen, ob die verwundbare Komponente eingesetzt wurde. Falls ja, sollte man einem Update gefragt und dessen Installation für die laufenden Anlagen eingeplant werden. Problem wird vermutlich aber sein, dass die betreffenden Produkte möglicherweise aus dem Support gefallen sind.

CISA-Empfehlungen

Die CISA empfiehlt den Anwendern, umgehend Abwehrmaßnahmen zu ergreifen, um das Risiko der Ausnutzung dieser Schwachstelle zu minimieren. Insbesondere sollten die Benutzer:

  • sicherstellen, dass die Steuerungs- und Automatisierungssysteme nicht per Internet erreichbar sind.
  • Netzwerke für Leitsysteme und Remote-Geräte hinter Firewalls platzieren und sie vom Unternehmensnetzwerk isolieren.
  • Sofern ein Fernzugriff erforderlich ist, dafür sichere Methoden, wie z.B. Virtual Private Networks (VPNs), zu verwenden.

Bezüglich VPNs ist aber zu beachten ist, dass diese auch Schwachstellen aufweisen können und auf die aktuellste verfügbare Version aktualisiert werden sollten. Zu beachten ist auch, dass VPNs nur so sicher sind wie die für die Kommunikation verwendeten Geräte. Aktuell sind keine Exploits bekannt, die diese Schwachstelle für Angriffe ausnutzen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.