PLC-Schwachstellen gefährden OT-Netzwerke

Cyberangreifer, die auf Netzwerke der Betriebstechnik (OT) zielen, haben sich bisher darauf konzentriert, Segmentierungsschichten zu überwinden. Auf diese Weise können sie speicherprogrammierbare Steuerungen (SPS) erreichen und die darauf laufenden Programme (Ladder Logic) ändern. Security-Experten fordern jedoch, dass diese Steuerungen selbst als Perimeter-Geräte behandelt werden sollten. Demnach könnten Fehler in ihrer Firmware über die Punkt-zu-Punkt- und andere nicht rrouting-fähige Verbindungen zu anderen Low-Level-Geräten tiefe seitliche Bewegungen ermöglichen.

Um ein solches Szenario zu veranschaulichen und die Risiken zu verdeutlichen, nutzten Forscher des Sicherheitsunternehmens Forescout zwei Schwachstellen, die sie in Schneider Modicon PLCs (Programmable Logic Controller = Programmierbare Steuerung) von Schneider Modicon entdeckt hatte. Ziel war es, tiefer in eine simulierte OT-Architektur einzudringen und alle Sicherheitsmechanismen zu umgehen, um physische Schäden zu verursachen.

Lesetipp: Henkel-CISO im Interview – "OT-Sicherheit ist die größte Herausforderung für die Zukunft

Umgehung der Authentifizierung und Remote Code Execution

Die beiden von Forescout gefundenen Schwachstellen betreffen SPS der Modicon Unity-Reihe, die mit den Steuerungssystemen EcoStruxure Control Expert und EcoStruxure Process Expert unter Verwendung des Unified Messaging Application Services (UMAS)-Protokolls von Schneider verwaltet werden. Dazu gehören folgende PLCs:

• M340 (BMXP34*)

• M580 (BMEP*, BMEH*)

• M580 Sicherheit (BMEP58*S, BMEH58*S)

• MC80 (BMKC80)

• Momentum Unity M1E (171CBU*)

• Quantum Unity (140CPU65*)

• Premium Unity (TSXP57*)

Die SPS von Modicon gehören zu den weltweit am meisten verbreiteten Steuerungen, die in Branchen wie der Wasserwirtschaft, der Energieerzeugung, dem Bergbau, dem Transportwesen und der Fertigung eingesetzt werden. Die Control Expert PLCs werden für die Prozessautomatisierung verwendet und die M340 und M580 PLCs sind die am weitesten verbreiteten Produkte der Unity-Reihe.

Eine der Schwachstellen, die unter der Bezeichnung CVE-2022-45789 geführt und auf der CVSS-Skala mit einem Schweregrad von 8,1 bewertet wird, ermöglicht es Angreifern, eine bereits authentifizierte Modbus-Sitzung zu kapern und nicht autorisierte Modbus-Funktionen auf dem Controller auszuführen. Modbus ist ein Datenkommunikationsprotokoll, das ursprünglich von Modicon in den späten 1970er Jahren entwickelt wurde und heute ein De-facto-Kommunikationsstandard für Industriegeräte ist. UMAS ist eine darauf basierende proprietäre Variante.

Das Problem lag im UMAS EnhancedCyberReserve-Mechanismus, mit dem Modicon versucht, in UMAS eine Authentifizierung zwischen der SPS und dem sie programmierenden Engineering-Client zu implementieren. Ursprünglich wurde das Protokoll ohne Authentifizierung oder Verschlüsselung ausgeliefert. Diese wurden allerdings nachträglich in mehreren Versionen hinzugefügt, als in der Vergangenheit andere Schwachstellen darin gefunden wurden. Die Forescout-Forscher fanden jedoch heraus, dass auch die aktuelle Implementierung nicht völlig sicher ist.

"Bei der Untersuchung des gepatchten EnhancedCyberReserve-Mechanismus haben wir festgestellt, dass er immer noch grundlegend fehlerhaft ist", so die Forscher. "Erstens werden Nonces von der SPS als Globals ohne explizite Bindung an einen bestimmten Client oder eine Reservierungs-ID verwaltet. Darüber hinaus werden diese Nonces nur erneuert, wenn eine Sitzung endet oder eine explizite UMAS-Nonce-Austauschanforderung empfangen wird."

In der Kryptographie ist ein Nonce eine geheime Zahl, die nur einmal für eine Operation verwendet werden kann. Da sie in der UMAS-Implementierung jedoch nur erneuert wird, wenn eine Sitzung endet, kann ein Man-in-the-Middle-Angreifer zwischen einem Engineering-Client und einer SPS diese aus dem abgefangenen Datenverkehr zusammen mit einer Reservierungs-ID ausspähen. Anschließend kann der Angreifer die Authentifizierungsanfrage fälschen, die die SPS akzeptiert, ohne die ursprüngliche Sitzung zu beenden.

Die zweite Schwachstelle, die als CVE-2022-45788 verfolgt wird, ermöglicht die Remote-Ccode-Aausführung (RCE) auf dem PLC und wird mit 7,5 auf dem CVSS noch niedriger als die erste eingestuft, obwohl dies immer noch als hoch kritisch gilt. Diese Schwachstelle ist interessant, weil sie die Verwendung eines undokumentierten Modbus-UMAS-Befehls (Servicecode 0x50) beinhaltet, der sehr leistungsfähig ist und eine direkte Speichermanipulation mit wenigen bis keinen Spuren ermöglicht.

"Es sollte beachtet werden, dass Schneider Electric CVE-2022-45788 zwar mit dem Herunterladen bösartiger Projektdateien in Verbindung bringt, diese Schwachstelle jedoch auf einer völlig anderen - undokumentierten - Funktionalität beruht. Diese ermöglicht eine Änderung des internen SPS-Speichers, ohne den SPS-Status zu beeinflussen oder einen Projekt-Ddownload zu erfordern", so die Forescout-Forscher.

Diese Unterscheidung ist wichtig, da die meisten SPS-Angriffe auf den Programmcode abzielen, der auf der SPS läuft und dann einen physischen Prozess über Ventile, Motoren, Aktuatoren und Pumpen, die mit der SPS verbunden sind, beeinflusst. Das Problem ist, dass eine Änderung des Codes oder das Hochladen neuer Logik in die SPS-Sicherheitsmechanismen auslösen oder einen Neustart der SPS oder der darauf laufenden Logik erfordern kann. Mit dieser Schwachstelle kann der Angreifer virtuelle Speicherseiten erstellen und diese dann mit einem proprietären Befehlssatz füllen. Dadurch kann er direkt auf den internen Speicherblöcken operieren - lesen, schreiben, kopieren, die Größe ändern etc. Dies ist im Wesentlichen vergleichbar mit dem Live-Patching eines laufenden Prozesses in einem Betriebssystem.

Diese beiden Schwachstellen wurden im vergangenen Jahr im Rahmen eines größeren Forschungsprojekts zu industriellen Steuerungssystemen mit der Bezeichnung OT:ICEFALL entdeckt und Schneider im April und Juli gemeldet. Die Veröffentlichung wurde jedoch auf Wunsch des Herstellers verzögert. Schneider gab im Januar entsprechende Hinweise heraus.

Fernzugriff auf PLCs umgeht traditionelle OT-Sicherheitskontrollen

Eine herkömmliche OT-Umgebung ist in mehrere Funktionsebenen unterteilt, zu denen Geräte gehören, die sich direkt auf physische Prozesse auswirken, zum Beispiel Ventile, Aktoren und Sensoren (Ebene 0), die SPS, die sie steuern (Ebene 1), und die Systeme, die die SPS überwachen und Daten von ihnen erfassen, auch bekannt als SCADA-Systeme (Ebene 2). An diesem Punkt befindet sich die erste Sicherheitsgrenze, an der Unternehmen einige Zugangskontrollen einrichten.

Lesetipp: Sechs-Punkte-Plan für die OT-Sicherheit

Die Ebene 3 umfasst Betriebsverwaltungssoftware wie einen Protokollierungsserver, Datenbanken, Anwendungsserver und Engineering-Workstations (EWS), während die Ebene 4 das IT-Netz des Unternehmens mit Unternehmensressourcenplanungs- (ERP) und Finanzsystemen umfasst. Zwischen den Ebenen 3 und 4 gibt es zusätzliche Sicherheitskontrollen, um die IT- von den OT-Netzwerksegmenten zu trennen.

Nach diesem Schema müsste ein Angreifer entweder zuerst in das IT-Segment eindringen, es schaffen, zum Segment der Ebene 3 innerhalb der OT zu springen, eine Engineering-Workstation infizieren und dann deren Verbindungen nutzen, um auf SPS zuzugreifen, oder ein SCADA-System kapern und Änderungen über dessen Mensch-Maschine-Schnittstelle (HMI = Human Machine Interface) vornehmen. Oft gibt es Abkürzungen, die in der Regel dadurch entstehen, dass Unternehmen eine Fernverwaltung einrichten müssen.

SPS in entfernten Remote-Installationen sind oft über drahtlose oder zellulare IoT-Gateways via WLAN oder Mobilfunk mit dem Kontrollzentrum eines Unternehmens verbunden. Diese weisen Schwachstellen auf, die aus der Ferne ausgenutzt werden können, wie Forscher des industriellen Cybersicherheitsunternehmens Otorio kürzlich zeigten. Eine weiteres Sicherheitsproblem ist, dass SCADA-Systeme und SPS routinemäßig direkt mit dem Internet verbunden sind.

Die Forescout-Forscher nutzten die Suchmaschine Shodan und fanden mehr als 1.000 Modicon Unity PLCs, die dem Internet ausgesetzt waren, wobei die meisten davon in Frankreich, Spanien, Italien und den Vereinigten Staaten zu finden waren.

"Eine schnelle Suche nach den betroffenen Modellen auf Shodan hat gezeigt, dass Modicon-SPSen in allen Bereichen von Flughäfen, Bergbau, Solar- und Wasserkraftwerken bis hin zur chemischen Industrie betroffen sind", so die Sicherheitsexperten. "Eine der exponierten M340 PLCs mit einem geladenen Projekt für einen "impianto di frantumazione", dem italienischen Begriff für eine Brecheranlage, die im Bergbau verwendet wird.

Kleinere Stromerzeugungsanlagen (oft im Besitz lokaler Gemeinden) scheinen in der Gruppe der aufgedeckten PLCs besonders überrepräsentiert zu sein.

Dann gibt es noch die so genannten Packaged Units (PUs), ganze Subsysteme, die für einen bestimmten Zweck gebaut wurden - HLK, chemische Einspritzung, Wasseraufbereitung, Gasturbine -, die die Hersteller an die Betreiber verkaufen und die direkt an das Steuerungssystem des Anlagenbesitzers angeschlossen werden. Diese PUs können SPSen und verschiedene andere Komponenten steuern, die das Teilsystem zum Laufen bringen, aber sie arbeiten im Allgemeinen als Blackboxen, die vom Systemanbieter ferngesteuert werden, und der Anlagenbesitzer hat nur wenig Kontrolle über sie, da er oft nur Ausgabedaten lesen oder eine begrenzte Anzahl von Befehlen erteilen kann.

Angreifer können also auf verschiedene Weise in eine SPS eindringen, entweder über den langen Weg von der Unternehmens-IT in die OT oder über Abkürzungen wie Fernzugriffs-Gateways und Protokolle, die der Anlagenbesitzer absichtlich eingebaut hat. Der berüchtigte Computerwurm Stuxnet wurde Berichten zufolge auf USB-Laufwerken an die iranische Atomanlage Natanz geliefert, die direkt an die technischen Workstations angeschlossen wurden. Ziel war es damit, jegliche Perimeterkontrollen zu umgehen. Die Hacktivistengruppe GhostSec nahm kürzlich eine M340 Modicon SPS ins Visier, die dem nicaraguanischen ISP UFINET gehörte, weil sie dem Internet ausgesetzt war. Angreifer suchen in der Regel den Weg des geringsten Widerstands.

Lesetipp: CNC-Maschinen im Fadenkreuz von Cyberkriminellen

Die gute Nachricht ist, dass der Zugriff auf eine SPS nicht gleich bedeutet, dass man zerstörerische Angriffe durchführen kann. Industrieanlagen verfügen normalerweise über sicherheitsgerichtete Systeme (SIS), die physikalische Prozesse außerhalb des Bandes überwachen und verhindern, dass diese bestimmte sichere Betriebsparameter überschreiten. HMIs und PLCs haben können auch eingebaute Beschränkungen enthalten, die festlegen, wie hoch stark bestimmte Parameter geändert werden dürfen. Es kann zu verschachtelten Installationen kommen, bei denen eine SPS nicht direkt Geräte steuert, sondern nur dazu dient, Daten von anderen dahinter liegenden SPS oder von Bedieneinheiten zu empfangen.

Deep Lateral Movement

Allerdings werden viele L0-2-Architekturen von den Herstellern unterstützt, bei denen SPS und SIS (Strukturierte Informationssammlung), PUs (Physical Units) und drahtlose Industrie-Gateways sowie WAN-Funkmodems, alle über serielle oder Punkt-zu-Punkt-Ethernet-Verbindungen verbunden sind. In der Regel läuft das über Geräte, die als Feldbuskoppler bezeichnet werden - das Äquivalent zu Netzwerk-Switches -, die immer ausgefeilter sind und viele Protokolle und Verbindungsarten unterstützen. Diesen direkten Verbindungen mangelt es grundsätzlich an Sicherheit. Da sie nicht geroutet werden können, werden sie weder von Anbietern noch von Anlagenbesitzern als Bedrohung berücksichtigt.

Den Forschern von Forescout zufolge ist eine SPS aufgrund all dieser Verbindungen in vielen Fällen mehr als nur ein Feld-Controller. Sie ist ein Perimeter-Gerät, über das Angreifer andere L1-Geräte erreichen können, indem sie diese nicht routbaren Verbindungen ausnutzen. Man nennt dies Deep Lateral Movement.

"Oft wird davon ausgegangen, dass ein Angreifer, sobald er eine SPS erreicht hat, nichts anderes mehr tun kann als das, was die SPS ihm als Angriffsfläche bietet", erklärt Daniel dos Santos, Leiter der Sicherheitsforschung bei Forescout, gegenüber CSO. "Wenn es neben der SPS ein Sicherheitssystem gibt oder wenn sich hinter der SPS etwas befindet, dann kann der Angreifer nicht darauf zugreifen, weil es sich um ein serielles, separates Gerät, eine separate Umgebung usw. handelt. " Das Forschungsprojekt zeigt jedoch, dass diese Annahme nicht immer richtig ist.

In ihrem Proof-of-Concept-Szenario betrachteten die Forscher eine OT-Architektur zur Steuerung einer beweglichen Bridge, die realen Einsätzen nachempfunden ist. Die Brückensysteme werden als Paket geliefert, das von einem Drittanbieter verwaltet wird, während die Überwachung über SCADA durch eine zentrale Regierungsbehörde erfolgt.

Es gibt eine Objekt-SPS, die begrenzte Funktionen wie die Einleitung der Schließ- oder Öffnungssequenz der Bridge und einige Variablen zur Verfügung stellt, aber keine detaillierte Kontrolle über die Brückensysteme bietet. Sie kommuniziert mit Motoren und anderen Elementen über einen Feldbus und verfügt über eine Punkt-zu-Punkt-Ethernet-Verbindung zu einem Sicherheitssystem. Dieses System gibt nur einige Statuswerte aus, mit dem aber ein Sicherheits-Bypass-Mechanismus verbunden ist. Die SPS ist auch mit einem Feldbuskoppler verbunden, der als zentrales Gateway zwischen mehreren Brücken fungiert, aber der Koppler erlaubt es nicht, Nachrichten direkt an die SPS zu senden.

"Ein Angreifer, der von der zentralen SCADA kommt und eines der oben beschriebenen Angriffsszenarien durchführen möchte, muss zunächst den Koppler überwinden", erklären die Forscher. "Danach müssen sie in der Lage sein, RCE auf das Brückenobjekt PLC zu erhalten, und dazu benötigen sie eine Authentifizierungsumgehung. Nachdem sie RCE auf der Objekt-SPS erreicht haben, können sie die Feldbusverbindung nutzen, um die Feldgeräte detailliert zu manipulieren. Sie können auch über die Punkt-zu-Punkt-Verbindung zum SIS gehen, indem sie RCE auf dem Ethernet-Modul erhalten und dann über die Backplane gehen, um sich um die Sicherheitssysteme zu kümmern."

Zunächst erlangten die Forscher Remote-Code-Ausführung auf dem zentralen Koppler, bei dem es sich in ihrem Szenario um eine Wago 750-Serie handelte. Dazu nutzten sie eine Pufferüberlaufschwachstelle, die sie in der Vergangenheit gefunden und im Rahmen ihres Forschungsprojekts NUCLEUS:13 veröffentlicht hatten. Anschließend schalteten sie den Modbus-Handler des Kopplers ein, um als Proxy zu fungieren und einen UMAS-Datenaustausch?(im englischen Text heißt "enable es them to talk UMAS) über das UMAS-Protokoll mit der M340-SPS zu führen sowie den Datenverkehr abzuhören.

Dadurch erhielten sie eine Man-in-the-Middle-Position, um die Sicherheitslücke CVE-2022-45789 auszunutzen und eine authentifizierte Sitzung mit der M340-SPS vorzutäuschen. Als Nächstes nutzten sie die Sicherheitslücke CVE-2022-45788 aus, die es ihnen ermöglichte, die Beschränkungen zu umgehen, die das SPS-Programm einem normalen Nutzer auferlegt. Dadurch konnten sie in das Innere des Paketgeräts eindringen.

Mit dieser Zugriffsebene konnten die Forscher damit beginnen, mit dem Feldbus des CANopen-Brückensystems zu interagieren, der die SPS mit den Brückensystemen wie Motoren und Encodern verbindet. Aber es gibt immer noch die Sicherheits-SPS und das System, das jede zerstörerische Aktion verhindern würde, so dass das nächste Ziel darin bestand, in dieses System einzudringen. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.