Operational Technology
18.08.2022, 11:34 Uhr
Dutzende Schwachstellen in OT-Komponenten
Security-Forscher von Forescout haben in der Industrie im Einsatz stehende OT-Komponenten (Operational Technology) unter die Lupe genommen und insgesamt 56 Schwachstellen entdeckt.
Die Hersteller von OT-Komponenten (Operational Technology) sind weit davon entfernt, fundamentale Secure-by-Design-Prinzipien zu beachten. So kann das Fazit lauten, wenn man sich die Ergebnisse einer Studie der IT-Scurity-Spezialistin Forescout zu Gemüte führt.
Denn die Experten haben 56 Schwachstellen in OT-Komponenten von zehn verschiedenen Herstellern entdeckt. Das Besondere bei den Sicherheitslücken: Sie beruhen nicht auf eigentlichen Programmierfehlern, sondern auf mangelhafter Implementierung und unzureichendem Design der entsprechenden Funktionalitäten. Betroffen sind OT-Komponenten von namhaften Firmen wie Emerson, Honeywell, Motorola und Siemens.
«Unter Ausnutzung dieser Schwachstellen können Angreifer mit Netzwerkzugriff auf ein Zielgerät aus der Ferne Code ausführen, die Logik, Dateien oder Firmware von OT-Geräten ändern, die Authentifizierung umgehen, Anmeldedaten kompromittieren», berichten die Forescout-Forscher in dem Report. Schlussendlich könnten Hacker so die Geräte ausser Betrieb nehmen oder eine Reihe von betrieblichen Störungen verursachen, heisste s weiter.
Konkret handelt es sich bei den identifizierten Schwachstellen, die unter der Bezeichnung «OT:Icefall» zusammengefasst wurden, hauptsächlich um unsichere Protokolle, Implementierungen schwacher Verschlüsselungsverfahren, unsichere Update-Mechanismen für die Firmware oder unsauber eingerichtete Authentifizierungs-Methoden. Gemäss Forescout lassen sich 14 Prozent der Lücken zur Ausführung von Schadcode aus der Ferne (Remote Code Execution) missbrauchen. 21 Prozent der Schwachstellen können zu Firmware-Manipulationen führen.
Schwachstellen trotz Zertifizierung
Interessanterweise waren viele der beanstandeten Komponenten gemäss im OT-Umfeld gebräuchlichen Standards zertifiziert, darunter IEC 62443, NERC CIP und NIST SP 800-82.
«Diese Bemühungen zur Härtung der Geräte seitens der Standardisierungsstellen haben sicherlich zu erheblichen Verbesserungen in den Bereichen Entwicklung von Security-Programmen, Risikomanagement sowie auf der Design- und Architektur-Ebene beigetragen», stellt der Report zwar fest. «Sie waren aber weniger erfolgreich dabei, sichere Entwicklungszyklen für einzelne Systeme und Komponenten zu etablieren», lautet daher die Schlussfolgerung der Forscher.
Es handle sich somit um Jahrzehnte unsicherer Entwicklungspraktiken in der OT, mit denen sich Betreiber von Industrieanlagen nun herumschlagen müssten, wird folglich konstatiert.
Zur Problematik rund um OT-Security siehe auch den Computerworld-Hintergrundartikel «Industrie 4.0, aber sicher».