Industrieleittechnik: Sicherheitslücken in Hülle und Fülle
Die Sicherheitsproblematik bei Industrieleittechnik wird gerade dadurch brisant, dass einerseits Steuerungen immer weiter vernetzt werden, diese Systeme aber kaum Funktionen zum Schutz vor Angriffen aufweisen.
- Daniel Bachfeld
Stuxnet hat offenbar bei vielen Sicherheitsexperten das Interesse für Lücken in Industrieleittechnik und SCADA-Systemen (Supervisory Control and Data Acquisition) geweckt. Der sonst eher für das Aufdecken von Lücken in Spielen und Mediaplayern bekannte Luigi Auriemma hat eine Liste mit 35 Schwachstellen in SCADA-Produkten von Siemens Tecnomatix (FactoryLink), Iconics (Genesis 32 und 64), 7-Technologies (IGSS) und DATAC (RealWin) veröffentlicht.
In der Liste findet sich die gesamte Bandbreite möglicher Sicherheitsprobleme, angefangen beim Herunterladen beliebiger Dateien aus der Ferne, dem unautorisierten Hochladen von Dateien sowie dem gezielten Abschießen von Diensten durch das Provozieren von Integer, Buffer und Heap Overflows. Vermutlich lassen sich einige dieser Lücken auch zum Einschleusen und Starten von Code missbrauchen. Auch der Wurm Stuxnet hat Lücken in dem FactoryLink-Alternativprodukt WinCC ausgenutzt, um Systeme über das Netz zu infiltrieren und angeschlossene Steuerungen zu manipulieren.
Auriemma hat für die meisten Schwachstellen Proof-of-Concepts zum Testen der Verwundbarkeit veröffentlicht. Für keine der Lücken gibt es nach Angaben von Auriemma einen Fix, bislang sind aber die Hersteller offenbar auch gar nicht über die Lücken informiert.
Aber es kommt noch dicker: Vergangene Woche hat der Hersteller GLEG Ltd das Exploit Pack "Agora+ SCADA" für das Exploit-Framework Immunity Canvas bereitgestellt. Es enthält 23 Module zum Angriff auf für Systeme verschiedener Hersteller – darunter auch neun Zero-Day-Exploits. Gleg war bislang für sein kommerzielles Exploit-Paket VulnDisco bekannt.
Die SCADA-Sicherheitsproblematik wird gerade dadurch so brisant, dass einerseits Steuerungen und Leittechnik immer weiter vernetzt werden, andererseits diese Systeme aber kaum Funktionen zum Schutz vor Angriffen aufweisen und zudem ohnehin meist alt sind und selten aktualisiert werden. Offenbar sind SCADA-Systeme teilweise auch über das Internet erreichbar und damit ein gefundenes Fressen für Angreifer. Im November des vergangenen Jahres wies das ICS-CERT auf diesen Missstand hin. Das CERT hatte beobachtet, dass Anwender auf der speziellen Suchmaschine Shodan bestimmte Begriffe zum Aufspüren verwundbarer Systeme eingaben. (dab)
