Hintertüren in Industrie-Steuerungssystemen

Das US Cyber-Notfallteam für Industrie-Steuerungen (ICS-CERT) warnt vor Hintertüren in einem Standard-Netzwerkmodul für Steuerungssysteme, dem Schneider Electric Quantum Ethernet Module. Wie der Sicherheitsexperte Rubén Santamarta herausgefunden hat, weisen diese Komponenten mehrere Accounts mit fest einkodierten Passwörtern auf, die unter anderem über FTP, Telnet und einen Debug-Dienst auf UDP-Port 17185 genutzt werden können.

Die Module wie das "NOE 771" kommen als Netzwerk-Interfaces für Programmable Logic Controller (PLC) zum Einsatz; Schneider Electric selbst verwendet sie etwa in seinen SIL3 Modicon Quantum PLC (PDF-Werbebroschüre) für Systeme zum "Emergency shut down" und "Fire and gas detection". Santamarta hat das ICS-CERT bereits vor einiger Zeit benachrichtigt und der Hersteller hat anscheinend auch bereits aktualisierte Firmware erstellt, bei der Telnet und Debug-Service nicht mehr standardmäßig aktiv sind. Derzeit prüft die Firma jedoch noch die Verträglichkeit dieses Updates.

Gefährlich wird das, weil derartige System viel zu oft nicht ausreichend abgeschottet sind; im Extremfall sind sie sogar über das Internet zu erreichen. Dort kann man sie dann etwa über die Suchmaschine Shodan leicht aufspüren, wie auch das ICS-CERT erst vor wenigen Tagen erneut warnte. heise Security konnte auf Anhieb mehrere anfällige Systeme aufspüren. Wer ein System mit einem der betroffenen Module administriert, sollte also jetzt testen, ob es womöglich über das Internet erreichbar ist.

Wer sich schon immer gefragt hat, wie Hacker Sicherheitslücken in SCADA- oder anderen Steuersystemen aufspüren, findet mit Santamartas Bericht Reversing Industrial firmware for fun and backdoors eine aufschlussreiche Schilderung der Vorgehensweise. So beschreibt Santamarta en Detail, wie er die Firmware analysiert und dort die standardmäßig aktivierten Dienste samt Zugangsdaten gefunden hat. (ju)