INFRA:HALT: Neue Schwachstellen im TCP/IP-Stack von Industriegeräten entdeckt

Ein Forscherteam der Firma Forescout, das schon seit längerer Zeit TCP/IP-Stacks für Geräte aus den Bereichen Internet of Things (IoT) und Operational Technology (OT) nach Sicherheitsproblemen durchforstet, hat in Zusammenarbeit mit JFrog eine neue Schwachstellen-Sammlung veröffentlicht. INFRA:HALT umfasst 14 Schwachstellen im NicheStack, einem TCP/IP-Stack, der laut den Forschern in Millionen von speicherprogrammierbaren Steuerungen (SPS) zum Einsatz kommt – etwa "in Fertigungsanlagen, bei der Stromerzeugung, -übertragung und -verteilung, bei der Wasseraufbereitung und in anderen kritischen Infrastrukturbereichen".

Unter anderem, so die Forscher, nutze Siemens NicheStack, auch bekannt als InterNiche, in seiner S7-SPS-Reihe. Eine Übersicht über weitere bekannte Gerätehersteller, die NicheStack verwenden oder verwendet haben, findet sich auf der ehemaligen InterNiche-Website (hier in einem Snapshot von Oktober 2020) – dort werden unter anderem Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation und Schneider Electric genannt.

Update 05.08.21, 14:22: Ein Sprecher von Siemens hat heise Security per Mail auf ein Security Advisory des Siemens ProductCERT zu INFRA:HALT sowie auf eine zugehörige Unternehmens-News vom gestrigen Mittwoch hingewiesen. Diesen Informationen ist zu entnehmen, dass die PLC-Produktfamilie S7, anders als von den Forschern angegeben, ausdrücklich nicht von den Sicherheitsschwachstellen betroffen ist. Allerdings nennt das Advisory drei andere, jeweils von einigen Schwachstellen betroffene Produkte samt verfügbaren Sicherheitsupdates.

Schwachstellen teils kritisch

Zwei der INFRA:HALT-Schwachstellen wurden mit den CVSS-Scores 9.8 beziehungsweise 9.1 von möglichen 10 bewertet und somit als kritisch eingestuft. Dabei handelt es sich um CVE-2020-25928 in der DNSv4-Client- sowie um CVE-2021-31226 in der HTTP-Server-Komponente des Stacks. Beide könnten aufgrund fehlerhafter Überprüfungsmechansimen beim Parsen empfangener Datenpakete missbraucht werden, um aus der Ferne mittels speziell präpariertem Traffic Code auf verwundbaren Geräten auszuführen (Remote Code Execution) und diese schlimmstenfalls vollständig zu übernehmen.

Auch viele der übrigen Schwachstellen – davon zehn mit "High"- und zwei mit "Medium"-Einstufung – basieren auf Fehlern beim Parsen und Verarbeiten eingehender Daten. Mögliche Konsequenzen erfolgreicher Angriffe können Denial-of-Service-Zustände, der unbefugte Zugriff auf Informationen, TCP Spoofing, also der Aufbau von Verbindungen mit gefälschter Absenderadresse, sowie DNS Cache Poisoning zur gezielten Umleitung von Datenverkehr sein.

In der Praxis hängt die tatsächliche Angreifbarkeit wiederum stark von der individuellen Netzwerk- und Gerätekonfiguration sowie der Abschottung der OT-Systeme gegenüber der restlichen Infrastruktur und insbesondere dem Internet ab. Eine Suche nach "InterNiche Technologies Webserver" mit der IoT-Suchmaschine Shodan liefert derzeit über 6800 Ergebnisse zurück – Server also, auf denen NicheStack läuft und die über das Internet erreichbar sind.

Weitere Details zu den Schwachstellen einschließlich eines Beispiel-Angriffsszenarios sind einem ausführlichen Report zu INFRA:HALT zu entnehmen. Ein Blogeintrag zu INFRA:HALT von JFrog listet die Schwachstellen übersichtlich auf und verlinkt sie mit den Security Advisories des Unternehmens HCC Embedded, das NicheStack seit 2016 (weiter-)entwickelt.

NicheStack 4.3 abgesichert

HCC Embedded hat die Schwachstellen in NicheStack Version 4.3 beseitigt; verwundbar waren laut den Forschern alle vorherigen Versionen einschließlich NicheLite. Nun liegt es in der Verantwortung der Gerätehersteller, die den Stack nutzen, die verfügbaren Patches in gerätespezifische Updates einfließen zu lassen. Betreiber potenziell betroffener Geräte können sich beim Ausschauhalten beziehungsweise bei der Anfrage nach Updates an den CVE-IDs zu INFRA:HALT orientieren.

Da auch der anschließende Update-Prozess innerhalb kritischer Infrastrukturen nicht immer zeitnah möglich ist, geben Forescout und JFrog in ihren Veröffentlichungen auch Handlungsempfehlungen zum Minimieren von Risiken. Unter anderem hilft ein spezielles Open-Source-Skript von Forescout, verwundbare Geräte im Netzwerk aufzuspüren. Das Skript, das im Rahmen des Forschungsprojekts "Memoria" entstand, umfasst auch die Erkennung früherer Forescout-Schwachstellen-Sammlungen wie Amnesia:33 und zuletzt NUMBER:JACK.

(ovw)