Bug-Jäger entdeckt SCADA-Lücken – und verkauft sie
Ein Schwachstellen-Händler hat nach eigenen Angaben neue Lücken entdeckt, mit denen man unter Umständen Industriesteueranlagen in kritischen Bereichen wie Kraftwerken übernehmen kann. Jetzt will er sie zu Geld machen.
- Uli Ries
Der Schwachstellen-Händler ReVuln rührt weiter die Werbetrommeln und hat ein Video veröffentlicht, das Sicherheitslücken in weit verbreiteten SCADA-Industriesteueranlagen zeigen soll. Insgesamt will das Unternehmen neun Zero-Day-Lücken in SCADA-Produkten von Eaton, General Electric, Kaskad, Rockwell Automation, Schneider Electric und Siemens gefunden haben. Welche Produkte im einzelnen lückenhaft sind, gab ReVuln jedoch nicht an.
Die entdeckten Schwachstellen erlauben angeblich das Ausführen von beliebigem Code aus der Ferne (Remote Code Execution) auf den PCs, die als Grundlage für die fehlerhafte SCADA-Software dienen. Auch Remote Shells und entführte Sessions sollen nach erfolgreicher Attacke machbar sein. Damit hätte ein Angreifer das SCADA-System dann weitgehend unter Kontrolle. Zugänglich sind die Maschinen mangels ordentlicher Konfiguration oft über das Internet. Bislang wurden die Lücken nicht von unabhängigen Sicherheitsexperten bestätigt.
Darauf, dass die Bug-Jäger ihre Entdeckungen melden, dürfen die Hersteller nicht hoffen: ReVuln macht die Lücken ausschließlich zahlender Kundschaft – etwa Regierungsorganisationen – zugänglich, wie das Unternehmen gegenüber dem Technikmagazin CIO erklärte. Eine Praxis, über die man durchaus diskutieren kann. ReVuln will seine Informationen nur veröffentlichen, wenn die Lücken ohnehin "verbrannt" sind – also entweder ohnehin öffentlich bekannt oder vom Hersteller gepatcht.
Der Schwachstellen-Händler steht in guter Gesellschaft zum französischen Unternehmen Vupen, das betroffene Hersteller ebenfalls nicht unterrichtet. Wobei sich Vupen in Sachen SCADA-Bugs auch schon selbst als Robin Hood darstellte und per Twitter verlauten ließ, dass man eine Zero-Day-Lücke in einem SCADA-Produkt für lau an den Hersteller gemeldet habe.
Hinter ReVuln steht unter anderem Luigi Auriemma, der vor Gründung des eigenen Unternehmens regelmäßiger Zulieferer der Zero Day Initiative (ZDI) war. Auriemma hat sein Können rund um SCADA in der Vergangenheit schon durch Veröffentlichungen von Schwachstellen, unter anderem über die Security-Mailingliste Bugtraq, untermauert. Auch die Entdeckung einer kritischen Lücke im RDP-Server sämtlicher Windows-Versionen geht auf sein Konto. Auriemma hatte die Schwachstelle – damals noch gratis – an Microsoft gemeldet.
Siehe dazu auch
- Exploits für Strafverfolger im Angebot
- "Das Geschäft mit den Bugs – Sicherheitslücken als Handelsware" in c't 05/2011
(rei)