Siemens bezieht Stellung zu den "SCADA-Affen"
Ein Sicherheitsexperte hat einen Angriff auf einige Baureihen der Industriecontroller (PLC) Siemens Siematic S7 demonstriert. Siemens reagierte zwar mit Firmwareupgrades, bietet diese aber nicht für alle Modelle der S7-Serie an.
- Uli Ries
- Jürgen Schmidt
Der Sicherheitsforscher Dillon Beresford hat bereits diverse Lücken in den Siemens PLC (Programmable Logic Controller, speicherprogrammierbare Steuerung) Simatic S7-200, S7-300, S7-400 und S7-1200 entdeckt. Jetzt hat er im Rahmen der Black Hat 2011 die Schwachstellen erstmals live angegriffen.
Der während der Präsentation anwesende und kurz zusammen mit Beresford auf der Bühne stehende Thomas Brandstetter vom Siemens CERT kommentierte dies: "Irgendwann muss man einfach akzeptieren, dass die eigenen Produkte Schwächen haben und sogar Affen darin auftauchen. So etwas zu akzeptieren ist der erste Schritt auf dem Weg dahin, professionell damit umzugehen." Dieser professionelle Umgang schließt jedoch Humor nicht aus. Brandstetter und Beresford trugen während der Präsentation T-Shirts, auf deren Vorderseite das Bild aus dem Webserver und das Wort „Pwned“ auf der Rückseite zu sehen waren.
Der Verweis auf die Affen bezieht sich auf eine Website, die von den S7-PLCs angezeigt wird, wenn man den HTTP-Port anspricht. Sie zeigt Bildchen von drei animierten Affen und den Spruch „Nix hören, nix arbeiten, einfach nur...“. Außer dem Webserver läuft auch noch ein Telnet-Dienst, laut Beresford lediglich durch die festkodierte Nutzernamen- und Passwortkombination „basisk“ geschützt.
Dillon Beresford bezeichnete diese Dienste mehrfach als Backdoor. "Es gibt keine Backdoor in den PLCs, sondern eine Kommandozeile sowie einen Webserver, die von Entwicklern zu Test- und Debug-Zwecken eingebaut wurden", erkärte Brandstetter gegenüber heise Security. Dass die Server in älteren Versionen der Firmware noch enthalten war, sei ein Versehen, das inzwischen zusammen mit den übrigen gezeigten Schwachstellen behoben wurde.
Offenbar gibt es aber längst nicht für alle Vertreter der S7-PLC-Familie sichere Firmware-Versionen. Denn laut Dillon Beresford war auf den zur Demonstration verwendeten PLCs die derzeit jüngste Firmware-Variante installiert – und dennoch ließen sich alle Lücken und die Backdoor ansprechen. Beresford bediente sich bei seiner Demo einer Reihe von Metasploit-Modulen, die er speziell für die Angriffe auf S7-Hardware programmiert hat. Die Module lesen beispielsweise den – an sich per Passwort geschützten – Speicher der PLCs aus und erlauben Modifikationen daran. Selbst wenn es ein Update für die PLC-Software gibt, sind die weit verbreiteten S7-PLCs wahrscheinlich trotzdem noch für längere Zeit verwundbar. Denn zur Installation des Updates muss das Wartungsfenster der betreffenden Industrieanlage abgewartet werden. Je nach Anlage kann das einem PLC-Experten zufolge bis zu 18 Monate dauern.
Update: Weitere Informationen liefert ein ICS-CERT ALERT und das Siemens-Advisory Sicherheitsinformation zur internen Diagnosefunktionen in S7-300 CPUs. (ju)
