Project Robus: 25 Schwachstellen in Industrieanlagen
Drei US-Forscher wollen mit einem neuen Projekt die Steuerungssysteme von kritischer Infrastruktur wie Strom- und Wasserwerke verbessern. Insgesamt fanden sie bis jetzt 25 Schwachstellen mit einem eigens entwickelten Werkzeug.
- Fabian A. Scherschel
Sicherheitsforscher aus den USA haben Sicherheitslücken in kritischen Industriesystemen in Nordamerika gefunden, die dazu benutzt werden könnten, Steuerungssysteme zu sabotieren. Für neun der insgesamt 25 Schwachstellen haben sie Details veröffentlicht, da Updates bereitstehen. Informationen über die restlichen Lücken sollen folgen, sobald die entsprechenden Hersteller ebenfalls Zeit gehabt haben zu reagieren. Die ersten neun Lücken können allesamt für Angriffe aus dem Netz ausgenutzt werden. Die Schwachstellen reichen von DoS-Problemen bis hin zu der Möglichkeit Schadcode einzuschleusen und auszuführen.
Unter dem Namen "Project Robus" haben sich die Forscher Adam Crain, Chris Sistrunk und Adam Todorski auf die Fahnen geschrieben, Protokolle fĂĽr Supervisory Control and Data Acquisition (SCADA) und industrielle Kontrollsysteme (ICS) auf Herz und Nieren zu prĂĽfen. Da diese Systeme mitunter die Strom- und Wasserversorgung ganzer Landstriche kontrollieren, sind ICS-SicherheitslĂĽcken besonders brisant.
Crain und Sistrunk sind von Haus aus gar keine Sicherheitsforscher, arbeiten aber in der Versorgungsbranche. Crain gründete für das Projekt die Sicherheitsfirma Automatak und entwickelte eine eigene Fuzzingsoftware, die das Team für ihre Untersuchungen einsetzte. Diese soll im März als Open-Source-Projekt veröffentlicht werden, ein Prozess, an dem auch Linux-Schwergewicht Red Hat beteiligt ist.
Um die Sicherheitslücken zu melden, arbeiten die Forscher eng mit dem ICS-CERT zusammen, der US-Behörde, in deren Aufgabenbereich die Absicherung des Steuerungssysteme für kritische Infrastruktur fällt. Die gefundenen Probleme betreffen das serielle DNP3-Protokoll und existieren in Systemen von insgesamt 20 Anbietern. Im Gespräch mit dem US-Magazin Wired erklärten die Forscher, dass das eigentliche Protokoll weniger das Problem sei, dass aber die Umsetzung vieler Hersteller Sicherheitslücken mit sich brächten. Außerdem konzentrierten sich viele Sicherheitsstandards allein auf IP-Kommunikation und würden serielle Protokolle wie DNP3 vernachlässigen.
Erst kürzlich hatte ein Sicherheitsforscher eine Lücke in Solaranlagen entdeckt, welche durch ein nicht geändertes Standardpasswort unautorisierten Zugriff auf die Steuerungssoftware erlaubte. Allerdings bügelte das ICS-CERT diesen Bericht mit der Aussage ab, dass die Situation ja gut dokumentiert sei. Mit dieser fragwürdigen Bewertung befasst sich der Kommentar auf heise Security: Standardpasswörter kein Sicherheitsrisiko - wirklich? (fab)
