36C3: Schwere Sicherheitslücken in Kraftwerken
Ein Kaspersky-Team hat massive Angriffsflächen in Steueranlagen für Dampfturbinen in Kraftwerken ausgemacht. Siemens und andere Hersteller seien betroffen.
(Bild: Steve Buissinne, gemeinfrei)
- Stefan Krempl
- Dr. Oliver Diedrich
Es gehört zu den Albträumen von Sicherheitsexperten: Böswillige Hacker verschaffen sich Zugang zu internen Netzwerken von Kraftwerken und können von dort aus im Handumdrehen zentrale Komponenten für die Stromerzeugung wie Dampfturbinen und damit verknüpfte Generatoren lahmlegen oder völlig außer Gefecht setzen. Wie real dieses Bedrohungsszenario ist, zeigten Forscher der russischen IT-Sicherheitsfirma Kaspersky am Samstag auf dem 36. Chaos Communication Congress (36C3) in Leipzig.
"Ehrfurchtgebietend" nannten Mitglieder des Teams die Angriffsoberfläche allein für den Anwendungsserver eines Systems zur Turbinensteuerung von Siemens. Das vor allem in Kohle- und Gaskraftwerken eingesetzte Distributed Control System (DCS) SPPA-T3000 komme mit einer ganzen Menge an Java-Apps an Bord, die aus der Ferne aufrufbar seien, Programmen für den Apache-Tomcat-Server, MSSQL, Cygwin sowie mit der industriellen Automatisierungstechnik Simatic. Eingebunden sei auch eine Windows-Box, die allenfalls alle sechs oder zwölf Monate upgedatet werden könne, falls die Betreiber von dieser Option überhaupt Gebrauch machten.
Schwachstelle Application Server
(Bild: 36C3 – CC by 4.0 (media.ccc.de)
Die auf der Hackerkonferenz angetretenen Sicherheitsforscher Radu Motspan, Alexander Korotin und Gleb Gritsa legten ihr Augenmerk bei dem Application Server ihren Angaben zufolge vor allem auf das verwendete Zugangsmanagement und die Java-Umgebung. Gängige Login-Kombinationen wie cmadmin und cm kann man ihnen zufolge mit Suchmaschinen leicht finden. Bis vor Kurzem sei es auch schwierig gewesen, Passwörter zu wechseln.
Der eingesetzte Java-Code sei zwar mit dem Obfuscator Zelix KlassMaster verschleiert worden, was mit einem Deobfuscator aber wieder einfach rückgängig gemacht werden könne. Die Gruppe hat zudem einen speziellen Dissector gebaut und veröffentlicht, mit dem sich strukturierte Felder aus dem Zeichensalat herausziehen lassen.
Auf einem zum SPPA-T3000 gehörenden Orion-Java-Server, auf dem sich Verzeichnisse via HTTPS recht einfach auslesen ließen, fand das Team eine große Zahl an Servlets, die Anfragen von Clients entgegennahmen und beantworteten. Dazu gehörten etwa ein BrowserServlet für Drittparteien oder ein FileUploadServlet, über das sich Dateien mit vollen Systemrechten hochladen ließen.
Authentifizierung ausgehebelt
Über weitere Schwachstellen stießen die Forscher auf weitere angebotene Java-Dienste inklusive einer Liste für "AdminService" mit der Möglichkeit für Reverse Code Engineering. Auch das Authentifizierungssystem dafür ließ sich vergleichsweise einfach aushebeln. Der Truppe gelang es so letztlich, eigenen Code mit allen Rechten auszuführen, beliebige Java-Klassen zu injizieren und sämtliche Sitzungsinformationen nebst Nutzernamen und Kennungen sowie andere private Informationen im Klartext abzufragen. Von Siemens implementierte Firewalls erwiesen sich als nutzlos.
Schon auf dieser Ebene ließen sich die Stromerzeugung starten oder stoppen, die Werte der erzeugten Energie verändern und umfangreiche Daten zu den laufenden Prozessen sammeln, warnten die Kaspersky-Mitarbeiter. Auch Denial-of-Service-Angriffe könnten durchgeführt werden.
Veraltete Firmware, Standard-Logins
Zu dem Leittechniksystem von Siemens gehört zudem ein Automatisierungsserver, der genauso wie der Application Server unter anderem mit einer Netzwerkschnittstelle sowie via Ein-Ausgabemodulen mit Regulierungsbehörden und anderen Akteuren auf dem Energiemarkt kommunizieren kann. Die Serversoftware läuft hier auf Simatic-Geräten sowie speziellen Industrie-PCs auf Linux-Basis, die über das S7-Protokoll Daten austauschen und so von sich aus mit mehr oder weniger bekannten Sicherheitsproblemen wie unautorisierten Schreib- und Lesemöglichkeiten aufwarten.
Auch hier war es den Forschern möglich, mithilfe eines selbstgebauten Analysewerkzeugs und einem PHP-Skript manipulierte Dateien aus der Ferne auszuführen. Keineswegs besser sah es mit angeschlossenen Netzwerkgeräten wie Switches oder Firewalls aus, die in der Regel veraltete Firmware sowie schwache oder standardisierte Login-Kennungen nutzten. Oft handle es sich dabei auch um integrierte Geräte mit jahrelangen Laufzeiten, die als "Büchse der Pandora" fungierten.
Schutz gegen Zugang von außen
Zumindest seien die Steuerungssysteme weitgehend gegenüber einem Zugang von außen geschützt, sodass Hacker erst in das interne Netzwerk eines Kraftwerks eindringen müssten, betonte Motspan. Kaspersky habe Siemens zudem im November über die breite Palette an Schwachstellen informiert, sodass der Konzern vor einigen Tagen eine Sicherheitswarnung sowie mit dem Service Pack R8.2 SP1 ein umfangreiches Sicherheitsupdate für das Steuersystem herausgebracht habe. Man könne nur hoffen, dass dieses von Betreibern zeitnah eingespielt worden sei.
Einschlägige Sicherheitslücken weisen laut Motspan aber keineswegs nur Industrieanlagen von Siemens auf, sondern auch Leittechniksysteme anderer Hersteller wie ABB, Honeywell, Yokogawa und GE. Kaspersky werde daher zusammen mit einem Weißbuch zur Gefährdungslage voraussichtlich im Januar ein Framework für DCS-Produzenten und Kraftwerkbetreiber zur Sicherheitsanalyse in Eigenregie bereitstellen. Es handle sich schließlich um kritische Infrastrukturen, bei denen Angriffsflächen laufend ausgelotet und abgedichtet werden müssten.
Das Video des Vortrags findet sich auf dem 36C3-Server, die Präsentation auf Github. (odi)
