Industriesteuerung: CISA warnt vor kritischer Lücke in Rockwell Automation
In Rockwell Automation Logix-Kontrollern können Angreifer Sicherheitslücken ausnutzen, um eigenen Code auszuführen. Die CISA gibt Admins Handlungsempfehlungen.
(Bild: Outflow_Designs / Shutterstock.com)
Die US-amerikanische Cybersicherheitsbehörde CISA warnt vor einer kritischen Sicherheitslücke in den Industriesteuerungs-Produkten von Rockwell Automation. Angreifer könnten Programmcode für die Logix-Kontroller verändern und somit die Kontrolle darüber übernehmen (CVE-2022-1161, CVSS 10.0, Risiko kritisch). Zudem könnten Angreifer unbemerkt Code in die Logix-Kontroller schmuggeln (CVE-2022-1159, CVSS 7.7, hoch).
Zwei Schwachstellen
Betroffen von der kritischen Sicherheitslücke sind laut CISA diverse Baureihen der CompactLogix-, Compact GuardLogix-, ControlLogix-, GuardLogix-, FlexLogix-, DriveLogix- und SoftLogix-Kontroller. Ein Angreifer mit der Möglichkeit, Nutzerprogramme zu ändern, könnte manipulierten Programmcode auf die Kontroller schieben. Da Studio 5000 Logix Designer nutzerlesbaren Programmcode an einem anderen Ort speichert als den ausgeführten kompilierten Code, könnten Angreifer das eine austauschen, ohne das andere zu verändern, erläutern die IT-SIcherheitsexperten das Problem.
Die zweite Sicherheitslücke betrifft weniger Systeme: ControlLogix und GuardLogix 5580, CompactLogix 5380 und 5480 sowie Compact GuardLogix 5380-Kontroller. Hier könnten Angreifer, die sich administrativen Zugang zu Stationen mit Studio 5000 Logix Designer verschaffen, Code einschleusen, ohne dass Nutzer das erkennen könnten, erläutern die CISA-Experten in ihrer Meldung.
Gefahrenabwehr
Um die Lücken zu stopfen, gibt es offenbar keine einfache Möglichkeit, das mit Software zu lösen. Die Kontroller haben einen Schalter, der zwischen Programmier- und Programmablauf oder ausschließlich Programmablauf umschalten kann. Die CISA empfiehlt, nach dem Hochladen des eigenen verifizierten Codes auf die Kontroller den Schalter auf die "Run"-Position umzustellen.
Wo das nicht praktikabel ist, sollten sich die Netzwerker laut CISA mit den Überwachungsmöglichkeiten behelfen: Etwa das Changelog auf unerwartete Änderungen prüfen, das Protokollierungs-Feature der Kontroller nutzen, die Änderungserkennung in der Logix-Designer-Anwendung aktivieren und wenn verfügbar, die Funktionen der FactoryTalk AssetCenter-Software nutzen, um Veränderungen zu erkennen.
Weitere Möglichkeiten zeigt die CISA in den Sicherheitsmeldungen auf. Sie schließen mit den üblichen und eigentlich selbstverständlichen Hinweisen für die Cybersicherheit von Industrieanlagen: Admins sollten den Zugriff auf die Kontrollsysteme so weit wie möglich einschränken und möglichst nicht aus dem Internet zugänglich machen. Wird ein Fernzugriff benötigt, sollte der auf jeden Fall über eine VPN-Verbindung verschlüsselt erfolgen. Außerdem sollten IT-Verantwortliche die Netzwerke der Industrieanlagen von anderen Netzwerken abschotten.
(dmk)