zurĂŒck zum Artikel

INFRA:HALT: Neue Schwachstellen im TCP/IP-Stack von IndustriegerÀten entdeckt Update

Olivia von Westernhagen

(Bild: Forescout/JFrog)

Das Forscherteam um "Amnesia:33", "Number:Jack" und Co. hat weitere Schwachstellen gefunden – diesmal im "NicheStack" fĂŒr den Bereich Operational Technology.

Ein Forscherteam der Firma Forescout, das schon seit lĂ€ngerer Zeit TCP/IP-Stacks fĂŒr GerĂ€te aus den Bereichen Internet of Things (IoT) und Operational Technology (OT) nach Sicherheitsproblemen durchforstet, hat in Zusammenarbeit mit JFrog eine neue Schwachstellen-Sammlung veröffentlicht. INFRA:HALT umfasst 14 Schwachstellen im NicheStack, einem TCP/IP-Stack, der laut den Forschern in Millionen von speicherprogrammierbaren Steuerungen (SPS) zum Einsatz kommt – etwa "in Fertigungsanlagen, bei der Stromerzeugung, -ĂŒbertragung und -verteilung, bei der Wasseraufbereitung und in anderen kritischen Infrastrukturbereichen".

Unter anderem, so die Forscher, nutze Siemens NicheStack, auch bekannt als InterNiche, in seiner S7-SPS-Reihe. Eine Übersicht ĂŒber weitere bekannte GerĂ€tehersteller, die NicheStack verwenden oder verwendet haben, findet sich auf der ehemaligen InterNiche-Website (hier in einem Snapshot von Oktober 2020) [1] – dort werden unter anderem Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation und Schneider Electric genannt.

Update 05.08.21, 14:22: Ein Sprecher von Siemens hat heise Security per Mail auf ein Security Advisory des Siemens ProductCERT zu INFRA:HALT sowie auf eine zugehörige Unternehmens-News [2]vom gestrigen Mittwoch hingewiesen. Diesen Informationen ist zu entnehmen, dass die PLC-Produktfamilie S7, anders als von den Forschern angegeben, ausdrĂŒcklich nicht von den Sicherheitsschwachstellen betroffen ist. Allerdings nennt das Advisory drei andere, jeweils von einigen Schwachstellen betroffene Produkte samt verfĂŒgbaren Sicherheitsupdates.

Schwachstellen teils kritisch

Zwei der INFRA:HALT-Schwachstellen wurden mit den CVSS-Scores 9.8 beziehungsweise 9.1 von möglichen 10 bewertet und somit als kritisch eingestuft. Dabei handelt es sich um CVE-2020-25928 in der DNSv4-Client- sowie um CVE-2021-31226 in der HTTP-Server-Komponente des Stacks. Beide könnten aufgrund fehlerhafter ÜberprĂŒfungsmechansimen beim Parsen empfangener Datenpakete missbraucht werden, um aus der Ferne mittels speziell prĂ€pariertem Traffic Code auf verwundbaren GerĂ€ten auszufĂŒhren (Remote Code Execution) und diese schlimmstenfalls vollstĂ€ndig zu ĂŒbernehmen.

Auch viele der ĂŒbrigen Schwachstellen – davon zehn mit "High"- und zwei mit "Medium"-Einstufung – basieren auf Fehlern beim Parsen und Verarbeiten eingehender Daten. Mögliche Konsequenzen erfolgreicher Angriffe können Denial-of-Service-ZustĂ€nde, der unbefugte Zugriff auf Informationen, TCP Spoofing, also der Aufbau von Verbindungen mit gefĂ€lschter Absenderadresse, sowie DNS Cache Poisoning zur gezielten Umleitung von Datenverkehr sein.

In der Praxis hĂ€ngt die tatsĂ€chliche Angreifbarkeit wiederum stark von der individuellen Netzwerk- und GerĂ€tekonfiguration sowie der Abschottung der OT-Systeme gegenĂŒber der restlichen Infrastruktur und insbesondere dem Internet ab. Eine Suche nach "InterNiche Technologies Webserver" mit der IoT-Suchmaschine Shodan liefert derzeit ĂŒber 6800 Ergebnisse [3] zurĂŒck – Server also, auf denen NicheStack lĂ€uft und die ĂŒber das Internet erreichbar sind.

Weitere Details zu den Schwachstellen einschließlich eines Beispiel-Angriffsszenarios sind einem ausfĂŒhrlichen Report zu INFRA:HALT [4] zu entnehmen. Ein Blogeintrag zu INFRA:HALT von JFrog [5] listet die Schwachstellen ĂŒbersichtlich auf und verlinkt sie mit den Security Advisories des Unternehmens HCC Embedded, das NicheStack seit 2016 (weiter-)entwickelt.

NicheStack 4.3 abgesichert

HCC Embedded hat die Schwachstellen in NicheStack Version 4.3 beseitigt; verwundbar waren laut den Forschern alle vorherigen Versionen einschließlich NicheLite. Nun liegt es in der Verantwortung der GerĂ€tehersteller, die den Stack nutzen, die verfĂŒgbaren Patches in gerĂ€tespezifische Updates einfließen zu lassen. Betreiber potenziell betroffener GerĂ€te können sich beim Ausschauhalten beziehungsweise bei der Anfrage nach Updates an den CVE-IDs zu INFRA:HALT orientieren.

Da auch der anschließende Update-Prozess innerhalb kritischer Infrastrukturen nicht immer zeitnah möglich ist, geben Forescout und JFrog in ihren Veröffentlichungen auch Handlungsempfehlungen zum Minimieren von Risiken. Unter anderem hilft ein spezielles Open-Source-Skript von Forescout [6], verwundbare GerĂ€te im Netzwerk aufzuspĂŒren. Das Skript, das im Rahmen des Forschungsprojekts "Memoria" entstand, umfasst auch die Erkennung frĂŒherer Forescout-Schwachstellen-Sammlungen wie Amnesia:33 und zuletzt NUMBER:JACK [7].

JFrogs Tabelle fasst CVE-IDs, betroffene Komponenten und Handlungsempfehlungen zusammen.

(Bild: JFrog / jfrog.com)

Jetzt heise Security Pro entdecken Jetzt heise Security Pro entdecken [8]

(ovw [9])

URL dieses Artikels:
https://www.heise.de/-6154631

Links in diesem Artikel:
[1] https://web.archive.org/web/20201022200519/http://iniche.com/company/manylogos.php
[2] https://new.siemens.com/global/en/products/services/cert.html#Newsroom
[3] https://www.shodan.io/search?query=InterNiche+Technologies+Webserver
[4] https://www.forescout.com/resources/infrahalt-discovering-mitigating-large-scale-ot-vulnerabilities/
[5] https://jfrog.com/blog/infrahalt-14-new-security-vulnerabilities-found-in-nichestack/
[6] https://github.com/Forescout/project-memoria-detector
[7] https://www.heise.de/news/Nach-Amnesia-33-Forscherteam-warnt-vor-neun-weiteren-Luecken-in-TCP-IP-Stacks-5051555.html
[8] https://aktionen.heise.de/heise-security-pro?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[9] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2021 Heise Medien