Kritische Lücke in älterem ENIP-Stack für industrielle Kontrollsysteme entdeckt
Forscher haben eine kritische Sicherheitslücke in älteren Versionen des EtherNet/IP(ENIP)-Stacks 499ES entdeckt, den Kritische Infrastrukturen weltweit nutzen.
Sicherheitsforscher haben eine kritische Sicherheitslücke in älteren Versionen des 499ES EtherNet/IP (ENIP)-Stacks von Real Time Automation (RTA) entdeckt. Sie könnte von Angreifern gleichermaßen für Denial-of-Service- wie auch für Remote-Code-Execution-Angriffe missbraucht werden.
Das "IP" in EtherNet/IP steht für "Industrial Protocol". RTAs 499ES wird für die Ethernet-Umsetzung in industriellen Steuerungssystemen verwendet und ist laut einer Beschreibung der Sicherheitslücke im Blog des Unternehmens Claroty eines der weltweit meistverwendeten Protokolle in Operational Technology (OT)-Netzwerken.
Vor der Sicherheitslücke CVE-2020-25159 (CVSS-Score 9.8 von 10) warnt auch das ICS-CERT der US-Behörde CISA im Advisory ICSA-20-324-03: Es sieht Kritische Infrastrukturen (KRITIS) weltweit potenziell bedroht und rät dazu, die verwendete Protokoll-Version zu überprüfen und zusätzliche Vorsichtsmaßnahmen zu ergreifen. Öffentlich verfügbarer Exploit-Code sei ihr (bislang) aber noch nicht begegnet.
RTA reparierte den Stack schon 2012
Um CVE-2020-25159 auszunutzen, müssten Angreifer mit speziell präparierten Datenpaketen einen Stack-basierten Pufferüberlauf provozieren; weitere Details sind Clarotys Blogeintrag zu entnehmen. Die Komplexität des aus der Ferne durchführbaren Angriffs ist laut CISA gering.
Verwundbar sind alle 499ES-Protokoll-Versionen vor der Version 2.28, die bereits am 21. November 2012 erschien: Der betreffende Code wurde zu diesem Zeitpunkt (allerdings nicht aufgrund der nun entdeckten Lücke) entfernt. Claroty und CISA gehen allerdings davon aus, dass viele Geräte in OT-Netzwerken noch immer mit verwundbaren Versionen laufen. Der Grund: Viele Hersteller kauf(t)en der Einfachheit halber RTAs vorgefertigtes ENIP-Stack-SDK, um es für die eigene Firmware zu nutzen. Bilden Sourcecode-Versionen vor 2.28 diese Basis ist es somit wahrscheinlich, dass die Lücke weiterhin in der Firmware vorhanden ist.
Somit liegt es letztlich an den Herstellern der OT-/ICS-Geräte, wo nötig gegen CVE-2020-25159 nachzubessern. Admins und OT-Sicherheitsverantwortliche sollten Ausschau nach entsprechenden Updates halten und bis dahin die vom ICS-CERT der CISA vorgeschlagenen Sicherheitsmaßnahmen beherzigen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ovw)