In industriellen MMS-Protokollbibliotheken klaffen große Sicherheitslücken
Es wurden mehrere gravierende Sicherheitslücken in zwei Implementierungen des Manufacturing-Message-Specification-(MMS)-Protokolls entdeckt. Diese Schwachstellen könnten, wenn sie ausgenutzt werden, katastrophale Folgen für industrielle Umgebungen haben. Das MMS-Protokoll, ein entscheidendes Element in der Kommunikation von Automatisierungssystemen, wird in hochsensiblen Bereichen wie der Fertigung und Energieversorgung eingesetzt.
Die neu entdeckten Schwachstellen im MMS-Protokoll könnten für industrielle Systeme verheerend sein. Laut einer detaillierten Analyse der Claroty-Forscher Mashav Sapir und Vera Mens könnte ein Angreifer diese Lücken ausnutzen, um ein industrielles Gerät vollständig zum Absturz zu bringen – oder, was noch gravierender ist, in manchen Fällen sogar Remotecodeausführung zu ermöglichen. Dies würde Angreifern die Kontrolle über kritische Prozesse und Geräte aus der Ferne verschaffen.
Das MMS-Protokoll, das auf der OSI-Anwendungsschicht agiert, spielt eine Schlüsselrolle in der Fernüberwachung und Steuerung von Industriegeräten. Es ermöglicht den anwendungsunabhängigen Austausch von Kontrollinformationen zwischen intelligenten elektronischen Geräten (IEDs) und übergeordneten Steuerungssystemen wie SCADA oder speicherprogrammierbaren Steuerungen (PLCs). Diese Systeme sind das Herzstück industrieller Automatisierung, was bedeutet, dass jede Kompromittierung dramatische Auswirkungen auf die Produktion, Versorgung und Sicherheit haben könnte.
Ein solcher Angriff könnte nicht nur Störungen in der Fertigung verursachen, sondern auch ganze Fabriken oder Versorgungsinfrastrukturen lahmlegen. Diese Schwachstellen offenbaren das erschreckende Potenzial gezielter Attacken auf Industrieanlagen und unterstreichen, wie entscheidend es ist, Sicherheitsmaßnahmen in der industriellen Automatisierungstechnologie dringend zu verstärken.
Claroty hat fünf Schwachstellen in zwei wichtigen Bibliotheken identifiziert: MZ Automations libIEC61850-Bibliothek und Triangle MicroWorks‘ TMW IEC 61850-Bibliothek. Diese Schwachstellen wurden nach einer verantwortungsvollen Offenlegung im September und Oktober 2022 behoben.
Hier sind die Schwachstellen im Detail:
- CVE-2022-2970 (CVSS-Wert: 10,0): Eine stackbasierte Buffer-Overflow-Schwachstelle in der libIEC61850-Bibliothek, die zu einem Absturz oder einer Remotecodeausführung führen kann.
- CVE-2022-2971 (CVSS-Wert: 8,6): Eine Schwachstelle durch Typverwechslung in libIEC61850, die es einem Angreifer ermöglichen könnte, den Server mit einer schädlichen Nutzlast zum Absturz zu bringen.
- CVE-2022-2972 (CVSS-Wert: 10,0): Noch eine stackbasierte Buffer-Overflow-Schwachstelle in libIEC61850, die zu einem Absturz oder einer Remotecodeausführung führen kann.
- CVE-2022-2973 (CVSS-Wert: 8,6): Eine Null-Pointer-Dereferenzierung, die es einem Angreifer ermöglichen könnte, den Server zum Absturz zu bringen.
- CVE-2022-38138 (CVSS-Wert: 7,5): Eine Schwachstelle durch den Zugriff auf einen nicht initialisierten Zeiger, die es einem Angreifer erlaubt, einen Denial-of-Service (DoS)-Zustand herbeizuführen.
Alle Schwachstellen können, wenn ausgenutzt, gravierende Auswirkungen auf industrielle Systeme haben, einschließlich Abstürzen oder der Ausführung von schädlichem Code.
Die Analyse von Claroty ergab außerdem, dass der Siemens SIPROTEC 5 IED für die MMS-Unterstützung auf eine veraltete Version des MMS-EASE-Stacks von SISCO angewiesen war, die für eine DoS-Bedingung über ein speziell gestaltetes Paket anfällig ist (CVE-2015-6574, CVSS-Score: 7.5).
Das deutsche Unternehmen hat seine Firmware seit Dezember 2022 mit einer aktualisierten Version des Protokollstapels korrigiert, wie aus einem Advisory der U.S. Cybersecurity and Infrastructure Security Agency (CISA) hervorgeht.
„Die Untersuchung verdeutlicht die Kluft zwischen den Sicherheitsanforderungen moderner Technologien und den veralteten, schwer zu ersetzenden Protokollen“, so das auf Sicherheit in der Betriebstechnologie spezialisierte Unternehmen Claroty, das die Anbieter auffordert, die von der CISA herausgegebenen Sicherheitsrichtlinien zu befolgen.
Die Enthüllung kommt nur Wochen, nachdem Nozomi Networks zwei Schwachstellen in der Referenzimplementierung des drahtlosen ESP-NOW-Protokolls von Espressif (CVE-2024-42483 und CVE-2024-42484) aufgedeckt hat, die Replay-Angriffe ermöglichen und einen DoS-Zustand verursachen können.
„Abhängig von dem System, das angegriffen wird, kann diese Schwachstelle [CVE-2024-42483] weitreichende Folgen haben“, heißt es. „ESP-NOW wird in Sicherheitssystemen wie Gebäudealarmen verwendet, die mit Bewegungssensoren kommunizieren können. In einem solchen Szenario könnte ein Angreifer diese Schwachstelle ausnutzen, um einen zuvor abgefangenen legitimen ‚AUS‘-Befehl wiederzugeben und so einen Bewegungssensor nach Belieben zu deaktivieren.“
Alternativ könnte die Verwendung von ESP-NOW in ferngesteuerten Türöffnern, wie zum Beispiel automatischen Toren und Garagentoren, als Waffe eingesetzt werden, um einen „OPEN“-Befehl abzufangen und ihn zu einem späteren Zeitpunkt wieder abzuspielen, um sich unbefugten Zugang zu Gebäuden zu verschaffen.
Bereits im August hatte Nozomi Networks eine Reihe von 37 ungepatchten Schwachstellen in der OpenFlow libfluid_msg Parsing-Bibliothek (FluidFaults) aufgedeckt, die ein Angreifer ausnutzen könnte, um Software-Defined Networking (SDN) Anwendungen zum Absturz zu bringen. „Ein Angreifer mit Netzwerkeinsicht in einen OpenFlow-Controller/Forwarder kann ein bösartiges OpenFlow-Netzwerkpaket senden, das zu einem Denial-of-Service-Angriff (DoS) führt“, so das Unternehmen.
In den letzten Monaten wurden auch Sicherheitslücken im TwinCAT/BSD-Betriebssystem von Beckhoff Automation entdeckt, die speicherprogrammierbare Steuerungen anfällig machen könnten. Diese Schwachstellen ermöglichen es Angreifern, die Logik der Steuerungen zu manipulieren, DoS-Angriffe (Denial-of-Service) durchzuführen und sogar Befehle mit Root-Rechten auf dem Controller auszuführen, was den Angreifern volle Kontrolle über das System verschaffen könnte.