• IT-Karriere:
  • Services:

Zahlreiche weitere Sicherheitsrisiken

Innerhalb der HTTP-Header lassen sich beispielsweise Informationen zum verwendeten Webserver finden. Die Systeme basieren auf dem Open-Source-Projekt Eclipse Jetty, als Server wird Jetty/3.1 angegeben. Prüft man in der Versionsgeschichte des Projekts, so wird deutlich, dass diese Version des Webservers etwa vom Anfang des Jahrtausends stammt. Die aktuelle Version des Jetty-Webservers ist zum Zeitpunkt dieses Artikels 9.4.X. Auf der Wikipedia-Seite zu dem Projekt wird der Status der Version 3.1 als "fossilized" (deutsch: versteinert) beschrieben. Ob entsprechende Security Patches aus den Zwischenversionen eingespielt wurden, konnten wir im Rahmen unserer Recherchen nicht herausfinden. Ein Angreifer, der genug Zeit und Ressourcen in die Analyse der öffentlichen Quellcodes investieren würde, könnte aber möglicherweise durch ein Tool wie Diff Unterschiede in den Quellcodes der Versionen und damit in neueren Versionen geschlossene Sicherheitslücken ausfindig machen.

Stellenmarkt
  1. ROSE Systemtechnik GmbH, Hohenlockstedt
  2. Helios IT Service GmbH, Berlin-Buch

Eine Lücke im Jetty-Webserver aus dem Jahr 2007 beschreibt beispielsweise, dass der Algorithmus zur Generierung der Session-IDs keine zufälligen Werte nutzt und somit Session-IDs vorhersehbar sind. In einschlägigen Schwachstellen-Suchmaschinen lassen sich darüber hinaus weiter gravierende Sicherheitslücken auffinden. Ob diese Lücken bei den aufgefundenen Systemen vorhanden sind, ließ sich nicht abschließend feststellen, ist aber bei manchen Systemen anzunehmen, bei denen wir entnehmen konnten, dass seit 2006 keine Modifikation mehr an auf den Servern befindlichen Dateien vorgenommen wurde.

Andere Lücken sind ebenfalls öffentlich und leichter nachvollziehbar. So hat der Sicherheitsforscher Darius Freamon schon im Oktober 2013 auf einen äußerst peinlichen Fehler aufmerksam gemacht. Innerhalb der Login-Felder der Nordex-Wind-Farm-Portale war es ihm möglich, eine XSS-Lücke im Parameter "username" auszunutzen. Auf der Seite des US-CERT heißt es zu der Lücke recht nüchtern: "Besitzer von Nordex-NC2-basierten Windfarmen ohne gültigen Service-Vertrag können einen Patch bei der jeweiligen Service-Organisation erhalten." Bei der Durchführung eines kleinen Proof of Concept an stichprobenartig erhobenen Anlagen entdeckten wir, dass viele Betreiber für diese Sicherheitslücke keinen Patch eingespielt haben und weiterhin anfällig sind - die Verantwortung liegt in diesem Fall beim Betreiber.

Einzelne Directory Listings werden zur Gefahr für alle Anlagen

Neben den aufgezeigten Sicherheitsrisiken bei dem Webserver gibt es weitere mögliche Schwachstellen. Einige der Server hatten beispielsweise Directory Listing aktiv, wodurch es Angreifern gelingt, den Aufbau der Verzeichnisstruktur nachzuvollziehen. Besonders gravierend war aus unserer Sicht, dass so Konfigurationsdateien ohne Authentifizierung direkt ausgelesen werden konnten. Davon betroffen sind nicht nur Anlagen, bei denen Directory Listing aktiv ist, sondern bei Kenntnis der genauen URL lässt sich diese Abfrage auch an allen sonstigen Anlagen durchführen. Es gibt bei den Nordex-Wind-Farm-Portalen eine Konfigurationsdatei, in der Konstanten für die Steuerung der Windanlagen hinterlegt werden können. Wieso diese Datei wichtig ist und was ihre Funktion ist, das wollen wir nachfolgend an der Steuerung von Windparks erklären.

Die Steuerung der Anlagen erfolgt über die Open-Platform-Communications-Schnittstelle. Mittels verschiedener Steuerungscodes kann ein Befehl mitgegeben werden - beispielsweise könnte eine 5 für den Start eines Motors stehen. Wenn man die Anlage nun mittels Webapplikation steuert, so übermittelt man diese 5. Sie wird mit weiteren Informationen, etwa denen aus der Konfigurationsdatei, angereichert und an den Server oder ein Steuerungssystem übertragen. Diese Komponente wiederum überträgt den Befehl an eine kleine Steuerungseinheit (RFC = Remote Field Controller), welche schließlich die Aktion am Motor einleitet.

Meist sind diese Steuerungscodes gleich, allerdings ist es auch möglich, Anpassungen und Optimierungen an den Konstanten vorzunehmen. Wie wir herausgefunden haben, kann die genaue Konfiguration der Werte durch unbefugte Dritte ausgelesen werden. Streng genommen müsste es sich um eine Art Betriebsgeheimnis der jeweiligen Anlage handeln, beziehungsweise sollten diese vertraulichen Informationen nicht von außen abrufbar sein. Neben dieser Konfigurationsdatei sind weitere Ressourcen abrufbar, die ebenfalls nicht öffentlich sein sollten.

Stichprobenartig haben wir uns auch die verwendete Infrastruktur etwas genauer angeschaut und sind bei diesem Punkt zu ähnlich schlechten Ergebnissen gekommen wie bei der Verschlüsselung oder dem Webserver.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Ein Zertifikat für fast alle WindräderAuch sonstige IT-Infrastruktur ist verwundbar 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Top-Angebote
  1. (u. a. WISO Steuer-Software für PC und Mac für je 19,99€)
  2. (u. a. Emtec X150 SSD Power Plus 960 GB für 84,90€ + 6,99€ Versand und Thermaltake V200 TG RGB...
  3. (u. a. Samsung 860 EVO 1 TB für 85€)
  4. (u. a. Samsung 860 EVO 1 TB für 85€)

Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³


Folgen Sie uns
       


Vor 25 Jahren: Space 2063: Military-Sci-Fi auf höchstem Niveau
Vor 25 Jahren: Space 2063
Military-Sci-Fi auf höchstem Niveau

Vor 25 Jahren startete die Military-Science-Fiction-Serie Space 2063 in Deutschland. Es wurde nur eine Staffel produziert. Sie ist auch ihres bitteren Endes wegen unvergessen.
Von Peter Osteried

  1. Science Fiction Raumpatrouille Orion wird neu aufgelegt
  2. Warp-Antriebe und Aliens Das Wörterbuch für Science-Fiction
  3. Science Fiction Babylon 5 kommt als neue Remaster-Version

Mobilfunk: Das Sicherheitsproblem heißt nicht 5G
Mobilfunk
Das Sicherheitsproblem heißt nicht 5G

Mit dem 5G-Standard ist der Sicherheitsforscher Karsten Nohl zufrieden. Die Sicherheitsprobleme im Mobilfunk haben eine andere Ursache.
Ein Interview von Moritz Tremmel

  1. Bundesnetzagentur Immer mehr nicht öffentliche Campusnetze in Deutschland
  2. 5G SA Telekom errichtet ersten 5G-Standalone-Standort
  3. Deutsche Messe Riesiges 5G-Campus-Netz für Hannover von Huawei entsteht

Börse: Was zur Hölle ist ein SPAC?
Börse
Was zur Hölle ist ein SPAC?

SPACs sind die neue Modewelle an der Börse: Firmen, die es eigentlich nicht könnten, gehen unter dem Mantel einer anderen Firma an die Börse. Golem.de hat unter den Mantel geschaut.
Eine Analyse von Achim Sawall

  1. Wallstreetbets Trade Republic entschuldigt sich für Probleme mit Gamestop
  2. Tokyo Stock Exchange Hardware-Ausfall legte Tokioter Börse lahm

    •  /