Abo
  • Services:

Zahlreiche weitere Sicherheitsrisiken

Innerhalb der HTTP-Header lassen sich beispielsweise Informationen zum verwendeten Webserver finden. Die Systeme basieren auf dem Open-Source-Projekt Eclipse Jetty, als Server wird Jetty/3.1 angegeben. Prüft man in der Versionsgeschichte des Projekts, so wird deutlich, dass diese Version des Webservers etwa vom Anfang des Jahrtausends stammt. Die aktuelle Version des Jetty-Webservers ist zum Zeitpunkt dieses Artikels 9.4.X. Auf der Wikipedia-Seite zu dem Projekt wird der Status der Version 3.1 als "fossilized" (deutsch: versteinert) beschrieben. Ob entsprechende Security Patches aus den Zwischenversionen eingespielt wurden, konnten wir im Rahmen unserer Recherchen nicht herausfinden. Ein Angreifer, der genug Zeit und Ressourcen in die Analyse der öffentlichen Quellcodes investieren würde, könnte aber möglicherweise durch ein Tool wie Diff Unterschiede in den Quellcodes der Versionen und damit in neueren Versionen geschlossene Sicherheitslücken ausfindig machen.

Stellenmarkt
  1. CompuGroup Medical SE, Nürnberg, Erlangen
  2. Radeberger Gruppe KG, Frankfurt am Main

Eine Lücke im Jetty-Webserver aus dem Jahr 2007 beschreibt beispielsweise, dass der Algorithmus zur Generierung der Session-IDs keine zufälligen Werte nutzt und somit Session-IDs vorhersehbar sind. In einschlägigen Schwachstellen-Suchmaschinen lassen sich darüber hinaus weiter gravierende Sicherheitslücken auffinden. Ob diese Lücken bei den aufgefundenen Systemen vorhanden sind, ließ sich nicht abschließend feststellen, ist aber bei manchen Systemen anzunehmen, bei denen wir entnehmen konnten, dass seit 2006 keine Modifikation mehr an auf den Servern befindlichen Dateien vorgenommen wurde.

Andere Lücken sind ebenfalls öffentlich und leichter nachvollziehbar. So hat der Sicherheitsforscher Darius Freamon schon im Oktober 2013 auf einen äußerst peinlichen Fehler aufmerksam gemacht. Innerhalb der Login-Felder der Nordex-Wind-Farm-Portale war es ihm möglich, eine XSS-Lücke im Parameter "username" auszunutzen. Auf der Seite des US-CERT heißt es zu der Lücke recht nüchtern: "Besitzer von Nordex-NC2-basierten Windfarmen ohne gültigen Service-Vertrag können einen Patch bei der jeweiligen Service-Organisation erhalten." Bei der Durchführung eines kleinen Proof of Concept an stichprobenartig erhobenen Anlagen entdeckten wir, dass viele Betreiber für diese Sicherheitslücke keinen Patch eingespielt haben und weiterhin anfällig sind - die Verantwortung liegt in diesem Fall beim Betreiber.

Einzelne Directory Listings werden zur Gefahr für alle Anlagen

Neben den aufgezeigten Sicherheitsrisiken bei dem Webserver gibt es weitere mögliche Schwachstellen. Einige der Server hatten beispielsweise Directory Listing aktiv, wodurch es Angreifern gelingt, den Aufbau der Verzeichnisstruktur nachzuvollziehen. Besonders gravierend war aus unserer Sicht, dass so Konfigurationsdateien ohne Authentifizierung direkt ausgelesen werden konnten. Davon betroffen sind nicht nur Anlagen, bei denen Directory Listing aktiv ist, sondern bei Kenntnis der genauen URL lässt sich diese Abfrage auch an allen sonstigen Anlagen durchführen. Es gibt bei den Nordex-Wind-Farm-Portalen eine Konfigurationsdatei, in der Konstanten für die Steuerung der Windanlagen hinterlegt werden können. Wieso diese Datei wichtig ist und was ihre Funktion ist, das wollen wir nachfolgend an der Steuerung von Windparks erklären.

Die Steuerung der Anlagen erfolgt über die Open-Platform-Communications-Schnittstelle. Mittels verschiedener Steuerungscodes kann ein Befehl mitgegeben werden - beispielsweise könnte eine 5 für den Start eines Motors stehen. Wenn man die Anlage nun mittels Webapplikation steuert, so übermittelt man diese 5. Sie wird mit weiteren Informationen, etwa denen aus der Konfigurationsdatei, angereichert und an den Server oder ein Steuerungssystem übertragen. Diese Komponente wiederum überträgt den Befehl an eine kleine Steuerungseinheit (RFC = Remote Field Controller), welche schließlich die Aktion am Motor einleitet.

Meist sind diese Steuerungscodes gleich, allerdings ist es auch möglich, Anpassungen und Optimierungen an den Konstanten vorzunehmen. Wie wir herausgefunden haben, kann die genaue Konfiguration der Werte durch unbefugte Dritte ausgelesen werden. Streng genommen müsste es sich um eine Art Betriebsgeheimnis der jeweiligen Anlage handeln, beziehungsweise sollten diese vertraulichen Informationen nicht von außen abrufbar sein. Neben dieser Konfigurationsdatei sind weitere Ressourcen abrufbar, die ebenfalls nicht öffentlich sein sollten.

Stichprobenartig haben wir uns auch die verwendete Infrastruktur etwas genauer angeschaut und sind bei diesem Punkt zu ähnlich schlechten Ergebnissen gekommen wie bei der Verschlüsselung oder dem Webserver.

 Ein Zertifikat für fast alle WindräderAuch sonstige IT-Infrastruktur ist verwundbar 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Top-Angebote
  1. (u. a. Samsung Galaxy Note 8 für 379€ statt 403,95€ im Vergleich)
  2. 549,99€ (Bestpreis!)
  3. 54€

Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³


Folgen Sie uns
       


Samsung Galaxy Watch Active - Hands on

Samsungs neue Smartwatch Galaxy Watch Active richtet sich an sportliche Nutzer. Auf eine drehbare Lünette wie bei den Vorgängermodellen müssen Käufer aber verzichten.

Samsung Galaxy Watch Active - Hands on Video aufrufen
Thyssen-Krupp Testturm Rottweil: Herr Fetzer parkt die Aufzugkabine um
Thyssen-Krupp Testturm Rottweil
Herr Fetzer parkt die Aufzugkabine um

Ohne Aufzüge gäbe es keine Hochhäuser. Aber inzwischen sind Wolkenkratzer zu hoch für herkömmliche Systeme. Thyssen-Krupp testet derzeit einen neuartigen Aufzug, der beliebig hoch fahren kann. Inspiriert ist er vom Paternoster und dem Transrapid. Wir waren im Testturm.
Ein Bericht von Werner Pluta

  1. Ceramic Speed Hätte, hätte - Fahrrad ohne Kette
  2. Geheimdienste und Bundeswehr Masterstudiengang für Staatshacker gestartet
  3. Sonitus Technologies Zahnmikrofon sorgt für klare Kommunikation

Pauschallizenzen: CDU will ihre eigenen Uploadfilter verhindern
Pauschallizenzen
CDU will ihre eigenen Uploadfilter verhindern

Absurder Vorschlag aus der CDU: Anstatt die Urheberrechtsreform auf EU-Ebene zu verändern oder zu stoppen, soll nun der "Mist" von Axel Voss in Deutschland völlig umgekrempelt werden. Nur "pures Wahlkampfgetöse" vor den Europawahlen, wie die Opposition meint?
Eine Analyse von Friedhelm Greis

  1. Europawahlen Facebook will mit dpa Falschnachrichten bekämpfen
  2. Urheberrecht Europas IT-Firmen und Bibliotheken gegen Uploadfilter
  3. Uploadfilter Fast 5 Millionen Unterschriften gegen Urheberrechtsreform

Flugzeugabsturz: Boeing 737 MAX geht wegen Softwarefehler außer Betrieb
Flugzeugabsturz
Boeing 737 MAX geht wegen Softwarefehler außer Betrieb

Wegen eines bekannten Softwarefehlers wird der Flugbetrieb für Boeings neustes Flugzeug fast weltweit eingestellt - Die letzte Ausnahme war: die USA. Der Umgang der amerikanischen Flugaufsichtsbehörde mit den Problemen des neuen Flugzeugs erscheint zweifelhaft.

  1. Boeing Rollout der neuen 777X in wenigen Tagen
  2. Boeing 747 Der Jumbo Jet wird 50 Jahre alt
  3. Lufttaxi Uber sucht eine weitere Stadt für Uber-Air-Test

    •  /