Zahlreiche weitere Sicherheitsrisiken

Innerhalb der HTTP-Header lassen sich beispielsweise Informationen zum verwendeten Webserver finden. Die Systeme basieren auf dem Open-Source-Projekt Eclipse Jetty, als Server wird Jetty/3.1 angegeben. Prüft man in der Versionsgeschichte des Projekts, so wird deutlich, dass diese Version des Webservers etwa vom Anfang des Jahrtausends stammt. Die aktuelle Version des Jetty-Webservers ist zum Zeitpunkt dieses Artikels 9.4.X. Auf der Wikipedia-Seite zu dem Projekt wird der Status der Version 3.1 als "fossilized" (deutsch: versteinert) beschrieben. Ob entsprechende Security Patches aus den Zwischenversionen eingespielt wurden, konnten wir im Rahmen unserer Recherchen nicht herausfinden. Ein Angreifer, der genug Zeit und Ressourcen in die Analyse der öffentlichen Quellcodes investieren würde, könnte aber möglicherweise durch ein Tool wie Diff Unterschiede in den Quellcodes der Versionen und damit in neueren Versionen geschlossene Sicherheitslücken ausfindig machen.

Stellenmarkt
  1. IT-Koordination und Teamleitung (w/m/d)
    Hochschule für Musik Freiburg i. Br., Freiburg
  2. Mobile Developer Android (w/m/d)
    SMF GmbH, Dortmund
Detailsuche

Eine Lücke im Jetty-Webserver aus dem Jahr 2007 beschreibt beispielsweise, dass der Algorithmus zur Generierung der Session-IDs keine zufälligen Werte nutzt und somit Session-IDs vorhersehbar sind. In einschlägigen Schwachstellen-Suchmaschinen lassen sich darüber hinaus weiter gravierende Sicherheitslücken auffinden. Ob diese Lücken bei den aufgefundenen Systemen vorhanden sind, ließ sich nicht abschließend feststellen, ist aber bei manchen Systemen anzunehmen, bei denen wir entnehmen konnten, dass seit 2006 keine Modifikation mehr an auf den Servern befindlichen Dateien vorgenommen wurde.

Andere Lücken sind ebenfalls öffentlich und leichter nachvollziehbar. So hat der Sicherheitsforscher Darius Freamon schon im Oktober 2013 auf einen äußerst peinlichen Fehler aufmerksam gemacht. Innerhalb der Login-Felder der Nordex-Wind-Farm-Portale war es ihm möglich, eine XSS-Lücke im Parameter "username" auszunutzen. Auf der Seite des US-CERT heißt es zu der Lücke recht nüchtern: "Besitzer von Nordex-NC2-basierten Windfarmen ohne gültigen Service-Vertrag können einen Patch bei der jeweiligen Service-Organisation erhalten." Bei der Durchführung eines kleinen Proof of Concept an stichprobenartig erhobenen Anlagen entdeckten wir, dass viele Betreiber für diese Sicherheitslücke keinen Patch eingespielt haben und weiterhin anfällig sind - die Verantwortung liegt in diesem Fall beim Betreiber.

Einzelne Directory Listings werden zur Gefahr für alle Anlagen

Neben den aufgezeigten Sicherheitsrisiken bei dem Webserver gibt es weitere mögliche Schwachstellen. Einige der Server hatten beispielsweise Directory Listing aktiv, wodurch es Angreifern gelingt, den Aufbau der Verzeichnisstruktur nachzuvollziehen. Besonders gravierend war aus unserer Sicht, dass so Konfigurationsdateien ohne Authentifizierung direkt ausgelesen werden konnten. Davon betroffen sind nicht nur Anlagen, bei denen Directory Listing aktiv ist, sondern bei Kenntnis der genauen URL lässt sich diese Abfrage auch an allen sonstigen Anlagen durchführen. Es gibt bei den Nordex-Wind-Farm-Portalen eine Konfigurationsdatei, in der Konstanten für die Steuerung der Windanlagen hinterlegt werden können. Wieso diese Datei wichtig ist und was ihre Funktion ist, das wollen wir nachfolgend an der Steuerung von Windparks erklären.

Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Die Steuerung der Anlagen erfolgt über die Open-Platform-Communications-Schnittstelle. Mittels verschiedener Steuerungscodes kann ein Befehl mitgegeben werden - beispielsweise könnte eine 5 für den Start eines Motors stehen. Wenn man die Anlage nun mittels Webapplikation steuert, so übermittelt man diese 5. Sie wird mit weiteren Informationen, etwa denen aus der Konfigurationsdatei, angereichert und an den Server oder ein Steuerungssystem übertragen. Diese Komponente wiederum überträgt den Befehl an eine kleine Steuerungseinheit (RFC = Remote Field Controller), welche schließlich die Aktion am Motor einleitet.

Meist sind diese Steuerungscodes gleich, allerdings ist es auch möglich, Anpassungen und Optimierungen an den Konstanten vorzunehmen. Wie wir herausgefunden haben, kann die genaue Konfiguration der Werte durch unbefugte Dritte ausgelesen werden. Streng genommen müsste es sich um eine Art Betriebsgeheimnis der jeweiligen Anlage handeln, beziehungsweise sollten diese vertraulichen Informationen nicht von außen abrufbar sein. Neben dieser Konfigurationsdatei sind weitere Ressourcen abrufbar, die ebenfalls nicht öffentlich sein sollten.

Stichprobenartig haben wir uns auch die verwendete Infrastruktur etwas genauer angeschaut und sind bei diesem Punkt zu ähnlich schlechten Ergebnissen gekommen wie bei der Verschlüsselung oder dem Webserver.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Ein Zertifikat für fast alle WindräderAuch sonstige IT-Infrastruktur ist verwundbar 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³



Aktuell auf der Startseite von Golem.de
20 Jahre Windows XP
Der letzte XP-Fan

Windows XP wird 20 Jahre alt - und nur wenige nutzen es noch täglich. Golem.de hat einen dieser Anwender besucht.
Ein Interview von Martin Wolf

20 Jahre Windows XP: Der letzte XP-Fan
Artikel
  1. Open Source: Microsoft bringt .Net-Funktion nach Community-Kritik zurück
    Open Source
    Microsoft bringt .Net-Funktion nach Community-Kritik zurück

    Ein wichtiges Werkzeug in .Net 6 sollte zugunsten von Visual Studio eingestellt werden. Die Open-Source-Community reagierte empört.

  2. Truth Social: Trumps soziales Netzwerk nicht mehr im App Store
    Truth Social
    Trumps soziales Netzwerk nicht mehr im App Store

    Die Schwierigkeiten für Trumps soziales Netzwerk halten offenbar weiter an. Eine Trump-Aktie hat aber massiv an Wert zugelegt.

  3. Age of Empires 4 im Test: Im Galopp durch die Geschichte
    Age of Empires 4 im Test
    Im Galopp durch die Geschichte

    Acht Völker aus aller Welt: Das Echtzeit-Strategiespiel Age of Empires 4 schickt uns auf Windows-PC in spannende Kämpfe in aller Welt.
    Von Peter Steinlechner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional günstiger • Punkte sammeln bei MM für Club-Mitglieder: 1.000 Punkte geschenkt • LG OLED55B19LA 120Hz 965€ • Alternate (u. a. Apacer 1TB SATA-SSD 86,90€ & Team Group 1TB PCIe-4.0-SSD 159,90€) • Echo Show 8 (1. Gen.) 64,99€ • Smart Home von Eufy günstiger [Werbung]
    •  /