Weitere Sicherheitslücken in der Steuerungssoftware

Im Rahmen unserer Untersuchung entdeckten wir einige Unregelmäßigkeiten, die sich später als Sicherheitslücken innerhalb der Software herausstellten. Diese sind dem Hersteller der Software mittlerweile seit circa drei Monaten bekannt. Der Hersteller hat sich, trotz mehrfacher Anfrage, nicht zu den Lücken geäußert, lediglich erneut erwähnt, dass er handeln werde, sofern sich die Notwendigkeit ergebe. Worin der Anstoß zum Handeln noch bestehen könnte, ist unklar, denn die Sicherheitslücken sind durchaus schwerwiegend.

Stellenmarkt
  1. IT Service Desk Agent*in/IT-First-Level-Supp- orter*in
    Fraunhofer-Institut für Windenergiesysteme IWES, Bremerhaven
  2. Data Scientist / Statistikerin / Statistiker / Epidemiologin / Epidemiologe - Hämatologie ... (m/w/d)
    Universitätsklinikum Frankfurt, Frankfurt am Main
Detailsuche

Eine der gefundenen Lücken ist Cross-Site-Scripting (XSS). Es ist also möglich, die Darstellung der Industriesteuerung innerhalb eines Webbrowsers beliebig zu modifizieren, indem durch Dritte und ohne Authentifizierung Scripts in die Webapplikation eingebunden werden. Dieses Angriffsszenario betrifft nicht nur über das Internet erreichbare, sondern auch im lokalen Netzwerk betriebene Systeme.

Ein Effekt wie bei Stuxnet

Mit diesem Angriffsvektor ließe sich ein ähnlicher Effekt erzielen wie mit dem auf Industrieanlagen spezialisierten Computerwurm Stuxnet: Die Human-Machine-Interfaces zeigen andere Werte an, als sie tatsächlich vorliegen - eine sogenannte Manipulation of View. Dadurch würden Fachkräfte, die diese Anlagen bedienen, möglicherweise falsche Konfigurationen vornehmen und könnten damit den physischen Anlagen, etwa Pumpen, erheblichen Schaden zufügen.

Wir fanden eine weitere Sicherheitslücke innerhalb der Software, eine sogenannte HTTP Header Injection. Mittels dieser Sicherheitslücke kann man Webapplikationen etwa dazu veranlassen, einen Download zu starten. Das Vorgehen wäre also dazu geeignet, gezielte Phishing-Angriffe gegen Mitarbeiter vorzunehmen, um letztlich sogar die gleichen Rechte wie der Operator der Anlage zu erhalten und die betroffene Anlage zu steuern.

Weiteres Problem: Lizenzmodell

Golem Karrierewelt
  1. Deep-Dive Kubernetes – Production Grade Deployments: virtueller Ein-Tages-Workshop
    08.11.2022, Virtuell
  2. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    21.-23.11.2022, Virtuell
Weitere IT-Trainings

Auch lizenzrechtliche Probleme können Angreifer verursachen. Das Lizenzmodell des Herstellers nutzt aktuell verbundene Messgeräte zur Bestimmung der Lizenzkosten basierend auf den Messwerten der derzeit abgerufenen Sensoren. Ist der Zugriff von außen möglich, so lassen sich die benötigten Lizenzen bis zu dem maximalen Lizenzwert des jeweiligen Lizenzpakets steigern, da sich diese nach geöffneten Browser-Fenstern und abgerufenen Datensätzen berechnen. Das Lizenzmodell beginnt mit der Stufe "micro", die dann maximal 50 geöffnete Datenpunkte beinhaltet. Damit ließen sich entweder ein Webbrowser mit 50 geöffneten Datenpunkten oder zwei Webbrowser mit jeweils 25 geöffneten Datenpunkten öffnen.

Wenn ein Angreifer einem Unternehmen schaden möchte, dessen Software im öffentlichen Internet abrufbar ist und das dazu ein kleines Lizenzpaket gewählt hat, könnte er einen Webbrowser aufrufen und die freien Datenpunkte bis zum Maximum allokieren. Die Lizenzen sind begrenzt und weiten sich nicht mit aus. Im schlimmsten Fall ließen sich also intern keine Datensätze mehr aufrufen, weil die notwendigen Lizenzen durch externe Abrufe blockiert würden.

Das Ausschöpfen des Lizenzpools würde nach Aussage des Herstellers allerdings nicht bedeuten, dass für den internen Betrieb keine ausreichenden Lizenzen mehr zur Verfügung stünden - da es "ab einer gewissen Lizenzgröße immer einen fixen, unlimitierten Arbeitsplatz" gebe. Diese genannte Verfügbarkeit der freien Lizenzen gilt, wie wir anhand von Broschüren des Produktes herausgefunden haben, allerdings nur für größere Lizenzmodelle (mehr als 150 Datenpunkte), nicht für die Lizenzmodelle "micro" (50 Datenpunkte) und "small" (150 Datenpunkte). Bei diesen Lizenzmodellen wäre ein Aufbrauchen oder Blockieren der Lizenzen durch externe Angreifer nach unserer Kenntnis also durchaus schädlich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Schwierige Kontaktaufnahme mit den BetreibernWer Sicherheitslücken findet, hat Probleme 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11.  


Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?



Aktuell auf der Startseite von Golem.de
Cloudgaming
Google Stadia scheiterte nur an sich selbst

Die Technik war nicht das Problem von Alphabets ambitioniertem Cloudgaming-Dienst. Das Problem liegt bei Google. Ein Nachruf.
Eine Analyse von Daniel Ziegener

Cloudgaming: Google Stadia scheiterte nur an sich selbst
Artikel
  1. Tiktok-Video: Witz über große Brüste kostet Apple-Manager den Job
    Tiktok-Video
    Witz über große Brüste kostet Apple-Manager den Job

    Er befummle von Berufs wegen großbrüstige Frauen, hatte ein Apple Vice President bei Tiktok gewitzelt. Das kostete ihn den Job.

  2. Copilot, Java, RISC-V, Javascript, Tor: KI macht produktiver und Rust gewinnt wichtige Unterstützer
    Copilot, Java, RISC-V, Javascript, Tor
    KI macht produktiver und Rust gewinnt wichtige Unterstützer

    Dev-Update Die Diskussion um die kommerzielle Verwertbarkeit von Open Source erreicht Akka und Apache Flink, OpenAI macht Spracherkennung, Facebook hilft Javascript-Enwicklern und Rust wird immer siegreicher.
    Von Sebastian Grüner

  3. 40 Jahre nach dem Tod von Philip K. Dick: Die Filmwelten eines visionären Autors
    40 Jahre nach dem Tod von Philip K. Dick
    Die Filmwelten eines visionären Autors

    Vor 40 Jahren starb Philip K. Dick. Das Vermächtnis des visionären Science-Fiction-Autors lebt mit vielen Filmen und Serien fort.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV 2022 65" 120 Hz 1.799€ • ASRock Mainboard f. Ryzen 7000 319€ • MindStar (G.Skill DDR5-6000 32GB 299€, Mega Fastro SSD 2TB 135€) • Alternate (G.Skill DDR5-6000 32GB 219,90€) • Xbox Series S + FIFA 23 259€ • PCGH-Ratgeber-PC 3000€ Radeon Edition 2.500€ [Werbung]
    •  /