Abo
  • Services:
Anzeige
Wasserwerke sollten aus dem Internet nicht erreichbar sein.
Wasserwerke sollten aus dem Internet nicht erreichbar sein. (Bild: Golem.de)

Weitere Sicherheitslücken in der Steuerungssoftware

Im Rahmen unserer Untersuchung entdeckten wir einige Unregelmäßigkeiten, die sich später als Sicherheitslücken innerhalb der Software herausstellten. Diese sind dem Hersteller der Software mittlerweile seit circa drei Monaten bekannt. Der Hersteller hat sich, trotz mehrfacher Anfrage, nicht zu den Lücken geäußert, lediglich erneut erwähnt, dass er handeln werde, sofern sich die Notwendigkeit ergebe. Worin der Anstoß zum Handeln noch bestehen könnte, ist unklar, denn die Sicherheitslücken sind durchaus schwerwiegend.

Anzeige

Eine der gefundenen Lücken ist Cross-Site-Scripting (XSS). Es ist also möglich, die Darstellung der Industriesteuerung innerhalb eines Webbrowsers beliebig zu modifizieren, indem durch Dritte und ohne Authentifizierung Scripts in die Webapplikation eingebunden werden. Dieses Angriffsszenario betrifft nicht nur über das Internet erreichbare, sondern auch im lokalen Netzwerk betriebene Systeme.

Ein Effekt wie bei Stuxnet

Mit diesem Angriffsvektor ließe sich ein ähnlicher Effekt erzielen wie mit dem auf Industrieanlagen spezialisierten Computerwurm Stuxnet: Die Human-Machine-Interfaces zeigen andere Werte an, als sie tatsächlich vorliegen - eine sogenannte Manipulation of View. Dadurch würden Fachkräfte, die diese Anlagen bedienen, möglicherweise falsche Konfigurationen vornehmen und könnten damit den physischen Anlagen, etwa Pumpen, erheblichen Schaden zufügen.

Wir fanden eine weitere Sicherheitslücke innerhalb der Software, eine sogenannte HTTP Header Injection. Mittels dieser Sicherheitslücke kann man Webapplikationen etwa dazu veranlassen, einen Download zu starten. Das Vorgehen wäre also dazu geeignet, gezielte Phishing-Angriffe gegen Mitarbeiter vorzunehmen, um letztlich sogar die gleichen Rechte wie der Operator der Anlage zu erhalten und die betroffene Anlage zu steuern.

Weiteres Problem: Lizenzmodell

Auch lizenzrechtliche Probleme können Angreifer verursachen. Das Lizenzmodell des Herstellers nutzt aktuell verbundene Messgeräte zur Bestimmung der Lizenzkosten basierend auf den Messwerten der derzeit abgerufenen Sensoren. Ist der Zugriff von außen möglich, so lassen sich die benötigten Lizenzen bis zu dem maximalen Lizenzwert des jeweiligen Lizenzpakets steigern, da sich diese nach geöffneten Browser-Fenstern und abgerufenen Datensätzen berechnen. Das Lizenzmodell beginnt mit der Stufe "micro", die dann maximal 50 geöffnete Datenpunkte beinhaltet. Damit ließen sich entweder ein Webbrowser mit 50 geöffneten Datenpunkten oder zwei Webbrowser mit jeweils 25 geöffneten Datenpunkten öffnen.

Wenn ein Angreifer einem Unternehmen schaden möchte, dessen Software im öffentlichen Internet abrufbar ist und das dazu ein kleines Lizenzpaket gewählt hat, könnte er einen Webbrowser aufrufen und die freien Datenpunkte bis zum Maximum allokieren. Die Lizenzen sind begrenzt und weiten sich nicht mit aus. Im schlimmsten Fall ließen sich also intern keine Datensätze mehr aufrufen, weil die notwendigen Lizenzen durch externe Abrufe blockiert würden.

Das Ausschöpfen des Lizenzpools würde nach Aussage des Herstellers allerdings nicht bedeuten, dass für den internen Betrieb keine ausreichenden Lizenzen mehr zur Verfügung stünden - da es "ab einer gewissen Lizenzgröße immer einen fixen, unlimitierten Arbeitsplatz" gebe. Diese genannte Verfügbarkeit der freien Lizenzen gilt, wie wir anhand von Broschüren des Produktes herausgefunden haben, allerdings nur für größere Lizenzmodelle (mehr als 150 Datenpunkte), nicht für die Lizenzmodelle "micro" (50 Datenpunkte) und "small" (150 Datenpunkte). Bei diesen Lizenzmodellen wäre ein Aufbrauchen oder Blockieren der Lizenzen durch externe Angreifer nach unserer Kenntnis also durchaus schädlich.

 Schwierige Kontaktaufnahme mit den BetreibernWer Sicherheitslücken findet, hat Probleme 

eye home zur Startseite
Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

joypad 17. Jul 2016

kwt



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Berlin, Bonn, Essen, Mülheim, Wolfsburg
  2. Bechtle GmbH IT-Systemhaus, Nürtingen
  3. Isar Kliniken GmbH, München
  4. Jetter AG, Ludwigsburg


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. für 1€ über Sky Ticket (via App auch auf Smartphone/Tablet, Apple TV, PS3, PS4, Xbox One...

Folgen Sie uns
       


  1. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  2. Nvidia

    Keine Volta-basierten Geforces in 2017

  3. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  4. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  5. id Software

    Quake Champions startet in den Early Access

  6. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  7. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust

  8. Open Source Projekt

    Oracle will Java EE abgeben

  9. Apple iPhone 5s

    Hacker veröffentlicht Secure-Enclave-Key für alte iPhones

  10. Forum

    Reddit bietet native Unterstützung von Videos



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

Breitbandausbau auf Helgoland: Deutschlands Hochseefelsen bekommt nur Vectoring
Breitbandausbau auf Helgoland
Deutschlands Hochseefelsen bekommt nur Vectoring
  1. Provider Dreamhost will keine Daten von Trump-Gegnern herausgeben
  2. Home Sharing Airbnb wehrt sich gegen Vorwürfe zu Großanbietern
  3. Illegale Waffen Migrantenschreck gibt es wieder - jetzt als Betrug

Google Home auf Deutsch im Test: "Tut mir leid, ich verstehe das nicht"
Google Home auf Deutsch im Test
"Tut mir leid, ich verstehe das nicht"
  1. Kompatibilität mit Sprachassistenten Trådfri-Update kommt erst im Herbst
  2. Smarte Lampen Ikeas Trådfri wird kompatibel mit Echo, Home und Homekit
  3. Lautsprecher-Assistent Google Home ab 8. August 2017 in Deutschland erhältlich

  1. Bürokratiemonster

    rocketfoxx | 11:27

  2. Re: Sinn

    Niaxa | 11:26

  3. Re: Deshalb braucht man Konkurrenz

    narfomat | 11:20

  4. Re: Die Menschen schauen gerne in die...

    Ispep | 11:18

  5. ..

    senf.dazu | 11:11


  1. 11:21

  2. 17:56

  3. 16:20

  4. 15:30

  5. 15:07

  6. 14:54

  7. 13:48

  8. 13:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel