Team82, die Forschungsabteilung des Spezialisten für die Sicherheit von cyberphysischen Systemen (CPS) in Industrie-, Healthcare- und Unternehmensumgebungen Claroty, und Rockwell Automation haben gemeinsam zwei Schwachstellen in speicherprogrammierbaren Steuerungen (SPS) und Engineering-Workstation-Software von Rockwell veröffentlicht. CVE-2022-1161 betrifft zahlreiche Versionen der Logix-Steuerungen von Rockwell und wurde mit dem höchsten CVSS-Wert von 10 eingestuft, während CVE-2020-1159 mehrere Versionen der Studio-5000-Logix-Designer-Anwendung betrifft. Durch die Schwachstellen könnte modifizierter Code auf eine SPS heruntergeladen werden, während der Prozess für die Techniker an ihren Workstations scheinbar normal abläuft. Dies erinnert an Stuxnet und die Rogue7-Angriffe. Rockwell stellt den Anwendern ein Tool zur Verfügung, das solchen versteckten Code aufspürt. Zudem wird den Anwendern dringend empfohlen, die betroffenen Produkte zu aktualisieren, wodurch Manipulationen aufgedeckt werden können.

Erfolgreiche getarnte Angriffe auf speicherprogrammierbare Steuerungen (SPS) gehören zu den seltensten, zeitaufwändigsten und investitionsintensivsten Angriffen. Die Stuxnet-Autoren legten hier den Grundstein, indem sie einen Weg fanden, bösartigen Bytecode, der auf einer SPS läuft, zu verbergen, während der Techniker, der die Steuerung programmiert, auf seiner Workstation nur den normalen Zustand sieht. Hierzu müssen der Bytecode und der Textcode entkoppelt werden. Bei dem Rogue7-Angriff auf Siemens SIMATIC S7-SPSen konnten die Forscher beispielsweise den textuellen Code verändern, während sie den bösartigen Bytecode an die SPS übermittelten.

Team82 hat die SPS-Plattform von Rockwell Automation auf diese Stuxnet-ähnlichen Angriffe getestet. Dabei wurden zwei Schwachstellen aufgedeckt, die die Logix-Steuerungen und die Logix-Designer-Anwendung für Engineering-Workstations des Unternehmens für solche Angriffe anfällig machen. Angreifer, die in der Lage sind, die SPS-Logik unauffällig zu modifizieren, könnten physische Schäden in Fabriken verursachen, welche die Sicherheit von Fertigungsstraßen und die Zuverlässigkeit von Robotern beeinträchtigen.

Durch die beiden identifizierten Schwachstellen ist es möglich, den Textcode vom Binärcode zu entkoppeln und auf die SPS zu übertragen, wobei nur der eine, nicht aber der andere modifiziert wird. Dadurch glaubt der Techniker, dass auf der SPS der reguläre Code ausgeführt wird, während in Wirklichkeit jedoch ein völlig anderer, potenziell bösartiger Code läuft.

In ihrem Proof-of-Concept haben die Team82-Forscher den Binärcode so modifiziert, dass bestimmte Variablen des Automatisierungsprozesses (auch als Tags bezeichnet) heimlich auf andere Werte gesetzt werden. In einer realen Situation könnten diese geänderten Werte dem Automatisierungsprozess möglicherweise großen Schaden zufügen (z. B. Tags, die die Geschwindigkeit eines Motors oder Ventile steuern).

Team82 arbeitete eng mit den Ingenieuren von Rockwell Automation zusammen, um die Ursache für diese Angriffe zu ermitteln. Die Rockwell-Ingenieure haben im Anschluss ausgefeilte Lösungen zur Erkennung von verstecktem Code entwickelt. Hierzu wird der Textcode und der auf der SPS laufende Binärcode analysiert und verglichen. Wird dabei eine Diskrepanz festgestellt, gibt das Tool eine Warnmeldung aus.

Um diese Erkennungsfunktion nutzen zu können, müssen die Asset-Betreiber auf folgende Versionen updaten:

Alternativ stehen Tools zur Verfügung, die Abweichungen aufspüren:

Skype: ralf.ladner Skype no. +55 85 4044 2216

Email: ralf.ladner@netzpalaver.de

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern. Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten. Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern. Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung. Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung. Sie können Ihre Auswahl jederzeit unter Einstellungen widerrufen oder anpassen.

Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten. Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern. Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung. Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung. Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.

Essenzielle Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.

Inhalte von Videoplattformen und Social-Media-Plattformen werden standardmäßig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner manuellen Einwilligung mehr.