[English]Sicherheitsanbieter Armis und Honeywell warnen gemeinsam vor neun Schwachstellen (Crit.IX), von Armis Sicherheitsforschern in den Honeywell's Experion® Platforms gefunden wurden. Dies ist eine Lösung im Bereit der Industrieautomatisation. Die Schwachstellen ermöglichen eine nichtautorisierte Remote-Code-Ausführung auf älteren Versionen der Honeywell Server und Controller. Bei einer Ausnutzung würde dies dem Angreifer ermöglichen, Geräte zu übernehmen und die Prozesse auf den DCS-Controllern zu verändern, sowie dies auf den Engineering Workstations, die die DCS-Controller verwalten, sogar zu verbergen. Von Tenable liegt mir zudem eine Information vor, dass auch Schwachstellen in Rockwell Automation ControlLogix (OT-Plattform) geschlossen wurden.
Anzeige
Crit.IX: Neun Schwachstellen in Honeywell's Experion DCS
Ich hatte die Information bereits zum 12. Juni 2023 auf Twitter gesehen, von Armis gibt es dazu den Blog-Beitrag Crit.IX: 9 vulnerabilities discovered in Honeywell's Experion® Platforms for Distributed Control Systems (DCS). Im Mai 2022 konnte Armis zusammen mit Honeywell die Entdeckung von 13 Code-Schwachstellen im Experion C300 Controller und Server bestätigen. In Summe ergeben sich 9 neue Schwachstellen, von denen 7 als kritisch eingestuft werden. Inzwischen gibt es auch von der US CISA eine entsprechende Sicherheitswarnung mit weiteren Details.
Viele Produkte betroffen
Die betreffenden Schwachstellen (in den Kommunikationsmodulen bzw. im CDA-Protocol der Honeywell's Experion® Platform) ermöglichen einem Angreifer, der im gemeinsamen Netzwerk unterwegs ist, eine Remote-Code-Ausführung ohne weitere Autentifizierung auf älteren Versionen der Honeywell Server und Controller.
Bei einer Ausnutzung würde dies dem Angreifer ermöglichen, Geräte zu übernehmen und die Prozesse auf den DCS-Controllern zu verändern. Darüber hinaus hätten sie die Änderungen vor den Engineering Workstations verbergen können, die die DCS-Controller verwalten. Die Ausnutzung dieser Schwachstellen benötigt keine Authentifizierung, sondern lediglich einen Zugang zum Netzwerk auf die anvisierten Geräte. Darüber hinaus können möglicherweise weitere IT, IoT und OT-Assets, die sich im gleichen Netzwerk wie die DCS-Geräte befinden, kompromittiert werden.
Die neu entdeckten Schwachstellen betreffen eine ganze Reihe von Produkten und Versionen in drei Honeywell Experion DCS-Plattformen: In der Experion Process Knowledge System (EPKS)-Plattform (Experion Server and Experion Station) und in den LX und PlantCruise-Plattformen (Engineering Station and Direct Station). Außerdem betreffen die Schwachstellen den C300 DCS Controller, der auf allen drei Plattformen genutzt wird.
Anzeige
Es gibt Patches von Honeywell
Armis hat mit Honeywell kooperiert, um Patches zu entwickeln und dann die Schwachstelle in einem responsible disclose zu veröffentlichen. Honeywell hat inzwischen Sicherheits-Patches für die betreffenden Komponenten zur Verfügung gestellt und rät allen betroffenen Kunden dringend, die Patches umgehend zu installieren.
Die Sicherheitsupdates sind aber nur per Login auf dem Honeywell-Portal in der technischen Dokumentation einsehbar. Amris gibt zudem an, dass die eigenen Schutzlösungen die Systeme vor dieser Bedrohung schützen könnten.
Auch Schwachstellen in Rockwell DCS
Parallel dazu habe ich von Tenable die Information bekommen, dass Rockwell zum 12. Juli 2023 einen Sicherheitshinweis bezüglich Schwachstellen in Automation ControlLogix veröffentlicht hat. Auch bei Rockwell kommt man nur mit Anmeldung in den Bereich mit den Sicherheitshinweisen.
Tenable hat aber den Blog-Beitrag CVE-2023-3595, CVE-2023-3596: Rockwell Automation ControlLogix Vulnerabilities Disclosed veröffentlicht. Es gibt gleich mehrere Schwachstellen in den ControlLogix-Kommunikationsmodulen von Allen-Bradley. ControlLogix-Kommunikationsmodule werden in vielen Branchen und Sektoren eingesetzt, unter anderem in der Energie-, Transport- und Wasserwirtschaft, um die Kommunikation zwischen Maschinen, IT-Systemen und entfernten Chassis zu ermöglichen.
- CVE-2023-3595: Rockwell Automation Allen-Bradley ControlLogix-Kommunikationsmodule Schwachstelle bei Remote-Code-Ausführung 9.8 Kritisch
- CVE-2023-3596: Rockwell Automation Allen-Bradley ControlLogix-Kommunikationsmodule Denial-of-Service-Schwachstelle 7.5 Hoch
Tenable schreibt, dass zu beachten ist, dass diese Module in mehreren logischen (und physischen) Konfigurationen implementiert werden können. Auf einem 1756 ControlLogix-Chassis können bis zu 17 Module in einem lokalen Chassis installiert sein. Es ist üblich, dass mehrere Netzwerkschnittstellen (physische Netzwerkkarten) konfiguriert sind, um Netzwerke in industriellen Umgebungen zu überbrücken und/oder zu segmentieren.
Details lassen sich in den verlinkten Blog-Beiträgen der Sicherheitsforscher nachlesen. Was ich aktuell nicht herausgefunden habe, ob die Sicherheitshinweise beider Automatisierungshersteller quasi auf den gleichen Schwachstellen basieren, weil ein Kommunikationsprotokoll verwendet wird. Der Armis Blog-Beitrag legt nichts bezüglich der CVE-Nummern der aufgedeckten Schwachstellen offen.
9 CISA-Sicherheitswarnungen für ICS
Die US-Cyber-Sicherheitsbehörde CISA hat zum 13. Juli 2023 insgesamt neun Sicherheitswarnungen für industrielle Steuerungssysteme (ICS) veröffentlicht.
- ICSA-23-194-01 Siemens RUGGEDCOM ROX
- ICSA-23-194-02 Siemens SiPass Integrated
- ICSA-23-194-03 Siemens SIMATIC CN 4100
- ICSA-23-194-04 Siemens SIMATIC MV500 Devices
- ICSA-23-194-05 Rockwell Automation PowerMonitor 1000
- ICSA-23-194-06 Honeywell Experion PKS, LX and PlantCruise
- ICSMA-23-194-01 BD Alaris System with Guardrails Suite MX
- ICSA-22-356-03 Mitsubishi Electric MELSEC iQ-R iQ-L Series and MELIPC Series (Update A)
- ICSA-23-171-01 Enphase Envoy (Update A)
In Kurzfassung: Da rappelt es momentan sicherheitstechnisch ganz gewaltig.
Anzeige