509 Schwachstellen in ICS im Jahr 2019 entdeckt

Die häufigsten Schwachstellen in Steuerungssystemen (ICS) im Jahr 2019 von insgesamt 509 gefundenen Schwachstellen. Kaspersky/Redaktion IEE

Diese Zahl hat sich gegenüber den Zahlen für 2017 und 2018 erhöht. Nach Einschätzung des Cybersicherheitsunternehmens Kaspersky Labs hängt dieser Anstieg mit der erhöhten Aufmerksamkeit der Sicherheitsforscher für die Sicherheit industrieller Automatisierungslösungen zusammen – er bedeute nicht, dass die Qualität der Produktentwicklung abgenommen habe.

Die größte Zahl von Schwachstellen betrifft industrielle Kontrollsysteme im Energiesektor (283), Systeme zur Steuerung industrieller Prozesse in verschiedenen Unternehmen, die in den USA als kritische Infrastruktureinrichtungen eingestuft werden (274), sowie Wasserversorgungs- und Abwassersysteme (162). Erst auf Platz 4 kommen die Gewerbebetriebe mit 119 Schwachstellen.

Zunehmender Schweregrad der Schwachstellen

68,2 % der in ICS-Systemen identifizierten 509 Schwachstellen wurden 2019 mit einem Schweregrad nach CVSS v.3.0-Basiswerten von 7 oder höher bewertet; das entspricht einem hohen oder kritischen Risikoniveau. Dabei sanken die Fälle der höchsten Risikostufe (kritisch, mit Werten von 9,0 bis 10) um 3,8 % auf 19,1 %, während sich die Fälle mit hohem Risiko (hoch, mit Werten von 7,0 bis 8,9) um 2,8% auf 49,1 % erhöhten.

Im Jahr 2019 stieg die Zahl von Schwachstellen in ICS-Systemen mit einem Schweregrad nach CVSS v.3.0-Basiswerten von 7 oder höher, weil die Zunahme der absoluten Zahl der Schwachstellen mit hohem Risikoniveau die sinkende Zahl der kritischen Schwachstellen überkompensierte. Kasperky/Redaktion IEE

Die höchstmögliche Basisnote von 10 gemäß der CVSS-Skala wurde für die in den folgenden Produkten identifizierten Schwachstellen berechnet:

• Alaris Gateway-Arbeitsstation,
• Proton/Enterprise Building Management System,
• Spectrum Power 4.7,
• CODESYS V3 Web-Server,
• Relion 670 Series,
• FlexAir, RSLinx Classic,
• WibuKey Digital Rights Management (DRM) und
• PR100088 Modbus-Gateway.

Die CVSS-Basisbewertung berücksichtigt weder die Sicherheitsaspekte des Produkts, die für industrielle Automatisierungssysteme spezifisch sind, noch die besonderen Merkmale des industriellen Prozesses jeder Organisation. Aus diesem Grund empfiehlt Kaspersky bei der Bewertung des Schweregrads einer Schwachstelle zusätzlich zur CVSS-Bewertung die möglichen Folgen ihrer Ausnutzung zu berücksichtigen, etwa die Nichtverfügbarkeit oder eingeschränkte Verfügbarkeit von ICS-Funktionen, die einen industriellen Prozesses beeinträchtigen können.

Arten der identifizierten Schwachstellen

Zu den häufigsten Arten von Schwachstellen im Jahr 2019 (siehe Diagramm 2) gehören, genau wie im Jahr 2018, der Pufferüberlauf (Stack-based Buffer Overflow, Heap-based Buffer Overflow, Classic Buffer Overflow), die mangelhafte Eingabevalidierung und Eingaben (SQL Injection, Code Injection, Command Injection).

Gruppiert man die einzelnen Schwachstellen nach ihrer Zusammengehörigkeit, dann ergibt sich folgendes Bild:

• 17,3 % der veröffentlichten Schwachstellen betreffen die Authentifizierung (unsachgemäße Authentifizierung, Umgehung der Authentifizierung, fehlende Authentifizierung für kritische Funktion) und die Zugriffskontrolle (Zugriffskontrolle, falsche Standardberechtigungen, unsachgemäße Verwaltung von Privilegien, Verwaltung von Berechtigungsnachweisen).
• 15,5 % der veröffentlichten Schwachstellen sind Web-Schwachstellen (Injection, Path Traversal, Cross-Site Request Forgery, Cross-Site Scripting). Im Vergleich zu 2018 ist diese Zahl um 5,5 Prozentpunkte gestiegen.

Die Ausnutzung von Schwachstellen in verschiedenen ICS-Komponenten durch Angreifer kann zu willkürlicher Codeausführung, unbefugter Kontrolle über Industrieanlagen und Denial-of-Service-Bedingungen (DoS) mit Auswirkungen auf diese Anlagen führen. Besonders bedenklich ist an diesen Ergebnissen, dass

• die meisten dieser Schwachstellen (420) aus der Ferne ohne Authentifizierung ausgenutzt werden können,
• die Angreifer nicht über Spezialwissen oder hohe Fähigkeiten verfügen müssen, um die Mehrheit der Schwachstellen (480) ausnutzen zu können,
• die Ausnutzung einer bestimmten Schwachstelle in 23 Fällen veröffentlicht wurde, was das Risiko erhöht, dass böswillige Akteure sie nutzen.

Anfällige ICS-Komponenten

Die größte Zahl von Schwachstellen wurden gefunden in:

• Engineering-Software (20 % oder 103 Fälle),
• Netzwerkgeräte, die für industrielle Umgebungen ausgelegt sind (15 % oder 78 Fälle),
• Scada/HMI-Komponenten: 12 % oder 63 Fälle),
• Prozessleitsysteme (DCS): 11 % oder 56 Fälle;),
• PLCs (9 % oder 47 Fälle).

Prozentualer Anteil der Schwachstellen, die 2019 in verschiedenen Komponenten der Steuerungssysteme gefunden wurden. Kasperky/Redaktion IEE

Sicherheitsprobleme in industriellen Automatisierungssystemen sind häufig auf Schwachstellen in gemeinsamen Software-Komponenten von Drittanbietern zurückzuführen, die von Anbietern in vielen ICS-Lösungen verwendet werden. Zu diesen Komponenten gehören Betriebssysteme (Operating Systems, OS), Lizenzmanager, Module, die verschiedene Sicherheitsmechanismen implementieren, sowie Frameworks, die zur Entwicklung und Ausführung von Software für industrielle Steuerungssysteme verwendet werden.

Weil die Hersteller von Betriebssystemen dasselbe System in verschiedenen Produkten verwenden können, wird eine einzige Betriebssystem-Schwachstelle meist ganze Produktlinien betreffen. Zum Beispiel bedeuteten im Jahr 2019 die Sicherheitsprobleme rund um das Betriebssystem Ruggedcom Rox II, dass alle industriellen Ruggedcom-Geräte von Siemens, die auf diesem Betriebssystem basieren, anfällig wurden. Darüber hinaus betrafen mehrere in dem Echtzeitbetriebssystem VxWorks entdeckte Schwachstellen Lösungen von Rockwell Automation, Schneider Electric, Xerox und Dräger. Ein weiteres Beispiel für eine Betriebssystem-Schwachstelle mit weitreichenden Auswirkungen auf die Sicherheit war die im Linux-Kernel entdeckte TCP-SACL-Panic-Schwachstelle. Diese Schwachstelle betraf mehrere Siemens-Produkte.

Im Jahr 2019 berichteten Sicherheitsforscher über Schwachstellen in mehreren Lizenzmanagern (license managers) zur gleichen Zeit:

• Yokogawa License Manager Service
• Schneider Electric Floating License Manager
• RC-LicenseManager
• SafeNet Sentinel LDK License Manager
• FlexNet Publisher

Lizenzmanager werden oft in verschiedenen Lösungen eingesetzt, daher können sich Schwachstellen in ihnen gleichzeitig auf mehrere industrielle Steuerungsprodukte auswirken. Beispielsweise waren sowohl das verteilte Steuerungssystem Centum VP von Yokogawa als auch das Sicherheitssystem (SIS) ProSafe-RS von Schwachstellen betroffen, die im License Manager Service von Yokogawa entdeckt wurden.

In einem ähnlichen Fall betrafen Schwachstellen im Floating License Manager mehrere Produkte von Schneider Electric gleichzeitig, darunter die Engineering-Software EcoStruxure Control Expert, das hybride Prozessleitsystem (DCS) EcoStruxure (auch als Plant Struxure PES bekannt), Power Scada Expert und andere. Schwachstellen in diesem Lizenzmanager betrafen auch Vijeo Citect und Citect Scada von Aveva, einem Tochterunternehmen von Schneider Electric. Es ist erwähnenswert, dass die Schwachstellen im Floating License Manager wiederum mit mehreren Schwachstellen in der Software von Drittanbietern – Flexera FlexNet Publisher – in Verbindung stehen. Darüber hinaus wurde festgestellt, dass Produkte von mehreren industriellen Anbietern auf einmal, darunter Siemens, Phoenix Contact, Sprecher Automation und Copa-Data, von Schwachstellen in der WibuKey Digital Rights Management (DRM)-Lösung betroffen waren.

Es lohnt sich, einen gesonderten Blick auf die Sicherheit von Frameworks zu werfen, die von Anbietern für die Entwicklung und Ausführung von Steuerungs-Software verwendet werden. Schwachstellen wurden 2019 gleichzeitig in mehreren Komponenten von Codesys, einer Softwarelösung für die industrielle Automatisierung, entdeckt, darunter der Webserver, der Kommunikationsserver und der OPC UA-Server.

(dw)