OT:ICEFALL-Studie deckt Schwachstellen bei OT-Geräten auf

In einem im Juni veröffentlichten Bericht wurden insgesamt 56 Schwachstellen aufgedeckt: Sie alle betreffen die Geräte von insgesamt zehn Anbietern von Systemen der Betriebstechnologie (OT). Die OT:ICEFALL-Studie, das Ergebnis einer Zusammenarbeit zwischen der US Cybersecurity and Infrastructure Security Agency (CISA) und den Vedere Labs von Forescout, unterteilt diese Schwachstellen in vier Hauptkategorien: unsichere technische Protokolle, schwache Verschlüsselung oder fehlerhafte Authentifizierungsverfahren, Fehler in Firmware-Updates und Remote-Code-Ausführung über native Funktionen.

Eine Tabelle auf der Forescout-Website zeigt die betroffenen Geräte. Die Forscher empfehlen, die Warnungen der einzelnen Hersteller zu verfolgen, um weitere Details zu den jeweiligen Auswirkungen zu erfahren, die durch die Schwachstellen verursacht werden können. Interessant: Bei einem Hersteller gibt es vier Schwachstellen, deren Offenlegung noch nicht ganz abgeschlossen ist. Genauere Informationen wurden noch nicht veröffentlicht, allerdings hat man die Angriffspunkte bereits in die quantitative Analyse des technischen Berichts aufgenommen.

Obwohl die Auswirkungen der einzelnen Schwachstellen von der jeweiligen Funktionalität abhängen, lassen sich die Ergebnisse der Studie in die folgenden Kategorien einteilen:

• Remote Code Execution (RCE): Ein Angreifer spielt beliebigen Code auf das betroffene Gerät. Allerdings erhält der Cyberkriminelle nicht immer direkt die vollständige Kontrolle über das Device. Diese wird in der Regel dadurch erlangt, dass die Aktualisierung der Firmware ausbleibt.
• Denial of Service (DoS): Ein Angreifer nimmt das Gerät vollständig offline oder verhindert den Zugriff auf eine Funktion.
• Datei-/Firmware-/Konfigurationsmanipulation: Ein Angreifer ändert wichtige Komponenten des Geräts, z. B. gespeicherte Dateien und Firmware, auf der bestimmte Konfigurationen ausgeführt werden. Dies geschieht in der Regel durch kritische Funktionen ohne ordnungsgemäße Authentifizierung/Autorisierung oder fehlende Integritätsprüfung. Diese würde normalerweise Manipulationen am Gerät verhindern, ohne dass der Nutzer etwas bemerkt.
• Kompromittierung von Anmeldeinformationen: Ein Angreifer erlangt Anmeldeinformationen zur Ausführung von Gerätefunktionen, weil sie ungesichert gespeichert oder übertragen werden.
• Umgehung der Authentifizierung: Cyberkriminelle sind in der Lage, bestehende Authentifizierungsfunktionen zu umgehen, um die gewünschte Funktionalität des Geräts zu erreichen.

Umgebungen zu geben, die häufig von vornherein unsicher sind. So können sich Entscheidungsträger bereits vorab auf einzelne, sichere Produkte konzentrieren und in effizientere Maßnahmen zur Überwachung und Verwaltung von Schwachstellen investieren. CVE (Common Vulnerabilities and Exposures) Listen dürften dann künftig an Relevanz verlieren.

Einige der wichtigsten Ergebnisse der zitierten Untersuchung sind:

• Potenzielle Schwachstellen, die aus unsicherem Design resultieren, gibt es zuhauf: Mehr als ein Drittel der gefundenen Schwachstellen (38 %) ermöglichen die Kompromittierung von Zugangsdaten. An zweiter Stelle steht die Manipulation der Firmware (21 %), gefolgt von der Remotecodeausführung (14 %). Die wichtigsten Beispiele für Probleme, die durch ein unsicheres Design verursacht werden, finden sich in der Studie in insgesamt neun Schwachstellen: Zum einem im Zusammenhang mit nicht authentifizierten Protokollen, zum anderen belegen aber auch gebrochene Authentifizierungsschemata die schlechte Qualität der Sicherheitskontrollen.
• Anfällige Produkte sind zertifiziert: 74 % der betroffenen Produktfamilien verfügen über eine Form der Zertifizierung – und die meisten der gemeldeten Probleme wurden relativ schnell entdeckt. Die Faktoren, die zu einer Anfälligkeit beitragen, sind jedoch der begrenzte Umfang der Evaluierung, die undurchsichtige Definition von Sicherheit und die Konzentration auf Funktionstests.
• Das Risikomanagement wird durch das Fehlen von CVEs erschwert: Um fundierte Risikomanagement-Entschlüsse treffen zu können, müssen die Entscheidungsträger wissen, auf welche Weise die Komponenten gefährlich sind. Unsichere Design-Probleme wurden nicht immer in CVEs identifiziert, sodass sie mitunter verborgen blieben.
• Unsichere Komponenten existieren in den Lieferketten von vornherein: Schwachstellen bei verschiedenen Komponenten, die in der OT-Lieferkette verwendet werden, werden in der Regel nicht von allen betroffenen Herstellern gemeldet. Dieser Faktor erschwert das Risikomanagement.
• Nicht alle unsicheren Konstruktionen werden auf dieselbe Weise entwickelt: Im Rahmen der Studie hat man drei Hauptwege für OER in Geräten der Stufe 1 über native Funktionen untersucht: Logik-Downloads, Firmware-Updates und Speicher-Lese-/Schreiboperationen. Keines der untersuchten Systeme verwendet Logikabonnements. Die meisten (52 %) kompilieren ihre Logik in nativen Maschinencode. Außerdem unterstützen 62 % der Systeme Firmware-Downloads über Ethernet, aber nur 51 % verfügen über eine Authentifizierung dieser Funktion.
• Offensivfunktionen sind leichter zu entwickeln, als man denkt: Das Reverse-Engineering eines einzelnen proprietären Protokolls dauerte zwischen einem Tag und zwei Wochen, bei komplexen Multiprotokollsystemen fünf bis sechs Monate. Dies zeigt, dass Systeme für Angriffe auf OT-Umgebungen von einem kleinen, aber qualifizierten Team zu vertretbaren Kosten entwickelt werden können.

OT:ICEFALL, der Name der Studie, bezieht sich im Übrigen auf die zweite Station auf der Mount-Everest-Besteigungsroute nach dem Basislager. Im Fokus des Wordings: Die zunehmende Zahl von Schwachstellen in OT-Umgebungen. Den Forschern zufolge „gibt es einen Berg zu erklimmen, um diese Geräte und Protokolle zu schützen.“