IT-Sicherheit bei Sprecher Automation

Sie finden auf dieser Seite regelmäßig Informationen über aktuelle Security-Themen und die entsprechenden Produkte von Sprecher.

Bitte wenden Sie sich bei weiteren Fragen an:
info@sprecher-automation.com (Allgemeine Anfragen)
sprecon@sprecher-automation.com (Anfragen zu SPRECON)

News

SPRECON-E Kernel Update

Titel SPRECON-E Kernel Update
Datum 7 August 2018
Relevanz

SPRECON-E: teilweise betroffen
SPRECON-V: nicht betroffen

CVE Code -
Beschreibung

SPRECON-E: Kernel Update mit Firmware 8.59

In mehreren Switch-Familien der Firma Hirschmann wurde Schwachstellen veröffentlicht.

 

 

Cisco: Überblick über relevante Schwachstellen der vergangenen 3 Monate

Titel Cisco: Überblick über relevante Schwachstellen der vergangenen 3 Monate
Datum 7. August 2018
Relevanz

SPRECON-E: nicht betroffen
SPRECON-V: nicht betroffen

CVE Code siehe Beschreibung
Beschreibung

Mehrere Schwachstellen in CISCO ASA

CISCO veröffentlicht mehrere Schwachstellen in CISCO ASA Produkten. Betreiber sollten prüfen welche ASA Versionen im Einsatz sind bzw. ob die jeweiligen Schwachstellen relevant sind:

• Denial-of-Service via Web, CVE-2018-0296
• TLS Buffer Underflow, CVE-2018-0231
• Application Layer Protocol Inspection Logic Errors, CVE-2018-0240
• SSL VPN Client Certification Authentication Flaw, CVE-2018-0227
• Ingress Software Lock Error, CVE-2018-0228
• Input Validation Flaw in WebVPN Management Interface, CVE-2018-0242

Access Control Flaw in CISCO Industrial Ethernet Switch

CISCO hat eine Schwachstelle in den IE Switches veröffentlicht. Über das Device Manager Web Interface könnte ein nicht-authentifizierter Angreifer aus der Ferne Cross-Site Request Forgery (CSRF) Attacken ausführen.

Die Schwachstelle wurde von CISCO mit CVSS 8.8 unter CVE-2018-0255 veröffentlicht.

Mehrere Schwachstellen in CISCO IOS / IOS XE / IOS XR

Es wurden mehrere teils kritische Schwachstellen in CISCO IOS Software Versionen veröffentlicht. CISCO IOS befindet sich auf unterschiedlichen Geräteserien im Einsatz. Betreiber von CISCO Geräten sollten prüfen, ob die verwundbaren Versionen im Einsatz sind bzw. ob die Schwachstellen ein Risiko verursachen

Übersicht über die Schwachstellen:

  • IOS/IOS XE DHCP Option 82 Processing Bugs,
    CVE-2018-0172, CVE-2018-0173, CVE-2018-0174
  • Cisco IOS/IOS XE QoS Buffer Overflow Lets, CVE-2018-0151
  • Cisco IOS/IOS XE/IOS XR Link Layer Discovery Protocol Privilege Escalation, CVE-2018-0167, CVE-2018-0175
  • Cisco IOS/IOS XE Smart Install Input Validation Flaw, CVE-2018-0156
  • Cisco IOS/IOS XE Buffer Overflow in Processing Smart Install Packets, CVE-2018-0171
  • Cisco IOS XE Zone-Based Firewall IP Fragment Processing Bug, CVE-2018-0157, Cisco IOS XE Default Credentials, CVE-2018-0150
  • Cisco IOS XE IGMP Processing Flaw, CVE-2018-0165
  • Cisco IOS Integrated Services Module for VPN Unspecified Processing Flaw, CVE-2018-0154
  • Cisco IOS XE SNMP Memory Management Error, CVE-2018-0160
  • Cisco IOS XE Umbrella Integration Memory Free Error, CVE-2018-0170
  • Cisco IOS XE Web Interface Access Control Bug, CVE-2018-0152
  • Cisco IOS XE Command Line Interface Validation Bugs, CVE-2018-0169, CVE-2018-0176
  • Cisco IOS/IOS XE IKE Processing Flaws, CVE-2018-0158, CVE-2018-0159
  • Cisco IOS XR UDP Broadcast Processing Flaw, CVE-2018-0241   
Weitere Details zu den Schwachstellen:

https://tools.cisco.com/security/center/publicationListing.x

 

 

Hirschmann Classic Platform Switches: Mehrere Schwachstellen

Titel Hirschmann Classic Platform Switches: Mehrere Schwachstellen
Datum 4. August 2018
Relevanz

SPRECON-E: nicht betroffen
SPRECON-V: nicht betroffen

CVE Code siehe Beschreibung
Beschreibung

In mehreren Switch-Familien der Firma Hirschmann wurde Schwachstellen veröffentlicht.

Diese betreffen:

a) „Session Fixation“ Schwachstelle, CVE-2018-5465,
CVSS 3.0 Base Score 8.8

b) „Information Exposure“ Schwachstelle, CVE-2018-5467,
CVSS 3.0 Base Score 6.5

c) Cleartext Transmission of Sensitive Information, CVE-2018-5471,
CVSS 3.0 Base Score 5.9

d) Inadequate Encryption Strength, CVE-2018-5461,
CVSS 3.0 Base Score 6.5

e) “Improper Restriction of Excessive Authentication Attempt” Schwachstelle, CVE-2018-5469, CVSS 3.0 Base Score 9.8

        
Betroffene Produkte:

  • Hirschmann Produktfamilien RS, RSR, RSB, RSB,MACH100, MACH1000,MACH4000, MS, OCTOPUS

Gegenmaßnahme:

  • xHirschmann empfiehlt die strenge Verwendung von Sicherheits-erhöhenden Maßnahmen (etwa Verwendung von HTTPS oder SSH, siehe Link)
Weitere Details zu den Schwachstellen:

https://ics-cert.us-cert.gov/advisories/ICSA-18-065-01

 

 

SPRECON-V460: Meltdown / Spectre

Titel SPRECON-V460: Meltdown / Spectre
Datum 12. Jänner 2018
Aktualisiert 23. Februar 2018
Relevanz

SPRECON-V: teilweise betroffen

CVE Code CVE-2017-5753, CVE-2017-5715, etc.
AKTUALISIERUNG 1:

Wir können bestätigen, dass die folgenden Aktualisierungen mehrere Probleme beheben, die durch die zu Beginn des Jahres 2018 erfolgten Microsoft Sicherheitsupdates verursacht wurden.

 

  • KB4074594 behebt KB4056898 - Windows 8.1. für x64-based Systems
  • KB4074594 behebt KB4056895 und KB4056898 - Windows 8.1 und Windows Server 2012 R2 Standard
  • KB4074592 behebt KB4056891 - Windows 10 Version 1703 für x64-based Systems
  • KB4074596 behebt KB4056893 - Windows 10 Version 1507 für x64-based Systems
  • KB4074590 behebt KB4056890 - Windows Server 2016 und Windows 10 Version 1607
  • KB4074593 behebt KB4056896 - Windows Server 2012 Standard
  • KB4074598 behebt KB4056894 - Windows 7 und Windows Server 2008 R2

 

 

Beschreibung

Wie aus den Medien bekannt, sind mehrere CPU-Generationen namhafter Chiphersteller (Intel, MD, etc.) betroffen. Meltdown und Spectre nutzen Lücken u.A. im Kernel-Mapping zum Auslesen des Speichers, wodurch letztlich ein Zugriff auf beliebige Speicherbereiche und somit potentiell sensitive Informationen möglich ist.

Um diese Sicherheitslücken ausnutzen zu können, muss Software in die betroffenen Systeme eingebracht, zur Ausführung gebracht werden und das Ergebnis muss extrahiert werden.

Da SPRECON-V auf unterschiedlicher PC-Hardware eingesetzt werden kann, ist von der eingesetzten Hardware abhängig, ob die jeweiligen Stationen betroffen sind. Die vollständige Schließung der Schwachstellen muss zu gegebenem Zeitpunkt über Microsoft Windows Patches erfolgen, da dies nur auf Betriebssystemebene gelöst werden kann. Alternativ können isolierende Sicherheitsmaßnahmen eingesetzt werden.

! Aktuell wurde festgestellt, dass die verfügbaren Microsoft Patches zu Problemen führen. Es wird daher nicht empfohlen die Patches direkt im Operativsystem einzuspielen. Falls diese angewendet werden sollen, wird empfohlen vor dem Einspielen der Patches ein Backup der Systeme zu erstellen und die Patches zuerst auf einem Testsystem einzuspielen und die prinzipielle Funktion der Systeme zu prüfen. Alternativmaßnahmen wie unten beschrieben können ergriffen werden. !

Um festzustellen, ob ein bestimmter PC von den Schwachstellen betroffen ist, stellt Microsoft Windows ein Tool bereit - dies wird in untenstehendem Link ebenfalls beschrieben.

Es wird mit Hochdruck an der weiteren Analyse und Ursache der bisher festgestellten Probleme gearbeitet. Sobald Windows Patches aus unserer Sicht freigegeben werden können, werden die Informationen aufbereitet.


        
Betroffene Produkte:

Gegenmaßnahme:

  • Prozessnetze müssen isoliert (von etwa Büro-Netzwerken) betrieben werden.
  • Generell sollten alle Kommunikationswege die in ein Prozessnetz führen (etwa Fernwartungszugänge, mobile Datenträger) überwacht werden.
  • HMI-Stationen im Prozessnetz sollten zusätzlich gehärtet sein:
    Application Whitelisting und/oder ein Antivirenschutz direkt auch auf der HMI-Station.
  • Verstärkung des Monitorings in entsprechenden Systemen und Bereichen, um Auffälligkeiten frühzeitig erkennen und analysieren zu können.
  • Das Prinzip „Defense-In-Depth“ sollte strikt befolgt werden. Geräte, die für das reibungslose Funktionieren keine Internetanbindung benötigen,
    sollten vom Internet getrennt werden.
  • Chiphersteller, Betriebssytemhersteller und PC/Notebook-Hersteller arbeiten an der Erstellung von Patches
  • Die Empfehlungen der Hersteller sollten nach Abschätzung des Angriffsrisikos in den betroffenen Anlagen angewendet werden.
  • Betriebssysteme: Microsoft stellt Patches und Tools zur Prüfung, ob ein System betroffen ist, bereit

    Informationen hierzu im Microsoft Artikel
    https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
Links:

 

 

Cisco ASA Double-Free Memory Error in SSL VPN Lets Remote Users Execute Arbitrary Code on the Target System

Titel Cisco ASA Double-Free Memory Error in SSL VPN Lets Remote Users Execute Arbitrary Code on the Target System
Datum 8. Februar 2018
Relevanz

SPRECON-E: nicht betroffen
SPRECON-V: nicht betroffen

CVE Code CVE-2018-0101
Beschreibung

Über das Senden von speziellen XML Paketen an das webvpn-interface kann ein Speicherfehler (double free memory error) in der SSL VPN Funktion hervorgerufen werden, welcher es dem Angreifer ermöglichen kann Code auf dem Zielsystem auszufüren.

        
Betroffene Produkte:

  • 3000 Series Industrial Security Appliance (ISA)
  • 5500 Series Adaptive Security Appliances
  • 5500-X Series Next-Generation Firewalls
  • ASA Services Module für Catalyst 6500 Series Switches sowie 7600 Series Routers
  • 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)

    Einige Firepower Geräte sind ebenfalls betroffen.

Gegenmaßnahme:

  • Cisco hat bereits Lösungen herausgegeben (siehe Link)

Links:

 

 

 

Cisco ASR 9000 Series Router IOS XR IPv6 Packet Processing Flaw Lets Remote Users Cause the Target System to Reload

Titel Cisco ASR 9000 Series Router IOS XR IPv6 Packet Processing Flaw Lets Remote Users Cause the Target System to Reload
Datum 8. Februar 2018
Relevanz

SPRECON-E: nicht betroffen
SPRECON-V: nicht betroffen

CVE Code CVE-2018-0136
Beschreibung

Über diese Schwachstelle könnte ein Angreifer aus der Ferne einen Geräteneustart erreichen. Durch spezielle IPv6 Pakete mit fragment header extension zu oder durch „trident Based“ line cards wird ein reload dieses Netzwerkmoduls erreicht.

        
Betroffene Produkte:

Trident-Based Line Cards:
  • A9K-40GE-L
  • A9K-40GE-B
  • A9K-40GE-E
  • A9K-4T-L
  • A9K-4T-B
  • A9K-4T-E
  • A9K-8T/4-L
  • A9K-8T/4-B
  • A9K-8T/4-E
  • A9K-2T20GE-L
  • A9K-2T20GE-B
  • A9K-2T20GE-E
  • A9K-8T-L
  • A9K-8T-B
  • A9K-8T-E
  • A9K-16/8T-B

Gegenmaßnahme:

  • Cisco hat bereits Lösungen herausgegeben ( Service Pack 7 for Cisco IOS XR Software Release 5.3.4)

Links:

 

 

 

Schwachstellen in SPRECON-E Firmware vor 8.49

Titel Schwachstellen in SPRECON-E Firmware vor 8.49
Datum 31. Jänner 2018
Relevanz

SPRECON-E: betroffen
SPRECON-V: nicht betroffen

CVE Code -
Beschreibung

Das Unternehmen SEC Consult hat in einer Untersuchung 5 Findings zu SPRECON-E Produkten publiziert. Diese Stellungnahme soll Kunden von Sprecher Automation unterstützen diese Findings besser einzuordnen und ggf. Maßnahmen ergreifen zu können.


1) Authenticated Path Traversal Vulnerability

Diese Schwachstelle ermöglicht es einem authentifizierten Benutzer zusätzliche Daten auf das Gerät zu übertragen oder auch zu lesen. Sie ist somit ausschließlich ausnutzbar, wenn ein Angreifer bereits die Zugangsdaten (Benutzername + Passwort) für den Webserver erlangt hat.

Die Übertragung der Daten geschieht mit dem Systemuser des Webservers. Da dieser am System nur eingeschränkte Rechte aufweist (Security-by-Design), und auch keine Möglichkeit besteht eventuell geladenen Code auszuführen, ist das Risiko durch diese Schwachstelle als gering einzuschätzen.

Diese Schwachstelle betrifft ausschließlich das Feature Webserver. Der Webserver ist im Standardzustand deaktiviert und muss vom Anwender dezidiert aktiviert werden. Zusätzlich wurde die Schwachstelle ab Firmware 8.49 behoben.



2) Client-Side Password Hashing

Beim Login des Webservers werden Passwort-Hashes im Browser erzeugt, übertragen, und vom Gerät mit den gespeicherten Hashes verglichen, um sich am System zu authentifizieren. Ein Angreifer kann somit diese Hashes direkt verwenden, um eine positive Authentifizierung zu erwirken.

Dies setzt voraus, dass der Angreifer zuvor an die richtigen Passwort-Hashes gelangt. Das davon ausgehende Risiko wird als gering eingestuft.

Diese Schwachstelle betrifft ausschließlich das Feature Webserver. Der Webserver ist im Standardzustand deaktiviert und muss vom Anwender dezidiert aktiviert werden. Zusätzlich wurde die Schwachstelle ab Firmware 8.49 behoben.

 

3) Missing Authentication

SPRECON-E Geräte bieten die Möglichkeit des Betriebes einer Software-PLC an, um logische Programmierung nach IEC 61131-3 zu ermöglichen.

Diese Software- PLC ist standardmäßig deaktiviert und kann vom Nutzer aktiviert werden. Ist diese Funktion aktiviert, kann ein Debugging aus der Ferne eingesetzt werden, wobei der SPRECON-E PLC Designer mit dem Gerät über Netzwerk verbunden wird (s.g. PLC Online Test).

Für dieses Remote-Debugging ist keine Authentifizierung am Gerät notwendig, die hierfür verwendete Telnet Session verwendet keine Authentifizierung.

Die Einstufung des Risikos hängt vom Einsatzgebiet des Produktes ab. Wird Netzwerkzugang zum Gerät ermöglicht, so kann über diese Schnittstelle die Soft-PLC gesteuert (z.B. gestoppt) werden, sofern diese aktiv ist.

Über das SPRECON-E Service Programm kann die Funktion PLC
Online Tunneling aktiviert werden, dabei kann die Remote-Verbindung zur Soft-PLC über den gesicherten Servicekanal getunnelt werden. Somit ist die Verbindung abgesichert. Diese Empfehlung wird im Dokument SPRECON Grundhärtung (94.2.913.50) beschrieben.

 

4) Permanent Denial of Service via Portscan

Durch bestimmte Portscans ist es konfigurationsabhängig möglich das Gerät zum Absturz zu bringen. Ein Angreifer muss sich im Netzwerk befinden und Portscans durchführen zu können.

Gegenmaßnahmen wurden in neueren Firmwareversionen (ab 8.49) integriert. Alternativ können entsprechend der Empfehlung im Dokument „SPRECON Grundhärtung“ (94.2.913.50) grundlegende Firewall-Regeln aktiviert werden. Derartige Angriffe bleiben dadurch wirkungslos.

 


5) Outdated Linux Kernel

In SPRECON-E wird ein gehärteter Linux-Kernel als Betriebssystem eingesetzt. In diesem Kernel werden nur jene Teile und Dienste eingesetzt, die auch tatsächlich notwendig sind. Potentielle Schwachstellen im Kernel werden kontinuierlich überwacht und ggf. behandelt.

Da der Kernel von Sprecher Automation aktiv weiterentwickelt und gepatcht wird, ist die ursprüngliche Kernel-Version nicht aussagekräftig.

Ebenfalls ist kein direkter Betriebssystemzugriff oder Schadcodeausführung am System möglich, weshalb das vom Kernel ausgehende Risiko als sehr gering definiert wird.


        
Betroffene Produkte:

  • SPRECON-E-C und E-P CPU Module PU243x sowie SPRECON-E-T3 MC33/34 mit Firmware vor 8.49.

Gegenmaßnahme:

  • Prozessnetze müssen isoliert (von etwa Büro-Netzwerken) betrieben werden
  • generell sollten alle Kommunikationswege die in ein Prozessnetz führen (etwa Fernwartungszugänge, mobile Datenträger) überwacht werden
  • Das Prinzip „Defense-In-Depth“ sollte strikt befolgt werden. Geräte, die für das reibungslose Funktionieren keine Internetanbindung benötigen, sollten vom Internet getrennt werden.
  • Die Empfehlungen der Hersteller sollten nach Abschätzung des Angriffsrisikos in den betroffenen Anlagen angewendet werden (siehe Beschreibungen zuvor)


Links:

 

 

 

SPRECON-E: Meltdown / Spectre

Titel SPRECON-E: Meltdown / Spectre
Datum 12. Jänner 2018
Relevanz

SPRECON-E: teilweise betroffen

CVE Code CVE-2017-5753, CVE-2017-5715
Beschreibung

Wie aus den Medien bekannt, sind mehrere CPU-Generationen namhafter Chiphersteller (Intel, AMD, etc.) betroffen. Unter den betroffenen CPU-Modellen befindet sich ebenfalls der bei unserer FALCON CPU (PU244x) verwendete ARM Chip. Andere SPRECON-E Produkte bzw. CPU-Linien im SPRECON-E Portfolio (PU243, PU242, MC32, etc.) sind nicht betroffen. Allerdings ist das für FALCON Geräte entstehende Risiko als marginal zu beurteilen.

 

Hier die Fakten dazu:

  • Meltdown ist für ARM Chips nicht relevant, hiervon geht kein Risiko aus
  • bzgl. Sprectre sind die Varianten 1 und 2 gemäß Link [1] relevant, somit CVE-2017-5753 und CVE-2017-5715
  • um diese Schwachstellen auszunutzen, muss Schadsoftware auf das Gerät geladen werden, dort ausgeführt werden, und die Ergebnisse müssen extrahiert werden können. Dabei können theoretisch potentiell vertrauliche Informationen ausgelesen werden, die nicht gelesen werden dürften. Durch diese Schwachstellen findet keine Manipulation der Geräte statt. Somit kompromittieren diese maximal die Vertraulichkeit von Daten, nicht allerdings die Integrität und Verfügbarkeit der Systeme.
  • Auf SPRECON wird eine strikte Defence-In-Depth Strategie umgesetzt. Insofern gibt es keine Möglichkeit, Schadsoftware auf das Gerät zu übertragen. Sämtliche übertragbaren Daten sind durch die verfügbaren Engineering-Prozesse auf SPRECON limitiert. Insofern kann die vorhandene Schwachstelle in den CPUs nicht ausgenutzt werden. Das Risiko ist somit minimal.

[1] https://developer.arm.com/support/security-update


        
Betroffene Produkte:

  • SPRECON-E-C bzw. SPRECON-E-P mit CPU PU244x

Gegenmaßnahme:

  • Es besteht kein Handlungsbedarf bezüglich der Angriffsszenarien Meltdown bzw. Spectre.

 

 

 

Meinberg: Mehrere Sicherheitslücken via Web-Benutzerschnittstelle

Titel Meinberg: Mehrere Sicherheitslücken via Web-Benutzerschnittstelle
Datum 19. Dezember 2017
Relevanz

SPRECON-E: nicht betroffen
SPRECON-V: nicht betroffen

CVE Code CVE-2017-1678, CVE-2017-16787, CVE-2017-16788
Beschreibung

Die Firma Meinberg informiert über mehrere Schwachstellen in der Web-Benutzerschnittstelle sowie der NTP-Schlüsselerzeugung. Details siehe CVE und entsprechende Einträge in CVE-Datenbanken, sowie http://www.ids.de/it-security/it-security-bulletin.html.

  • Aufgrund einer falsch konfigurierten Webserver Access Control List konnte ein authentifizierter Benutzer, den Inhalt von beliebigen Dateien einzusehen. Dazu gehören auch Dateien, die (verschlüsselte) sicherheitsrelevante Daten enthielten
  • Fehler bei eingeschränktem URL-Zugriff (z.B. direkte Objektreferenz): HTTP / HTTPS-Anfragen haben den direkten Zugriff auf Dateien im Stammverzeichnis des Webservers ohne Authentifizierung ermöglicht, so dass ein Angreifer statistische Daten und statistische Grafiken lesen konnte, ohne gültige Anmeldeinformationen eingeben zu müssen.
  • Beliebiger Datei-Upload: Ein authentifizierter Benutzer war in der Lage, beliebige Dateien hochzuladen und mithilfe einer fehlenden Parametervalidierungsprüfung diese Dateien an einem beliebigen Ort unter Verwendung eines "Directory-Traversal-Angriffs" zu platzieren.
  • Fehler bei der automatischen NTP-Schlüsselerzeugung: Bei Verwendung der automatischen NTP-Schlüsselgenerierungsfunktionalität haben ältere Versionen der LTOS6-Firmware neu erstellte Schlüssel an die NTP-Schlüsseldatei angehängt, ohne zu überprüfen, ob die Schlüsselnummern bereits in der selben Datei verwendet werden. Dadurch konnten die vorhandenen Schlüssel weiterhin verwendet werden.


        
Betroffene Produkte:

  • Betroffen sind LTOS6-Firmware-Versionen vor 6.24.004, die in Geräten der Meinberg LANTIME M-Serie (M100, M200, M300, M400, M600, M900) sowie für alle Geräte der IMS-Serie (M500, M1000, M1000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000 / SF1100) eingesetzt werden.

Gegenmaßnahme:

Die Schwachstellen und der beschriebene Fehler wurden mit der Firmware-Version 6.24.004 behoben, welche sich Meinberg-Kunden kostenlos unter https://www.meinberg.de/german/sw/firmware.htm downloaden können.

 

 

 

Cisco ASA Software Direct Authentication Denial of Service Vulnerability

Titel Cisco ASA Software Direct Authentication Denial of Service Vulnerability
Datum 16. Oktober 2017
Relevanz

SPRECON-E: nicht betroffen
SPRECON-V: nicht betroffen

CVE Code CVE-2017-12246
Beschreibung

Eine Schwachstelle im Direct Authentication Feature der Cisco Adaptive Security Appliance Software ermöglicht es nicht-authentifizierten Angreifern aus der Ferne ein reload auszuführen und somit ein Denial-Of-Service zu erreichen.
Die Schwachstelle beruht auf einer unvollständigen Eingangsvalidierung des HTTP Headers, und kann somit durch manipulierte HTTP Requests ausgenutzt werden.

Es ist anzumerken, dass diese Schwachstelle nur durch direkt an das Gerät gerichteten Traffic ausgenützt werden kann, und das Direct Authentication feature aktiviert ist. Die Schwachstelle kann sowohl durch IPv4 als auch IPv6 Traffic ausgenützt werden.


        
Betroffene Produkte:

  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • ASA 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 4110 Security Appliance
  • Firepower 9300 ASA Security Module
  • ISA 3000 Industrial Security Appliance

Gegenmaßnahme:

Cisco stellt Software Updates zur Verfügung, welche diese Lücke schließen.

> https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171004-asa

 

 

 

ICS Malware "CRASHOVERRIDE"

Titel ICS Malware "CRASHOVERRIDE"
Datum 14. Juni 2017
Relevanz

SPRECON-V460

CVE Code CVE-2015-5374
Beschreibung

Der Threat Intelligence Anbieter im Bereich Industria lControl Systems (ICS) Dragos hat in Zusammenarbeit mit der Sicherheitsfirma ESET ein Advisory veröffentlicht. Aus diesem geht hervor, dass es sich um eine hochmodulare Malware handelt, die in der Lage ist, den Betrieb von Stromnetzen zu beeinflussen. Sowohl Dragos als auch ESET gehen davon aus, dass es sich hierbei um die Malware handelt, die Ende Dezember 2016 bei Angriffen auf das Stromnetz in der Ukraine verwendet wurde.


Die Malware bringt Funktionen mit, um das Netzwerk auszukundschaften und die Ergebnisse an die Angreifer zu versenden. Je nach gefundenen Komponenten und Industrieprotokollen wird der passende Payload geladen und ausgeführt. Weiterhin besitzt die Schadsoftware eine Komponente zur Datenlöschung sowie eine, die DoS-Angriffe gegen SIEMENS SIPROTECT-Geräte durch Ausnutzung der Schwachstelle CVE-2015-5374 ermöglicht.

 

Einschätzung   
Der Verbreitungsweg ist bisher unbekannt. Es ist das erste Mal, dass eine Analyse über ein solches Framework veröffentlicht wurde. Die von den Sicherheitsexperten veröffentlichten Analysen basieren auf Samples vom Dezember 2016. Es kann erwartet werden, dass das Framework seitdem weiter überarbeitet und verbessert wurde.
Prinzipiell sind Windows-basierte Maschinen anfällig für die Schadsoftware. Es ist somit speziell etwa bei HMI-Stationen auf notwendige Maßnahmen zu achten, um das Risiko einer Infektion zu vermeiden.

     
        
Maßnahmen

  • Prozessnetze müssen isoliert (von etwa Büro-Netzwerken) betrieben werden
  • generell sollten alle Kommunikationswege die in ein Prozessnetz führen (etwa Fernwartungszugänge, mobile Datenträger) überwacht werden
  • alle Wege sollten einen aktuellen Schadsoftwareschutz aufweisen (bspw. Datenträger müssen gescannt werden bevor sie in das Prozessnetz eingebracht werden, Fernwartungsrechner müssen einen aktuellen Virenschutz aufweisen)
  • HMI-Stationen im Prozessnetz sollten zusätzlich gehärtet sein: Application Whitelisting und/oder ein Antivirenschutz direkt auch auf der HMI-Station. Hierbei ist wichtig anzumerken, dass ein Antivirenschutz primär gegen bekannte Schadsoftware wirksam ist. Das heißt eine zukünftig potentiell unbekannte Version von Crashoverride wird bis zum Zeitpunkt der Bekanntmachung von Antivirensoftware nur erschwert erkannt. Ebenfalls können Antivirentools False-Positives erzeugen, weshalb generell auf Prozesskomponenten der Einsatz von Application Whitelisting empfohlen wird.
  • Verstärkung des Monitorings in entsprechenden Systemen und Bereichen, um Auffälligkeiten frühzeitig erkennen und analysieren zu können. Besonders sollte auf eine plötzliche vermehrte Verwendung der Protokolle IEC104, OPC DA und IEC 61850 geachtet werden.
  • Die im Dragos Advisory beschriebenen Indikatoren und Yara Regeln auf das Netzwerk anwenden.
  • Siemens hat inzwischen ein Firmware-Update und ein Advisory veröffentlicht.
  • Backups aller Engineering- und Konfigurationsdateien sowie den eingesetzten ICS-Anwendungen sollten existieren und getrennt aufbewahrt werden.

  •  Die Wiederherstellung der Systeme sollte geübt werden.
  • Für den Ernstfall sollten Notfallpläne erstellt werden. Regelmäßige Übungen sollten durchgeführt werden.
  • Das Prinzip „Defense-In-Depth“ sollte im ICS strikt befolgt werden. Geräte, die für das reibungslose Funktionieren keine Internetanbindung benötigen, sollten vom Internet getrennt werden.

 

> BBC-News

> WIN32/Industroyer: A new threat for industrial control systems

> WIN32/Industroyer: Indicators of Compromise

> Siemens Security Advisory by Siemens

 > Dragos World Advisory

 > BSI Meldung

 > Dragons Analyse

 

 

 

Ransom-Malware "WannaCry"

Titel Ransom-Malware "WannaCry"
Datum 17. Mai 2017
Relevanz

SPRECON-V460 Stationen

CVE Code CVE-2017-0143, CVE-2017-0144, CVE-2017-0147, etc.
Beschreibung

Seit 12.05.2017 breitet sich die Ransomware WannaCry im weltweiten Internet aus. Hierbei handelt es sich um einen Kryptotrojaner, welcher die Daten auf den betroffenen Systemen verschlüsselt. Diese konkrete Ransomware ist besonders kritisch, da sie sich im Netzwerk über Windows-Schwachstellen verbreitet und so nicht nur den primär infizierten Rechner, sondern gesamte Unternehmensnetzwerke befallen kann.

 

Einschätzung   
Ein hohes Risiko besteht bei Systemen, bei welchen Verbindungen zwischen V460 Stationen im Prozessnetzwerk und dem Büronetzwerk mittels Windows Dateifreigaben (SMB-Protokoll), NETBIOS oder RDP erfolgen.
  

     
        
Lösung
Microsoft hat die betreffenden Sicherheitslücken bereits im März durch Sicherheits-Updates geschlossen. Es wird daher empfohlen, auf allen Windows-Systemen die aktuellen Patches zu installieren.
Für ältere Windows-Versionen, dazu gehören insbesondere Windows XP und Windows Server 2003, stehen seit 13.05.2017 ebenfalls Sicherheitspatches zur Verfügung.

Weitere Informationen und Lösungsvarianten können den Meldungen der relevanten CERTs sowie der Microsoft Website entnommen werden.

 

>   CERT.at: Ransomware/Wurm WannaCry

>   BSI: Tausende Clouds in Deutschland anfällig für Cyber-Attacken

>   Microsoft: Customer Guidance for WannaCrypt attacks

>   Microsoft: How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server

 

 

 

 

Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability

Titel Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability
Datum 16. Mai 2017
Relevanz

SPRECON-E-C/-E-P/ -E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2017-3881
Beschreibung

Eine Schwachstelle in der Cisco Cluster Management Protokoll (CMP) Implementierung in Cisco IOS und Cisco IOS XE kann unauthorisierten Angreifern aus der Ferne einen Neustart oder die Ausführung von Code mit erhöhten Rechten ermöglichen.

Ein Angreifer könnte diese Schwachstelle ausnutzen indem manipulierte CMP Telnet Optionen während dem Telnet Session-Aufbau gesendet werden. Durch das Ausnützen der Schwachstelle könnte der Angreifer die Kontrolle über das Gerät erlangen, dieses neustarten, oder schadhaften Code am Gerät ausführen.

 

Betroffene Geräte
Catalyst switches,
Embedded Service 2020 switches,
Enhanced Layer 2 EtherSwitch Service Module,
Enhanced Layer 2/3 EtherSwitch Service Module,
Gigabit Ethernet Switch Module (CGESM) for HP,
IE Industrial Ethernet switches,
ME 4924-10GE switch, RF Gateway 10,
SM-X Layer 2/3 EtherSwitch Service Module

Lösung
Cisco stellt bereits Software Updates bereit, mit welchen diese Sicherheitslücke geschlossen werden kann.

CVSS-Score: 9.8

 

>   Cisco Security Advisory

  CERT-EU Security Advisory 2017-006

 

 

 

Hinweis: Vertrauliche Verwendung von ipsec Konfigurationsdateien

Titel Hinweis: Vertrauliche Verwendung von ipsec Konfigurationsdateien
Datum 15. Mai 2017
Relevanz

Anwender von IPSec VPN Verbindungen mit SPRECON-E

CVE Code Kein CVE Code, da keine Schwachstelle
Beschreibung

Seit Firmware 8.41 können IPSec VPN Verbindungen auf SPRECON betrieben werden. Die Konfiguration erfolgt über das Tool Security Editor, mit welchem die jeweiligen IPSec Settings definiert werden können. Aus diesem Tool wird nach erfolgter Konfiguration die proprietäre Datei ipsec.cfg exportiert, welche anschließend vom Anwender durch das Tool SPRECON Designer in die Hauptkonfigurationsdatei (Prozessrechnerliste) eingepackt und hiermit auf das Gerät geladen werden kann.

 

Bei der IPSec Konfiguration werden für die Authentifizierung des IPSec Verbindungsteilnehmers ebenfalls – je nach gewählter Methode – ein pre-shared key (PSK) oder ein Zertifikat angegeben, welches wiederum einen privaten Schlüssel enthält. Der Hersteller weist darauf hin, dass dies vertrauliche Daten sind, und somit beim Betreiber die ipsec.cfg Files sicher zu verwalten sind.

 

Die ipsec.cfg Files weisen derzeit einen passwortgeschützten Manipulationsschutz auf, um unberechtigte Anwender davor zu bewahren diese versehentlich zu verändern. Ab SPRECON Firmware 8.56 und Security Editor 1.03 wird eine starke kryptographische Verschlüsselung eingesetzt, um zusätzlich auch die Vertraulichkeit der Inhalte dieser Konfigurationsdatei in erhöhtem Maße sicherzustellen.

 

 

 

Rechteausweitung im SPRECON-E Service Program

Titel Rechteausweitung im SPRECON-E Service Program
Datum 21. Dezember 2016
Relevanz

SPRECON-E-C/-E-P/-E-T3: betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2016-10041
Beschreibung

Unter bestimmten Vorbedingungen ist es möglich, als Nicht-Admin-User eine Telegrammsimulation durchzuführen.

Als Vorbedingung muss ein User eine Online-Verbindung herstellen, mit Rolle Administrator gültig authentifizieren und autorisieren sowie die Telegrammsimulation öffnen. Die Online-Verbindung muss anschließend beendet werden. Ein fehlerhaftes Caching der Client-Daten kann danach dazu führen, dass ein neu angemeldeter User ohne Admin-Rechte eine Telegrammsimulation ausführen kann.

Um die Lücke auszunützen, muss ein Angreifer Zugriff auf den verwendeten Service-PC sowie einen gültigen Engineering-Account im SPRECON RBAC System besitzen. Ebenfalls muss ein Admin-User zuvor das Telegramm-Simulationsfenster geöffnet haben und die Service-Verbindung geschlossen haben, ohne das Service Program zu schließen. Es besteht somit kein Risiko durch externe Angreifer.


Betroffenes Produkt: SPRECON-E Service Program 3.42 SP0

 

Einschränkung

Dieser Fehler tritt nur in Verbindung mit der rollenbasierten Zugriffkontrolle (RBAC) auf. RBAC ist auf SPRECON erst ab folgenden Versionen verfügbar:

  • SPRECON-E Designer Version ab 5.79 SP0 (Im Designer müssen die Zugriffkontrolle aktiviert und lokale Benutzer bzw. Radius Profile eingerichtet sein)
  • SPRECON-E Firmware ab Version 8.49d
  • SPRECON-E Service Program Version 8.42 SP0

 

Lösung

Sprecher Automation empfiehlt ein Update des SPRECON-E Service Programs auf die Version 3.43 SP0 oder höher. Ein Update des Service Programs ist unabhängig von Firmware und anderen Produkten.

Workaround

Wird als Prozess festgelegt und sichergestellt, dass das Service Program nach jeder Verwendung vom jeweiligen User geschlossen wird, geht von dieser Lücke kein Risiko aus. 

 

 

       Rechteausweitung im SPRECON-E Service Program

Teilweise kritische Schwachstellen in CISCO ASA

Titel Teilweise kritische Schwachstellen in CISCO ASA
Datum 25. Oktober 2016
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2016-6432
CVE-2016-6431
CVE-2016-6439
Beschreibung

Cisco schließt mit Software Update teilweise kritische Sicherheitslücken.


CVE-2016-6432 betrifft eine mit CVSS Score 9.3 beurteilte Lücke, welche durch ein manipuliertes NetBIOS Probing Anwort-Paket ausgenützt werden kann. Ein nicht-authentifizierter Angreifer könnte dadurch aus der Ferne einen Neustart des Systems erreichen bzw. Code aus der Ferne ausführen.


Um die Lücke zu schließen empfiehlt Cisco ein Software-Update oder die Deaktivierung des NetBIOS Probing, sofern dieses aktiviert ist.

Schwachstellen in Siemens SIPROTEC 4 und SIPROTEC Compact

Titel Schwachstellen in Siemens SIPROTEC 4 und SIPROTEC Compact
Datum 06. September 2016
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2016-7112
CVE-2016-7113
CVE-2016-7114
Beschreibung

Mit dem aktuellen Firmware Update für SIPROTEC 4 und SIPROTEC Compact schließt Siemens mehrere kritische Schwachstellen, welche laut cvedetails.com mit CVSS-Scores zwischen 7.8 und 10 bewertet wurden. Die Schwachstellen befinden sich im EN100 Ethernet-Modul.


Die Schwachstellen CVE-2016-7112 und CVE-2016-7114 können ausgenützt werden um unautorisierten Benützern Zugang zu administrativen Funktionen zu verschaffen.


CVE-2016-7113 kann ausgenützt werden um ein Denial-of-Service via HTTP zu erreichen.


Ein Update auf die aktuellste Firmware Version ist notwendig. Als generelle Sicherheitsmaßnahme empfiehlt Siemens den Einsatz der Geräte in geschützten Netzwerken.

 

> Siemens

Schwachstellen in Meinberg NTP-Server

Titel Schwachstellen in Meinberg NTP-Server
Datum 10. August 2016
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code

CVE-2016-3962

CVE-2016-3988

CVE-2016-3989

Beschreibung Folgende Produkte (Versionen vor 6.20.004) weisen mehrere kritische Schwachstellen beim NTP-Server auf:
  • IMS-LANTIME M3000
  • IMS-LANTIME M1000
  • IMS-LANTIME M500
  • LANTIME M900
  • LANTIME M600
  • LANTIME M400
  • LANTIME M300
  • LANTIME M200
  • LANTIME M100
  • SyncFire 1100
  • LCES

CVE-2016-3962 und CVE-2016-3988 sind Buffer-Overflow Schwachstellen im Time-Server Interface, welche es Angreifern aus der Ferne erlauben, Denial-Of-Service zu erreichen bzw. sensitive Informationen zu kapern oder zu manipulieren.

CVE-2016-3989 ermöglicht "Privilege Escalation", wobei Angreifer über einen "nobody" User Root-Rechte erhalten können.

Die Schwachstellen wurden mit 7.3 bzw. 8.1 bewertet.

Meinberg stellt bereits eine neue Firmware bereit die die Schwachstellen schließt (Version 6.20.004).

 

> ICS-CERT

Cisco ASA Software IKEv1 and IKEv2 Buffer Overflow Schwachstelle

Titel Cisco ASA Software IKEv1 and IKEv2 Buffer Overflow Schwachstelle
Datum 11. Oktober 2015
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2016-1287
Beschreibung

Die Lücke befindet sich im Code für den Internet Key Exchange (IKEv1 und IKEv2). Sie erlaubt einem nicht authentifizierten Angreifer, mittels eines speziell gestalteten UDP-Pakets, Code auf dem betroffenen Gerät auszuführen. Durch diese Lücke kann ein Angreifer laut Cisco die Kontrolle über betroffene Systeme übernehmen.

Cisco stellt bereits Sicherheitsupdates für diese Schwachstelle bereit.

> cert.at
> Cisco

3S CODESYS Runtime Toolkit Null Pointer Dereference Vulnerability

Titel 3S CODESYS Runtime Toolkit Null Pointer Dereference Vulnerability
Datum 15. Oktober 2015
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2015-6482
Beschreibung

Tenable Network Security hat eine "NULL pointer dereference" Sicherheitslücke im CODESYS Runtime Toolkit der 3S-Smart Software Solutions GmbH aufgedeckt.

 

Diese Lücke erlaubt einem Angreifer das Runtime Toolkit zum Absturz zu bringen und so ein „Denial of Service“ zu erreichen. Betroffen ist das CODESYS Runtime Toolkit mit Version < 2.4.7.48.

VxWorks Fuzzing

Titel VxWorks Fuzzing
Datum 14. September 2015
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code noch keine Einordnung vorhanden
Beschreibung

Mittels Fuzzing können Schwachstellen in den weit verbreiteten Versionen 5.5 bis einschließlich 6.9.4.1 des Realtime-Embedded-Betriebssystems VxWorks (Hersteller: Wind River) identifiziert werden.

 

Durch die Ausnutzung dieser Schwachstellen ist es möglich, über das Netzwerk einen Pufferüberlauf zu provozieren und anschließend beliebigen Code auszuführen. Darüber hinaus konnte man mit einem speziellen Nutzernamen und Passwort den FTP-Server des Systems zum Absturz bringen (demonstriert auf der Security-Konferenz 44CON).

 

Die neueste Generation – VxWorks Version 7 – ist davon nicht betroffen.

#OprahSSL

Titel #OprahSSL
Datum 06. Juli 2015
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2015-1793
Beschreibung

Lücke in OpenSSL - Certificate Verification Bug:
OpenSSL prüft das CA-Flag (Certificate Authority) eines Zertifikats unter bestimmten Unständen nicht richtig. Der CA-Mechanismus, welcher die Echtheit von Endpoint-Services bestätigt, kann durch den Certificate Verification Bug umgangen werden. Dies kann dazu führen, dass ein Angreifer sich als Intermediate-CA ausgeben und eigene Zertifikate für die Webseiten anderer Betreiber signieren kann.

 

Der Fehler existiert in den aktuellsten OpenSSL-Versionen (erstes Halbjahr 2015) 1.0.2c, 1.0.2b, 1.0.1n und 1.0.1o.

LogJam

Titel LogJam
Datum 09. Juni 2015
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2015-4000
Beschreibung

"LogJam" ist eine Sicherheitslücke des Diffie-Hellman-Kryptoprotokolls für verschlüsselte Verbindungen bei Web-, Mail-, SSH- und VPN-Servern. Durch eine Schwäche im TLS-Verfahren (Transport Layer Security) kann die Schlüssellänge durch einen Man-in-the-Middle-Angriff auf unsichere 512 Bit reduziert werden.

 

Damit können HTTPS-Verbindungen in einen unsicheren Export-Modus gebracht und kompromittiert werden. Normalerweise wird die 512 Bit Schlüssellänge nicht mehr genutzt, jedoch von manchen Servern aus Kompatibilitätsgründen noch unterstützt.

Abhilfe Diffie-Hellman-Gruppe bei IPsec mindestens auf DH5 (1.536 Bits) setzen.

Ghost

Titel Ghost
Datum 10. Februar 2015
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2015-0235
Beschreibung

"GHOST" ist eine Sicherheitslücke in der Funktion gethostbyname() der Standard-C-Bibliothek Glibc. Dabei kann ein Schadcode unter bestimmten Umständen über bösartige DNS-Antworten ausgeführt werden.

 

Die Lücke existiert ab Glibc 2.2 (11/2000) und wurde mit der Version 2.18 (01/2013) behoben.

Schannel (Microsoft® Secure Channel)

Titel Schannel (Microsoft® Secure Channel)
Datum 17. November 2014
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

3rd-Party: Microsoft® Windows® Server 2003 SP2, Windows® Vista SP2, Windows® Server 2008 SP2 und R2 SP1, Windows® 7 SP1, Windows® 8, Windows® 8.1, Windows® Server 2012 Gold und R2, und Windows® RT Gold und 8.1

CVE Code CVE-2014-6321
Beschreibung Die Krypto-Komponente "Microsoft® Secure Channel" ist unter anderem auch für verschlüsselte Internet-Verbindungen zuständig. Microsoft® stufte die selber entdeckte Sicherheitslücke als kritisch (MS14-066) ein. Durch das Schannel-Sicherheitsleck können Angreifer manipulierte Datenpakete einschleusen (z.B. über präparierte Internetseiten) und den Computer übernehmen.
Abhilfe
  • Windows® Betriebssystem aktualisieren
  • Rechner mit Windows Betriebssystemen ausschließlich in abgeschotteten Netzwerken betreiben

Poodle

Titel Poodle
Datum 23. Oktober 2014
Relevanz

SPRECON-E-C/-E-P/-E-T3: Webserver

SPRECON-V460: nicht betroffen

3rd-Party: IP-Kamerazugriff per Browser (Chrome, Firefox, Internet Explorer,...)

CVE Code CVE-2014-3566
Beschreibung

Wenn Server und Client einer TLS-Verbindung (z.B. aus Kompatibilitätsgründen) auch die Vorgängerversionen des Protokolls unterstützen, kann ein Angreifer durch eine MiM (Man-in-the-Middle)-Attacke einen Rückfall auf das anfällige SSLv3 erzwingen, in weiterer Folge kann das Session Cookie offengelegt und somit die Verbindung übernommen werden.

 

Die bisherige, aus Kompatibilitätsgründen bestehende Unterstützung von SSLv3 im SPRECON Webserver wird ab der nächsten Version aufgelassen.

Abhilfe
  • Webserver deaktivieren (ohnehin dringende Empfehlung, wenn nicht in Verwendung)
  • SSLv3 im Webbrowser deaktivieren

SandWorm

Titel SandWorm
Datum 17. Oktober 2014
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

3rd-Party: Microsoft® Anwendungen, z.B. MS Office, alle Windows® Versionen ab Vista

CVE Code CVE-2014-4114
Beschreibung

SandWorm betrifft sämtliche Windows® Betriebssysteme ab Windows® Vista. Die Sicherheitslücke besteht seit sechs Jahren und wurde Anfang September 2014 von der Sicherheitsfirma iSight entdeckt.

 

Mittels infizierter PowerPoint-Datei konnten Zielrechner derart kompromittiert werden, um danach die eigentliche Schad- und Spionagesoftware einzuschleusen.

 

Microsoft® veröffentlichte am Dienstag, den 14. Oktober 2014 ein Sicherheitsupdate (KB300061) für die Sicherheitslücke.

Bash-Sicherheitslücke: ShellShock

Titel ShellShock 
Datum 29. September 2014
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code

CVE-2014-6271

CVE-2014-7169

Beschreibung

Bash, der Kommandozeileneditor von OS X und Linux enthält eine brisante Sicherheitslücke. Über Variablen lassen sich Funktionen und somit auch Schadcode ausführen.

 

"ShellShock" ist durch die mediale Berichtserstattung einer breiten Öffentlichkeit bekannt und wurde von Experten bereits mit dem "Heartbleed"-Bug verglichen, denn immerhin wurde die Lücke in der CVE-Datenbank des NIST mit der maximalen Gefährlichkeit von zehn Punkten eingestuft. Laut Github erfolgten bereits Angriffsversuche mit Malware.

Übersicht

IT-Sicherheit

Die Herausforderungen in der Gestaltung zukünftiger Stromnetze liegen im Zusammenschluss aller teilnehmenden Erzeuger, Konsumenten und Prosumenten. Die stetig steigende Vernetzungsdichte und die zunehmende Anzahl an Stromnetzteilnehmern vergrößert den Angriffsvektor auf Energiesysteme.

Dazu bedarf es an technologischen Lösungen, welche den Ansprüchen moderner Informations- und Kommunikationstechnologien gerecht werden – vor allem hinsichtlich Datenmanagement und Datensicherheit.

 

Sicherheitsstandards

Mit SPRECON bietet Sprecher Automation einen modulare Automatisierungsplattform für Energieübertragung und Energieverteilung, welche für den Einsatz in kritischen Infrastrukturen (KRITIS) entwickelt wurde. Zu den kritischen Infrastrukturen zählen Energie, Wasser, IKT & Telekommunikation sowie Transport & Verkehr.

SPRECON sowie die Unternehmensprozesse von Sprecher Automation sind für die Zertifizierung nach den zukünftigen Bestimmungen vorbereitet.

SPRECON-Systeme entsprechen dem IT Sicherheitskatalog gemäß § 11 Abs. 1a EnWG der deutschen Bundesnetzagentur, dem Security-Whitepaper des BDEW sowie den internationalen Standards der ISO/IEC 27000-Reihe (z. B. ISMS), IEC 62351 und IEC 62443.

 

Sicherheitsfunktionen

SPRECON-Geräte bieten umfassende Funktionen für den sicheren Betrieb von Energieanlagen.

  • Sichere Kommunikation von Prozessdaten durch VPNTunneling mittels OpenVPN oder IPsec
  • Integrierte Firewall
  • Authentifizierung am Endpunkt sowie Passwortverschlüsselung
  • Anbindung an RADIUS/LDAP (Directory Services) sowie lokale Zugriffsverwaltung für den Zugriff aus einem Outof-Band-NetzSicherer
  • Zugriff für Inbetriebnahme und Service durch Role-Based Access Control (RBAC) im Service- Programm und Webserver
  • Systemhärtung durch Deaktivierung nicht benötigter Dienste, Ports oder auch Webserver sowie durch gesicherte Verbindung mittels Transport Layer Security (TLS)
  • Netzwerküberwachung (Security Logging) über Syslog und SNMPv3
  • Netzwerksegmentierung mittels VPN, VLAN, Firewall sowie unabhängiger physischer Schnittstellen
  • Schutz vor Schadsoftware (Malware) durch eigene Firmware sowie Application Whitelisting

SPRECON-Geräte unterstützen VPN-Tunneling für alle IPbasierenden Dienste und Protokolle. Sie bieten durchgängige Sicherheit und Verschlüsselung ab der CPU in Verbindung mit dem integrierten Modem oder einer beliebigen vorhandenen Netzwerkinfrastruktur und somit eine geschützte IPVerbindung. Die verwendeten Hochleistungs-CPUs unterstützen dabei den Aufbau von VPN-Tunnel und die Verschlüsselung der Daten entweder mit Multi-Channel IPsec oder OpenVPN. Beide Technologien können je nach Kundenanforderungen eingesetzt werden, womit auf spezifische Bedingungen wie beispielsweise verwendete Plattformen, Netzwerkkomponenten oder kryptografische Forderungen eingegangen werden kann.

VPN-Verbindungen können dabei – wie aktuell in vielen Projekten üblich – für Fernwirkverbindungen oder für den Datenaustausch mit Netzleitstellen (SCADA) eingesetzt werden und dienen ebenfalls der gesicherten Kommunikation zwischen SPRECON-Geräten. Da die Verschlüsselung hierbei auch Netzwerkdienste wie NTP umfasst, wird eine ganzheitliche Härtung der Kommunikation erreicht.

Zusätzlich bieten SPRECON-Geräte eine integrierte Firewall, die direkt in der Firmware und somit im Gerät verankert ist, wodurch der Einsatz zusätzlicher Geräte verringert werden kann. Die Kombination mit bestehenden Firewalls erhöht dabei die Sicherheit entsprechend dem Defense-in-Depth-Prinzip.

Außerdem werden Erweiterungen der Firewall auf Applikationsebene
ermöglicht (Application Firewall) um etwa den Kommunikationsverkehr über domänenspezifische Protokolle wie etwa IEC 60870-5-104 zu überwachen bzw. Telegramme unberechtigter Geräte frühzeitig zu blockieren und somit eine Kompromittierung zu verhindern.

SPRECON-Systeme unterstützen auch das Syslog-Protokoll. Dadurch können Systemmeldungen über Netzwerk übertragen und an zentraler Stelle unter Verwendung von Regelwerken vorbeugende Analysen durchgeführt werden.

 

Management von IT-Sicherheit

IT-Sicherheit ist bei Sprecher Automation ein durchgängiger Unternehmensprozess. Dazu sind auch entsprechende Sicherheitsbeauftragte installiert.

Die Erstellung der Sicherheitsrichtlinien sowie Codier-Regeln für Entwicklung und Systemdesign basieren dabei auf klaren Sicherheitsvorgaben und definieren auch den Einsatz von Analyse-Werkzeugen zur Erkennung von
Schwachstellen, welche datenbankgesteuert überwacht werden. Der komplette Source Code befindet sich im Besitz von Sprecher Automation.

Die Härtung der Systeme bzw. die sicheren Systemkonfigurationen werden durch professionelle und etablierte Arbeitsroutinen erzielt.

Mit den Erfahrungen aus einer Vielzahl an Referenzinstallationen
mit unterschiedlichen Sicherheitsanforderungen – darunter auch Projekte mit renommierten Forschungsinstitutionen – sowie durch regelmäßig abgehaltene Schulungen seiner Fachkräfte garantiert Sprecher Automation seine Kompetenz für diese unverzichtbare Technologie.

Produktion und Endprüfung der Systeme erfolgen in Österreich bzw. in der Sprecher Zentrale in Linz. 

Sprecher Automation unterstützt seine Kunden auch bei der Einführung von Informationssicherheits-Management-Systemen (ISMS).

Für die Ausrollung sicherheitsrelevanter Aktualisierungen wurden bei Sprecher Automation Patch-Managementprozesse installiert. Darüber hinaus werden Sicherheitsprobleme über Änderungsprotokolle kommuniziert (Release Notes).

Informationen über aktuelle Sicherheitsthemen werden auf www.sprecher-automation.com unter „IT-Security“ angezeigt.

Richtlinien & Empfehlungen

Passende Richtlinien und Empfehlungen zum Thema IT-Security auf einen Blick:

bgContainerEnde