IT-Sicherheit bei Sprecher Automation

Sie finden auf dieser Seite regelmäßig Informationen über aktuelle Security-Themen und die entsprechenden Produkte von Sprecher.

Bitte wenden Sie sich bei weiteren Fragen an:
info@sprecher-automation.com (Allgemeine Anfragen)
sprecon@sprecher-automation.com (Anfragen zu SPRECON)

News

Cisco ASA Software Direct Authentication Denial of Service Vulnerability

Titel Cisco ASA Software Direct Authentication Denial of Service Vulnerability
Datum 16. Oktober 2017
Relevanz

SPRECON-E: nicht betroffen
SPRECON-V: nicht betroffen

CVE Code CVE-2017-12246
Beschreibung

Eine Schwachstelle im Direct Authentication Feature der Cisco Adaptive Security Appliance Software ermöglicht es nicht-authentifizierten Angreifern aus der Ferne ein reload auszuführen und somit ein Denial-Of-Service zu erreichen.
Die Schwachstelle beruht auf einer unvollständigen Eingangsvalidierung des HTTP Headers, und kann somit durch manipulierte HTTP Requests ausgenutzt werden.

Es ist anzumerken, dass diese Schwachstelle nur durch direkt an das Gerät gerichteten Traffic ausgenützt werden kann, und das Direct Authentication feature aktiviert ist. Die Schwachstelle kann sowohl durch IPv4 als auch IPv6 Traffic ausgenützt werden.


        
Betroffene Produkte:

  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • ASA 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 4110 Security Appliance
  • Firepower 9300 ASA Security Module
  • ISA 3000 Industrial Security Appliance

Gegenmaßnahme:

Cisco stellt Software Updates zur Verfügung, welche diese Lücke schließen.

> https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171004-asa

 

 

 

ICS Malware "CRASHOVERRIDE"

Titel ICS Malware "CRASHOVERRIDE"
Datum 14. Juni 2017
Relevanz

SPRECON-V460

CVE Code CVE-2015-5374
Beschreibung

Der Threat Intelligence Anbieter im Bereich Industria lControl Systems (ICS) Dragos hat in Zusammenarbeit mit der Sicherheitsfirma ESET ein Advisory veröffentlicht. Aus diesem geht hervor, dass es sich um eine hochmodulare Malware handelt, die in der Lage ist, den Betrieb von Stromnetzen zu beeinflussen. Sowohl Dragos als auch ESET gehen davon aus, dass es sich hierbei um die Malware handelt, die Ende Dezember 2016 bei Angriffen auf das Stromnetz in der Ukraine verwendet wurde.


Die Malware bringt Funktionen mit, um das Netzwerk auszukundschaften und die Ergebnisse an die Angreifer zu versenden. Je nach gefundenen Komponenten und Industrieprotokollen wird der passende Payload geladen und ausgeführt. Weiterhin besitzt die Schadsoftware eine Komponente zur Datenlöschung sowie eine, die DoS-Angriffe gegen SIEMENS SIPROTECT-Geräte durch Ausnutzung der Schwachstelle CVE-2015-5374 ermöglicht.

 

Einschätzung   
Der Verbreitungsweg ist bisher unbekannt. Es ist das erste Mal, dass eine Analyse über ein solches Framework veröffentlicht wurde. Die von den Sicherheitsexperten veröffentlichten Analysen basieren auf Samples vom Dezember 2016. Es kann erwartet werden, dass das Framework seitdem weiter überarbeitet und verbessert wurde.
Prinzipiell sind Windows-basierte Maschinen anfällig für die Schadsoftware. Es ist somit speziell etwa bei HMI-Stationen auf notwendige Maßnahmen zu achten, um das Risiko einer Infektion zu vermeiden.

     
        
Maßnahmen

  • Prozessnetze müssen isoliert (von etwa Büro-Netzwerken) betrieben werden
  • generell sollten alle Kommunikationswege die in ein Prozessnetz führen (etwa Fernwartungszugänge, mobile Datenträger) überwacht werden
  • alle Wege sollten einen aktuellen Schadsoftwareschutz aufweisen (bspw. Datenträger müssen gescannt werden bevor sie in das Prozessnetz eingebracht werden, Fernwartungsrechner müssen einen aktuellen Virenschutz aufweisen)
  • HMI-Stationen im Prozessnetz sollten zusätzlich gehärtet sein: Application Whitelisting und/oder ein Antivirenschutz direkt auch auf der HMI-Station. Hierbei ist wichtig anzumerken, dass ein Antivirenschutz primär gegen bekannte Schadsoftware wirksam ist. Das heißt eine zukünftig potentiell unbekannte Version von Crashoverride wird bis zum Zeitpunkt der Bekanntmachung von Antivirensoftware nur erschwert erkannt. Ebenfalls können Antivirentools False-Positives erzeugen, weshalb generell auf Prozesskomponenten der Einsatz von Application Whitelisting empfohlen wird.
  • Verstärkung des Monitorings in entsprechenden Systemen und Bereichen, um Auffälligkeiten frühzeitig erkennen und analysieren zu können. Besonders sollte auf eine plötzliche vermehrte Verwendung der Protokolle IEC104, OPC DA und IEC 61850 geachtet werden.
  • Die im Dragos Advisory beschriebenen Indikatoren und Yara Regeln auf das Netzwerk anwenden.
  • Siemens hat inzwischen ein Firmware-Update und ein Advisory veröffentlicht.
  • Backups aller Engineering- und Konfigurationsdateien sowie den eingesetzten ICS-Anwendungen sollten existieren und getrennt aufbewahrt werden.

  •  Die Wiederherstellung der Systeme sollte geübt werden.
  • Für den Ernstfall sollten Notfallpläne erstellt werden. Regelmäßige Übungen sollten durchgeführt werden.
  • Das Prinzip „Defense-In-Depth“ sollte im ICS strikt befolgt werden. Geräte, die für das reibungslose Funktionieren keine Internetanbindung benötigen, sollten vom Internet getrennt werden.

 

> BBC-News

> WIN32/Industroyer: A new threat for industrial control systems

> WIN32/Industroyer: Indicators of Compromise

> Siemens Security Advisory by Siemens

 > Dragos World Advisory

 > BSI Meldung

 > Dragons Analyse

 

 

 

Ransom-Malware "WannaCry"

Titel Ransom-Malware "WannaCry"
Datum 17. Mai 2017
Relevanz

SPRECON-V460 Stationen

CVE Code CVE-2017-0143, CVE-2017-0144, CVE-2017-0147, etc.
Beschreibung

Seit 12.05.2017 breitet sich die Ransomware WannaCry im weltweiten Internet aus. Hierbei handelt es sich um einen Kryptotrojaner, welcher die Daten auf den betroffenen Systemen verschlüsselt. Diese konkrete Ransomware ist besonders kritisch, da sie sich im Netzwerk über Windows-Schwachstellen verbreitet und so nicht nur den primär infizierten Rechner, sondern gesamte Unternehmensnetzwerke befallen kann.

 

Einschätzung   
Ein hohes Risiko besteht bei Systemen, bei welchen Verbindungen zwischen V460 Stationen im Prozessnetzwerk und dem Büronetzwerk mittels Windows Dateifreigaben (SMB-Protokoll), NETBIOS oder RDP erfolgen.
  

     
        
Lösung
Microsoft hat die betreffenden Sicherheitslücken bereits im März durch Sicherheits-Updates geschlossen. Es wird daher empfohlen, auf allen Windows-Systemen die aktuellen Patches zu installieren.
Für ältere Windows-Versionen, dazu gehören insbesondere Windows XP und Windows Server 2003, stehen seit 13.05.2017 ebenfalls Sicherheitspatches zur Verfügung.

Weitere Informationen und Lösungsvarianten können den Meldungen der relevanten CERTs sowie der Microsoft Website entnommen werden.

 

>   CERT.at: Ransomware/Wurm WannaCry

>   BSI: Tausende Clouds in Deutschland anfällig für Cyber-Attacken

>   Microsoft: Customer Guidance for WannaCrypt attacks

>   Microsoft: How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server

 

 

 

 

Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability

Titel Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability
Datum 16. Mai 2017
Relevanz

SPRECON-E-C/-E-P/ -E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2017-3881
Beschreibung

Eine Schwachstelle in der Cisco Cluster Management Protokoll (CMP) Implementierung in Cisco IOS und Cisco IOS XE kann unauthorisierten Angreifern aus der Ferne einen Neustart oder die Ausführung von Code mit erhöhten Rechten ermöglichen.

Ein Angreifer könnte diese Schwachstelle ausnutzen indem manipulierte CMP Telnet Optionen während dem Telnet Session-Aufbau gesendet werden. Durch das Ausnützen der Schwachstelle könnte der Angreifer die Kontrolle über das Gerät erlangen, dieses neustarten, oder schadhaften Code am Gerät ausführen.

 

Betroffene Geräte
Catalyst switches,
Embedded Service 2020 switches,
Enhanced Layer 2 EtherSwitch Service Module,
Enhanced Layer 2/3 EtherSwitch Service Module,
Gigabit Ethernet Switch Module (CGESM) for HP,
IE Industrial Ethernet switches,
ME 4924-10GE switch, RF Gateway 10,
SM-X Layer 2/3 EtherSwitch Service Module

Lösung
Cisco stellt bereits Software Updates bereit, mit welchen diese Sicherheitslücke geschlossen werden kann.

CVSS-Score: 9.8

 

>   Cisco Security Advisory

  CERT-EU Security Advisory 2017-006

 

 

 

Hinweis: Vertrauliche Verwendung von ipsec Konfigurationsdateien

Titel Hinweis: Vertrauliche Verwendung von ipsec Konfigurationsdateien
Datum 15. Mai 2017
Relevanz

Anwender von IPSec VPN Verbindungen mit SPRECON-E

CVE Code Kein CVE Code, da keine Schwachstelle
Beschreibung

Seit Firmware 8.41 können IPSec VPN Verbindungen auf SPRECON betrieben werden. Die Konfiguration erfolgt über das Tool Security Editor, mit welchem die jeweiligen IPSec Settings definiert werden können. Aus diesem Tool wird nach erfolgter Konfiguration die proprietäre Datei ipsec.cfg exportiert, welche anschließend vom Anwender durch das Tool SPRECON Designer in die Hauptkonfigurationsdatei (Prozessrechnerliste) eingepackt und hiermit auf das Gerät geladen werden kann.

 

Bei der IPSec Konfiguration werden für die Authentifizierung des IPSec Verbindungsteilnehmers ebenfalls – je nach gewählter Methode – ein pre-shared key (PSK) oder ein Zertifikat angegeben, welches wiederum einen privaten Schlüssel enthält. Der Hersteller weist darauf hin, dass dies vertrauliche Daten sind, und somit beim Betreiber die ipsec.cfg Files sicher zu verwalten sind.

 

Die ipsec.cfg Files weisen derzeit einen passwortgeschützten Manipulationsschutz auf, um unberechtigte Anwender davor zu bewahren diese versehentlich zu verändern. Ab SPRECON Firmware 8.56 und Security Editor 1.03 wird eine starke kryptographische Verschlüsselung eingesetzt, um zusätzlich auch die Vertraulichkeit der Inhalte dieser Konfigurationsdatei in erhöhtem Maße sicherzustellen.

 

 

 

Rechteausweitung im SPRECON-E Service Program

Titel Rechteausweitung im SPRECON-E Service Program
Datum 21. Dezember 2016
Relevanz

SPRECON-E-C/-E-P/-E-T3: betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2016-10041
Beschreibung

Unter bestimmten Vorbedingungen ist es möglich, als Nicht-Admin-User eine Telegrammsimulation durchzuführen.

Als Vorbedingung muss ein User eine Online-Verbindung herstellen, mit Rolle Administrator gültig authentifizieren und autorisieren sowie die Telegrammsimulation öffnen. Die Online-Verbindung muss anschließend beendet werden. Ein fehlerhaftes Caching der Client-Daten kann danach dazu führen, dass ein neu angemeldeter User ohne Admin-Rechte eine Telegrammsimulation ausführen kann.

Um die Lücke auszunützen, muss ein Angreifer Zugriff auf den verwendeten Service-PC sowie einen gültigen Engineering-Account im SPRECON RBAC System besitzen. Ebenfalls muss ein Admin-User zuvor das Telegramm-Simulationsfenster geöffnet haben und die Service-Verbindung geschlossen haben, ohne das Service Program zu schließen. Es besteht somit kein Risiko durch externe Angreifer.


Betroffenes Produkt: SPRECON-E Service Program 3.42 SP0

 

Einschränkung

Dieser Fehler tritt nur in Verbindung mit der rollenbasierten Zugriffkontrolle (RBAC) auf. RBAC ist auf SPRECON erst ab folgenden Versionen verfügbar:

  • SPRECON-E Designer Version ab 5.79 SP0 (Im Designer müssen die Zugriffkontrolle aktiviert und lokale Benutzer bzw. Radius Profile eingerichtet sein)
  • SPRECON-E Firmware ab Version 8.49d
  • SPRECON-E Service Program Version 8.42 SP0

 

Lösung

Sprecher Automation empfiehlt ein Update des SPRECON-E Service Programs auf die Version 3.43 SP0 oder höher. Ein Update des Service Programs ist unabhängig von Firmware und anderen Produkten.

Workaround

Wird als Prozess festgelegt und sichergestellt, dass das Service Program nach jeder Verwendung vom jeweiligen User geschlossen wird, geht von dieser Lücke kein Risiko aus. 

 

 

       Rechteausweitung im SPRECON-E Service Program

Teilweise kritische Schwachstellen in CISCO ASA

Titel Teilweise kritische Schwachstellen in CISCO ASA
Datum 25. Oktober 2016
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2016-6432
CVE-2016-6431
CVE-2016-6439
Beschreibung

Cisco schließt mit Software Update teilweise kritische Sicherheitslücken.


CVE-2016-6432 betrifft eine mit CVSS Score 9.3 beurteilte Lücke, welche durch ein manipuliertes NetBIOS Probing Anwort-Paket ausgenützt werden kann. Ein nicht-authentifizierter Angreifer könnte dadurch aus der Ferne einen Neustart des Systems erreichen bzw. Code aus der Ferne ausführen.


Um die Lücke zu schließen empfiehlt Cisco ein Software-Update oder die Deaktivierung des NetBIOS Probing, sofern dieses aktiviert ist.

Schwachstellen in Siemens SIPROTEC 4 und SIPROTEC Compact

Titel Schwachstellen in Siemens SIPROTEC 4 und SIPROTEC Compact
Datum 06. September 2016
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2016-7112
CVE-2016-7113
CVE-2016-7114
Beschreibung

Mit dem aktuellen Firmware Update für SIPROTEC 4 und SIPROTEC Compact schließt Siemens mehrere kritische Schwachstellen, welche laut cvedetails.com mit CVSS-Scores zwischen 7.8 und 10 bewertet wurden. Die Schwachstellen befinden sich im EN100 Ethernet-Modul.


Die Schwachstellen CVE-2016-7112 und CVE-2016-7114 können ausgenützt werden um unautorisierten Benützern Zugang zu administrativen Funktionen zu verschaffen.


CVE-2016-7113 kann ausgenützt werden um ein Denial-of-Service via HTTP zu erreichen.


Ein Update auf die aktuellste Firmware Version ist notwendig. Als generelle Sicherheitsmaßnahme empfiehlt Siemens den Einsatz der Geräte in geschützten Netzwerken.

 

> Siemens

Schwachstellen in Meinberg NTP-Server

Titel Schwachstellen in Meinberg NTP-Server
Datum 10. August 2016
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code

CVE-2016-3962

CVE-2016-3988

CVE-2016-3989

Beschreibung Folgende Produkte (Versionen vor 6.20.004) weisen mehrere kritische Schwachstellen beim NTP-Server auf:
  • IMS-LANTIME M3000
  • IMS-LANTIME M1000
  • IMS-LANTIME M500
  • LANTIME M900
  • LANTIME M600
  • LANTIME M400
  • LANTIME M300
  • LANTIME M200
  • LANTIME M100
  • SyncFire 1100
  • LCES

CVE-2016-3962 und CVE-2016-3988 sind Buffer-Overflow Schwachstellen im Time-Server Interface, welche es Angreifern aus der Ferne erlauben, Denial-Of-Service zu erreichen bzw. sensitive Informationen zu kapern oder zu manipulieren.

CVE-2016-3989 ermöglicht "Privilege Escalation", wobei Angreifer über einen "nobody" User Root-Rechte erhalten können.

Die Schwachstellen wurden mit 7.3 bzw. 8.1 bewertet.

Meinberg stellt bereits eine neue Firmware bereit die die Schwachstellen schließt (Version 6.20.004).

 

> ICS-CERT

Cisco ASA Software IKEv1 and IKEv2 Buffer Overflow Schwachstelle

Titel Cisco ASA Software IKEv1 and IKEv2 Buffer Overflow Schwachstelle
Datum 11. Oktober 2015
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2016-1287
Beschreibung

Die Lücke befindet sich im Code für den Internet Key Exchange (IKEv1 und IKEv2). Sie erlaubt einem nicht authentifizierten Angreifer, mittels eines speziell gestalteten UDP-Pakets, Code auf dem betroffenen Gerät auszuführen. Durch diese Lücke kann ein Angreifer laut Cisco die Kontrolle über betroffene Systeme übernehmen.

Cisco stellt bereits Sicherheitsupdates für diese Schwachstelle bereit.

> cert.at
> Cisco

3S CODESYS Runtime Toolkit Null Pointer Dereference Vulnerability

Titel 3S CODESYS Runtime Toolkit Null Pointer Dereference Vulnerability
Datum 15. Oktober 2015
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2015-6482
Beschreibung

Tenable Network Security hat eine "NULL pointer dereference" Sicherheitslücke im CODESYS Runtime Toolkit der 3S-Smart Software Solutions GmbH aufgedeckt.

 

Diese Lücke erlaubt einem Angreifer das Runtime Toolkit zum Absturz zu bringen und so ein „Denial of Service“ zu erreichen. Betroffen ist das CODESYS Runtime Toolkit mit Version < 2.4.7.48.

VxWorks Fuzzing

Titel VxWorks Fuzzing
Datum 14. September 2015
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code noch keine Einordnung vorhanden
Beschreibung

Mittels Fuzzing können Schwachstellen in den weit verbreiteten Versionen 5.5 bis einschließlich 6.9.4.1 des Realtime-Embedded-Betriebssystems VxWorks (Hersteller: Wind River) identifiziert werden.

 

Durch die Ausnutzung dieser Schwachstellen ist es möglich, über das Netzwerk einen Pufferüberlauf zu provozieren und anschließend beliebigen Code auszuführen. Darüber hinaus konnte man mit einem speziellen Nutzernamen und Passwort den FTP-Server des Systems zum Absturz bringen (demonstriert auf der Security-Konferenz 44CON).

 

Die neueste Generation – VxWorks Version 7 – ist davon nicht betroffen.

#OprahSSL

Titel #OprahSSL
Datum 06. Juli 2015
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2015-1793
Beschreibung

Lücke in OpenSSL - Certificate Verification Bug:
OpenSSL prüft das CA-Flag (Certificate Authority) eines Zertifikats unter bestimmten Unständen nicht richtig. Der CA-Mechanismus, welcher die Echtheit von Endpoint-Services bestätigt, kann durch den Certificate Verification Bug umgangen werden. Dies kann dazu führen, dass ein Angreifer sich als Intermediate-CA ausgeben und eigene Zertifikate für die Webseiten anderer Betreiber signieren kann.

 

Der Fehler existiert in den aktuellsten OpenSSL-Versionen (erstes Halbjahr 2015) 1.0.2c, 1.0.2b, 1.0.1n und 1.0.1o.

LogJam

Titel LogJam
Datum 09. Juni 2015
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2015-4000
Beschreibung

"LogJam" ist eine Sicherheitslücke des Diffie-Hellman-Kryptoprotokolls für verschlüsselte Verbindungen bei Web-, Mail-, SSH- und VPN-Servern. Durch eine Schwäche im TLS-Verfahren (Transport Layer Security) kann die Schlüssellänge durch einen Man-in-the-Middle-Angriff auf unsichere 512 Bit reduziert werden.

 

Damit können HTTPS-Verbindungen in einen unsicheren Export-Modus gebracht und kompromittiert werden. Normalerweise wird die 512 Bit Schlüssellänge nicht mehr genutzt, jedoch von manchen Servern aus Kompatibilitätsgründen noch unterstützt.

Abhilfe Diffie-Hellman-Gruppe bei IPsec mindestens auf DH5 (1.536 Bits) setzen.

Ghost

Titel Ghost
Datum 10. Februar 2015
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code CVE-2015-0235
Beschreibung

"GHOST" ist eine Sicherheitslücke in der Funktion gethostbyname() der Standard-C-Bibliothek Glibc. Dabei kann ein Schadcode unter bestimmten Umständen über bösartige DNS-Antworten ausgeführt werden.

 

Die Lücke existiert ab Glibc 2.2 (11/2000) und wurde mit der Version 2.18 (01/2013) behoben.

Schannel (Microsoft® Secure Channel)

Titel Schannel (Microsoft® Secure Channel)
Datum 17. November 2014
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

3rd-Party: Microsoft® Windows® Server 2003 SP2, Windows® Vista SP2, Windows® Server 2008 SP2 und R2 SP1, Windows® 7 SP1, Windows® 8, Windows® 8.1, Windows® Server 2012 Gold und R2, und Windows® RT Gold und 8.1

CVE Code CVE-2014-6321
Beschreibung Die Krypto-Komponente "Microsoft® Secure Channel" ist unter anderem auch für verschlüsselte Internet-Verbindungen zuständig. Microsoft® stufte die selber entdeckte Sicherheitslücke als kritisch (MS14-066) ein. Durch das Schannel-Sicherheitsleck können Angreifer manipulierte Datenpakete einschleusen (z.B. über präparierte Internetseiten) und den Computer übernehmen.
Abhilfe
  • Windows® Betriebssystem aktualisieren
  • Rechner mit Windows Betriebssystemen ausschließlich in abgeschotteten Netzwerken betreiben

Poodle

Titel Poodle
Datum 23. Oktober 2014
Relevanz

SPRECON-E-C/-E-P/-E-T3: Webserver

SPRECON-V460: nicht betroffen

3rd-Party: IP-Kamerazugriff per Browser (Chrome, Firefox, Internet Explorer,...)

CVE Code CVE-2014-3566
Beschreibung

Wenn Server und Client einer TLS-Verbindung (z.B. aus Kompatibilitätsgründen) auch die Vorgängerversionen des Protokolls unterstützen, kann ein Angreifer durch eine MiM (Man-in-the-Middle)-Attacke einen Rückfall auf das anfällige SSLv3 erzwingen, in weiterer Folge kann das Session Cookie offengelegt und somit die Verbindung übernommen werden.

 

Die bisherige, aus Kompatibilitätsgründen bestehende Unterstützung von SSLv3 im SPRECON Webserver wird ab der nächsten Version aufgelassen.

Abhilfe
  • Webserver deaktivieren (ohnehin dringende Empfehlung, wenn nicht in Verwendung)
  • SSLv3 im Webbrowser deaktivieren

SandWorm

Titel SandWorm
Datum 17. Oktober 2014
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

3rd-Party: Microsoft® Anwendungen, z.B. MS Office, alle Windows® Versionen ab Vista

CVE Code CVE-2014-4114
Beschreibung

SandWorm betrifft sämtliche Windows® Betriebssysteme ab Windows® Vista. Die Sicherheitslücke besteht seit sechs Jahren und wurde Anfang September 2014 von der Sicherheitsfirma iSight entdeckt.

 

Mittels infizierter PowerPoint-Datei konnten Zielrechner derart kompromittiert werden, um danach die eigentliche Schad- und Spionagesoftware einzuschleusen.

 

Microsoft® veröffentlichte am Dienstag, den 14. Oktober 2014 ein Sicherheitsupdate (KB300061) für die Sicherheitslücke.

Bash-Sicherheitslücke: ShellShock

Titel ShellShock 
Datum 29. September 2014
Relevanz

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE Code

CVE-2014-6271

CVE-2014-7169

Beschreibung

Bash, der Kommandozeileneditor von OS X und Linux enthält eine brisante Sicherheitslücke. Über Variablen lassen sich Funktionen und somit auch Schadcode ausführen.

 

"ShellShock" ist durch die mediale Berichtserstattung einer breiten Öffentlichkeit bekannt und wurde von Experten bereits mit dem "Heartbleed"-Bug verglichen, denn immerhin wurde die Lücke in der CVE-Datenbank des NIST mit der maximalen Gefährlichkeit von zehn Punkten eingestuft. Laut Github erfolgten bereits Angriffsversuche mit Malware.

Übersicht

IT-Sicherheit

Die Herausforderungen in der Gestaltung zukünftiger Stromnetze liegen im Zusammenschluss aller teilnehmenden Erzeuger, Konsumenten und Prosumenten. Die stetig steigende Vernetzungsdichte und die zunehmende Anzahl an Stromnetzteilnehmern vergrößert den Angriffsvektor auf Energiesysteme.

Dazu bedarf es an technologischen Lösungen, welche den Ansprüchen moderner Informations- und Kommunikationstechnologien gerecht werden – vor allem hinsichtlich Datenmanagement und Datensicherheit.

 

Sicherheitsstandards

Mit SPRECON bietet Sprecher Automation einen modulare Automatisierungsplattform für Energieübertragung und Energieverteilung, welche für den Einsatz in kritischen Infrastrukturen (KRITIS) entwickelt wurde. Zu den kritischen Infrastrukturen zählen Energie, Wasser, IKT & Telekommunikation sowie Transport & Verkehr.

SPRECON sowie die Unternehmensprozesse von Sprecher Automation sind für die Zertifizierung nach den zukünftigen Bestimmungen vorbereitet.

SPRECON-Systeme entsprechen dem IT Sicherheitskatalog gemäß § 11 Abs. 1a EnWG der deutschen Bundesnetzagentur, dem Security-Whitepaper des BDEW sowie den internationalen Standards der ISO/IEC 27000-Reihe (z. B. ISMS), IEC 62351 und IEC 62443.

 

Sicherheitsfunktionen

SPRECON-Geräte bieten umfassende Funktionen für den sicheren Betrieb von Energieanlagen.

  • Sichere Kommunikation von Prozessdaten durch VPNTunneling mittels OpenVPN oder IPsec
  • Integrierte Firewall
  • Authentifizierung am Endpunkt sowie Passwortverschlüsselung
  • Anbindung an RADIUS/LDAP (Directory Services) sowie lokale Zugriffsverwaltung für den Zugriff aus einem Outof-Band-NetzSicherer
  • Zugriff für Inbetriebnahme und Service durch Role-Based Access Control (RBAC) im Service- Programm und Webserver
  • Systemhärtung durch Deaktivierung nicht benötigter Dienste, Ports oder auch Webserver sowie durch gesicherte Verbindung mittels Transport Layer Security (TLS)
  • Netzwerküberwachung (Security Logging) über Syslog und SNMPv3
  • Netzwerksegmentierung mittels VPN, VLAN, Firewall sowie unabhängiger physischer Schnittstellen
  • Schutz vor Schadsoftware (Malware) durch eigene Firmware sowie Application Whitelisting

SPRECON-Geräte unterstützen VPN-Tunneling für alle IPbasierenden Dienste und Protokolle. Sie bieten durchgängige Sicherheit und Verschlüsselung ab der CPU in Verbindung mit dem integrierten Modem oder einer beliebigen vorhandenen Netzwerkinfrastruktur und somit eine geschützte IPVerbindung. Die verwendeten Hochleistungs-CPUs unterstützen dabei den Aufbau von VPN-Tunnel und die Verschlüsselung der Daten entweder mit Multi-Channel IPsec oder OpenVPN. Beide Technologien können je nach Kundenanforderungen eingesetzt werden, womit auf spezifische Bedingungen wie beispielsweise verwendete Plattformen, Netzwerkkomponenten oder kryptografische Forderungen eingegangen werden kann.

VPN-Verbindungen können dabei – wie aktuell in vielen Projekten üblich – für Fernwirkverbindungen oder für den Datenaustausch mit Netzleitstellen (SCADA) eingesetzt werden und dienen ebenfalls der gesicherten Kommunikation zwischen SPRECON-Geräten. Da die Verschlüsselung hierbei auch Netzwerkdienste wie NTP umfasst, wird eine ganzheitliche Härtung der Kommunikation erreicht.

Zusätzlich bieten SPRECON-Geräte eine integrierte Firewall, die direkt in der Firmware und somit im Gerät verankert ist, wodurch der Einsatz zusätzlicher Geräte verringert werden kann. Die Kombination mit bestehenden Firewalls erhöht dabei die Sicherheit entsprechend dem Defense-in-Depth-Prinzip.

Außerdem werden Erweiterungen der Firewall auf Applikationsebene
ermöglicht (Application Firewall) um etwa den Kommunikationsverkehr über domänenspezifische Protokolle wie etwa IEC 60870-5-104 zu überwachen bzw. Telegramme unberechtigter Geräte frühzeitig zu blockieren und somit eine Kompromittierung zu verhindern.

SPRECON-Systeme unterstützen auch das Syslog-Protokoll. Dadurch können Systemmeldungen über Netzwerk übertragen und an zentraler Stelle unter Verwendung von Regelwerken vorbeugende Analysen durchgeführt werden.

 

Management von IT-Sicherheit

IT-Sicherheit ist bei Sprecher Automation ein durchgängiger Unternehmensprozess. Dazu sind auch entsprechende Sicherheitsbeauftragte installiert.

Die Erstellung der Sicherheitsrichtlinien sowie Codier-Regeln für Entwicklung und Systemdesign basieren dabei auf klaren Sicherheitsvorgaben und definieren auch den Einsatz von Analyse-Werkzeugen zur Erkennung von
Schwachstellen, welche datenbankgesteuert überwacht werden. Der komplette Source Code befindet sich im Besitz von Sprecher Automation.

Die Härtung der Systeme bzw. die sicheren Systemkonfigurationen werden durch professionelle und etablierte Arbeitsroutinen erzielt.

Mit den Erfahrungen aus einer Vielzahl an Referenzinstallationen
mit unterschiedlichen Sicherheitsanforderungen – darunter auch Projekte mit renommierten Forschungsinstitutionen – sowie durch regelmäßig abgehaltene Schulungen seiner Fachkräfte garantiert Sprecher Automation seine Kompetenz für diese unverzichtbare Technologie.

Produktion und Endprüfung der Systeme erfolgen in Österreich bzw. in der Sprecher Zentrale in Linz. 

Sprecher Automation unterstützt seine Kunden auch bei der Einführung von Informationssicherheits-Management-Systemen (ISMS).

Für die Ausrollung sicherheitsrelevanter Aktualisierungen wurden bei Sprecher Automation Patch-Managementprozesse installiert. Darüber hinaus werden Sicherheitsprobleme über Änderungsprotokolle kommuniziert (Release Notes).

Informationen über aktuelle Sicherheitsthemen werden auf www.sprecher-automation.com unter „IT-Security“ angezeigt.

Richtlinien & Empfehlungen

Passende Richtlinien und Empfehlungen zum Thema IT-Security auf einen Blick:

bgContainerEnde