SPRECON-E: nicht betroffen
SPRECON-V: nicht betroffen

Cisco veröffentlichte mehrere Schwachstellen für ASA Produkte:

• CVE-2018-15397: Cisco ASA Traffic Flow Confidentiality Processing Bug Lets Remote Users Cause the Target System to Crash
• CVE-2018-15399: Cisco ASA Bug in TCP Syslog Module Lets Remote Users Cause the Target Service to Crash
• CVE-2018-15383: Cisco ASA DMA Access Bug Lets Remote Users Cause the Target Service to Restart
• CVE-2018-15454: Cisco ASA 5500-X Session Initiation Protocol Bug Lets Remote Users Deny Service
• CVE-2018-15398: Cisco ASA Lets Remote Users Bypass the Per-User-Override Firewall Feature

Die Schwachstellen CVE-2018-15397, CVE-2018-15399, CVE-2018-15454, und CVE-2018-15383 können für Denial of Service (DoS) Angriffe verwendet werden, wobei diese teilweise von Cisco mit hoher Kritikalität eingestuft werden.

CVE-2018-15398 ermöglicht es das Access Control List (ACL) Feature unter bestimmten Voraussetzungen zu umgehen, womit geschützte Dienste hinter der Firewall unter Umständen erreicht werden könnten. Dies wird von Cisco mit Medium eingestuft.

Firmware-Updates werden seitens Cisco empfohlen.

Betroffene Produkte:

Je nach Schwachstelle, Cisco ASA und teilweise auch Cisco Firepower Threat Defence.

Weitere Details zu den Schwachstellen:

• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181031-asaftd-sip-dos
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-asa-ipsec-dos
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-asa-syslog-dos
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-asa-acl-bypass
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-asa-dma-dos

SPRECON-E: teilweise betroffen
SPRECON-V: nicht betroffen

SPRECON-E: Kernel Update mit Firmware 8.59

Die Aktualisierung des Betriebssystem-Kernel von SPRECON-E wurde durchgeführt. Die Aktualisierung des Linux-Kernels verbessert das Defence-In-Depth Konzept von SPRECON-E.
Details dazu in den Release-Notes zu SPRECON-E Control 8.59.

SPRECON-E: nicht betroffen
SPRECON-V: nicht betroffen

Mehrere Schwachstellen in CISCO ASA

CISCO veröffentlicht mehrere Schwachstellen in CISCO ASA Produkten. Betreiber sollten prüfen welche ASA Versionen im Einsatz sind bzw. ob die jeweiligen Schwachstellen relevant sind:

• Denial-of-Service via Web, CVE-2018-0296
• TLS Buffer Underflow, CVE-2018-0231
• Application Layer Protocol Inspection Logic Errors, CVE-2018-0240
• SSL VPN Client Certification Authentication Flaw, CVE-2018-0227
• Ingress Software Lock Error, CVE-2018-0228
• Input Validation Flaw in WebVPN Management Interface, CVE-2018-0242

Access Control Flaw in CISCO Industrial Ethernet Switch

CISCO hat eine Schwachstelle in den IE Switches veröffentlicht. Über das Device Manager Web Interface könnte ein nicht-authentifizierter Angreifer aus der Ferne Cross-Site Request Forgery (CSRF) Attacken ausführen.

Die Schwachstelle wurde von CISCO mit CVSS 8.8 unter CVE-2018-0255 veröffentlicht.

Mehrere Schwachstellen in CISCO IOS / IOS XE / IOS XR

Es wurden mehrere teils kritische Schwachstellen in CISCO IOS Software Versionen veröffentlicht. CISCO IOS befindet sich auf unterschiedlichen Geräteserien im Einsatz. Betreiber von CISCO Geräten sollten prüfen, ob die verwundbaren Versionen im Einsatz sind bzw. ob die Schwachstellen ein Risiko verursachen

Übersicht über die Schwachstellen:

• IOS/IOS XE DHCP Option 82 Processing Bugs,
  CVE-2018-0172, CVE-2018-0173, CVE-2018-0174
• Cisco IOS/IOS XE QoS Buffer Overflow Lets, CVE-2018-0151
• Cisco IOS/IOS XE/IOS XR Link Layer Discovery Protocol Privilege Escalation, CVE-2018-0167, CVE-2018-0175
• Cisco IOS/IOS XE Smart Install Input Validation Flaw, CVE-2018-0156
• Cisco IOS/IOS XE Buffer Overflow in Processing Smart Install Packets, CVE-2018-0171
• Cisco IOS XE Zone-Based Firewall IP Fragment Processing Bug, CVE-2018-0157, Cisco IOS XE Default Credentials, CVE-2018-0150
• Cisco IOS XE IGMP Processing Flaw, CVE-2018-0165
• Cisco IOS Integrated Services Module for VPN Unspecified Processing Flaw, CVE-2018-0154
• Cisco IOS XE SNMP Memory Management Error, CVE-2018-0160
• Cisco IOS XE Umbrella Integration Memory Free Error, CVE-2018-0170
• Cisco IOS XE Web Interface Access Control Bug, CVE-2018-0152
• Cisco IOS XE Command Line Interface Validation Bugs, CVE-2018-0169, CVE-2018-0176
• Cisco IOS/IOS XE IKE Processing Flaws, CVE-2018-0158, CVE-2018-0159
• Cisco IOS XR UDP Broadcast Processing Flaw, CVE-2018-0241   

https://tools.cisco.com/security/center/publicationListing.x

SPRECON-E: nicht betroffen
SPRECON-V: nicht betroffen

In mehreren Switch-Familien der Firma Hirschmann wurde Schwachstellen veröffentlicht.

Diese betreffen:

        
Betroffene Produkte:

• Hirschmann Produktfamilien RS, RSR, RSB, RSB,MACH100, MACH1000,MACH4000, MS, OCTOPUS

Gegenmaßnahme:

• xHirschmann empfiehlt die strenge Verwendung von Sicherheits-erhöhenden Maßnahmen (etwa Verwendung von HTTPS oder SSH, siehe Link)

https://ics-cert.us-cert.gov/advisories/ICSA-18-065-01

SPRECON-V: teilweise betroffen

Wir können bestätigen, dass die folgenden Aktualisierungen mehrere Probleme beheben, die durch die zu Beginn des Jahres 2018 erfolgten Microsoft Sicherheitsupdates verursacht wurden.

• KB4074594 behebt KB4056898 - Windows 8.1. für x64-based Systems

• KB4074594 behebt KB4056895 und KB4056898 - Windows 8.1 und Windows Server 2012 R2 Standard

• KB4074592 behebt KB4056891 - Windows 10 Version 1703 für x64-based Systems

• KB4074596 behebt KB4056893 - Windows 10 Version 1507 für x64-based Systems

• KB4074590 behebt KB4056890 - Windows Server 2016 und Windows 10 Version 1607

• KB4074593 behebt KB4056896 - Windows Server 2012 Standard

• KB4074598 behebt KB4056894 - Windows 7 und Windows Server 2008 R2

Wie aus den Medien bekannt, sind mehrere CPU-Generationen namhafter Chiphersteller (Intel, MD, etc.) betroffen. Meltdown und Spectre nutzen Lücken u.A. im Kernel-Mapping zum Auslesen des Speichers, wodurch letztlich ein Zugriff auf beliebige Speicherbereiche und somit potentiell sensitive Informationen möglich ist.

Um diese Sicherheitslücken ausnutzen zu können, muss Software in die betroffenen Systeme eingebracht, zur Ausführung gebracht werden und das Ergebnis muss extrahiert werden.

Da SPRECON-V auf unterschiedlicher PC-Hardware eingesetzt werden kann, ist von der eingesetzten Hardware abhängig, ob die jeweiligen Stationen betroffen sind. Die vollständige Schließung der Schwachstellen muss zu gegebenem Zeitpunkt über Microsoft Windows Patches erfolgen, da dies nur auf Betriebssystemebene gelöst werden kann. Alternativ können isolierende Sicherheitsmaßnahmen eingesetzt werden.

! Aktuell wurde festgestellt, dass die verfügbaren Microsoft Patches zu Problemen führen. Es wird daher nicht empfohlen die Patches direkt im Operativsystem einzuspielen. Falls diese angewendet werden sollen, wird empfohlen vor dem Einspielen der Patches ein Backup der Systeme zu erstellen und die Patches zuerst auf einem Testsystem einzuspielen und die prinzipielle Funktion der Systeme zu prüfen. Alternativmaßnahmen wie unten beschrieben können ergriffen werden. !

Um festzustellen, ob ein bestimmter PC von den Schwachstellen betroffen ist, stellt Microsoft Windows ein Tool bereit - dies wird in untenstehendem Link ebenfalls beschrieben.

Es wird mit Hochdruck an der weiteren Analyse und Ursache der bisher festgestellten Probleme gearbeitet. Sobald Windows Patches aus unserer Sicht freigegeben werden können, werden die Informationen aufbereitet.

        
Betroffene Produkte:

• SPRECON-V460, sofern betrieben auf betroffener Hardware.
  Relevante Hardware:
  Intel, AMD, ARM
• https://www.heise.de/newsticker/meldung/Prozessor-Luecken-Meltdown-und-Spectre-Intel-und-ARM-fuehren-betroffene-Prozessoren-auf-Nvidia-3934667.html
• https://www.cvedetails.com/cve-details.php?cve_id=CVE-2017-5754

Gegenmaßnahme:

• Prozessnetze müssen isoliert (von etwa Büro-Netzwerken) betrieben werden.
• Generell sollten alle Kommunikationswege die in ein Prozessnetz führen (etwa Fernwartungszugänge, mobile Datenträger) überwacht werden.
• HMI-Stationen im Prozessnetz sollten zusätzlich gehärtet sein:
  Application Whitelisting und/oder ein Antivirenschutz direkt auch auf der HMI-Station.
• Verstärkung des Monitorings in entsprechenden Systemen und Bereichen, um Auffälligkeiten frühzeitig erkennen und analysieren zu können.
• Das Prinzip „Defense-In-Depth“ sollte strikt befolgt werden. Geräte, die für das reibungslose Funktionieren keine Internetanbindung benötigen,
  sollten vom Internet getrennt werden.
• Chiphersteller, Betriebssytemhersteller und PC/Notebook-Hersteller arbeiten an der Erstellung von Patches
• Die Empfehlungen der Hersteller sollten nach Abschätzung des Angriffsrisikos in den betroffenen Anlagen angewendet werden.
• Betriebssysteme: Microsoft stellt Patches und Tools zur Prüfung, ob ein System betroffen ist, bereit
  
  Informationen hierzu im Microsoft Artikel
  https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in

• Meltdown und Spectre,
  http://meltdownattack.com
  
  Google Security Blog,
  https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
  
  BSI,
  Sicherheitslücken in Prozessoren – BSI rät zu Updates
  
  COPADATA
  https://www.copadata.com/en/news/news/security-announcement-6943/

SPRECON-E: nicht betroffen
SPRECON-V: nicht betroffen

Über das Senden von speziellen XML Paketen an das webvpn-interface kann ein Speicherfehler (double free memory error) in der SSL VPN Funktion hervorgerufen werden, welcher es dem Angreifer ermöglichen kann Code auf dem Zielsystem auszufüren.

        
Betroffene Produkte:

• 3000 Series Industrial Security Appliance (ISA)
• 5500 Series Adaptive Security Appliances
• 5500-X Series Next-Generation Firewalls
• ASA Services Module für Catalyst 6500 Series Switches sowie 7600 Series Routers
• 1000V Cloud Firewall
• Adaptive Security Virtual Appliance (ASAv)
  
  Einige Firepower Geräte sind ebenfalls betroffen.
  
  

Gegenmaßnahme:

• Cisco hat bereits Lösungen herausgegeben (siehe Link)
  
  

• Meltdown und Spectre,
  https://securitytracker.com/id/1040292
  
  

SPRECON-E: nicht betroffen
SPRECON-V: nicht betroffen

Über diese Schwachstelle könnte ein Angreifer aus der Ferne einen Geräteneustart erreichen. Durch spezielle IPv6 Pakete mit fragment header extension zu oder durch „trident Based“ line cards wird ein reload dieses Netzwerkmoduls erreicht.

        
Betroffene Produkte:

• A9K-40GE-L
• A9K-40GE-B
• A9K-40GE-E
• A9K-4T-L
• A9K-4T-B
• A9K-4T-E
• A9K-8T/4-L
• A9K-8T/4-B
• A9K-8T/4-E
• A9K-2T20GE-L
• A9K-2T20GE-B
• A9K-2T20GE-E
• A9K-8T-L
• A9K-8T-B
• A9K-8T-E
• A9K-16/8T-B
  
  

Gegenmaßnahme:

• Cisco hat bereits Lösungen herausgegeben ( Service Pack 7 for Cisco IOS XR Software Release 5.3.4)
  
  

• https://securitytracker.com/id/1040315
  
  

SPRECON-E: betroffen
SPRECON-V: nicht betroffen

Das Unternehmen SEC Consult hat in einer Untersuchung 5 Findings zu SPRECON-E Produkten publiziert. Diese Stellungnahme soll Kunden von Sprecher Automation unterstützen diese Findings besser einzuordnen und ggf. Maßnahmen ergreifen zu können.


1) Authenticated Path Traversal Vulnerability

Diese Schwachstelle ermöglicht es einem authentifizierten Benutzer zusätzliche Daten auf das Gerät zu übertragen oder auch zu lesen. Sie ist somit ausschließlich ausnutzbar, wenn ein Angreifer bereits die Zugangsdaten (Benutzername + Passwort) für den Webserver erlangt hat.

Die Übertragung der Daten geschieht mit dem Systemuser des Webservers. Da dieser am System nur eingeschränkte Rechte aufweist (Security-by-Design), und auch keine Möglichkeit besteht eventuell geladenen Code auszuführen, ist das Risiko durch diese Schwachstelle als gering einzuschätzen.

Diese Schwachstelle betrifft ausschließlich das Feature Webserver. Der Webserver ist im Standardzustand deaktiviert und muss vom Anwender dezidiert aktiviert werden. Zusätzlich wurde die Schwachstelle ab Firmware 8.49 behoben.

2) Client-Side Password Hashing

Beim Login des Webservers werden Passwort-Hashes im Browser erzeugt, übertragen, und vom Gerät mit den gespeicherten Hashes verglichen, um sich am System zu authentifizieren. Ein Angreifer kann somit diese Hashes direkt verwenden, um eine positive Authentifizierung zu erwirken.

Dies setzt voraus, dass der Angreifer zuvor an die richtigen Passwort-Hashes gelangt. Das davon ausgehende Risiko wird als gering eingestuft.

Diese Schwachstelle betrifft ausschließlich das Feature Webserver. Der Webserver ist im Standardzustand deaktiviert und muss vom Anwender dezidiert aktiviert werden. Zusätzlich wurde die Schwachstelle ab Firmware 8.49 behoben.

3) Missing Authentication

SPRECON-E Geräte bieten die Möglichkeit des Betriebes einer Software-PLC an, um logische Programmierung nach IEC 61131-3 zu ermöglichen.

Diese Software- PLC ist standardmäßig deaktiviert und kann vom Nutzer aktiviert werden. Ist diese Funktion aktiviert, kann ein Debugging aus der Ferne eingesetzt werden, wobei der SPRECON-E PLC Designer mit dem Gerät über Netzwerk verbunden wird (s.g. PLC Online Test).

Für dieses Remote-Debugging ist keine Authentifizierung am Gerät notwendig, die hierfür verwendete Telnet Session verwendet keine Authentifizierung.

Die Einstufung des Risikos hängt vom Einsatzgebiet des Produktes ab. Wird Netzwerkzugang zum Gerät ermöglicht, so kann über diese Schnittstelle die Soft-PLC gesteuert (z.B. gestoppt) werden, sofern diese aktiv ist.

Über das SPRECON-E Service Programm kann die Funktion PLC
Online Tunneling aktiviert werden, dabei kann die Remote-Verbindung zur Soft-PLC über den gesicherten Servicekanal getunnelt werden. Somit ist die Verbindung abgesichert. Diese Empfehlung wird im Dokument SPRECON Grundhärtung (94.2.913.50) beschrieben.

4) Permanent Denial of Service via Portscan

Durch bestimmte Portscans ist es konfigurationsabhängig möglich das Gerät zum Absturz zu bringen. Ein Angreifer muss sich im Netzwerk befinden und Portscans durchführen zu können.

Gegenmaßnahmen wurden in neueren Firmwareversionen (ab 8.49) integriert. Alternativ können entsprechend der Empfehlung im Dokument „SPRECON Grundhärtung“ (94.2.913.50) grundlegende Firewall-Regeln aktiviert werden. Derartige Angriffe bleiben dadurch wirkungslos.

5) Outdated Linux Kernel

In SPRECON-E wird ein gehärteter Linux-Kernel als Betriebssystem eingesetzt. In diesem Kernel werden nur jene Teile und Dienste eingesetzt, die auch tatsächlich notwendig sind. Potentielle Schwachstellen im Kernel werden kontinuierlich überwacht und ggf. behandelt.

Da der Kernel von Sprecher Automation aktiv weiterentwickelt und gepatcht wird, ist die ursprüngliche Kernel-Version nicht aussagekräftig.

Ebenfalls ist kein direkter Betriebssystemzugriff oder Schadcodeausführung am System möglich, weshalb das vom Kernel ausgehende Risiko als sehr gering definiert wird.

        
Betroffene Produkte:

• SPRECON-E-C und E-P CPU Module PU243x sowie SPRECON-E-T3 MC33/34 mit Firmware vor 8.49.
  
  

Gegenmaßnahme:

• Prozessnetze müssen isoliert (von etwa Büro-Netzwerken) betrieben werden
• generell sollten alle Kommunikationswege die in ein Prozessnetz führen (etwa Fernwartungszugänge, mobile Datenträger) überwacht werden
• Das Prinzip „Defense-In-Depth“ sollte strikt befolgt werden. Geräte, die für das reibungslose Funktionieren keine Internetanbindung benötigen, sollten vom Internet getrennt werden.
• Die Empfehlungen der Hersteller sollten nach Abschätzung des Angriffsrisikos in den betroffenen Anlagen angewendet werden (siehe Beschreibungen zuvor)
  
  
  

• https://www.securityfocus.com/archive/1/541740
  
  

SPRECON-E: teilweise betroffen

Wie aus den Medien bekannt, sind mehrere CPU-Generationen namhafter Chiphersteller (Intel, AMD, etc.) betroffen. Unter den betroffenen CPU-Modellen befindet sich ebenfalls der bei unserer FALCON CPU (PU244x) verwendete ARM Chip. Andere SPRECON-E Produkte bzw. CPU-Linien im SPRECON-E Portfolio (PU243, PU242, MC32, etc.) sind nicht betroffen. Allerdings ist das für FALCON Geräte entstehende Risiko als marginal zu beurteilen.

Hier die Fakten dazu:

• Meltdown ist für ARM Chips nicht relevant, hiervon geht kein Risiko aus
• bzgl. Sprectre sind die Varianten 1 und 2 gemäß Link ^[1] relevant, somit CVE-2017-5753 und CVE-2017-5715
• um diese Schwachstellen auszunutzen, muss Schadsoftware auf das Gerät geladen werden, dort ausgeführt werden, und die Ergebnisse müssen extrahiert werden können. Dabei können theoretisch potentiell vertrauliche Informationen ausgelesen werden, die nicht gelesen werden dürften. Durch diese Schwachstellen findet keine Manipulation der Geräte statt. Somit kompromittieren diese maximal die Vertraulichkeit von Daten, nicht allerdings die Integrität und Verfügbarkeit der Systeme.
• Auf SPRECON wird eine strikte Defence-In-Depth Strategie umgesetzt. Insofern gibt es keine Möglichkeit, Schadsoftware auf das Gerät zu übertragen. Sämtliche übertragbaren Daten sind durch die verfügbaren Engineering-Prozesse auf SPRECON limitiert. Insofern kann die vorhandene Schwachstelle in den CPUs nicht ausgenutzt werden. Das Risiko ist somit minimal.

^[1] https://developer.arm.com/support/security-update

        
Betroffene Produkte:

• SPRECON-E-C bzw. SPRECON-E-P mit CPU PU244x

Gegenmaßnahme:

• Es besteht kein Handlungsbedarf bezüglich der Angriffsszenarien Meltdown bzw. Spectre.

SPRECON-E: nicht betroffen
SPRECON-V: nicht betroffen

Die Firma Meinberg informiert über mehrere Schwachstellen in der Web-Benutzerschnittstelle sowie der NTP-Schlüsselerzeugung. Details siehe CVE und entsprechende Einträge in CVE-Datenbanken, sowie http://www.ids.de/it-security/it-security-bulletin.html.

• Aufgrund einer falsch konfigurierten Webserver Access Control List konnte ein authentifizierter Benutzer, den Inhalt von beliebigen Dateien einzusehen. Dazu gehören auch Dateien, die (verschlüsselte) sicherheitsrelevante Daten enthielten

• Fehler bei eingeschränktem URL-Zugriff (z.B. direkte Objektreferenz): HTTP / HTTPS-Anfragen haben den direkten Zugriff auf Dateien im Stammverzeichnis des Webservers ohne Authentifizierung ermöglicht, so dass ein Angreifer statistische Daten und statistische Grafiken lesen konnte, ohne gültige Anmeldeinformationen eingeben zu müssen.

• Beliebiger Datei-Upload: Ein authentifizierter Benutzer war in der Lage, beliebige Dateien hochzuladen und mithilfe einer fehlenden Parametervalidierungsprüfung diese Dateien an einem beliebigen Ort unter Verwendung eines "Directory-Traversal-Angriffs" zu platzieren.

• Fehler bei der automatischen NTP-Schlüsselerzeugung: Bei Verwendung der automatischen NTP-Schlüsselgenerierungsfunktionalität haben ältere Versionen der LTOS6-Firmware neu erstellte Schlüssel an die NTP-Schlüsseldatei angehängt, ohne zu überprüfen, ob die Schlüsselnummern bereits in der selben Datei verwendet werden. Dadurch konnten die vorhandenen Schlüssel weiterhin verwendet werden.

        
Betroffene Produkte:

• Betroffen sind LTOS6-Firmware-Versionen vor 6.24.004, die in Geräten der Meinberg LANTIME M-Serie (M100, M200, M300, M400, M600, M900) sowie für alle Geräte der IMS-Serie (M500, M1000, M1000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000 / SF1100) eingesetzt werden.
  
  

Gegenmaßnahme:

Die Schwachstellen und der beschriebene Fehler wurden mit der Firmware-Version 6.24.004 behoben, welche sich Meinberg-Kunden kostenlos unter https://www.meinberg.de/german/sw/firmware.htm downloaden können.

SPRECON-E: nicht betroffen
SPRECON-V: nicht betroffen

Eine Schwachstelle im Direct Authentication Feature der Cisco Adaptive Security Appliance Software ermöglicht es nicht-authentifizierten Angreifern aus der Ferne ein reload auszuführen und somit ein Denial-Of-Service zu erreichen.
Die Schwachstelle beruht auf einer unvollständigen Eingangsvalidierung des HTTP Headers, und kann somit durch manipulierte HTTP Requests ausgenutzt werden.

Es ist anzumerken, dass diese Schwachstelle nur durch direkt an das Gerät gerichteten Traffic ausgenützt werden kann, und das Direct Authentication feature aktiviert ist. Die Schwachstelle kann sowohl durch IPv4 als auch IPv6 Traffic ausgenützt werden.

        
Betroffene Produkte:

• ASA 5500 Series Adaptive Security Appliances
• ASA 5500-X Series Next-Generation Firewalls
• ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
• ASA 1000V Cloud Firewall
• Adaptive Security Virtual Appliance (ASAv)
• Firepower 4110 Security Appliance
• Firepower 9300 ASA Security Module
• ISA 3000 Industrial Security Appliance

Gegenmaßnahme:

Cisco stellt Software Updates zur Verfügung, welche diese Lücke schließen.

> https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171004-asa

SPRECON-V460

Der Threat Intelligence Anbieter im Bereich Industria lControl Systems (ICS) Dragos hat in Zusammenarbeit mit der Sicherheitsfirma ESET ein Advisory veröffentlicht. Aus diesem geht hervor, dass es sich um eine hochmodulare Malware handelt, die in der Lage ist, den Betrieb von Stromnetzen zu beeinflussen. Sowohl Dragos als auch ESET gehen davon aus, dass es sich hierbei um die Malware handelt, die Ende Dezember 2016 bei Angriffen auf das Stromnetz in der Ukraine verwendet wurde.


Die Malware bringt Funktionen mit, um das Netzwerk auszukundschaften und die Ergebnisse an die Angreifer zu versenden. Je nach gefundenen Komponenten und Industrieprotokollen wird der passende Payload geladen und ausgeführt. Weiterhin besitzt die Schadsoftware eine Komponente zur Datenlöschung sowie eine, die DoS-Angriffe gegen SIEMENS SIPROTECT-Geräte durch Ausnutzung der Schwachstelle CVE-2015-5374 ermöglicht.

Einschätzung   
Der Verbreitungsweg ist bisher unbekannt. Es ist das erste Mal, dass eine Analyse über ein solches Framework veröffentlicht wurde. Die von den Sicherheitsexperten veröffentlichten Analysen basieren auf Samples vom Dezember 2016. Es kann erwartet werden, dass das Framework seitdem weiter überarbeitet und verbessert wurde.
Prinzipiell sind Windows-basierte Maschinen anfällig für die Schadsoftware. Es ist somit speziell etwa bei HMI-Stationen auf notwendige Maßnahmen zu achten, um das Risiko einer Infektion zu vermeiden.

     
        
Maßnahmen

• Prozessnetze müssen isoliert (von etwa Büro-Netzwerken) betrieben werden

• generell sollten alle Kommunikationswege die in ein Prozessnetz führen (etwa Fernwartungszugänge, mobile Datenträger) überwacht werden

• alle Wege sollten einen aktuellen Schadsoftwareschutz aufweisen (bspw. Datenträger müssen gescannt werden bevor sie in das Prozessnetz eingebracht werden, Fernwartungsrechner müssen einen aktuellen Virenschutz aufweisen)

• HMI-Stationen im Prozessnetz sollten zusätzlich gehärtet sein: Application Whitelisting und/oder ein Antivirenschutz direkt auch auf der HMI-Station. Hierbei ist wichtig anzumerken, dass ein Antivirenschutz primär gegen bekannte Schadsoftware wirksam ist. Das heißt eine zukünftig potentiell unbekannte Version von Crashoverride wird bis zum Zeitpunkt der Bekanntmachung von Antivirensoftware nur erschwert erkannt. Ebenfalls können Antivirentools False-Positives erzeugen, weshalb generell auf Prozesskomponenten der Einsatz von Application Whitelisting empfohlen wird.

• Verstärkung des Monitorings in entsprechenden Systemen und Bereichen, um Auffälligkeiten frühzeitig erkennen und analysieren zu können. Besonders sollte auf eine plötzliche vermehrte Verwendung der Protokolle IEC104, OPC DA und IEC 61850 geachtet werden.

• Die im Dragos Advisory beschriebenen Indikatoren und Yara Regeln auf das Netzwerk anwenden.

• Siemens hat inzwischen ein Firmware-Update und ein Advisory veröffentlicht.

• Backups aller Engineering- und Konfigurationsdateien sowie den eingesetzten ICS-Anwendungen sollten existieren und getrennt aufbewahrt werden.
  
  
•  Die Wiederherstellung der Systeme sollte geübt werden.

• Für den Ernstfall sollten Notfallpläne erstellt werden. Regelmäßige Übungen sollten durchgeführt werden.

• Das Prinzip „Defense-In-Depth“ sollte im ICS strikt befolgt werden. Geräte, die für das reibungslose Funktionieren keine Internetanbindung benötigen, sollten vom Internet getrennt werden.

> BBC-News

> WIN32/Industroyer: A new threat for industrial control systems

> WIN32/Industroyer: Indicators of Compromise

> Siemens Security Advisory by Siemens

 > Dragos World Advisory

 > BSI Meldung

 > Dragons Analyse

SPRECON-V460 Stationen

Seit 12.05.2017 breitet sich die Ransomware WannaCry im weltweiten Internet aus. Hierbei handelt es sich um einen Kryptotrojaner, welcher die Daten auf den betroffenen Systemen verschlüsselt. Diese konkrete Ransomware ist besonders kritisch, da sie sich im Netzwerk über Windows-Schwachstellen verbreitet und so nicht nur den primär infizierten Rechner, sondern gesamte Unternehmensnetzwerke befallen kann.

Einschätzung   
Ein hohes Risiko besteht bei Systemen, bei welchen Verbindungen zwischen V460 Stationen im Prozessnetzwerk und dem Büronetzwerk mittels Windows Dateifreigaben (SMB-Protokoll), NETBIOS oder RDP erfolgen.
  

     
        
Lösung
Microsoft hat die betreffenden Sicherheitslücken bereits im März durch Sicherheits-Updates geschlossen. Es wird daher empfohlen, auf allen Windows-Systemen die aktuellen Patches zu installieren.
Für ältere Windows-Versionen, dazu gehören insbesondere Windows XP und Windows Server 2003, stehen seit 13.05.2017 ebenfalls Sicherheitspatches zur Verfügung.

Weitere Informationen und Lösungsvarianten können den Meldungen der relevanten CERTs sowie der Microsoft Website entnommen werden.

>   CERT.at: Ransomware/Wurm WannaCry

>   BSI: Tausende Clouds in Deutschland anfällig für Cyber-Attacken

>   Microsoft: Customer Guidance for WannaCrypt attacks

>   Microsoft: How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server

SPRECON-E-C/-E-P/ -E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

Eine Schwachstelle in der Cisco Cluster Management Protokoll (CMP) Implementierung in Cisco IOS und Cisco IOS XE kann unauthorisierten Angreifern aus der Ferne einen Neustart oder die Ausführung von Code mit erhöhten Rechten ermöglichen.

Ein Angreifer könnte diese Schwachstelle ausnutzen indem manipulierte CMP Telnet Optionen während dem Telnet Session-Aufbau gesendet werden. Durch das Ausnützen der Schwachstelle könnte der Angreifer die Kontrolle über das Gerät erlangen, dieses neustarten, oder schadhaften Code am Gerät ausführen.

Betroffene Geräte
Catalyst switches,
Embedded Service 2020 switches,
Enhanced Layer 2 EtherSwitch Service Module,
Enhanced Layer 2/3 EtherSwitch Service Module,
Gigabit Ethernet Switch Module (CGESM) for HP,
IE Industrial Ethernet switches,
ME 4924-10GE switch, RF Gateway 10,
SM-X Layer 2/3 EtherSwitch Service Module

Lösung
Cisco stellt bereits Software Updates bereit, mit welchen diese Sicherheitslücke geschlossen werden kann.

CVSS-Score: 9.8

>   Cisco Security Advisory

  CERT-EU Security Advisory 2017-006

Anwender von IPSec VPN Verbindungen mit SPRECON-E

Seit Firmware 8.41 können IPSec VPN Verbindungen auf SPRECON betrieben werden. Die Konfiguration erfolgt über das Tool Security Editor, mit welchem die jeweiligen IPSec Settings definiert werden können. Aus diesem Tool wird nach erfolgter Konfiguration die proprietäre Datei ipsec.cfg exportiert, welche anschließend vom Anwender durch das Tool SPRECON Designer in die Hauptkonfigurationsdatei (Prozessrechnerliste) eingepackt und hiermit auf das Gerät geladen werden kann.

Bei der IPSec Konfiguration werden für die Authentifizierung des IPSec Verbindungsteilnehmers ebenfalls – je nach gewählter Methode – ein pre-shared key (PSK) oder ein Zertifikat angegeben, welches wiederum einen privaten Schlüssel enthält. Der Hersteller weist darauf hin, dass dies vertrauliche Daten sind, und somit beim Betreiber die ipsec.cfg Files sicher zu verwalten sind.

Die ipsec.cfg Files weisen derzeit einen passwortgeschützten Manipulationsschutz auf, um unberechtigte Anwender davor zu bewahren diese versehentlich zu verändern. Ab SPRECON Firmware 8.56 und Security Editor 1.03 wird eine starke kryptographische Verschlüsselung eingesetzt, um zusätzlich auch die Vertraulichkeit der Inhalte dieser Konfigurationsdatei in erhöhtem Maße sicherzustellen.

SPRECON-E-C/-E-P/-E-T3: betroffen

SPRECON-V460: nicht betroffen

Unter bestimmten Vorbedingungen ist es möglich, als Nicht-Admin-User eine Telegrammsimulation durchzuführen.

Als Vorbedingung muss ein User eine Online-Verbindung herstellen, mit Rolle Administrator gültig authentifizieren und autorisieren sowie die Telegrammsimulation öffnen. Die Online-Verbindung muss anschließend beendet werden. Ein fehlerhaftes Caching der Client-Daten kann danach dazu führen, dass ein neu angemeldeter User ohne Admin-Rechte eine Telegrammsimulation ausführen kann.

Um die Lücke auszunützen, muss ein Angreifer Zugriff auf den verwendeten Service-PC sowie einen gültigen Engineering-Account im SPRECON RBAC System besitzen. Ebenfalls muss ein Admin-User zuvor das Telegramm-Simulationsfenster geöffnet haben und die Service-Verbindung geschlossen haben, ohne das Service Program zu schließen. Es besteht somit kein Risiko durch externe Angreifer.

Betroffenes Produkt: SPRECON-E Service Program 3.42 SP0

Einschränkung

Dieser Fehler tritt nur in Verbindung mit der rollenbasierten Zugriffkontrolle (RBAC) auf. RBAC ist auf SPRECON erst ab folgenden Versionen verfügbar:

• SPRECON-E Designer Version ab 5.79 SP0 (Im Designer müssen die Zugriffkontrolle aktiviert und lokale Benutzer bzw. Radius Profile eingerichtet sein)
• SPRECON-E Firmware ab Version 8.49d
• SPRECON-E Service Program Version 8.42 SP0

Lösung

Sprecher Automation empfiehlt ein Update des SPRECON-E Service Programs auf die Version 3.43 SP0 oder höher. Ein Update des Service Programs ist unabhängig von Firmware und anderen Produkten.

Workaround

Wird als Prozess festgelegt und sichergestellt, dass das Service Program nach jeder Verwendung vom jeweiligen User geschlossen wird, geht von dieser Lücke kein Risiko aus. 

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

Cisco schließt mit Software Update teilweise kritische Sicherheitslücken.

CVE-2016-6432 betrifft eine mit CVSS Score 9.3 beurteilte Lücke, welche durch ein manipuliertes NetBIOS Probing Anwort-Paket ausgenützt werden kann. Ein nicht-authentifizierter Angreifer könnte dadurch aus der Ferne einen Neustart des Systems erreichen bzw. Code aus der Ferne ausführen.

Um die Lücke zu schließen empfiehlt Cisco ein Software-Update oder die Deaktivierung des NetBIOS Probing, sofern dieses aktiviert ist.

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

Mit dem aktuellen Firmware Update für SIPROTEC 4 und SIPROTEC Compact schließt Siemens mehrere kritische Schwachstellen, welche laut cvedetails.com mit CVSS-Scores zwischen 7.8 und 10 bewertet wurden. Die Schwachstellen befinden sich im EN100 Ethernet-Modul.

Die Schwachstellen CVE-2016-7112 und CVE-2016-7114 können ausgenützt werden um unautorisierten Benützern Zugang zu administrativen Funktionen zu verschaffen.

CVE-2016-7113 kann ausgenützt werden um ein Denial-of-Service via HTTP zu erreichen.

Ein Update auf die aktuellste Firmware Version ist notwendig. Als generelle Sicherheitsmaßnahme empfiehlt Siemens den Einsatz der Geräte in geschützten Netzwerken.

> Siemens

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE-2016-3962

CVE-2016-3988

CVE-2016-3989

• IMS-LANTIME M3000
• IMS-LANTIME M1000
• IMS-LANTIME M500
• LANTIME M900
• LANTIME M600
• LANTIME M400
• LANTIME M300
• LANTIME M200
• LANTIME M100
• SyncFire 1100
• LCES

CVE-2016-3962 und CVE-2016-3988 sind Buffer-Overflow Schwachstellen im Time-Server Interface, welche es Angreifern aus der Ferne erlauben, Denial-Of-Service zu erreichen bzw. sensitive Informationen zu kapern oder zu manipulieren.

CVE-2016-3989 ermöglicht "Privilege Escalation", wobei Angreifer über einen "nobody" User Root-Rechte erhalten können.

Die Schwachstellen wurden mit 7.3 bzw. 8.1 bewertet.

Meinberg stellt bereits eine neue Firmware bereit die die Schwachstellen schließt (Version 6.20.004).

> ICS-CERT

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

Die Lücke befindet sich im Code für den Internet Key Exchange (IKEv1 und IKEv2). Sie erlaubt einem nicht authentifizierten Angreifer, mittels eines speziell gestalteten UDP-Pakets, Code auf dem betroffenen Gerät auszuführen. Durch diese Lücke kann ein Angreifer laut Cisco die Kontrolle über betroffene Systeme übernehmen.

Cisco stellt bereits Sicherheitsupdates für diese Schwachstelle bereit.

> cert.at
> Cisco

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

Tenable Network Security hat eine "NULL pointer dereference" Sicherheitslücke im CODESYS Runtime Toolkit der 3S-Smart Software Solutions GmbH aufgedeckt.

Diese Lücke erlaubt einem Angreifer das Runtime Toolkit zum Absturz zu bringen und so ein „Denial of Service“ zu erreichen. Betroffen ist das CODESYS Runtime Toolkit mit Version < 2.4.7.48.

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

Mittels Fuzzing können Schwachstellen in den weit verbreiteten Versionen 5.5 bis einschließlich 6.9.4.1 des Realtime-Embedded-Betriebssystems VxWorks (Hersteller: Wind River) identifiziert werden.

Durch die Ausnutzung dieser Schwachstellen ist es möglich, über das Netzwerk einen Pufferüberlauf zu provozieren und anschließend beliebigen Code auszuführen. Darüber hinaus konnte man mit einem speziellen Nutzernamen und Passwort den FTP-Server des Systems zum Absturz bringen (demonstriert auf der Security-Konferenz 44CON).

Die neueste Generation – VxWorks Version 7 – ist davon nicht betroffen.

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

Lücke in OpenSSL - Certificate Verification Bug:
OpenSSL prüft das CA-Flag (Certificate Authority) eines Zertifikats unter bestimmten Unständen nicht richtig. Der CA-Mechanismus, welcher die Echtheit von Endpoint-Services bestätigt, kann durch den Certificate Verification Bug umgangen werden. Dies kann dazu führen, dass ein Angreifer sich als Intermediate-CA ausgeben und eigene Zertifikate für die Webseiten anderer Betreiber signieren kann.

Der Fehler existiert in den aktuellsten OpenSSL-Versionen (erstes Halbjahr 2015) 1.0.2c, 1.0.2b, 1.0.1n und 1.0.1o.

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

"LogJam" ist eine Sicherheitslücke des Diffie-Hellman-Kryptoprotokolls für verschlüsselte Verbindungen bei Web-, Mail-, SSH- und VPN-Servern. Durch eine Schwäche im TLS-Verfahren (Transport Layer Security) kann die Schlüssellänge durch einen Man-in-the-Middle-Angriff auf unsichere 512 Bit reduziert werden.

Damit können HTTPS-Verbindungen in einen unsicheren Export-Modus gebracht und kompromittiert werden. Normalerweise wird die 512 Bit Schlüssellänge nicht mehr genutzt, jedoch von manchen Servern aus Kompatibilitätsgründen noch unterstützt.

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

"GHOST" ist eine Sicherheitslücke in der Funktion gethostbyname() der Standard-C-Bibliothek Glibc. Dabei kann ein Schadcode unter bestimmten Umständen über bösartige DNS-Antworten ausgeführt werden.

Die Lücke existiert ab Glibc 2.2 (11/2000) und wurde mit der Version 2.18 (01/2013) behoben.

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

3^rd-Party: Microsoft^® Windows^® Server 2003 SP2, Windows^® Vista SP2, Windows^® Server 2008 SP2 und R2 SP1, Windows^® 7 SP1, Windows^® 8, Windows^® 8.1, Windows^® Server 2012 Gold und R2, und Windows^® RT Gold und 8.1

• Windows^® Betriebssystem aktualisieren
• Rechner mit Windows Betriebssystemen ausschließlich in abgeschotteten Netzwerken betreiben

SPRECON-E-C/-E-P/-E-T3: Webserver

SPRECON-V460: nicht betroffen

3^rd-Party: IP-Kamerazugriff per Browser (Chrome, Firefox, Internet Explorer,...)

Wenn Server und Client einer TLS-Verbindung (z.B. aus Kompatibilitätsgründen) auch die Vorgängerversionen des Protokolls unterstützen, kann ein Angreifer durch eine MiM (Man-in-the-Middle)-Attacke einen Rückfall auf das anfällige SSLv3 erzwingen, in weiterer Folge kann das Session Cookie offengelegt und somit die Verbindung übernommen werden.

Die bisherige, aus Kompatibilitätsgründen bestehende Unterstützung von SSLv3 im SPRECON Webserver wird ab der nächsten Version aufgelassen.

• Webserver deaktivieren (ohnehin dringende Empfehlung, wenn nicht in Verwendung)
• SSLv3 im Webbrowser deaktivieren