SPRECON-V460

Der Threat Intelligence Anbieter im Bereich Industria lControl Systems (ICS) Dragos hat in Zusammenarbeit mit der Sicherheitsfirma ESET ein Advisory veröffentlicht. Aus diesem geht hervor, dass es sich um eine hochmodulare Malware handelt, die in der Lage ist, den Betrieb von Stromnetzen zu beeinflussen. Sowohl Dragos als auch ESET gehen davon aus, dass es sich hierbei um die Malware handelt, die Ende Dezember 2016 bei Angriffen auf das Stromnetz in der Ukraine verwendet wurde.


Die Malware bringt Funktionen mit, um das Netzwerk auszukundschaften und die Ergebnisse an die Angreifer zu versenden. Je nach gefundenen Komponenten und Industrieprotokollen wird der passende Payload geladen und ausgeführt. Weiterhin besitzt die Schadsoftware eine Komponente zur Datenlöschung sowie eine, die DoS-Angriffe gegen SIEMENS SIPROTECT-Geräte durch Ausnutzung der Schwachstelle CVE-2015-5374 ermöglicht.

Einschätzung   
Der Verbreitungsweg ist bisher unbekannt. Es ist das erste Mal, dass eine Analyse über ein solches Framework veröffentlicht wurde. Die von den Sicherheitsexperten veröffentlichten Analysen basieren auf Samples vom Dezember 2016. Es kann erwartet werden, dass das Framework seitdem weiter überarbeitet und verbessert wurde.
Prinzipiell sind Windows-basierte Maschinen anfällig für die Schadsoftware. Es ist somit speziell etwa bei HMI-Stationen auf notwendige Maßnahmen zu achten, um das Risiko einer Infektion zu vermeiden.

     
        
Maßnahmen

• Prozessnetze müssen isoliert (von etwa Büro-Netzwerken) betrieben werden

• generell sollten alle Kommunikationswege die in ein Prozessnetz führen (etwa Fernwartungszugänge, mobile Datenträger) überwacht werden

• alle Wege sollten einen aktuellen Schadsoftwareschutz aufweisen (bspw. Datenträger müssen gescannt werden bevor sie in das Prozessnetz eingebracht werden, Fernwartungsrechner müssen einen aktuellen Virenschutz aufweisen)

• HMI-Stationen im Prozessnetz sollten zusätzlich gehärtet sein: Application Whitelisting und/oder ein Antivirenschutz direkt auch auf der HMI-Station. Hierbei ist wichtig anzumerken, dass ein Antivirenschutz primär gegen bekannte Schadsoftware wirksam ist. Das heißt eine zukünftig potentiell unbekannte Version von Crashoverride wird bis zum Zeitpunkt der Bekanntmachung von Antivirensoftware nur erschwert erkannt. Ebenfalls können Antivirentools False-Positives erzeugen, weshalb generell auf Prozesskomponenten der Einsatz von Application Whitelisting empfohlen wird.

• Verstärkung des Monitorings in entsprechenden Systemen und Bereichen, um Auffälligkeiten frühzeitig erkennen und analysieren zu können. Besonders sollte auf eine plötzliche vermehrte Verwendung der Protokolle IEC104, OPC DA und IEC 61850 geachtet werden.

• Die im Dragos Advisory beschriebenen Indikatoren und Yara Regeln auf das Netzwerk anwenden.

• Siemens hat inzwischen ein Firmware-Update und ein Advisory veröffentlicht.

• Backups aller Engineering- und Konfigurationsdateien sowie den eingesetzten ICS-Anwendungen sollten existieren und getrennt aufbewahrt werden.
  
  
•  Die Wiederherstellung der Systeme sollte geübt werden.

• Für den Ernstfall sollten Notfallpläne erstellt werden. Regelmäßige Übungen sollten durchgeführt werden.

• Das Prinzip „Defense-In-Depth“ sollte im ICS strikt befolgt werden. Geräte, die für das reibungslose Funktionieren keine Internetanbindung benötigen, sollten vom Internet getrennt werden.

> BBC-News

> WIN32/Industroyer: A new threat for industrial control systems

> WIN32/Industroyer: Indicators of Compromise

> Siemens Security Advisory by Siemens

 > Dragos World Advisory

 > BSI Meldung

 > Dragons Analyse

SPRECON-V460 Stationen

Seit 12.05.2017 breitet sich die Ransomware WannaCry im weltweiten Internet aus. Hierbei handelt es sich um einen Kryptotrojaner, welcher die Daten auf den betroffenen Systemen verschlüsselt. Diese konkrete Ransomware ist besonders kritisch, da sie sich im Netzwerk über Windows-Schwachstellen verbreitet und so nicht nur den primär infizierten Rechner, sondern gesamte Unternehmensnetzwerke befallen kann.

Einschätzung   
Ein hohes Risiko besteht bei Systemen, bei welchen Verbindungen zwischen V460 Stationen im Prozessnetzwerk und dem Büronetzwerk mittels Windows Dateifreigaben (SMB-Protokoll), NETBIOS oder RDP erfolgen.
  

     
        
Lösung
Microsoft hat die betreffenden Sicherheitslücken bereits im März durch Sicherheits-Updates geschlossen. Es wird daher empfohlen, auf allen Windows-Systemen die aktuellen Patches zu installieren.
Für ältere Windows-Versionen, dazu gehören insbesondere Windows XP und Windows Server 2003, stehen seit 13.05.2017 ebenfalls Sicherheitspatches zur Verfügung.

Weitere Informationen und Lösungsvarianten können den Meldungen der relevanten CERTs sowie der Microsoft Website entnommen werden.

>   CERT.at: Ransomware/Wurm WannaCry

>   BSI: Tausende Clouds in Deutschland anfällig für Cyber-Attacken

>   Microsoft: Customer Guidance for WannaCrypt attacks

>   Microsoft: How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server

SPRECON-E-C/-E-P/ -E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

Eine Schwachstelle in der Cisco Cluster Management Protokoll (CMP) Implementierung in Cisco IOS und Cisco IOS XE kann unauthorisierten Angreifern aus der Ferne einen Neustart oder die Ausführung von Code mit erhöhten Rechten ermöglichen.

Ein Angreifer könnte diese Schwachstelle ausnutzen indem manipulierte CMP Telnet Optionen während dem Telnet Session-Aufbau gesendet werden. Durch das Ausnützen der Schwachstelle könnte der Angreifer die Kontrolle über das Gerät erlangen, dieses neustarten, oder schadhaften Code am Gerät ausführen.

Betroffene Geräte
Catalyst switches,
Embedded Service 2020 switches,
Enhanced Layer 2 EtherSwitch Service Module,
Enhanced Layer 2/3 EtherSwitch Service Module,
Gigabit Ethernet Switch Module (CGESM) for HP,
IE Industrial Ethernet switches,
ME 4924-10GE switch, RF Gateway 10,
SM-X Layer 2/3 EtherSwitch Service Module

Lösung
Cisco stellt bereits Software Updates bereit, mit welchen diese Sicherheitslücke geschlossen werden kann.

CVSS-Score: 9.8

>   Cisco Security Advisory

  CERT-EU Security Advisory 2017-006

Anwender von IPSec VPN Verbindungen mit SPRECON-E

Seit Firmware 8.41 können IPSec VPN Verbindungen auf SPRECON betrieben werden. Die Konfiguration erfolgt über das Tool Security Editor, mit welchem die jeweiligen IPSec Settings definiert werden können. Aus diesem Tool wird nach erfolgter Konfiguration die proprietäre Datei ipsec.cfg exportiert, welche anschließend vom Anwender durch das Tool SPRECON Designer in die Hauptkonfigurationsdatei (Prozessrechnerliste) eingepackt und hiermit auf das Gerät geladen werden kann.

Bei der IPSec Konfiguration werden für die Authentifizierung des IPSec Verbindungsteilnehmers ebenfalls – je nach gewählter Methode – ein pre-shared key (PSK) oder ein Zertifikat angegeben, welches wiederum einen privaten Schlüssel enthält. Der Hersteller weist darauf hin, dass dies vertrauliche Daten sind, und somit beim Betreiber die ipsec.cfg Files sicher zu verwalten sind.

Die ipsec.cfg Files weisen derzeit einen passwortgeschützten Manipulationsschutz auf, um unberechtigte Anwender davor zu bewahren diese versehentlich zu verändern. Ab SPRECON Firmware 8.56 und Security Editor 1.03 wird eine starke kryptographische Verschlüsselung eingesetzt, um zusätzlich auch die Vertraulichkeit der Inhalte dieser Konfigurationsdatei in erhöhtem Maße sicherzustellen.

SPRECON-E-C/-E-P/-E-T3: betroffen

SPRECON-V460: nicht betroffen

Unter bestimmten Vorbedingungen ist es möglich, als Nicht-Admin-User eine Telegrammsimulation durchzuführen.

Als Vorbedingung muss ein User eine Online-Verbindung herstellen, mit Rolle Administrator gültig authentifizieren und autorisieren sowie die Telegrammsimulation öffnen. Die Online-Verbindung muss anschließend beendet werden. Ein fehlerhaftes Caching der Client-Daten kann danach dazu führen, dass ein neu angemeldeter User ohne Admin-Rechte eine Telegrammsimulation ausführen kann.

Um die Lücke auszunützen, muss ein Angreifer Zugriff auf den verwendeten Service-PC sowie einen gültigen Engineering-Account im SPRECON RBAC System besitzen. Ebenfalls muss ein Admin-User zuvor das Telegramm-Simulationsfenster geöffnet haben und die Service-Verbindung geschlossen haben, ohne das Service Program zu schließen. Es besteht somit kein Risiko durch externe Angreifer.

Betroffenes Produkt: SPRECON-E Service Program 3.42 SP0

Einschränkung

Dieser Fehler tritt nur in Verbindung mit der rollenbasierten Zugriffkontrolle (RBAC) auf. RBAC ist auf SPRECON erst ab folgenden Versionen verfügbar:

• SPRECON-E Designer Version ab 5.79 SP0 (Im Designer müssen die Zugriffkontrolle aktiviert und lokale Benutzer bzw. Radius Profile eingerichtet sein)
• SPRECON-E Firmware ab Version 8.49d
• SPRECON-E Service Program Version 8.42 SP0

Lösung

Sprecher Automation empfiehlt ein Update des SPRECON-E Service Programs auf die Version 3.43 SP0 oder höher. Ein Update des Service Programs ist unabhängig von Firmware und anderen Produkten.

Workaround

Wird als Prozess festgelegt und sichergestellt, dass das Service Program nach jeder Verwendung vom jeweiligen User geschlossen wird, geht von dieser Lücke kein Risiko aus. 

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

Cisco schließt mit Software Update teilweise kritische Sicherheitslücken.

CVE-2016-6432 betrifft eine mit CVSS Score 9.3 beurteilte Lücke, welche durch ein manipuliertes NetBIOS Probing Anwort-Paket ausgenützt werden kann. Ein nicht-authentifizierter Angreifer könnte dadurch aus der Ferne einen Neustart des Systems erreichen bzw. Code aus der Ferne ausführen.

Um die Lücke zu schließen empfiehlt Cisco ein Software-Update oder die Deaktivierung des NetBIOS Probing, sofern dieses aktiviert ist.

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

Mit dem aktuellen Firmware Update für SIPROTEC 4 und SIPROTEC Compact schließt Siemens mehrere kritische Schwachstellen, welche laut cvedetails.com mit CVSS-Scores zwischen 7.8 und 10 bewertet wurden. Die Schwachstellen befinden sich im EN100 Ethernet-Modul.

Die Schwachstellen CVE-2016-7112 und CVE-2016-7114 können ausgenützt werden um unautorisierten Benützern Zugang zu administrativen Funktionen zu verschaffen.

CVE-2016-7113 kann ausgenützt werden um ein Denial-of-Service via HTTP zu erreichen.

Ein Update auf die aktuellste Firmware Version ist notwendig. Als generelle Sicherheitsmaßnahme empfiehlt Siemens den Einsatz der Geräte in geschützten Netzwerken.

> Siemens

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

CVE-2016-3962

CVE-2016-3988

CVE-2016-3989

• IMS-LANTIME M3000
• IMS-LANTIME M1000
• IMS-LANTIME M500
• LANTIME M900
• LANTIME M600
• LANTIME M400
• LANTIME M300
• LANTIME M200
• LANTIME M100
• SyncFire 1100
• LCES

CVE-2016-3962 und CVE-2016-3988 sind Buffer-Overflow Schwachstellen im Time-Server Interface, welche es Angreifern aus der Ferne erlauben, Denial-Of-Service zu erreichen bzw. sensitive Informationen zu kapern oder zu manipulieren.

CVE-2016-3989 ermöglicht "Privilege Escalation", wobei Angreifer über einen "nobody" User Root-Rechte erhalten können.

Die Schwachstellen wurden mit 7.3 bzw. 8.1 bewertet.

Meinberg stellt bereits eine neue Firmware bereit die die Schwachstellen schließt (Version 6.20.004).

> ICS-CERT

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

Die Lücke befindet sich im Code für den Internet Key Exchange (IKEv1 und IKEv2). Sie erlaubt einem nicht authentifizierten Angreifer, mittels eines speziell gestalteten UDP-Pakets, Code auf dem betroffenen Gerät auszuführen. Durch diese Lücke kann ein Angreifer laut Cisco die Kontrolle über betroffene Systeme übernehmen.

Cisco stellt bereits Sicherheitsupdates für diese Schwachstelle bereit.

> cert.at
> Cisco

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

Tenable Network Security hat eine "NULL pointer dereference" Sicherheitslücke im CODESYS Runtime Toolkit der 3S-Smart Software Solutions GmbH aufgedeckt.

Diese Lücke erlaubt einem Angreifer das Runtime Toolkit zum Absturz zu bringen und so ein „Denial of Service“ zu erreichen. Betroffen ist das CODESYS Runtime Toolkit mit Version < 2.4.7.48.

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

Mittels Fuzzing können Schwachstellen in den weit verbreiteten Versionen 5.5 bis einschließlich 6.9.4.1 des Realtime-Embedded-Betriebssystems VxWorks (Hersteller: Wind River) identifiziert werden.

Durch die Ausnutzung dieser Schwachstellen ist es möglich, über das Netzwerk einen Pufferüberlauf zu provozieren und anschließend beliebigen Code auszuführen. Darüber hinaus konnte man mit einem speziellen Nutzernamen und Passwort den FTP-Server des Systems zum Absturz bringen (demonstriert auf der Security-Konferenz 44CON).

Die neueste Generation – VxWorks Version 7 – ist davon nicht betroffen.

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

Lücke in OpenSSL - Certificate Verification Bug:
OpenSSL prüft das CA-Flag (Certificate Authority) eines Zertifikats unter bestimmten Unständen nicht richtig. Der CA-Mechanismus, welcher die Echtheit von Endpoint-Services bestätigt, kann durch den Certificate Verification Bug umgangen werden. Dies kann dazu führen, dass ein Angreifer sich als Intermediate-CA ausgeben und eigene Zertifikate für die Webseiten anderer Betreiber signieren kann.

Der Fehler existiert in den aktuellsten OpenSSL-Versionen (erstes Halbjahr 2015) 1.0.2c, 1.0.2b, 1.0.1n und 1.0.1o.

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

"LogJam" ist eine Sicherheitslücke des Diffie-Hellman-Kryptoprotokolls für verschlüsselte Verbindungen bei Web-, Mail-, SSH- und VPN-Servern. Durch eine Schwäche im TLS-Verfahren (Transport Layer Security) kann die Schlüssellänge durch einen Man-in-the-Middle-Angriff auf unsichere 512 Bit reduziert werden.

Damit können HTTPS-Verbindungen in einen unsicheren Export-Modus gebracht und kompromittiert werden. Normalerweise wird die 512 Bit Schlüssellänge nicht mehr genutzt, jedoch von manchen Servern aus Kompatibilitätsgründen noch unterstützt.

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

"GHOST" ist eine Sicherheitslücke in der Funktion gethostbyname() der Standard-C-Bibliothek Glibc. Dabei kann ein Schadcode unter bestimmten Umständen über bösartige DNS-Antworten ausgeführt werden.

Die Lücke existiert ab Glibc 2.2 (11/2000) und wurde mit der Version 2.18 (01/2013) behoben.

SPRECON-E-C/-E-P/-E-T3: nicht betroffen

SPRECON-V460: nicht betroffen

3^rd-Party: Microsoft^® Windows^® Server 2003 SP2, Windows^® Vista SP2, Windows^® Server 2008 SP2 und R2 SP1, Windows^® 7 SP1, Windows^® 8, Windows^® 8.1, Windows^® Server 2012 Gold und R2, und Windows^® RT Gold und 8.1

• Windows^® Betriebssystem aktualisieren
• Rechner mit Windows Betriebssystemen ausschließlich in abgeschotteten Netzwerken betreiben

SPRECON-E-C/-E-P/-E-T3: Webserver

SPRECON-V460: nicht betroffen

3^rd-Party: IP-Kamerazugriff per Browser (Chrome, Firefox, Internet Explorer,...)

Wenn Server und Client einer TLS-Verbindung (z.B. aus Kompatibilitätsgründen) auch die Vorgängerversionen des Protokolls unterstützen, kann ein Angreifer durch eine MiM (Man-in-the-Middle)-Attacke einen Rückfall auf das anfällige SSLv3 erzwingen, in weiterer Folge kann das Session Cookie offengelegt und somit die Verbindung übernommen werden.

Die bisherige, aus Kompatibilitätsgründen bestehende Unterstützung von SSLv3 im SPRECON Webserver wird ab der nächsten Version aufgelassen.

• Webserver deaktivieren (ohnehin dringende Empfehlung, wenn nicht in Verwendung)
• SSLv3 im Webbrowser deaktivieren