Die Merkmale des Cyberangriffs auf die Wasseraufbereitungsanlage in Oldsmar (Florida) am 5. Februar zeichnen wahrscheinlich ein typisches Bild für industrielle Steuerungssystemumgebungen, in denen unterfinanzierte Mitarbeiter, die unter dem Druck von Verfügbarkeits- und Sicherheitsvorschriften stehen, auf veraltete Software und unzureichende Fernzugriffslösungen angewiesen sind, um eine Einrichtung zu betreiben, die für ein wichtiges öffentliches Versorgungsunternehmen verantwortlich ist.
Die Bediener in der Anlage in Oldsmar entdeckten an diesem Tag zwei Eindringlinge von außerhalb der Anlage, von denen der zweite darin bestand, dass ein Angreifer, der über die Desktop-Sharing-Software TeamViewer verbunden war, die Natriumhydroxidkonzentration im Trinkwasser für Privathaushalte und Unternehmen von 100 Teilen pro Million auf 11.100 Teile pro Million veränderte. Natriumhydroxid oder Lauge ist eine ätzende Substanz, die dem Wasser zugesetzt wird, um den Säuregehalt zu kontrollieren und bestimmte Metalle zu entfernen.
Das schnelle Eingreifen der Betreiber, die den Zugang des Angreifers unterbrachen, und die den Wasseraufbereitungssystemen innewohnenden Sicherheitsvorkehrungen verhinderten, dass das verseuchte Wasser jemals die Öffentlichkeit erreichte. Hinter ihrem Heldentum verbergen sich jedoch systemische Probleme in allen kritischen Infrastrukturen, die sich noch verschärfen werden, da immer mehr Unternehmen die Betriebstechnologie (OT) in die IT integrieren und immer mehr dieser kritischen Systeme online verbinden.
Am Donnerstag veröffentlichte die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine Warnung über die Kompromittierung von Oldsmar und wies auf einige dieser systemischen Probleme hin, angefangen bei der Verwendung von TeamViewer - und demselben gemeinsamen Kennwort für den Zugriff auf die Anwendung - sowie von veralteten und nicht unterstützten Versionen von Windows 7 für die Fernverwaltung der Wasseraufbereitung. Das Water ISAC veröffentlichte ebenfalls einen Hinweis.
In einer Umgebung, in der Ausfallzeiten kaum toleriert werden, ist es nicht ungewöhnlich, dass alte Windows-7-Rechner und andere veraltete, nicht unterstützte Software in der Produktion eingesetzt werden. Dies ist problematisch, denn im Falle von Windows 7 beispielsweise hat Microsoft den Support für das Betriebssystem im Januar 2020 eingestellt. Die Systeme erhalten dann keine Sicherheits- oder Funktionsupdates mehr, es sei denn, sie haben einen teuren Plan für erweiterte Sicherheitsupdates abgeschlossen, der pro Gerät berechnet wird und umso teurer wird, je länger der Kunde das Abonnement abschließt.
"Cyber-Akteure finden weiterhin Einfallstore in ältere Windows-Betriebssysteme und nutzen das Remote Desktop Protocol (RDP) aus", warnte die CISA in ihrer Warnung. So stellte Microsoft 2019 einen Notfall-Patch für eine kritische RDP-Schwachstelle zur Verfügung, die in freier Wildbahn ausgenutzt wurde. "Cyber-Akteure nutzen häufig falsch konfigurierte oder unzureichend gesicherte RDP-Zugriffskontrollen, um Cyberangriffe durchzuführen", so die CISA weiter.
Die Verwendung von kostenlosen Versionen von TeamViewer und anderen Anwendungen zur gemeinsamen Nutzung von Remote-Desktops und zur Unterstützung ist in diesen Umgebungen ebenfalls nicht ungewöhnlich. Die COVID-19-Pandemie hat das Risiko, das von diesen Anwendungen ausgeht, nur noch erhöht, da immer mehr Arbeitskräfte aus der Ferne arbeiten und der Zugriff von außerhalb auf wichtige Prozesse erforderlich wird.
TeamViewer bietet Administratoren und Betreibern einen einfachen und kostengünstigen Zugang zu den Anlagen, aber diese Anwendungen müssen unter Berücksichtigung der Sicherheit konfiguriert werden. Selbst dann sind sie für OT-Netzwerke nicht geeignet. Im Gegensatz zu speziell entwickelten Lösungen für den sicheren Zugang protokollieren diese Anwendungen die Aktivitäten der Nutzer nicht ausreichend, bieten keine Audit-Funktionen und ermöglichen es den Administratoren nicht, Remote-Sitzungen in Echtzeit zu überwachen und gegebenenfalls zu unterbrechen. Sie ermöglichen es den Administratoren oft auch nicht, verschiedene Benutzerberechtigungsstufen festzulegen, beispielsweise auf der Grundlage von Rollen. Sobald ein Angreifer Zugriff auf die Anwendung hat, kann er, wie im Fall von Oldsmar, die Fernsteuerung über das damit verbundene Kontrollsystem übernehmen.
TeamViewer ist so konfiguriert, dass es Fernverbindungen zu Netzwerken ermöglicht, die Network Address Translation (NAT) und Firewalls umgehen. Endgeräte, die sich in zwei verschiedenen Netzwerken befinden, können sich trotzdem verbinden und ermöglichen es jedem, der das richtige Passwort hat, sich mit einem Rechner zu verbinden, auf dem TeamViewer läuft. Dies steht im Gegensatz zu Microsofts Remote Desktop Protocol (RDP), das voraussetzt, dass sich beide Computer im selben Netzwerk befinden; in diesen Fällen kann die Benutzerfreundlichkeit die Sicherheit übertreffen.
Die CISA-Warnung enthält eine lange Liste von Abhilfemaßnahmen, darunter die Empfehlung, dass Industrieunternehmen mit aktuellen Windows-Versionen arbeiten, eine Multi-Faktor-Authentifizierung und sichere Passwörter zum Schutz von Fernverbindungen verwenden sollten. Außerdem wird empfohlen, die Netzwerkkonfigurationen zu überprüfen und Systeme zu segmentieren, die nicht aktualisiert werden können.
Die CISA warnt auch davor, dass TeamViewer und andere ähnliche Anwendungen nicht nur für den Fernzugriff auf kritische Prozesse missbraucht werden können, sondern auch, um sich seitlich im Netzwerk zu bewegen, bösartigen Code wie Remote Access Trojaner (RATs) einzuschleusen und andere bösartige Aktivitäten zu verschleiern.
"Die legitime Nutzung von TeamViewer macht anomale Aktivitäten für Endanwender und Systemadministratoren jedoch weniger verdächtig als RATs", heißt es in der Warnung.
Darüber hinaus sollten Unternehmen sichere Zugriffslösungen einsetzen, die für ICS-Umgebungen konzipiert sind und die es nur autorisierten Benutzern erlauben, Sitzungen zu erstellen, und die es den Administratoren ermöglichen, diese Sitzungen zu überwachen und bei böswilligen Aktivitäten zu unterbrechen. Wichtig ist auch der Einsatz von Netzwerkerkennungssoftware, die einen Überblick über die in einem OT-Netzwerk ausgeführten Anlagen, einschließlich veralteter Betriebssysteme und Software, sowie über alle mit diesen Produkten verbundenen CVEs bietet, damit die Administratoren Maßnahmen ergreifen können.
CWE-345: UNZUREICHENDE ÜBERPRÜFUNG DER DATENAUTHENTIZITÄT
Eine Funktion in den betroffenen Produkten ermöglicht es Benutzern, eine Projektdatei mit einem eingebetteten VBA-Skript vorzubereiten, das so konfiguriert werden kann, dass es nach dem Öffnen der Projektdatei ohne Benutzereingriff ausgeführt wird. Diese Funktion kann missbraucht werden, um einen legitimen Benutzer dazu zu bringen, beim Öffnen einer infizierten RSP/RSS-Projektdatei bösartigen Code auszuführen. Wenn dies ausgenutzt wird, kann ein Bedrohungsakteur möglicherweise eine Remotecodeausführung durchführen.
CVSS v3: 7.7
CWE-770: Zuweisung von Ressourcen ohne Begrenzung oder Drosselung
Bei der Durchführung einer Online-Tag-Generierung für Geräte, die über das ControlLogix-Protokoll kommunizieren, könnte eine Maschine in der Mitte oder ein nicht korrekt konfiguriertes Gerät eine Antwort liefern, die zu einer unbeschränkten oder ungeregelten Ressourcenzuweisung führt. Dies könnte zu einem Denial-of-Service-Zustand und zum Absturz der Kepware-Anwendung führen. Diese Funktionen sind standardmäßig ausgeschaltet, bleiben aber für Benutzer, die ihre Vorteile erkennen und benötigen, zugänglich.
PTC empfiehlt Anwendern, ihre Fertigungsnetzwerke umfassend zu schützen und für eine angemessene Zugriffskontrolle zu sorgen. Darüber hinaus wird diese Bedrohung durch genaue Konfiguration und Verwendung des Produkts minimiert, wenn der Kepware Secure Deployment Guide befolgt wird.
CVSS v3: 5.3
CWE-732: Überschreiben kritischer Dateien
Wenn die Schwachstelle ausgenutzt wird, könnte ein Angreifer ein AVEVA Reports for Operations-Projekt lesen und schreiben und/oder Installationsdateien manipulieren
CVSS v3: 7.8
CWE-22: Path Traversal führt zur Ausführung von beliebigem Code
Wenn die Schwachstelle ausgenutzt wird, könnte ein Angreifer beliebigen Code mit den Rechten eines interaktiven Benutzers von AVEVA Reports for Operations ausführen.
CVSS v3: 7.8
CWE-420: Ungeschützter alternativer Kanal
In den betroffenen Produkten gibt es eine Sicherheitslücke, die es einem Bedrohungsakteur ermöglicht, bestimmte Kommunikationsbeschränkungen zwischen Steckplätzen in einem 1756-Chassis zu umgehen. Wenn diese Schwachstelle auf einem betroffenen Modul in einem 1756-Chassis ausgenutzt wird, kann ein Bedrohungsakteur möglicherweise CIP-Programmierungs- und Konfigurationsbefehle auf einer Logix-Steuerung im Chassis ausführen.
Lesen Sie den Forschungsblog von Team82.
CVSS v3: 8.4