Aktualisiert am 14. Dezember mit CVE-Informationen von CISA.
Kinetische Konflikte wurden häufig von Online-Angriffen begleitet. Hacktivisten beispielsweise sind oft daran interessiert, ihre politisch motivierten Botschaften zu verbreiten und sich während eines Konflikts der einen oder anderen Seite anzuschließen. Der derzeitige Krieg zwischen Israel und der Hamas ist keine Ausnahme. Eine als CyberAv3ngers bekannte Gruppe behauptet, 10 Wasseraufbereitungsanlagen in Israel infiltriert zu haben.
Verantwortliche für Cybersicherheit in den USA wurden auf die Aktivitäten der Gruppe aufmerksam, als sie sich auf eine relativ kleine Wasserversorgungseinrichtung in Aliquippa (USA) ausbreitete, die am 25. November einen störenden Angriff auf eine ihrer Druckerhöhungsstationen meldete, der die Behörden dazu zwang, auf manuelle Verfahren zurückzugreifen, um die sichere Wasserversorgung ihrer mehr als 6.600 Kunden aufrechtzuerhalten.
Beamte der Municipal Water Authority of Aliquippa (MWAA) erklärten, dass die öffentliche Sicherheit zu keinem Zeitpunkt gefährdet war und dass die Strafverfolgungsbehörden zur Untersuchung hinzugezogen worden sind. Über den ursprünglichen Einbruch gibt es nur wenige Details, aber das Ziel war ein PLC/HMI-Gerät, das von einem israelischen Unternehmen namens Unitronics hergestellt wurde. Während des Einbruchs wurden auch mehrere Sicherheitskameras manipuliert, was ebenfalls ein Markenzeichen von CyberAv3ngers zu sein scheint.
Die Angreifer hinterließen eine Nachricht, die unten abgebildet ist: "Jedes Gerät 'Made in Israel' ist ein legales Ziel von CyberAv3ngers", was das erste Mal ist, dass die Gruppe israelische Technologie in ihren Botschaften hervorhebt.
Was wir über den Angriff auf die MWAA wissen, erfahren Sie hier.
Die Druckerhöhungsanlage der MWAA - Pumpen, die den Wasserdruck und den Wasserfluss im gesamten System aufrechterhalten - löste während des Angriffs einen Alarm aus, so dass die Beamten die Anlage sofort abschalteten und mit dem manuellen Betrieb begannen.
"Sie hatten keinen Zugang zu unserer eigentlichen Wasseraufbereitungsanlage oder zu anderen Teilen unseres Systems, mit Ausnahme einer Pumpe, die den Druck in höher gelegenen Bereichen unseres Systems reguliert", sagte der Vorsitzende der MWAA, Matthew Mottes , gegenüber einer lokalen Zeitschrift. "Diese Pumpe befand sich in einem eigenen Computernetzwerk, das von unserem primären Netzwerk getrennt und physisch meilenweit entfernt ist."
Die kompromittierte Unitronics V570 PLC/HMI wurde zumindest verunstaltet, was darauf hindeutet, dass die Angreifer zumindest Zugriff auf das Gerät hatten. Es ist unklar, ob sie diesen Zugriff genutzt haben, um das Gerät zu beschädigen oder den Betrieb zu stören, indem sie sich seitlich im Netzwerk bewegten.
Es gab frühere Berichte über per Fernzugriff ausnutzbare Schwachstellen in der VisiLogic-Software von Unitronics, einer Entwicklungsumgebung und Engineering-Workstation, die zum Programmieren, Hoch- und Herunterladen von Daten von SPSen verwendet wird. Unitronics hat diese Probleme behoben, und zu diesem Zeitpunkt waren keine öffentlich zugänglichen Exploits bekannt.
Am 14. Dezember veröffentlichte die CISA einen Hinweis auf CVE-2023-6448 und die Verwendung von Standard-Administrationspasswörtern in SPS- und HMI-Geräten der Vision-Serie von Unitronics. Unitronics meldete die Schwachstelle selbst an die CISA und empfiehlt den Benutzern ein Update auf VisiLogic Version 9.9.00.
Das Sicherheitsunternehmen Forescout wies auch auf die Verfügbarkeit von Metasploit-Modulen und -Skripten zum Scannen und Erstellen von Fingerabdrücken von Unitronics-Geräten hin. Es ist nicht bekannt, ob eines dieser Tools bei dem Angriff auf MWAA verwendet wurde.
Eine Shodan-Suche nach Unitronics-Geräten zeigt fast 2.000 Geräte, die mit dem Internet verbunden sind, darunter fast 300 Geräte der Serie V570. Unitronics-SPS-Geräte standen auch im Mittelpunkt eines störenden Angriffs in Israel im April, der die Wasserversorgung für ein Dutzend Bauernhöfe im Jordantal und die Wasseraufbereitungssteuerungssysteme eines Abwasserunternehmens beeinträchtigte. Einem veröffentlichten Bericht zufolge war die SPS mit dem Internet verbunden und nur durch ein Standardpasswort geschützt, das von den Administratoren nicht geändert worden war.
Laut der Dokumentation von Unitronics unterstützen einige seiner PLCs VNC als Fernzugriffstechnologie. VNC ist eine Desktop-Sharing-Anwendung, die zu Support- und Wartungszwecken für Remote-Geräte verwendet wird. Ein Angreifer könnte zum Beispiel eine spezielle Shodan-Suche erstellen, die Unitronics-Geräte mit einem offenen VNC-Port identifiziert und feststellt, ob die Authentifizierung deaktiviert ist. Standardmäßige, bekannte oder leicht zu erratende Passwörter gefährden diese Systeme auch für Brute-Force-Angriffe.
Die Cybersecurity Infrastructure and Security Agency (CISA) veröffentlichte diese Woche ebenfalls eine Warnung, dass sie zusammen mit den Strafverfolgungsbehörden auf den MWAA-Vorfall reagiere. Sie warnte davor, dass andere Einrichtungen Ziel ähnlicher opportunistischer Angriffe wie des MWAA-Vorfalls sein könnten. In der Warnung der CISA heißt es, dass wahrscheinlich "Cybersicherheitsschwächen" wie mangelhafte Passwortsicherheit und unsichere Internetverbindungen ausgenutzt wurden.
Die CISA empfiehlt Unitronics-Benutzern:
Ändern Sie das Standardpasswort (1111) auf allen PLCs und HMIs
Implementierung einer mehrstufigen Authentifizierung für den Fernzugriff von internen und externen Netzwerken auf OT-Systeme
PLCs aus dem Internet entfernen
Sichern Sie Fernverbindungen mit einer Firewall oder einem VPN; die Mehrfaktor-Authentifizierung kann auf der Firewall oder dem VPN eingesetzt werden, falls die SPS oder die HMI dies nicht unterstützen.
Sicherstellen, dass PLC- und HMI-Anwendungen gesichert und verfügbar sind
Ändern Sie die Standard-Ports, die möglicherweise betroffen sind (20256 für Unitronics und 5900 für VNC)
Sicherstellen, dass die PLC-Versionen aktuell sind
Hacktivisten werden ihre Aktivitäten auch weiterhin in militärische und politische Konflikte einbringen und darauf abstimmen, und diese Vorfälle sind möglicherweise nicht auf die Regionen beschränkt, in denen ein kinetischer Konflikt stattfindet. Selbst triviale Angriffe können zu Störungen führen, und Organisationen werden dringend aufgefordert, minimale Sicherheitsmaßnahmen wie Passwortsicherheit und sicheren Fernzugriff zu ergreifen, um diese Angriffe abzuwehren.
Erst vor zwei Jahren hat der Sektor der kritischen Infrastrukturen im Wasser- und Abwassersektor große Herausforderungen im Bereich der Cybersicherheit identifiziert, die von der personellen und finanziellen Ausstattung bis hin zu Bedrohungsdaten und Sicherheitswerkzeugen reichen. Zu den verbesserungswürdigen Bereichen gehörten die Notwendigkeit, die Exposition von Kontrollsystemen gegenüber dem Internet zu minimieren, Schwachstellen zu identifizieren und zu beheben sowie den Fernzugriff auf OT-Systeme zu sichern.
Dies deckt sich mit den Empfehlungen der Bundesregierung, einschließlich der CISA, dass eine grundlegende Sicherheitshygiene für Organisationen in den 16 kritischen Infrastruktursektoren eine minimale Basis darstellt. Der MWAA-Angriff sollte den Sicherheitsverantwortlichen auch vor Augen führen, dass jede Organisation dem Risiko opportunistischer Angriffe in großem Umfang ausgesetzt ist, die schnell zu einer Störung führen können.
CWE-345: UNZUREICHENDE ÜBERPRÜFUNG DER DATENAUTHENTIZITÄT
Eine Funktion in den betroffenen Produkten ermöglicht es Benutzern, eine Projektdatei mit einem eingebetteten VBA-Skript vorzubereiten, das so konfiguriert werden kann, dass es nach dem Öffnen der Projektdatei ohne Benutzereingriff ausgeführt wird. Diese Funktion kann missbraucht werden, um einen legitimen Benutzer dazu zu bringen, beim Öffnen einer infizierten RSP/RSS-Projektdatei bösartigen Code auszuführen. Wenn dies ausgenutzt wird, kann ein Bedrohungsakteur möglicherweise eine Remotecodeausführung durchführen.
CVSS v3: 7.7
CWE-770: Zuweisung von Ressourcen ohne Begrenzung oder Drosselung
Bei der Durchführung einer Online-Tag-Generierung für Geräte, die über das ControlLogix-Protokoll kommunizieren, könnte eine Maschine in der Mitte oder ein nicht korrekt konfiguriertes Gerät eine Antwort liefern, die zu einer unbeschränkten oder ungeregelten Ressourcenzuweisung führt. Dies könnte zu einem Denial-of-Service-Zustand und zum Absturz der Kepware-Anwendung führen. Diese Funktionen sind standardmäßig ausgeschaltet, bleiben aber für Benutzer, die ihre Vorteile erkennen und benötigen, zugänglich.
PTC empfiehlt Anwendern, ihre Fertigungsnetzwerke umfassend zu schützen und für eine angemessene Zugriffskontrolle zu sorgen. Darüber hinaus wird diese Bedrohung durch genaue Konfiguration und Verwendung des Produkts minimiert, wenn der Kepware Secure Deployment Guide befolgt wird.
CVSS v3: 5.3
CWE-732: Überschreiben kritischer Dateien
Wenn die Schwachstelle ausgenutzt wird, könnte ein Angreifer ein AVEVA Reports for Operations-Projekt lesen und schreiben und/oder Installationsdateien manipulieren
CVSS v3: 7.8
CWE-22: Path Traversal führt zur Ausführung von beliebigem Code
Wenn die Schwachstelle ausgenutzt wird, könnte ein Angreifer beliebigen Code mit den Rechten eines interaktiven Benutzers von AVEVA Reports for Operations ausführen.
CVSS v3: 7.8
CWE-420: Ungeschützter alternativer Kanal
In den betroffenen Produkten gibt es eine Sicherheitslücke, die es einem Bedrohungsakteur ermöglicht, bestimmte Kommunikationsbeschränkungen zwischen Steckplätzen in einem 1756-Chassis zu umgehen. Wenn diese Schwachstelle auf einem betroffenen Modul in einem 1756-Chassis ausgenutzt wird, kann ein Bedrohungsakteur möglicherweise CIP-Programmierungs- und Konfigurationsbefehle auf einer Logix-Steuerung im Chassis ausführen.
Lesen Sie den Forschungsblog von Team82.
CVSS v3: 8.4
