Schon wieder ein Leck in Siemens-Software zur Industriesteuerung

SicherheitSicherheitsmanagement

Auch der Schädling Stuxnet, der lange Zeit die Schlagzeilen anführte, griff die Siemens-Software SCADA an. Die darin neu entdeckte Lücke ist auch für Anwendungen von General Electric, Schneider Electric und Rockwell Automation gefährlich.

Nach eigenen Angaben hat der Sicherheitsanbieter ReVuln gleich mehrere Schwachstellen in SCADA-Software (Supervisory Control and Data Acquisition) von Siemens, General Electric, Schneider Electric, Rockwell Automation und Eaton gefunden. Angreifer könnten die vollständige Kontrolle über ein SCADA-System übernehmen, wenn sie die Schwachstelle ausnutzen. Der Entdecker der Lücken hält bisher alle Details unter Verschluss. Wie Computerworld berichtet, demonstriert das auf Malta ansässige Start-up insgesamt neun Zero-Day-Lücken in einem am Montag veröffentlichten Video.

Nach Angaben des Unternehmens könnten Angreifer die vollständige Kontrolle über ein betroffenes System übernehmen, um Schadcode auszuführen oder auch Dateien herunterzuladen. “Sie können Rootkits oder andere Arten von Malware installieren und vertrauliche Daten wie Passwörter für andere Computer im selben Netzwerk ausspähen”, sagte der Sicherheitsforscher Luigi Auriemma, Gründer von ReVuln.

Die Angriffe lassen sich dem Bericht zufolge von einem anderen Computer im internen Netzwerk und in vielen Fällen auch über das Internet starten. Die meisten Produkte erlaubten laut Bedienungsanleitung eine Fernwartung über das Internet, ergänzte Auriemma. Einige Systeme seien aber auch durch unsichere Konfiguration von außen erreichbar. Die für das Aufspüren von mit dem Internet verbundenen Industriekontrollsystemen entwickelte Suchmaschine Shodan liefere “tonnenweise interessante Ergebnisse über Maschinen großer bekannter Konzerne, die wir momentan aus der Ferne angreifen können.”

Die Details zu den Anfälligkeiten will Auriemma jedoch nicht preisgeben. Auch eine Weitergabe an die jeweiligen Hersteller sei nicht geplant. “Das ICS-CERT hat uns vor wenigen Minuten kontaktiert und nach weiteren Details gefragt, aber wir werden die Informationen nicht veröffentlichen”, sagte der Forscher. “Sie sind Teil unseres Portfolios für unsere Kunden, also werden keine Details öffentlich freigegeben.”

ReVuln gehört neben dem französischen Unternehmen Vupen zu den wenigen Firmen, die Anfälligkeiten an Regierungsbehörden oder Firmen verkaufen. Sie weigern sich, ihre Erkenntnisse mit den jeweiligen Herstellern der Software zu teilen, damit diese entsprechende Fixes erstellen können.

Aufgrund der fehlenden Informationen ist es unmöglich nachzuvollziehen, ob die Sicherheitslücken tatsächlich existieren. Auriemma hat jedoch schon öfter Fehler in SCADA-Lösungen verschiedener Hersteller aufgedeckt und auch öffentlich gemacht, was laut Computerworld den Behauptungen seines Unternehmens eine gewisse Glaubwürdigkeit verleiht.