All About Security

23.08.2011 Security-Management, Fachartikel

Tanzende Affen und andere Schwachstellen in SIMATIC S7-Steuerungen

Im Sommer 2010 schreckte der Stuxnet-Angriff auf Siemens SIMATIC-Prozessleittechnik sowohl Leittechnik-Betreiber als auch Systemhersteller auf und löste eine intensive Diskussion über das Sicherheitsniveau im sog. SCADA-Umfeld aus [1]. Eine Vielzahl von kürzlich identifizierten weiteren Schwachstellen in Siemens S7-Steuerungskomponenten machen neuerlich klar, dass die Sicherheitsprobleme in der Prozessleittechnik keineswegs nur auf die dort eingesetzten PC-basierten Komponenten beschränkt sind, sondern dass es sich vielmehr um eine grundlegende Problematik handelt, die ein generelles Umdenken erfordern.

Anfang August fand in Las Vegas die Black Hat 2011 statt, eine der weltweit größten und bekanntesten Security-Konferenzen, die jedes Jahr mehrere Tausend Sicherheitsexperten und Hacker anzieht. Traditionell wurde auch die diesjährige Konferenz wieder genutzt, um Schwachstellen in verschiedenen Produkten und Technologien aufzudecken und öffentlich vorzuführen. Mit besonderer Spannung wurde hierbei der Vortrag von Dillon Beresford erwartet, einem Sicherheitsexperten des US-amerikanischen Security-Dienstleisters NSS Lab. Beresford hatte den Stuxnet-Vorfall zum Anlass genommen, um sich bei eBay mehrere SIMATIC S7-Steuerungskomponeten des Herstellers Siemens zu beschaffen und sie einem umfassenden Sicherheitstest zu unterziehen. Dabei identifizierte er auf Anhieb eine ganze Reihe verschiedener Schwachstellen, die er auf der Black Hat zum ersten Mal der breiten Öffentlichkeit präsentierte.

SIMATIC S7 ist die Siemens-Produktfamilie sog. Speicherprogrammierbarer Steuerungen (SPSen). Diese Automatisierungskomponenten werden weltweit in zahlreichen Branchen zur Steuerung und Überwachung von verfahrenstechnischen und Produktions-Prozessen eingesetzt, beispielsweise in den Bereichen Gas- und Erdölindustrie, Chemie und Pharma, Nahrungs- und Genussmittel sowie in der Energieerzeugung, insbesondere im konventionellen Kraftwerksumfeld.

Schwachstellen-Zoo

Beresford identifizierte im Rahmen seiner Untersuchungen eine Vielzahl von verschiedenen Schwachstellen, die alle relevanten Modelle der S7-SPS-Familie betreffen, d.h. die S7-200, -300, -400 und S7-1200 Komponenten. Da die einzelnen Sicherheitslücken teilweise nur in bestimmten Modell- oder Firmware-Versionen nachgewiesen wurden und bisher noch keine hinreichenden offiziellen Informationen von Seiten des Systemherstellers Siemens zur Verfügung stehen, ist eine Bestimmung der genauen Anzahl der Lücken sowie eine Zuordnung zu den verschiedenen S7-Versionen derzeit nicht möglich. Im Folgenden werden die zurzeit bekannten Informationen zu den einzelnen Sicherheitslücken nach Schwachstellentypen zusammengefasst und klassifiziert:

• Backdoor-Zugang

In verschiedenen Firmware-Versionen der S7-300 SPS existiert ein fest einprogrammierter, nicht deaktivierbarer und undokumentierter Standard-Nutzeraccount, dessen Passwort nicht geändert werden kann. Über diesen Nutzer lässt sich mittels Telnet- und HTTP-Zugang u.a. der Speicher der SPS auslesen und gegebenenfalls auch manipulieren. Desweiteren lässt sich mit diesem Account laut Angaben von Dillon Beresford eine Debugging-Shell aktivieren, über die weitreichende Manipulationen möglich sind. Die Zugangsdaten für den Backdoor-Zugang finden sich bereits an diversen Stellen im Internet.

• Verschiedene DoS-Schwachstellen

Dillon Beresford präsentierte eine ganze Reihe von Sicherheitslücken, mit denen sich S7-SPSen über das Netzwerk zum Absturz bringen lassen (sog. DoS- oder Denial-of-Service-Schwachstellen). Dies ist für Automatisierungskomponenten eine besonders kritische Schwachstellekategorie, da hierdurch der durch die SPS gesteuerte physikalische Prozess unter Umständen in einen unkontrollierten Zustand geraten kann. Unter anderem lassen sich diese Schwachstellen durch wiederholtes Senden von Start/Stop-Kommandos und durch Netzwerk-Zugriffe auf ungültige Speicheradressen auslösen. Die SPS kann dann nur durch einen Reboot (Kaltstart) vor Ort wieder neu gestartet werden. Für die S7-1200 wurde eine weitere DoS-Schwachstelle im integrierten Webserver identifiziert, durch die die Steuerung durch häufige Netzwerkanfragen ebenfalls zum Absturz bzw. in den STOP-Zustand gebracht werden kann.

• Nutzung unsicherer Netzwerkprotokolle

S7-SPSen nutzen zur Netzwerkkommunikation auf Layer 4 (Transport-Ebene) das standardisierte ISO-TSAP-Protokoll nach RFC 1006. Darauf aufbauend wird auf Applikationsebene (Layer 7) das sog. S7-Protokoll genutzt, ein proprietäres Industrieprotokoll, das ebenso wie das unterlagerte ISO-TSAP keine hinreichenden Sicherheitsmechanismen bietet. Über das S7-Protokoll ist es deshalb möglich den Speicher der SPS auszulesen und zu beschreiben, ebenso können beliebige Befehle an die SPS gesendet werden. Hierüber können bei einem Netzwerkzugriff auf die Automatisierungskomponenten unter anderem die SPS-Ausgänge und damit der gesteuerte Prozess beliebig manipuliert werden, ebenso kann die Programmierung der SPS unbefugt geändert werden.

• Ineffektiver Authentisierungsmechanismus

Siemens hat bestimmte über das S7-ISO-TSAP-Protokoll realisierte Funktionsaufrufe und Netzwerkbefehle mit einem Passwort-Schutz versehen. Dieser Schutzmechanismus – der in der Regel in Produktivumgebungen nicht aktiviert ist - ist aus mehreren Gründen völlig ineffektiv realisiert. Zunächst lässt sich der Schutz durch eine sog. Replay-Attacke leicht aushebeln. Hierzu muss ein Angreifer nur einen per Passwort gesicherten, beliebigen Funktionsaufruf mitschneiden - anschließend kann der mitgelesene Passwort-Hash zur Ausführung beliebiger anderer Befehle „wiederverwendet“ werden. Desweiteren sind offenbar nicht alle über das Netzwerk ausführbare Befehle geschützt, insbesondere erfolgen die besonders kritischen Schreibzugriffe aus nicht nachvollziehbaren Gründen ungesichert – somit kann der Speicher der SPS – und damit auch der physikalische Prozess - auch ohne Passwortkenntnis nahezu beliebig manipuliert werden. Besonders pikant ist dabei, dass sich hierdurch auch der Passwortschutz selbst ohne Authentisierung deaktivieren lässt. Ebenso kann so ein neues Passwort gesetzt werden – anschließend ist der Zugriff auf die SPS nur noch eingeschränkt möglich. Dies könnte in vielen Umgebungen zu kritischen Betriebszuständen und schweren Störungen führen, wenn z.B. ein übergeordnetes Leitsystem keine Befehle mehr an eine SPS senden kann.

• Easter-Egg

In verschiedenen S7-300 Firmware-Versionen wurde ein sog. Easter-Egg entdeckt: es handelt sich hierbei um ein Bild tanzender Affen, das offensichtlich einer der Entwickler als Scherz im Firmware-Code hinterlassen hatte (Abbildung-1). Während dieses Bild vermutlich keine direkte Sicherheitslücke darstellt, wird hierdurch die Effektivität der in der Entwicklung angewandten Qualitätsmanagement-Prozesse in Frage gestellt.

Abbildung-1: Easter-Egg: Bild tanzender Affen (Quelle: S7-300)

<< Erste < Vorherige 1 2 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: Dr. Stephan Beirer
HP gründet neue Forschungsgruppe für IT-Sicherheit HP hat die Gründung einer neuen Forschungsgruppe für IT-Sicherheit bekannt gegeben: HP Security Research (HPSR) wird Sicherheitsrisiken untersuchen, Briefings zu konkreten Bedrohungen veröffentlichen sowie die Weiterentwicklung von HPs IT-Security-Portfolio unterstützen.Gleichzeitig mit der...