Schwachstellen

Crit.IX: Armis deckt 9 Schwachstellen bei Honeywell auf

, Armis | Autor: Herbert Wieler

Crit.IX: Armis deckt 9 Schwachstellen bei Honeywell auf

Security-Forscher von Armis veröffentlichen die Crit.IX . Hierbei handelt es sich um neun Schwachstellen, die in den Honeywell’s Experion® Platforms gefunden wurden. Sie ermöglichen eine nichtautorisierte Ausführung von Code auf älteren Versionen der Honeywell Server und Controller aus der Ferne. Bei einer Ausnutzung würde dies dem Angreifer ermöglichen, Geräte zu übernehmen und die Prozesse auf den DCS-Controllern zu verändern. Darüber hinaus hätten sie die Änderungen vor den Engineering Workstations verbergen können, die die DCS-Controller verwalten. Die Ausnutzung dieser Schwachstellen benötigt keine Authentifizierung, sondern lediglich einen Zugang zum Netzwerk auf die anvisierten Geräte. Darüber hinaus können möglicherweise weitere IT, IoT und OT-Assets, die sich im gleichen Netzwerk wie die DCS-Geräte befinden, kompromittiert werden.

Carlos Buenano, Principal Solutions Architect OT bei Armis

„Wir haben mit Honeywell an der Untersuchung und dem Verständnis für die darunter liegenden Probleme gearbeitet – was in der zur Verfügung Stellung eines Patches mündete. Bevor wir unsere Ergebnisse der Öffentlichkeit preisgeben, wollten wir sicherstellen, dass es Patches für betroffene Kunden gibt, die schnell und proaktiv reagieren möchten. Wir sind zufrieden, dass Honeywell eine Lösung für Unternehmen zur Verfügung stellen kann, die kontinuierlich ihre Security Posture verbessern und ihre Cyberabwehr gegen Cyberkriminelle stärken wollen“, erklärt Carlos Buenano, Principal Solutions Architect OT bei Armis.

Die neu entdeckten Schwachstellen betreffen eine ganze Reihe von Produkten und Versionen in drei Honeywell Experion DCS-Plattformen: In der Experion Process Knowledge System (EPKS)-Plattform (Experion Server and Experion Station) und in den LX und PlantCruise-Plattformen (Engineering Station and Direct Station). Außerdem betreffen die Schwachstellen den C300 DCS Controller, der auf allen drei Plattformen genutzt wird.

Honeywell hat Security Patches zur Verfügung gestellt und empfiehlt allen betroffenen Organisationen diese umgehend auszuführen. Honeywell Kunden können die Patches einsehen, indem sie sich hier einloggen https://process.honeywell.com/ und sich durch die Rubrik mit den technischen Dokumenten durcharbeiten. Für weitere Informationen zu Honeywell‘s koordiniertem Vulnerability Disclosure-Prozess besuchen Sie folgende Webseite: https://www.honeywell.com/us/en/product-security .

Kunden von Armis können die Asset Intelligence und Security-Plattform nutzen, um ihr Netzwerk mit den folgenden Schritten zu schützen:

  1. Umfangreiche Asset Visibility erreichen. Mit der Erstellung eines akkuraten Inventars, das jeden Aspekt umfasst, von der Hard- zur Firmware und Software-Version, können Organisationen effektiv Schwachstellen auf Servern und Controllern in ihren Umgebungen identifizieren.

  2. Bei der Implementierung eines Vulnerability Management-Programms, dass aufgrund des Risikos priorisiert, können Organisationen effektiv ihre Schwachpunkte minimieren und das Risiko der Exploits reduzieren, die auf Geräte ohne verfügbare Patches abzielen. Mehr noch wird die sofortige Ausführung von Security Patches bei ihrer Verfügbarkeit das Zeitfenster für die Verwundbarkeit für diese Geräte verringern.

  3. Da die entdeckten Schwachstellen lediglich Netzwerkzugriff auf ein verwundbares Gerät erfordern, wird die Netzwerksegmentierung eine ganze Zeit lang benötigen, um die Ausnutzung dieser Schwachstellen zu verhindern. Bei der Separierung des Netzwerks in bestimmte Segmente basierend auf den Security Leveln oder Gerätetypen, können Organisationen die laterale Bewegung von Angreifern limitieren, potenzielle Gefahren eindämmen und die Auswirkungen auf den verwundbaren Geräten abmildern. Die Segmentierungsanstrengungen in OT-Umgebungen können mit einem Industry Reference Modell wie dem Purdue Model erreicht werden. Es repräsentiert einen logischen oder funktionalen Blick auf OT-Umgebungen und kann für die Identifizierung jeglicher Abweichungen des erwartbaren Verhaltens von OT-Assets genutzt werden. Dies gilt speziell für Assets, die auf Level 0 und 1 mit höher liegenden Assets, wie Assets in den IT-Netzwerken, kommunizieren. Die Segmentierung kann durch ein Verständnis des Verhaltens der Assets erreicht werden, um lediglich die zu erwartenden Verhaltensweisen zu erlauben.

  4. Die Erfahrung hat gezeigt, dass selbst geschützte Netzwerke anfällige für Sicherheitsvorfälle sind. Deshalb ist es entscheidend, ein robustes Threat Detection-System zu implementieren, um Exploit-Versuche zu erkennen, die sich auf das gesamte Netzwerk ausdehnen und alle Geräte umfassen, darunter IT, OT und IoT. Der Einsatz einer Mischung aus Erkennungstechniken, einschließlich signaturbasierter Analyse, Anomalie-Erkennung und Indikatoren für eine Kompromittierung (Indicators of Compromise, IOCs), bietet eine zusätzliche Sicherheitsebene, die im Falle eines Angriffs die allgemeine Verteidigungsbereitschaft erhöht.

Hier hat die CISA sein Advisory veröffentlicht: https://www.cisa.gov/news-events/ics-advisories/icsa-23-194-06