Studie
Neue Zero-Day-Studie S4 zur Gefährdung von OT-Umgebungen
Studie zeigt direkte Wege zu physischen Geräten, die es Hackern ermöglichen, in betriebliche und industrielle Netzwerke einzudringen
OTORIO, der führende Anbieter von Cyber- und Digital-Risk-Management-Lösungen für Betriebstechnik (OT), hat heute eine neue Studie vorgestellt. Diese weist auf Wireless-IIoT-Schwachstellen hin, die einen direkten Weg zu internen OT-Netzwerken bieten und es Hackern ermöglichen, die üblichen Schutzschichten in diesen Umgebungen zu umgehen. Der leitende OTORIO-Forscher Roni Gavrilov wird auf der S4 2023 (13. bis 16. Februar in Miami South Beach) die wichtigsten Ergebnisse vorstellen und erläutern, wie Unternehmen diese Probleme überwinden können.
OTORIOs umfassende Studie zu industriellen drahtlosen IoT-Geräten und -Technologien hat ein bedeutendes Problem bei der Implementierung eines „sicheren“ Fernzugriffs auf kritische Infrastrukturen aufgedeckt. Da drahtlose IIoT-Geräte in der Regel sowohl mit dem Internet als auch mit dem internen OT-Netzwerk verbunden sind, stellen sie ein ernsthaftes Risiko für OT-Umgebungen dar.
Die Studie zeigt, wie lokale Angreifer industrielle WLAN-Zugangspunkte und Mobilfunk-Gateways kompromittieren können, indem sie auf die WLAN-/Mobilfunk-Kanäle vor Ort abzielen und die Geräte für Man-in-the-middle (MITM)-Angriffe, interne Dienste und sogar den direkten Zugriff auf Purdue Model Level 0-Geräte offenlegen. Diese Geräte sind das ideale Ziel für Hacker, die physische Maschinen zum Absturz bringen und den größten Schaden in der Produktion und den Einrichtungen anrichten wollen.
Angreifer können kostenlose und öffentlich verfügbare Plattformen wie WiGLE nutzen, um ein Ziel zu identifizieren, seinen Standort und seine Schwachstellen zu finden und diese erfolgreich auszunutzen. „Drahtlose IIoT-Cloud-Plattformen stellen in ihrem derzeitigen Zustand eine kritische Angriffsfläche für entfernte Industriestandorte dar“, erklärte Gavrilov. „Wir haben über 30 Schwachstellen in diesen IIoT-Geräten gefunden, darunter eine Kette von Schwachstellen, die einem Angreifer direkten Zugang vom Internet zu Tausenden von internen OT-Netzwerken ermöglichen könnte.“
Das Purdue Enterprise-Referenzarchitektur-Modell bietet ein Rahmenwerk für OT-Sicherheitspersonal, wie sich Netzwerke segmentieren und dadurch schützen lassen. OTORIO fand jedoch heraus, dass eine Sicherheitsverletzung bei einem drahtlosen IIoT-Gerät es Hackern ermöglichen könnte, gleichzeitig jede durch dieses Modell definierte Schicht zu umgehen. Hierzu zählen auch intelligente Geräte sowie Steuerungs-, Fertigungs- und Geschäftslogistiksysteme.
Im Rahmen der Untersuchung wurden mehrere Schwachstellen bei verschiedenen Anbietern gefunden, sowohl in Cloud-Management-Plattformen als auch in Edge-Geräten, von denen einige noch nicht offengelegt wurden.
Sowohl das Cloud-Management als auch die drahtlose Konnektivität vergrößern die potenzielle Angriffsfläche erheblich. Darüber hinaus stellen diese Geräte eine direkte Verbindung zu den unteren Ebenen des Purdue-Modells (L2 bis L0) her, dem idealen Einstiegspunkt für Angreifer in OT-Netzwerke.
Um diese Bedrohungen zu bekämpfen, empfiehlt OTORIO mehrere architektonische Anpassungen, darunter:
- Einführung einer Zero-Trust-Policy zwischen den Zellen und der L3 (Kontrollzentrum), die sicherstellt, dass ein Angreifer, der eine einzelne Zelle kompromittiert, nicht in der Lage ist, andere Zellen oder unnötige Dienste in der L3 zu erreichen.
- Anwendung eines Whitelist-basierten Communication-Templates, die von der FW/IPS zwischen L3 und den Zellen überwacht wird. Das Communication-Template garantiert, dass nur erlaubter Verkehr von den Zellen zur L3 gesendet wird.
- Erstellung einer Proxy-Adresse für Internet-verwaltete Geräte (industrielle Mobilfunk-Gateways, intelligente Feldgeräte etc.). Der Datenverkehr wird an die Proxy-Funktionalität gesendet, die MITM an den Daten durchführt, um jegliches böswillige Verhalten zu erkennen.