ICS
OTORIO meldet Cyber-Schwachstellen bei industriellen Montagewerkzeugen
Der Power Focus 6000 ist ein Steuergerät, das eine breite Palette von Montagewerkzeugen der Atlas Copco verbindet, indem es eine gemeinsame Montageplattform zur Verfügung stellt. Das Gerät wird häufig in Fertigungs- und Industrieunternehmen eingesetzt und kann über die integrierte HMI-Schnittstelle oder aus der Ferne über eine eingebaute WEB-Schnittstelle gesteuert werden.
Die von OTORIO entdeckten Schwachstellen könnten, wenn sie erfolgreich ausgenutzt werden, zur Offenlegung sensibler Informationen sowie zur unbefugten Übernahme aktiver Benutzersitzungen führen. Dies könnte möglicherweise zu Verzögerungen im Betrieb und zu Fehlern in der Produktion führen.
In folgendem Beitrag geht OTORIO , Experte für OT Security, auf die Details dieser Schwachstellen ein und erörtert mögliche Abhilfemaßnahmen zum Schutz vor einer Ausbeutung durch Unbefugte.
Details zur Schwachstelle
Während einer Arbeit im Netzwerk eines Kunden aus der Fertigungsindustrie stießen die Securoty-Forscher von OTORIO auf die Power Focus 6000. Während einer allgemeinen Untersuchung des Netzwerks entdeckten sie mehrere Schwachstellen im Zusammenhang mit seiner WEB-Schnittstelle.
Nicht-bereinigte Speicherung von Anmeldeinformationen (CVE-2023-1897 CVSS 9.4)
Der Web-Server Power Focus 6000 führt eine automatische Anmeldung für jeden Benutzer durch, der fest codierte Anmeldedaten verwendet. Wenn ein Benutzer den WEB-Server ansteuert, sendet der Browser eine automatische Anfrage an den Controller mit den fest codierten Anmeldeinformationen und erhält eine Sitzungs-ID. Diese Schwachstelle könnte es einem Angreifer ermöglichen, unbefugten Zugriff auf den Controller zu erlangen und einen PIN-Code festzulegen, um einen beständigen Zugriff zu erhalten.
Unsichere Verarbeitung der Sitzungs-ID (CVE-2023-1898 CVSS 9.4)
Der Web-Server Power Focus 6000 verwendet ein schwaches Format für Sitzungs-IDs, und zwar einfache Integer-Zahlen, was ihn anfällig für Auszählungsangriffe macht: Ein Angreifer kann mehrere HTTP-Anfragen mit unterschiedlichen Sitzungs-IDs senden, bis er eine aktive Sitzung findet. Dies stellt eine triviale Art eines Brute-Force-Angriffs dar, der auch von einem unerfahrenen Angreifer durchgeführt werden kann.
Fehlen einer sicheren Verbindung (CVE-2023-1899 CVSS 9.4)
Standardmäßig stellt der Web-Server Power Focus 6000 keine sichere Verbindung (TLS/SSL) her, wodurch sensible Informationen während der Kommunikation im Netzwerk zwischen dem Benutzer und dem Steuergerät offengelegt werden. Diese Schwachstelle könnte es einem Angreifer ermöglichen, kritische Daten abzufangen und einzusammeln, indem er den Netzwerkverkehr überwacht.
Vorschläge für Abhilfemaßnahmen und Widerstandsfähigkeit
Die oben genannten Schwachstellen können durch die folgenden Maßnahmen bereinigt werden:
Die Angriffsfläche verkleinern
- Das Web-Interface deaktivieren: Wenn es für den Betrieb nicht erforderlich ist, sollte man in Erwägung ziehen, das Web-Interface ganz zu deaktivieren und damit die Angriffsfläche vollständig zu beseitigen. Es ist zu beachten, dass die Bedienung dann nur noch über die integrierte HMI mit dem Gerät aktiviert werden kann.
- Eine Netzwerk-Segmentierung installieren: Das Gerät verfügt über Firewall-Funktionen, die es ermöglichen, eingehende Verbindungen auf der Grundlage von Service-Port, IP-Adresse und MAC-Adresse zu filtern.
- Zusätzliche Empfehlung: Das Gerät Power Focus in einem getrennten Netzwerk isolieren, um die potenzielle Angriffsfläche zu verkleinern. Wenn es nicht möglich ist, das Gerät zu isolieren, sollte man den WEB-TCP-Port (der Port, auf dem der Web-Server läuft) einschränken, um die Kommunikation nur mit den erforderlichen Stationen zu ermöglichen.
Weitere Einzelheiten findet man in dem Benutzerhandbuch von Power Focus 6000: https://picontent.atlascopco.com/cont/external/short/html/Power_Focus_6000/en-US/18725177995.html
Festlegen starker Benutzer- und PIN-Codes
Einen starken und eindeutigen PIN-Code für den Zugriff auf das Gerät festlegen: Das Gerät ermöglicht die Einrichtung eines Benutzernamens mit bis zu 32 Zeichen und eines vierstelligen PIN-Codes. Ein stabiler Benutzername und ein PIN-Code bieten eine zusätzliche Schicht der Authentifizierung und verhindern damit unbefugten Zugriff. Das Festlegen eines PIN-Codes verhindert, dass unbefugte Angreifer Zugriff auf das Gerät erhalten.
Weitere Einzelheiten hierzu findet man in der folgenden Anleitung: https://picontent.atlascopco.com/cont/external/short/html/Power_Focus_6000/en-US/60269835.html
Die Vorschläge für Sicherheitsmechanismen in den Handbüchern der Hersteller beachten
Handbücher für Anwender enthalten in der Regel detaillierte Informationen über die Konfiguration, die Einstellungen und die Sicherheitsmerkmale industrieller Systeme, so dass die Verantwortlichen die erforderlichen Schutzmaßnahmen verstehen und umsetzen können. Indem sie die Anweisungen im Benutzerhandbuch befolgen, können sie sicherstellen, dass die Systeme von Operational Technology (OT) sicher eingestellt sind und über angemessene Zugangskontrollen, Netzwerksegmentierung und Authentifizierungsmechanismen verfügen. All dies trägt dazu bei, kritische Infrastrukturen vor potenziellen Cyber-Bedrohungen, Schwachstellen und unbefugtem Zugriff zu schützen. Mögliche Störungen, Datenverletzungen und böswillige Aktivitäten können auf diese Weise schon im Vorfeld verhindert werden. Zum Beispiel sollte man standardmäßige Passwörter regelmäßig ändern oder Passwörter an solchen Stellen festlegen, an denen sie noch nicht existieren.
Fazit
Die Entdeckung von Schwachstellen in den Controllern von Power Focus 6000 sollte daran erinnern, wie wichtig robuste Sicherheitsmaßnahmen für OT-Anlagen sind. Die identifizierten Schwachstellen könnten, wenn sie ausgenutzt werden, zu finanziellen Risiken aufgrund von Verzögerungen im Herstellungsprozess führen. Die Tatsache, dass unser Team diese Schwachstellen zunächst ohne feste Absicht entdeckte, während es damit nicht verbundene Forschungsaufgaben durchführte, unterstreicht die Bedeutung und Problematik dieser Ergebnisse.