ALPS blog

ICS-Schwachstellen: Fertigung besonders gefährdet

Originalartikel von Trend Micro

Von Schwachstellen, die industrielle Steuerungssystemumgebungen (ICS) betreffen, erfährt die Öffentlichkeit durch Advisories des Industrial Control Systems Cyber Emergency Response Team (ICS-CERT). Wir haben ICS-Lücken mit Hilfe von MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) eingehend untersucht und deren Entwicklung in den letzten zehn Jahren nachgezeichnet. Wir sind auch der Frage nachgegangen, welche Industriebereiche in erster Linie von Angriffen betroffen sind. Es ist die Fertigungsindustrie, die am meisten von den Lücken betroffen ist.

Bild 1. CVEs, die die Fertigung betreffen, nach MITRE Impact

Diese Grafik zeigt den Prozentsatz der CVEs, die sich auf die kritische Fertigung auswirken, und die von Angreifern potenziell genutzt werden können, um diese „Impacts“ zu verursachen. Die Beschreibungen der Techniken, die zur Erzielung von Auswirkungen verwendet werden können, stammen aus MITRE ATT&CK for ICS.

59% der kritischen Fertigung war von „Damage of Property“ betroffen, das heisst, Angreifer versuchen, „Eigentum, Infrastruktur, Ausrüstung oder die Umgebung“ zu beschädigen oder zu zerstören. 63,4 % erlitten einen Kontrollverlust, bei dem Angreifer „Bediener und Ingenieure vorübergehend daran hindern, mit der Prozesssteuerung zu interagieren“. Zusätzlich mussten 58,3% bzw. 33,4%  „Loss of Availability“ und „Loss of Control“ hinnehmen. 59% der Unternehmen waren auch von „Loss of Productivity and Revenue“, 2,3% von „Loss of Protection“ betroffen.

„Loss of Safety“ erlebten 0,5%. Sicherheitsverlust bedeutet, dass ein Angreifer versucht, „Safety-Systemfunktionen zu kompromittieren, die darauf ausgerichtet sind, den Betrieb eines Prozesses sicher zu gewährleisten, wenn inakzeptable oder gefährliche Bedingungen auftreten“. Bei 54,7 % der Fälle kam es zu einem „Loss of View“ (Sichtbarkeitsverlust), wenn die Angreifer versuchten, einen dauerhaften oder permanenten Sichtbarkeitsverlust zu verursachen, bei dem die ICS-Ausrüstung ein lokales, praktisches Eingreifen des Bedieners erfordert.

„Denial of View“ (75,4 %) ist der bei weitem am leichtesten zu verursachende Schaden, wenn Angreifer es auf kritische Produktionsanlagen abgesehen haben. Dies liegt daran, dass dazu lediglich die Kommunikation zwischen Geräten gestört, der Dienst auf der HMI-Seite verweigert oder die SCADA gestört werden muss.

Bild 2. CVEs die die Fertigung betreffen, nach MITRE Initial Access

Dem Internet zugängliche Geräte und temporäre Cyber-Assets stehen mit jeweils 41,7 % hauptsächlich als Eintrittspunkt für den Erstzugang (Initial Access) in der Statistik. Die Ausnutzung von öffentlich zugänglichen Anwendungen (12,8 %) ist dann gegeben, wenn Angreifer internetorientierte Software wie HMI- oder SCADA-Webanwendungen, Netzwerkdienste oder Anlagenbetriebssysteme als Ausgangspunkt für ihren Angriff nutzen.

Bild 3. CVEs die die Fertigung betreffen, nach Timeline Gap der Veröffentlichung durch ICS-CERT und NVD

Dieses Diagramm zeigt den zeitlichen Abstand zwischen der Veröffentlichung von 2021 CVEs, die die kritische Fertigung betreffen, im ICS-CERT und der Veröffentlichung in der National Vulnerability Database (NVD).

11,4 % der CVEs in der kritischen Fertigung wurden in der NVD erst mehr als drei Monate nach dem Listen beim ICS-CERT veröffentlicht. Ausserdem dauerte es bei 11,1 % länger als ein Jahr. Dennoch, der Status von 20,2 % der CVEs, die die kritische Fertigung betreffen, ist unklar – sie wurden zwar auf ICS-CERT gepostet, aber es ist noch nicht bekannt, ob NVD bereits Informationen über sie erhielt oder wann solche Informationen von NVD veröffentlicht werden könnten. Die Weitergabe von Informationen kann unterschiedlich viel Zeit in Anspruch nehmen, da es viele Gruppen gibt, die berechtigt sind, Schwachstellen CVE-IDs zuzuweisen und CVE-Einträge zu veröffentlichen.

Bei der Abwehr von Angriffen auf die Lieferkette sind die von NVD bereitgestellten Informationen von entscheidender Bedeutung. Durch den Vergleich der von NVD gelieferten CPE-Informationen mit einer SBOM können Cyber-Verteidiger schnell Produkte identifizieren, die potenziell gefährdet sind. Verzögerungen oder Unklarheiten in diesem System können dazu führen, dass Cybersicherheitsspezialisten mehr Hürden überwinden müssen, um ICS-Umgebungen zu schützen.

Die am stärksten von CVEs betroffenen Anlagen sind technische Workstations, Netzwerkgeräte und Verwaltungsserver. Technische Workstations sind in der Regel sehr zuverlässige High-End-Computerplattformen, die für die Konfiguration, Wartung und Diagnose von Steuersystemanwendungen und -geräten konzipiert sind. Zu den Netzwerkgeräten gehören Router und Switches, die auf allen Ebenen des Purdue-Modells eingesetzt werden. Insbesondere falsch konfigurierte Geräte können Angreifer als Angriffspunkt nutzen, um sich Zugang zu jeder Ebene der industriellen Umgebung zu verschaffen. Managementserver schliesslich sind zumeist stark zentralisierte Anlagen, auf denen eine Vielzahl von Informationen und Berechnungen verarbeitet werden.

Bild 4. Alle ICS-betreffenden CVEs für 2021 nach Common Weakness Enumeration (CWE)-Klassifizierung gewertet

Die Punkte im Diagramm geben an, welcher Prozentsatz der in den 2021-Advisories identifizierten ICS-Schwachstellen durch welche Art von Schwachstellen – „Mängel, Fehler, Bugs oder andere Fehler“ – in der Codierung verursacht wird. Die CWE-Statistiken zeigen, dass viele ICS-Schwachstellen mit unsicherer Kodierung zusammenhängen oder darauf zurückzuführen sind. Daraus lässt sich auch ableiten, dass Anbieter oder Programmierer ihren Code vor der Veröffentlichung nicht umfassend prüfen.

Fazit

Die schnell wachsende Zahl von Schwachstellen, die für Angriffe genutzt werden können, stellt die derzeitigen Methoden zur Verfolgung und Behebung neu auftretender Schwachstellen vor Herausforderungen. Erschwerend kommt hinzu, dass die Verfügbarkeit von Informationen nicht vorhersehbar ist – Unternehmen können sich nicht darauf verlassen, dass Anbieter, Forscher oder andere Organisationen die Arbeitsumgebung vor Bedrohungen schützen. Cyberkriminelle können durch die Beeinträchtigung des ICS-Betriebs grosse Schäden und Verluste verursachen, von Shutdowns und Asset-Beschädigung bis zu Gesundheits- und Sicherheitsrisiken.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Ähnliche News