Alert!

Kritische Lücke in älterem ENIP-Stack für industrielle Kontrollsysteme entdeckt

Forscher haben eine kritische Sicherheitslücke in älteren Versionen des EtherNet/IP(ENIP)-Stacks 499ES entdeckt, den Kritische Infrastrukturen weltweit nutzen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 8 Beiträge

(Bild: asharkyu/Shutterstock.com)

Von
  • Olivia von Westernhagen

Sicherheitsforscher haben eine kritische Sicherheitslücke in älteren Versionen des 499ES EtherNet/IP (ENIP)-Stacks von Real Time Automation (RTA) entdeckt. Sie könnte von Angreifern gleichermaßen für Denial-of-Service- wie auch für Remote-Code-Execution-Angriffe missbraucht werden.

Das "IP" in EtherNet/IP steht für "Industrial Protocol". RTAs 499ES wird für die Ethernet-Umsetzung in industriellen Steuerungssystemen verwendet und ist laut einer Beschreibung der Sicherheitslücke im Blog des Unternehmens Claroty eines der weltweit meistverwendeten Protokolle in Operational Technology (OT)-Netzwerken.

Vor der Sicherheitslücke CVE-2020-25159 (CVSS-Score 9.8 von 10) warnt auch das ICS-CERT der US-Behörde CISA im Advisory ICSA-20-324-03: Es sieht Kritische Infrastrukturen (KRITIS) weltweit potenziell bedroht und rät dazu, die verwendete Protokoll-Version zu überprüfen und zusätzliche Vorsichtsmaßnahmen zu ergreifen. Öffentlich verfügbarer Exploit-Code sei ihr (bislang) aber noch nicht begegnet.

Um CVE-2020-25159 auszunutzen, müssten Angreifer mit speziell präparierten Datenpaketen einen Stack-basierten Pufferüberlauf provozieren; weitere Details sind Clarotys Blogeintrag zu entnehmen. Die Komplexität des aus der Ferne durchführbaren Angriffs ist laut CISA gering.

Verwundbar sind alle 499ES-Protokoll-Versionen vor der Version 2.28, die bereits am 21. November 2012 erschien: Der betreffende Code wurde zu diesem Zeitpunkt (allerdings nicht aufgrund der nun entdeckten Lücke) entfernt. Claroty und CISA gehen allerdings davon aus, dass viele Geräte in OT-Netzwerken noch immer mit verwundbaren Versionen laufen. Der Grund: Viele Hersteller kauf(t)en der Einfachheit halber RTAs vorgefertigtes ENIP-Stack-SDK, um es für die eigene Firmware zu nutzen. Bilden Sourcecode-Versionen vor 2.28 diese Basis ist es somit wahrscheinlich, dass die Lücke weiterhin in der Firmware vorhanden ist.

Somit liegt es letztlich an den Herstellern der OT-/ICS-Geräte, wo nötig gegen CVE-2020-25159 nachzubessern. Admins und OT-Sicherheitsverantwortliche sollten Ausschau nach entsprechenden Updates halten und bis dahin die vom ICS-CERT der CISA vorgeschlagenen Sicherheitsmaßnahmen beherzigen.

Lesen Sie auch

(ovw)