Crit.IX: 9 Schwachstellen in Honeywell’s Experion® Platforms for Distributed Control Systems (DCS) gefunden

Überblick

Armis und Honeywell haben heute gemeinsamen den Crit.IX veröffentlicht. Hierbei handelt es sich um 9 Schwachstellen, die von Sicherheitsforschern von Armis in den Honeywell’s Experion® Platforms gefunden wurden. Sie ermöglichen eine nicht autorisierte Ausführung von Code auf älteren Versionen der Honeywell Server und Controller aus der Ferne. Bei einer Ausnutzung würde dies dem Angreifer ermöglichen, Geräte zu übernehmen und die Prozesse auf den DCS-Controllern zu verändern. Darüber hinaus hätten sie die Änderungen vor den Engineering Workstations verbergen können, die die DCS-Controller verwalten. Die Ausnutzung dieser Schwachstellen benötigt keine Authentifizierung, sondern lediglich einen Zugang zum Netzwerk auf die anvisierten Geräte. Darüber hinaus können möglicherweise weitere IT, IoT und OT-Assets, die sich im gleichen Netzwerk wie die DCS-Geräte befinden, kompromittiert werden.

Im Mai 2022 bestätigte Armis Honeywell gegenüber die Entdeckung von 13 Code-Problemen, die auf dem Experion C300 Controllern und Servern gefunden wurden. Von diesen stellten sich 9 als Sicherheitslücken heraus, 7 davon wurden als kritisch eingestuft. Aufgrund der Schwere dieser Schwachstellen und deren Auswirkungen haben Honeywell und Armis zusammengearbeitet, um die Funde zu untersuchen und die darunter liegenden Probleme zu verstehen sowie einen Patch erarbeitet. Honeywell stellt diese Security Patches zur Verfügung und empfiehlt allen betroffenen Kunden diese sofort auszuführen.

Die wichtigsten Ergebnisse:

• Unsere Nachforschungen haben Schwachpunkte im CDA-Protokoll aufgedeckt – ein proprietäres Protokoll von Honeywell, das für die Kommunikation zwischen Honeywell Experion Servers und C300 Controllern entwickelt wurde. Diesem Protokoll fehlt es grundlegend an Verschlüsselung und starken Authentifizierungsmechanismen. Jeder mit Zugriff zum Netzwerk wäre in der Lage gewesen sich sowohl als Controller als auch als Server auszugeben. Darüber hinaus gab es Designfehler im CDA-Protokoll, das die Kontrolle der Grenzen zwischen den Daten verkompliziert und potentiell zu einem Buffer Overflow geführt hätte.
• Honeywell implementierte außerdem ein CDA Data Client Named Access-Protokol auf dem Experion Server. Hierbei handelt es sich um ein Protokoll, dass für die Kommunikation zwischen Honeywell Experion® Server und den Experion® Applikationen genutzt wird, um einen Tag-Namen-Zugriff auf diese Applikationen zuzulassen. Die Implementierung dieses Protokolls durch Honeywell führte zu vier Schwachstellen, die eine Ausführung von Code auf dem Experion Server aus der Ferne ermöglichte.
• Während des Disclosure-Prozesses lernten wir, dass durch die Verwendung des verwundbaren Codes auch in anderen Produkten, die gleichen Schwachstellen ebenso Honeywell’s LX und PlantCruise-Plattformen betreffen.

Betroffene Geräte

Die neu entdeckten Schwachstellen betreffen eine ganze Reihe von Produkten und Versionen in drei Honeywell Experion DCS-Plattformen: In der Experion Process Knowledge System (EPKS)-Plattform (Experion Server and Experion Station) und in den LX und PlantCruise-Plattformen (Engineering Station and Direct Station). Außerdem betreffen die Schwachstellen den C300 DCS Controller, der auf allen drei Plattformen genutzt wird.

Absicherung der kritischen Infrastruktur

In den letzten Jahren haben wir eine stetige Zunahme von Angriffen und Schwachstellen auf Ziele der Betriebstechnologie (OT) beobachtet, was die zunehmenden Risiken für kritische Infrastruktursysteme verdeutlicht.

Ein wichtiges Beispiel ist die Attacke auf ein iranisches Stahlwerk, die Berichten zur Folge von der Hacktivisten Gruppe „Predatory Sparrow“ im Juni 2022 durchgeführt wurde. Die Gruppe gab an, dass sie ein schweres Feuer in der Anlage ausgelöst hat, was sie mit einem veröffentlichten Video einer Überwachungskamera belegt hat. Das Video zeigt, wie Arbeiter aus einem Teil des Gebäudes evakuiert wurden, bevor eine Maschine geschmolzenen Stahl und Feuer ausstieß. Der Angriff ist insofern von Bedeutung, als er nur selten physische Schäden verursacht, da die meisten Cyberangriffe in der Regel im digitalen Bereich stattfinden.

Ein weiterer viel beachteter Vorfall betraf die Colonial Pipeline, eine der größten Treibstoffpipelines in den USA. Im Mai 2021 wurde die Pipeline Opfer eines Ransomware-Angriffs, der die Treibstofflieferungen entlang der Ostküste unterbrochen hat. Der Angriff nutzte Schwachstellen im IT-Netzwerk der Pipeline aus, was zu Betriebsunterbrechungen und Treibstoffengpässen in verschiedenen Bundesstaaten führte. Dieses Ereignis verdeutlichte die Verflechtung zwischen IT- und OT-Systemen und machte deutlich, dass robuste Cybersicherheitsmaßnahmen für alle Aspekte kritischer Infrastrukturen erforderlich sind.

Diese Beispiele machen deutlich, dass die Bedrohungslage immer größer wird und dass es dringend notwendig ist, die Abwehrkräfte zu stärken, robuste Sicherheitsmaßnahmen zu implementieren und die Zusammenarbeit zwischen den Beteiligten zu fördern, um kritische OT-Systeme vor potenziellen Angriffen und Schwachstellen zu schützen.

ICS-Schwachstellen stellen ein erhebliches Risiko für kritische Infrastrukturen dar, darunter Kraftwerke, Produktionsanlagen und Ölraffinerien. Die verantwortungsvolle Offenlegung von Schwachstellen spielt eine entscheidende Rolle beim Schutz dieser Systeme vor potenziellen Angriffen und bei der Minimierung der Auswirkungen auf die öffentliche Sicherheit und die Betriebskontinuität.

Armis nimmt den Responsible Disclosure-Prozess sehr ernst und ist erfreut mit Honeywell an einem Weg gearbeitet zu haben, um Organisationen dabei zu unterstützen, die potenziell diesen kritischen Schwachstellen ausgesetzt sind. 

Responsible Disclosure und Zusammenarbeit

Dieses Whitepaper von Armis befasst sich mit den technischen Details der Schwachstellen aus und erklärt, wie das Armis-Team diese gefunden hat. Sie können das Whitepaper hier herunterladen: https://media.armis.com/pdfs/wp-critix-honeywell-experion-vulnerabilities-en.pdf

Behebung

Honeywell hat Security Patches zur Verfügung gestellt und empfiehlt allen betroffenen Organisationen diese umgehend auszuführen.

Honeywell Kunden können die Patches einsehen, indem sie sich hier einloggen https://process.honeywell.com/ und sich durch die Rubrik mit den technischen Dokumenten durcharbeiten. Für weitere Informationen zu Honeywell‘s koordiniertem Vulnerability Disclosure-Prozess besuchen Sie folgende Webseite: https://www.honeywell.com/us/en/product-security.

Es ist essentiell die Implementierung dieser Patches und Firmware Updates zu priorisieren, um die veröffentlichten Schwachstellen effektiv zu adressieren. Des Weiteren sollten Organisationen ihr Commitment zu robusten Sicherheitsmaßnahmen festigen, darunter regelmäßige Security Assessments, Penetration Testing und umfassende Security Trainings für die Development-Teams.

Wie Armis hilft

Die Entwicklung und Bereitstellung von Patches zur Behebung von Schwachstellen in Steuerungen und technischen Workstations in OT-Umgebungen ist unerlässlich, um die Angriffsfläche zu verringern. Aufgrund ihrer Kritikalität für die Geschäftsabläufe und ihrer Auswirkungen auf die betrieblichen Abläufe erfordert die Freigabe und Installation von Patches für diese Assets einen sehr gründlichen Qualitätssicherungsprozess und höchstwahrscheinlich ein Wartungs- und  Outage-Fenster, dessen Koordinierung und endgültige Fertigstellung einen langen Zeitraum in Anspruch nehmen kann. Es ist davon auszugehen, dass die betroffenen Assets über einen langen Zeitraum hinweg anfällig bleiben. Während dieser Zeit können Abhilfemaßnahmen durchgeführt werden, um Angriffe auf diese kritischen Infrastrukturen zu erkennen und zu verhindern.

Kunden von Armis können die Asset Intelligence und Security-Plattform nutzen, um ihr Netzwerk mit den folgenden Schritten zu schützen:

1. Umfangreiche Asset Visibility erreichen. Mit der Erstellung eines akkuraten Inventars, das jeden Aspekt umfasst, von der Hard- zur Firmware und Software-Version, können Organisationen effektiv Schwachstellen auf Servern und Controllern in ihren Umgebungen identifizieren.
2. 2. Bei der Implementierung eines Vulnerability Management-Programms, das aufgrund des Risikos priorisiert, können Organisationen effektiv ihre Schwachpunkte minimieren und das Risiko der Exploits reduzieren, die auf Geräte ohne verfügbare Patches abzielen. Mehr noch wird die sofortige Ausführung von Security Patches bei ihrer Verfügbarkeit das Zeitfenster für die Verwundbarkeit für diese Geräte verringern.
3. Da die entdeckten Schwachstellen lediglich Netzwerkzugriff auf ein verwundbares Gerät erfordern, wird die Netzwerksegmentierung eine ganze Zeit lang benötigen, um die Ausnutzung dieser Schwachstellen zu verhindern. Bei der Separierung des Netzwerks in bestimmte Segmente basierend auf den Security Leveln oder Gerätetypen, können Organisationen die laterale Bewegung von Angreifern limitieren, potenzielle Gefahren eindämmen und die Auswirkungen auf den verwundbaren Geräten abmildern. Die Segmentierungsanstrengungen in OT-Umgebungen können mit einem Industry Reference Modell wie dem Purdue Modelerreicht werden. Es repräsentiert einen logischen oder funktionalen Blick auf OT-Umgebungen und kann für die Identifizierung jeglicher Abweichungen des erwartbaren Verhaltens von OT-Assets genutzt werden. Dies gilt speziell für Assets, die auf Level 0 und 1 auf höher liegenden Assets wie Assets in den IT-Netzwerken kommunizieren. Die Segmentierung kann durch ein Verständnis des Verhaltens der Assets erreicht werden, um lediglich die zu erwartenden Verhaltensweisen zu erlauben.
4. Die Erfahrung hat gezeigt, dass selbst geschützte Netzwerke anfällig für Sicherheitsvorfälle sind. Deshalb ist es wichtig, ein robustes Threat Detection-System zu implementieren, um Exploit-Versuche zu erkennen, die sich auf das gesamte Netzwerk ausdehnen und alle Geräte umfassen, darunter IT, OT und IoT. Der Einsatz einer Mischung aus Erkennungstechniken, einschließlich signaturbasierter Analyse, Anomalie-Erkennung und Indikatoren für eine Kompromittierung (Indicators of Compromise, IOCs), bietet eine zusätzliche Sicherheitsebene, die im Falle eines Angriffs die allgemeine Verteidigungsbereitschaft erhöht.

Disclosure-Koordination

Die Entdeckung und Offenlegung von Schwachstellen in den Honeywell Experion C300 Controllern sind essentiell für die kontinuierliche Verbesserung der industriellen Cybersicherheit. Bei der verantwortungsvollen Veröffentlichung der Schwachstellen bei Anbietern wie Honeywell, spielen Sicherheitsforscher eine wichtige Rolle, um kritische Infrastrukturen abzusichern und ein sicheres Umfeld für ICS zu fördern. Durch gemeinsame Anstrengungen und koordinierte Offenlegungsprozesse ist es möglich, dass die Security Posture von ICS verbessert wird und potentielle Risiken mitigiert werden.

Das Forschungsvorgehen von Armis

Bei Armis Research Labs führt unser Team technische Analysen von diversen Geräten durch, um umfassende Einblicke in ihre Protokolle zu erhalten und die Cybersecurity Posture zu evaluieren. Sobald wir ein gutes Verständnis von einem Protokoll haben, können wir die für die Nutzung der relevanten Geräte unüblichen Verhaltensweisen aufzeichnen und Angreifer genauso wie Fehlkonfigurationen und Fehlfunktionen erkennen.

Für weiterführende Informationen inklusive von Strategien zur Behebung, besuchen Sie bitte unsere Landing Page.

Weitere Diskussionen werden folgen

Armis wird tiefer in die Details gehen und die Diskussionen rund um die Schwachstellen über die nächsten Wochen und Monate weiterführen.

Auf der Black Hat in den USA wird Carlos Buenano, Principal Solutions Architect OT bei Armis, weitere Details über die Schwachstellenforschung in seinem Vortrag, „Securing critical infrastructure (vulnerability disclosure) with Armis“ beleuchten. Dieser 50-minütige Vortrag wird am Mittwoch, den 9. August 2023 von 15:00 bis 15:50 Uhr PT in Mandalay Bay in Las Vegas gehalten werden. Für weitere Informationen besuchen Sie bitte: https://www.blackhat.com/us-23/sponsored-sessions/schedule/index.html#securing-critical-infrastructure-vulnerability-disclosure-with-armis-34229

Zusätzlich werde ich gemeinsam mit Carlos während eines Webinars über diese Schwachstellen eingehen Das Webinar wird am Mittwoch, den 6. September um 11 Uhr ET stattfinden. Registrieren Sie sich hier: https://event.on24.com/wcc/r/4279011/6F70E4737D9E7789C3C9B69953F6307A?partnerref=blog