Industrielle Cybersicherheit: Modicon M221-Schwachstelle veröffentlicht

Alarm

Im Juni hat das Forscherteam von Claroty den Elektrotechnik-Konzern Schneider Electric über vier Schwachstellen in der speicherprogrammierbaren Steuerung (SPS) Modicon M221 und EcoStruxure Machine Expert Basic informiert. Diese könnten es einem fortgeschrittenen Angreifer ermöglichen, die Authentisierung auf diesen Geräten zu umgehen, die Verschlüsselung zur Sicherung von Datenübertragungen zu knacken, den Code zu ändern und Befehle auszuführen. Schneider Electric hat daraufhin Handlungsempfehlungen für Anwender entwickelt und veröffentlicht: Der Hersteller empfiehlt, die entsprechenden Netzwerke zu segmentieren und mittels Firewall den unbefugten Zugriff auf den TCP-Port 502 zu blockieren. Schneider rät den Anwendern außerdem, nicht verwendete Protokolle, insbesondere das Programmierprotokoll, innerhalb der Modicon M221-Anwendung zu deaktivieren.

Modicon M221-Steuerungen werden in verschiedenen Industriezweigen als kostengünstige Geräte zur grundlegenden Automationssteuerung eingesetzt. Um die identifizierten Schwachstellen auszunutzen, müssen Angreifer zunächst Zugang zum OT-Netzwerk erhalten. Durch das Abhören des Netzwerkverkehrs zwischen der Modicon M221 SPS und EcoStruxure Machine Expert Basic wären sie dann in der Lage, die Authentifizierungsmechanismen des Geräts und die entsprechende Verschlüsselung zu erfassen. Insbesondere schwache Verschlüsselungen können dabei leicht überwunden werden und die Angreifer sich so gegenüber dem PLC authentifizieren. Aufgrund der engen und vertrauensvollen Zusammenarbeit zwischen Claroty und Schneider Electric konnten die vier Schwachstellen schnell adressiert und entsprechende Empfehlungen veröffentlicht werden. Überdies entwickelt Schneider Electric die Sicherheit dieser Geräte seit 2017 kontinuierlich weiter, da sie vermehrt auch in konvergenten Umgebungen eingesetzt werden. Zusätzliche Information über die Schwachstellen und weiterführende Hinweise finden sich im Blog von Claroty.