Sicherheitslücken in TBox-Remote Terminal Units

tbox-blog-image-2-1024×726

Das Claroty Research Team hat Schwachstellen in den TBox Remote Terminal Units (RTUs) von Ovarro und der TWinSoft Engineering-Software des Herstellers identifiziert und gemeldet. Diese wurden in den neuen Firmware-Versionen (TBox-Firmware Version 1.46 und TWinSoft Version 12.4) geschlossen. Anwender sollten dringend die entsprechenden Patches installieren. Durch die Sicherheitslücken können Angreifer Prozesse stören, Systemausfälle verursachen oder aus der Ferne Code ausführen.

RTUs sind vernetzte Komponenten in der Industrie, die Telemetrie mit SCADA-Systemen oder verteilten Steuerungssystemen austauschen. In diesem Bereich ist Ovarro ein führendes Unternehmen: Seine TBox RTUs sind in kritischen Infrastrukturen weit verbreitet, insbesondere in der Wasser-, Energie-, Öl- und Gas-, Transport- und Prozessindustrie in Kanada, Thailand und Deutschland, und ermöglichen die Fernsteuerung und -überwachung von Anwendungen und Prozessen. Die Benutzer können entfernte Prozesse über eine dedizierte Weboberfläche steuern und überwachen, ähnlich wie eine Mensch-Maschine-Schnittstelle (HMI) eine SPS steuert. Das Claroty Research Team hat im letzten Jahr kritische Schwachstellen gefunden, die es Angreifern ermöglichen, diese Geräte zum Absturz zu bringen oder Code aus der Ferne auszuführen. Alle Schwachstellen wurden mittlerweile von Ovarro gepatcht und zusammen mit ICS-CERT Advisories mit technischen Details und Informationen zur Abhilfe veröffentlicht.

 

62,5 Prozent der Geräte benötigen keine Authentifizierung

Bei der Untersuchung kam zudem zutage, dass lediglich 37,5 Prozent der mit dem Internet verbundenen TBox RTUs eine Authentifizierung verlangen, d.h. mehr als sechs von zehn Geräten ermöglichen jedem Interessierten die Steuerung der RTU oder das Lesen von Daten, die in dem auf dem Gerät konfigurierten benutzerdefinierten HMI-Panel dargestellt werden.

 

Schwachstellen

Bei seinen Untersuchungen konnte das Claroty-Forschungsteam Schwachstellen in den verwendeten Kommunikationskanälen (proprietäres Modbus-Protokoll und SSH) umgehen und ausnutzen, um schließlich Code aus der Ferne auf der RTU auszuführen – unabhängig von aktivierten Sicherheitsmechanismen. Folgende Angriffe sind dabei möglich:

  • Code-Ausführung durch Update-Pakete
  • Denial of Service durch Modbus-Dateizugriff
  • Modbus-RTU-Reset, Speicherkorruptionen
  • Umgehung des allgemeinen/erweiterten Schutzes

 

Empfehlungen

  • Anwender sollten, wenn möglich, ein Firmware-Update durchführen. TWinSoft Version 12.4 und TBox-Firmware Version 1.46 beheben die identifizierten Sicherheitslücken.
  • Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) empfiehlt zudem, die Exposition dieser Geräte gegenüber dem Internet zu minimieren, Steuersystemnetzwerke und -geräte von Unternehmensnetzwerken zu isolieren und VPNs für den Fernzugriff zu verwenden.

 

Betroffene Geräte

  • TBoxLT2 (alle Modelle)
  • TBox MS-CPU32
  • TBox MS-CPU32-S2
  • TBox MS-RM2 (alle Modelle)
  • TBox TG2 (alle Modelle)
  • Alle Versionen vor TWinSoft 12.4 und vor TBox Firmware 1.46

 

Weiter Informationen und Details zu den Schwachstellen und Empfehlungen finden sich in dem entsprechenden Blog-Beitrag von Claroty.