Sicherheitslücken in Lizenzmanagementsoftware ermöglichen Angriffe auf industrielle Netzwerke

screenshot1

Das Forscherteam von Claroty hat sechs kritische Schwachstellen in der Software CodeMeter von Wibu-Systems gefunden. Gemeinsam erreichen sie den maximalen CVSS-Score von 10,0 und können für Denial-of-Service-Angriffe oder zur entfernten Codeausführung ausgenutzt werden. CodeMeter ist im industriellen Bereich als Lizenzmanagement- und Anti-Piraterie-Werkzeug sehr weit verbreitet und wird vor allem in der Fertigung sowie von der Pharma- und Automobilindustrie eingesetzt. Wibu-Systems hat sämtliche Schwachstellen in Version 7.10 von CodeMeter gepatcht. Alle Anbieter und Nutzer sollten deshalb dringend ein Update auf diese Version durchführen.

Lizenzmanagement-Lösungen schützen Software-Anbieter vor Betrug, illegaler Verbreitung und Manipulation von proprietärem Code. Hierfür wird im Bereich der industriellen Steuerungssystemen (ICS) überwiegend die Lösung CodeMeter von Wibu-Systems eingesetzt. Zahlreiche Anbieter haben diese Software in ihre Produkte integriert, um Lizenzmanagement, Anti-Piraterie-Schutz und Verschlüsselungsdienste zum Schutz des geistigen Eigentums der Unternehmen zu ermöglichen. Aufgrund dieser starken Marktpräsenz haben die Sicherheitsforscher von Claroty diese leistungsstarke Software gründlich untersucht und dabei sechs Schwachstellen gefunden, die von der Cybersecurity and Infrastructure Security Agency (CISA) zusammengenommen mit der höchsten Kritikalität (10,0) bewertet wurden. Diese Schwachstellen können aus der Ferne und ohne Authentifizierung ausgenutzt werden und bieten Cyberkriminellen das Äquivalent eines Administratorzugriffs auf kritische Systeme. Damit können Angreifer beispielsweise Geräte oder Prozesse zum Erliegen bringen (Denial-of-Service) oder die industriellen Systeme mit Malware (einschließlich Ransomware) infizieren.

Die identifizierten Sicherheitslücken reichen von Memory-Corruption-Schwachstellen wie Buffer Overflows bis hin zu kryptographischen Mängeln, bei denen ungeeignete Verschlüsselungsstärken verwendet oder kryptographische Signaturen unsachgemäß validiert wurden. Die Forscher fanden auch Schwachstellen im CodeMeter-Lizenzierungsschema, die dazu genutzt werden könnten, die verwendeten digitalen Signaturen zu umgehen. Angreifer könnten auf diese Weise bestehende Lizenzen ändern oder gültige Lizenzen fälschen. Für diesen Angriff werden Opfer zum Beispiel durch Phishing auf bösartige Websites gelockt, welche dann über JavaScript gefälschte Lizenzen injizieren können.

Kostenloses Tool zeigt, ob eine anfällige Version von CodeMeter eingesetzt wird

Das Claroty-Forscherteam hat Wibu-Systems über die Schwachstellen informiert, woraufhin Wibu-Systems mit der Version 7.10 von CodeMeter einen Patch veröffentlicht hat. Jedoch sind sämtliche Versionen vor 7.10 auf unterschiedliche Weise von den Schwachstellen betroffen. Als problematisch erweist es sich in diesem Zusammenhang, dass im ICS-Bereich ein zeitnahes Patchen oftmals nicht die Regel ist. Zudem ist CodeMeter ein weitverbreitetes Drittanbieter-Tool, das in zahlreiche Produkte diverser Hersteller integriert ist. Deshalb sind sich Unternehmen möglicherweise nicht bewusst, dass in den eingesetzten Produkten CodeMeter eingebettet ist. Die Claroty-Sicherheitsforscher haben ein Tool veröffentlicht, mit dem Unternehmen testen können, ob sie eine anfällige Version von CodeMeter einsetzen. Anhand der Ergebnisse können diese dann entscheiden, wie sie in Bezug auf das Patchen vorgehen wollen. Das kostenlose Tool ist hier verfügbar.