Die Sicherheitsforscher von Team82, dem Industrial Cybersecurity-Forschungsbereich von Claroty, haben drei Schwachstellen im verteilten Steuerungssystem (DCS) des Honeywell Experion Process Knowledge Systems (PKS) identifiziert. Diese ermöglichen es Angreifern, eine Control Component Library (CCL) zu modifizieren und sie in einen Controller zu laden, der dann bösartigen Code ausführt. Auf diese Weise könnten nativer Code auf dem System ausgeführt, Prozesswerte geändert oder kritische Prozesse zu unterbrochen werden. Auch Denial-of-Service-Angriffe sind möglich. Die Schwachstellen betreffen alle Versionen der Steuerungen und Simulatoren C200, C200E, C300 und ACE. Honeywell hat diese Schwachstellen inzwischen behoben und einen entsprechenden Hinweis veröffentlicht. Den Anwendern wird dringend empfohlen, die betroffenen Systeme so bald wie möglich zu aktualisieren oder zu patchen. ICS-CERT bewertet die Schwachstellen insgesamt mit dem höchsten CVSS-Score 10,0 und hat ebenfalls Empfehlungen veröffentlicht.
Verteilte Steuerungssysteme (Distributed Control Systems, DCS) sind komplexe Systeme zur Steuerung industrieller Prozesse, die mehrere Steuerungen, E/A-Geräte und Mensch-Maschine-Schnittstellen (HMIs) umfassen. Diese Systeme werden in der Regel in großen Anlagen eingesetzt, in denen eine hohe Verfügbarkeit und ein kontinuierlicher Betrieb erforderlich sind.
Honeywell Experion Process Knowledge System (PKS) ist ein DCS, das weltweit in verschiedenen Branchen weit verbreitet ist. Die umfassende Automatisierungsplattform integriert Daten von Steuerungen aus der gesamten Umgebung und bietet eine zentrale Sicht auf die Prozesse im gesamten Werk. Das System verwendet in erster Linie C200-, C300- und ACE-Steuerungen, die mit Experion PKS Configuration Studio, der Engineering-Workstation-Software von Honeywell, programmiert werden können. Die als Blockdiagramme entwickelte Logik kann dann von der Engineering Workstation auf die verschiedenen Komponenten des DCS heruntergeladen werden.
Im Fall des Experion PKS fand Team82 heraus, dass es möglich ist, den Download-Code-Vorgang zu imitieren und diese Anfragen zum Hochladen beliebiger DLL/ELF-Dateien (für Simulatoren bzw. Controller) zu verwenden. Das Gerät lädt dann die ausführbaren Dateien ohne Überprüfung oder Bereinigung, so dass ein Angreifer in der Lage ist, ausführbare Dateien hochzuladen und nicht autorisierten nativen Code ohne Authentifizierung auszuführen. Im Allgemeinen sind die hierbei genutzten Ports 55553 und 55555 nicht über das Internet zugänglich. Entsprechend müsste ein Angreifer auf einem anderen Wege in das OT-Netzwerk eindringen, um diese Schwachstellen auszunutzen. Gelingt dies, könnten die Prozesse erheblich gestört werden, indem etwa Prozesswerte verändert oder das DCS als Basis für weitere Angriffe auf das Netzwerk mittels Malware oder Exploits genutzt werden.
Honeywell hat umgehend auf die Hinweise von Team82 reagiert und diese Schwachstellen durch eine Reihe von Updates und Patches behoben. So hat Honeywell die CCLs mit einer kryptografischen Signatur versehen, um sicherzustellen, dass sie nicht manipuliert wurden. Jede CCL-Binärdatei verfügt nun über eine zugehörige kryptografische Signatur, die beim Laden der CCL an den Controller gesendet und vor der Verwendung der CCL validiert wird. Die Patches stehen sowohl für die Serversoftware und die Controller-Firmware zur Verfügung. Zur Beseitigung der Schwachstellen, müssen beide Patches eingespielt werden.
Weitere Details zu den Schwachstellen und wie diese ausgenutzt werden können, finden sich im entsprechenden Blogbeitrag bei Claroty.