Die aufgedeckten neun Schwachstellen ermöglichen eine nichtautorisierte remote-Ausführung von Code auf älteren Versionen der Honeywell Server und Controller. Bei einer Ausnutzung würde dies dem Angreifer ermöglichen, Geräte zu übernehmen und die Prozesse auf den DCS-Controllern zu verändern. Darüber hinaus hätten sie die Änderungen vor den Engineering Workstations verbergen können, die die DCS-Controller verwalten. Die Ausnutzung dieser Schwachstellen benötigt keine Authentifizierung, sondern lediglich einen Zugang zum Netzwerk auf die anvisierten Geräte. Darüber hinaus können möglicherweise weitere IT, IoT und OT-Assets, die sich im gleichen Netzwerk wie die DCS-Geräte befinden, kompromittiert werden. Die Sicherheitslücken betreffen die drei folgenden Honeywell Experion DCS-Plattformen:
- Experion Process Knowledge System (EPKS)-Plattform (Experion Server and Experion Station)
- LX und PlantCruise-Plattformen (Engineering Station and Direct Station)
- C300 DCS Controller, der auf allen drei Plattformen genutzt wird.
„Wir haben mit Honeywell an der Untersuchung und dem Verständnis für die darunter liegenden Probleme gearbeitet – was in der zur Verfügung Stellung eines Patches mündete. Bevor wir unsere Ergebnisse der Öffentlichkeit preisgeben, wollten wir sicherstellen, dass es Patches für betroffene Kunden gibt, die schnell und proaktiv reagieren möchten. Wir sind zufrieden, dass Honeywell eine Lösung für Unternehmen zur Verfügung stellen kann, die kontinuierlich ihre Security Posture verbessern und ihre Cyberabwehr gegen Cyberkriminelle stärken wollen“, erläutert Carlos Buenano, Principal Solutions Architect OT bei Armis.
Der Anbieter einer Visibility Management-Lösung hat in seinem Blog umfangreiche Informationen zur Verfügung gestellt, darunter auch Videos: https://www.armis.com/de/blog/critix-9-schwachstellen-in-honeywells-experion-platforms-for-distributed-control-systems-dcs-gefunden/
Honeywell hat inzwischen Patches zur Verfügung gestellt und empfiehlt allen betroffenen Organisationen diese umgehend auszuführen. Honeywell Kunden können die Patches einsehen, indem sie sich hier einloggen https://process.honeywell.com/ und sich durch die Rubrik mit den technischen Dokumenten durcharbeiten. Für weitere Informationen zu Honeywell‘s koordiniertem Vulnerability Disclosure-Prozess besuchen Sie folgende Webseite: https://www.honeywell.com/us/en/product-security.
Die CISA hat die Schwachstellen in einem Advisory ebenfalls veröffentlicht: https://www.cisa.gov/news-events/ics-advisories/icsa-23-194-06