IoT-Security OT-Security: 13 Schwachstellen im Nichestack

Ein Gastbeitrag von Harry Zorn*

Genau dort, wo Digitalisierung die Wertschöpfung beschleunigen soll, können sich die Angreifer einklinken. Welche 13 Schwachstellen im Nichestack, einem TCP/IP-Netzwerk-Stack für Produktionssysteme, gefunden wurden und wie sie in Zukunft vermieden werden können.

Anbieter zum Thema

Seit 1996 wird Nichestack verwendet und dennoch gibt es Schwachstellen, die bisher unbekannt waren. Ein wenig liegt das in der Natur der OT, bei der sich die Modernisierung zurzeit zu sehr auf die Oberfläche konzentriert.
Seit 1996 wird Nichestack verwendet und dennoch gibt es Schwachstellen, die bisher unbekannt waren. Ein wenig liegt das in der Natur der OT, bei der sich die Modernisierung zurzeit zu sehr auf die Oberfläche konzentriert.
(Bild: gemeinfrei // Unsplash)

Es ist nichts Neues, dass es bei der immer rasanteren Digitalisierung im produzierenden Gewerbe hier und da bei der Sicherheit hakt. Das Business prescht vor, die Security muss so gut es geht mithalten. Viel stärker, als es meist thematisiert wird, stecken die Hard- und Softwareteufel aber auch in den Details der IoT- und OT-Geräte, wie sie noch heute auf den Markt kommen.

Im hier behandelten Fall trifft es einen TCP/IP-Stack, der in vielen Produktionsanlagen und -Systemen verbaut ist: Den ‚Nichestack‘. TCP/IP-Stacks sind die ‚Protokollstapel‘, die einem mit Computertechnik ausgerüsteten Produktionssystem mittels aller gängigen Protokolle unter anderem die Kommunikation mit Systemen der Büro- und Internet-IT-Welt ermöglichen. Die Anwendungen reichen vom Web und FTP über diverse Administrations- und Monitoring-Protokolle bis hin zur E-Mail.

Die Architektur eines Stacks dieser Art lässt sich als eine Art Turm-Konstruktion aus fortlaufend nummerierten Protokoll-Schichten verstehen. Dabei nutzt jede Schicht für ihre Zwecke die jeweils darunter angeordnete Schicht, die sie über einen zugeordneten Service-Access-Point kontaktiert. Während einer Kommunikation – also einer Datenübertragung – werden die gestapelten Protokolle eins nach dem anderen verarbeitet. Beim Senden addiert jedes der Protokolle eigene Steuerungsinformationen hinzu, so dass am Ende jedes Stück Information die Header-Informationen der jeweils höheren Schichten trägt.

Schwachstellen wurden seit 1996 nicht gefunden

Spricht man vom Nichestack, hat man es mit einer speziellen Implementierung dieser an sich typischen Protokoll-Architektur zu tun, die von einem Hersteller namens ‚Interniche‘ 1996 entwickelt und 2006 um IPv6-Fähigkeiten erweitert wurde. Das Produkt existiert nebenbei auch in Form von OEM-Versionen, darunter: Stmicroelectronics, Freescale (NXP), Altera (Intel) und Microchip.

Was die Verbreitung betrifft, so findet sich der Nichestack in einer Vielzahl von OT-Geräten weltweit. Unter anderem steckt er in speicherprogammierbaren Steuerungen (SPS) des Typs Siemens S7 und damit in allen Produkten, die damit ausgestattet auf den Markt kommen.

Die Sicherheitsforscher fanden NicheStack in den Produkten von etwa 200 Anbietern für Industrieprodukte, eine Recherche über die Suchmaschine ‚Shodan‘ ergab einen Einsatz in 6400 Geräteinstanzen.

Wie oben erwähnt, wird der untersuchte Stack seit 1996 eingesetzt und wurde 2006 noch einmal gründlich aufgebohrt. Wie kann es sein, dass die Schwachstellen dabei nicht entdeckt wurden? Um dies zu beantworten, lohnt sich ein Blick auf die Funktionsweise des speziellen Marktes, um den es hier geht. Auch, um ähnliche Fälle in Zukunft zu vermeiden.

Altlasten und das Fehlen von Security-by-Design

Produktionsanlagen können millionenschwere, komplexe Gebilde von Herstellern sein, die bereits aktiv waren, als die moderne Computertechnik noch in den Kinderschuhen steckte. Laufzeiten von 40 und mehr Jahren sind für einzelne Anlagen keine Seltenheit. Akquiriert werden sie deshalb über Ausschreibungen, die vor allem den Return-on-Invest (RoI) über einen sehr langen Zeitraum im Blick haben und verlangen, dass die Anlagen dabei zuverlässig und standfest laufen.

Cybersecurity ist bei den Anforderungen an die entsprechenden Produkte erst seit kurzem im Spiel. Und sie hat es bei bestem Willen zur hoch digitalisierten Produktion immer noch schwer, sich als Kriterium bei Kaufentscheidungen durchzusetzen – und erst recht als Ausschlusskriterium. Dort, wo ein Unternehmen das Thema ernst nimmt, fehlt es oft an Personal und/oder Know-how, die richtigen Anforderungen überhaupt in Ausschreibungen und Verträge aufzunehmen.

Das wiederum wissen die Anbieter. Manche von ihnen geben deshalb auch heute kaum Auskunft über die Prinzipien oder Best Practices, nach denen bei ihnen Software entwickelt wird. Das ist auch nicht verwunderlich, wenn die ersten Module eines Programms womöglich auf 20 Jahre altem Legacy-Code basieren. Darüber, ob man die Software oder die Hardware, auf der sie sich befindet, irgendwelchen Penetration-Tests aussetzt, schweigt man sich anbieterseitig zuweilen aus. Und eventuelle ISO-2700x- oder sonstige Zertifizierungen decken vom Scope her nicht immer die Entwicklungsabteilungen für die Programme ab.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Die Folge: Unternehmen kaufen Systeme, über deren Cyber-Sicherheit es nicht genau Bescheid weiß – mit der Folge, dass es auch gegenüber seinen eigenen Endkunden nicht vollständig auskunftsfähig über die Sicherheit der eignen Produktion sein kann. Was als Möglichkeit bleibt, ist: Testen.

Wie die Schwachstellen gefunden wurden

Das Security-Team von Jfrog hat zwei Versionen von Nichestack analysiert: Ein binäres Sample der Version 4.0.1 (öffentlich zugänglich über die alte Interniche-Website) und den Quellcode der Version 3 (öffentlich zugänglich über eine Website, die die Quelldateien für ein eingebettetes Projekt enthält). Die binäre Version wurde manuell und automatisch von Jfrog analysiert, wobei sowohl statische als auch dynamische proprietäre Techniken zum Einsatz kamen.

Die Sicherheitsforscher empfehlen ein Upgrade auf Nichestack v4.3. Das Dumme ist, dass Upgrades von Software-Modulen in zugelieferten IoT-Geräten nicht immer möglich sind und manchmal sogar entweder vom Hersteller oder von Produktionsteams aus Angst vor Ausfallzeiten abgelehnt werden. Hier finden Sie die Detail-Ergebnisse der Untersuchung.

Im Zweifelsfall gibt es deshalb folgende Möglichkeiten:

  • 1. Discovery: Forescout-Research-Labs bietet ein Script an, welches dabei hilft, Geräte mit implementiertem Nichestack zu erkennen. Das Skript wird ständig mit neuen Signaturen aktualisiert, um den neuesten Entwicklungen folgen zu können.
  • 2. Segmentierung: Sie sollten verwundbare Systeme vom Rest Ihres Netzwerks trennen und isolieren, bis sie gepatcht werden können – sofern dies überhaupt möglich ist. Entschärfen Sie, wie bereits angedeutet, die Schwachstellen gemäß der Liste in der Analyse: Was immer Sie nicht benötigen, sollte deaktiviert werden.
  • 3. Remediation: Haben Sie ein Auge darauf, ob die Gerätehersteller Patches herausgeben, und erstellen Sie gegebenenfalls einen Ad-Hoc-Businesss-Continuity-Plan, wenn die Schwachstellen Sie nachgewiesenermaßen hart treffen. ‚HCC Embedded‘ – das Unternehmen, das Interniche übernommen hat – veröffentlicht Patches, die auf Anfrage erhältlich sind.
  • 4. Detektion: Sofern Sie über die entsprechende Monitoring-Technik verfügen, halten Sie Ausschau nach bösartigem Netzwerkverkehr, der auf eine potenzielle Ausnutzung der Sicherheitslücken hindeutet.

Fazit

Die Frage bleibt, wie mit den Forschungsergebnissen umzugehen ist – und zwar einerseits dann, wenn man selbst mit einem betroffenen System arbeitet, und andererseits dann, wenn man auf längere Sicht eine bessere Transparenz erzielen will, was die Sicherheit der zugekauften IoT-Geräte betrifft. Die Verantwortlichen aus IT und OT sollten nun erst einmal prüfen, ob die entsprechenden Protokolle und Funktionen bei ihnen aktiv sind und benötigt werden. Wenn nicht, sollten sie deaktiviert oder per vorgelagerter Firewall blockiert sein. Langfristig gilt es, eine bessere Zusammenarbeit zwischen den Herstellern von OT-Equipment und den Unternehmen in Angriff zu nehmen. Anwender arbeiten daran, Security-Anforderungen in Ausschreibungen und Vertragsunterlagen zu integrieren. Die Anbieter werden sich dieser Entwicklung nicht ewig entgegenstellen können.

Zusätzlich lohnt es sich, auf der Anwenderseite alle Möglichkeiten zu nutzen, mehr über die Sicherheitslevel von zugekauften (I)IoT-Geräten zu erfahren. Beide Seiten sollten auf Augenhöhe über Risiken und Schwachstellen reden und Workarounds oder idealerweise Lösungen finden.

* Harry Zorn arbeitet als Vice President Strategic Sales bei Jfrog.

(ID:47935272)