Unitronics hat seine integrierten UniStream PLC/HMI-Produkte aktualisiert , um kritische Schwachstellen zu beheben, die von Team82 offengelegt wurden.
Die Schwachstellen könnten es einem Angreifer ermöglichen, native Authentifizierungs- und Autorisierungsfunktionen im Produkt zu umgehen, und können verkettet werden, um eine Remote-Code-Ausführung zu erhalten.
Unitronics fordert seine Benutzer auf, UniStream OS auf Version 1.35.47 oder höher zu aktualisieren und einen Hinweis zu veröffentlichen.
Im November wurden frühere Angriffe auf die Vision-Serie von Unitronics von PLCs offengelegt . Die PLCs wurden durch Profil Angriffe auf israelische und amerikanische Wasseraufbereitungsanlagen beeinträchtigt. Die bei diesen Angriffen verwendeten Schwachstellen wurden vom Anbieter behoben.
Die Israel National Cyber Directorate hat einen Hinweis veröffentlicht, der Informationen zur Minderung und Wiederherstellung enthält.
Die integrierten speicherprogrammierbaren Steuerungen (SPS) und Mensch-Maschine-Schnittstellen (HMIs) des israelischen Anbieters Unitronics waren darauf ausgerichtet, Cyberangriffe zu alarmieren, die im November veröffentlicht wurden und Dutzende von Unitronics Vision-Steuerungen auf der ganzen Welt betrafen. Zu den von Angriffen betroffenen Personen gehörten mehrere Wasseranlagen in den USA, die Betriebsstörungen erlitten.
Eine Gruppe, die als CyberAv3ngers bekannt war, behauptete die Verantwortung für diese Angriffe und stellte fest, dass alle in Israel gebauten Technologien in ihrem Fadenkreuz waren. Eine kompromittierte Unitronics V570 PLC/HMI bei der kommunalen Wasserbehörde von Alquippa wurde betrogen, was darauf hindeutet, dass die Angreifer zumindest Zugriff auf das Gerät hatten.
Der Angriff veranlasste die Cybersecurity Infrastructure & Security Agency (CISA), einen Hinweis zu veröffentlichen, der Benutzer warnte, Standardpasswörter auf Unitronics-Produkten zu ändern, Ports zu schließen, die diese Geräte direkt dem Internet aussetzen, und jeden Remote-Zugriff auf die Geräte mit einem VPN oder einer sicheren Zugriffslösung zu sichern. Unitronics hat auch die bei diesem Angriff verwendete Schwachstelle in Version 9.9.00 des betroffenen Vision-Produkts gepatcht.
Dieser Vorfall motivierte auch Team82 , den Angriffsfläche der UniStream PLC-Serie, der aktuellen Generation integrierter PLCs und HMIs von Unitronics, zu untersuchen. Die UniStream-Serie umfasst unter anderem ein natives Authentifizierungsschema, das Team82 umgehen konnten.
Während unserer Recherche haben wir acht Schwachstellen entdeckt, die nicht nur die Authentifizierungs- und Autorisierungsfunktionen in den UniStream PLCs umgehen, sondern auch verketten konnten, um eine Remote-Code-Ausführung auf dem Gerät zu erhalten. Mithilfe öffentlich verfügbarer Internet-Scanning-Dienste haben wir rund 480 internetexponierte und anfällige UniStream-Geräte identifiziert. Es ist zu beachten, dass diese Geräte nicht so vorkonfiguriert sind, dass sie online erreichbar sind, und dass es sich um Konfigurationsfehler seitens der Benutzer handelt, die wahrscheinlich Ports auf dem Gerät für den Integratorzugriff oder andere Remote-Unterstützung öffnen.
Team82 hat diese Schwachstellen gegenüber Unitronics, CISA und der Israel National Cyber Directorate privat offengelegt, die heute ihre eigenen Warnbenutzer veröffentlicht haben, Geräte zu aktualisieren und ihre direkte Exposition gegenüber dem Internet zu begrenzen. Wir fordern Benutzer auf, ihre Unitronics-Steuerungen zu aktualisieren und sicherzustellen, dass diese Geräte nicht dem Internet ausgesetzt sind.
Wir danken sowohl Unitronics als auch der Israel National Cyber Directorate für ihre volle Zusammenarbeit und sofortige Reaktion und beheben alle von uns offengelegten Schwachstellen.
UniStream ist eine von Unitronics entwickelte Serie programmierbarer logischer Steuerungen (SPS). Es kombiniert HMI-Funktionen (Human-Machine Interface) mit fortschrittlicher Steuerungsfunktionalität und ist somit eine vielseitige Lösung für die industrielle Automatisierung.
Unitronics bietet auch eine Software-Suite namens UniLogic, eine Schnittstelle zur Programmierung und Konfiguration von Unistream-Geräten, mit der Ingenieure ihre Logik diktieren können.
In unserer Studie haben wir acht Schwachstellen entdeckt, die es einem nicht authentifizierten Remote-Angreifer nicht nur ermöglichen, die Authentifizierungsanforderung für die Interaktion mit der SPS zu umgehen, sondern auch einige dieser Schwachstellen ketten, damit ein unbefugter Angreifer sich mit der UniStream PLC verbinden, sie vollständig kontrollieren und beliebige Befehle ausführen kann.
Um mögliche Angriffsfläche und potenzielle Schäden abzubilden, suchten wir nach UniStream-Geräten, die ihren Management-Webserver dem Internet aussetzen. Dazu haben wir Internet-Scandienste wie Shodan.io und Censys.io genutzt, die ständig das IP-Sortiment scannen und Geräte abbilden, auf die sie stoßen. Letztendlich konnten wir etwa 480 Unistream-Geräte entdecken, die direkt mit dem Internet verbunden sind und die unter Verwendung der Schwachstellen, die wir Unitronics offengelegt haben, angegriffen werden könnten.
Die im letzten Herbst offengelegten Angriffe auf Unitronics PLCs waren eine starke Erinnerung daran, dass Angriffe auf Betriebstechnologie und Steuerungssysteme zwar relativ selten sind, aber dennoch auftreten und zu Störungen kritischer Dienste führen und die persönliche Sicherheit gefährden können. Dies veranlasste Team82 , den Angriffsfläche der aktuellen Generation der Unitronics UniStream integrierten SPS und HMIs zu untersuchen.
Wir haben eine Reihe von Schwachstellen gefunden, die die Authentifizierung umgehen und die Ausführung von Remote-Code auf Geräten ermöglichen, die direkt mit dem Internet verbunden sind. Unitronics arbeitete schnell mit uns zusammen und behebte die Fehler in einem Update, das Benutzer sofort anwenden sollten.
Es ist wichtig zu beachten, dass diese Geräte nicht sofort für die Online-Exposition konfiguriert sind und eine direkte Verbindung mit dem Internet riskante Konsequenzen haben kann. Benutzer sollten nicht nur Geräte aktualisieren, sondern auch Remote-Verbindungen hinter einem VPN oder einer sicheren Zugriffslösung einschränken. Team82 konnte Internet-Scandienste nutzen, um Geräte zu entdecken, die direkt mit dem Internet verbunden sind. Dies ist eine schlechte Best Practice, die viele Unternehmen unnötigerweise bösartigen Remote-Verbindungen aussetzt.
CERT IL hat inzwischen eine Reihe von Empfehlungen zur Risikominderung:
Organisationen sollten Unistream UniLogoc-Software auf Version 1.35.227 oder höher aktualisieren
Es wird auch empfohlen, dass PLCs nicht direkt mit dem Internet verbunden und zugänglich sind; stattdessen sollten VPNs oder Zero-Trust-Netzwerkzugriffsgeräte verwendet werden
Standardpasswörter sollten in ein längeres, komplexeres Passwort geändert werden; es sollte auch eine Zwei-Faktor-Authentifizierung implementiert werden
CWE-287: Unsachgemäße Authentifizierung
Unitronics veröffentlichte ein Update seiner Unistream Unilogic-Software, um mehrere Sicherheitsschwachstellen zu beheben. Die betroffenen Versionen liegen vor 1.35.227. ASAP auf Version 1.35.227 oder neueste Version aktualisieren, die von Unitronics bereitgestellt wird.
Lesen Sie mehr: Neue kritische Schwachstellen in Unitronics UniStream-Geräten nicht abgedeckt.
CVSS v3: 10.0
CWE-22: Pfadüberquerung
Unitronics veröffentlichte ein Update seiner Unistream Unilogic-Software, um mehrere Sicherheitsschwachstellen zu beheben, einschließlich dieser Schwachstelle bei der Ausführung von Remote-Codes.
[Weitere Informationen: Neue kritische Schwachstellen in Unitronics UniStream-Geräten nicht abgedeckt.]
CVSS v3: 9.8
CWE-200: Exposition von sensiblen Informationen gegenüber einem nicht autorisierten Akteur
Unitronics veröffentlichte ein Update seiner Unistream Unilogic-Software, um mehrere Sicherheitsschwachstellen zu beheben. ASAP auf Version 1.35.227 oder neueste Version aktualisieren, die von Unitronics bereitgestellt wird.
[Weitere Informationen: Neue kritische Schwachstellen in Unitronics UniStream-Geräten nicht abgedeckt.]
CVSS v3: 8.8
CWE-23: Relativer Pfadverlauf
Unitronics veröffentlichte ein Update seiner Unistream Unilogic-Software, um mehrere Sicherheitsschwachstellen zu beheben. Die betroffenen Versionen liegen vor 1.35.227.
[Weitere Informationen: Neue kritische Schwachstellen in Unitronics UniStream-Geräten nicht abgedeckt.]
CVSS v3: 8.8
CWE-22: 'Pfadtraversal'
Unitronics veröffentlichte ein Update seiner Unistream Unilogic-Software, um mehrere Sicherheitsschwachstellen zu beheben. Die betroffenen Versionen liegen vor 1.35.227.
Mehr lesen: Neue kritische Schwachstellen in Unitronics UniStream-Geräten nicht abgedeckt
CVSS v3: 8.8
CWE-78: 'OS Command Injection'
Unitronics veröffentlichte ein Update seiner Unistream Unilogic-Software, um mehrere Sicherheitsschwachstellen zu beheben. Die betroffenen Versionen liegen vor 1.35.227.
[Weitere Informationen: Neue kritische Schwachstellen in Unitronics UniStream-Geräten nicht abgedeckt.]
CVSS v3: 8.8
CWE-78: 'OS Command Injection'
Unitronics veröffentlichte ein Update seiner Unistream Unilogic-Software, um mehrere Sicherheitsschwachstellen zu beheben. Die betroffenen Versionen liegen vor 1.35.227.
[Weitere Informationen: Neue kritische Schwachstellen in Unitronics UniStream-Geräten nicht abgedeckt.]
CVSS v3: 8.8
CWE-259: Verwendung eines fest codierten Passworts: In die Geräte-Firmware eingebettete sensible Informationen
Unitronics veröffentlichte ein Update seiner Unistream Unilogic-Software, um mehrere Sicherheitsschwachstellen zu beheben. Die betroffenen Versionen liegen vor 1.35.227.
Mehr lesen: Neue kritische Schwachstellen in Unitronics UniStream-Geräten nicht abgedeckt
CVSS v3: 7.5
