Die Kennzeichen des Cyberangriffs vom 5 . Februar gegen die Wasseraufbereitungsanlage Oldsmar, Florida, zeichnen wahrscheinlich ein Bild, das typisch für industrielle Steuerungssystemumgebungen ist, in denen unterbesetztes Personal, das durch Mandate für Verfügbarkeit und Sicherheit unter Druck gesetzt wird, auf veraltete Software und unzureichende Remote-Zugriffslösungen angewiesen ist, um eine Einheit zu betreiben, die für ein wichtiges öffentliches Versorgungsunternehmen verantwortlich ist.
Die Bediener in der Oldsmar-Anlage erkannten an diesem Tag zwei Eindringlinge von außerhalb der Anlage, von denen der zweite einen Remote-Angreifer umfasste, der über die TeamViewer-Desktop-Sharing-Software verbunden war und den Natriumhydroxidgehalt im Trinkwasser von 100 Teilen pro Million auf 11,100 Teile pro Million änderte. Natriumhydroxid oder Laugenlauge ist ätzend; es wird Wasser zugegeben, um den Säuregehalt zu kontrollieren und bestimmte Metalle zu entfernen.
Die schnelle Maßnahme der Betreiber, den Zugang des Angreifers zu unterbinden, unterstützt durch Sicherheitsmaßnahmen, die in den Wasseraufbereitungssystemen vorhanden sind, verhinderte, dass das kontaminierte Wasser jemals die Öffentlichkeit erreichte. Aber zu Grunde liegenden ihrer Heldlichkeit liegen systemische Probleme in der gesamten kritischen Infrastruktur, die sich verschärfen werden, da immer mehr Unternehmen operative Technologie (OT) unter die IT bringen und mehr dieser kritischen Systeme online verbinden.
Am Donnerstag veröffentlichte die U.S. Cybersecurity & Infrastructure Security Agency (CISA) eine Warnung über den Oldsmar-Kompromitt, in der einige dieser systemischen Probleme angesprochen wurden, beginnend mit der Verwendung von TeamViewer durch die Einrichtung – und dem gleichen gemeinsamen Passwort für den Zugriff auf die Anwendung – sowie veraltete und nicht unterstützte Versionen von Windows 7 zur Fernverwaltung der Wasseraufbereitung. Die Water ISAC veröffentlichte auch einen Hinweis.
In einer Umgebung, in der Ausfallzeiten kaum toleriert werden, ist es nicht ungewöhnlich, ältere Windows 7 -Computer und andere veraltete, nicht unterstützte Software in der Produktion zu sehen. Dies ist problematisch, da Microsoft z.B. bei Windows 7 den Support für das Betriebssystem in beendet hat Januar 2020. Systeme erhalten keine Sicherheits- oder Funktionsaktualisierungen mehr, es sei denn, sie haben einen teuren erweiterten Sicherheitsaktualisierungsplan, der pro Gerät berechnet wird und umso teurer wird, je länger der Kunde abonniert.
„Cyber-Akteure finden weiterhin Einstiegspunkte in ältere Windows-Betriebssysteme und nutzen Remote Desktop Protocol (RDP)-Exploits“, warnte CISA in seiner Warnung. Microsoft stellte 2019 beispielsweise einen Notfall-Patch für einen kritischen RDP-Fehler zur Verfügung, der in freier Wildbahn ausgenutzt wurde. „Cyber-Akteure verwenden oft falsch konfigurierte oder falsch gesicherte RDP-Zugriffskontrollen, um Cyberangriffe durchzuführen“, fügte CISA hinzu.
Die Verwendung kostenloser Versionen von TeamViewer und anderen Remote-Desktop-Sharing- und Support-Anwendungen ist in diesen Umgebungen ebenfalls nicht ungewöhnlich. Die COVID-19-Pandemie hat das Risiko durch diese Anwendungen nur erhöht, da immer mehr Arbeitskräfte aus der Ferne arbeiten und die Notwendigkeit des Zugangs von externen Einrichtungen zu wichtigen Prozessen erforderlich wird.
TeamViewer bietet Administratoren und Bedienern einen einfachen, kostengünstigen Zugriff auf Einrichtungen, aber diese Anwendungen müssen unter Berücksichtigung der Sicherheit konfiguriert werden. Selbst dann sind sie nicht für OT-Netzwerke geeignet. Im Gegensatz zu speziell entwickelten Lösungen für sicheren Zugriff protokollieren diese Anwendungen Benutzeraktivitäten nicht ausreichend, bieten Audit-Funktionen oder ermöglichen es Administratoren, Remote-Sitzungen in Echtzeit zu überwachen – und gegebenenfalls zu trennen. Sie ermöglichen es Admins oft auch nicht, verschiedene Benutzerberechtigungsebenen festzulegen, z. B. basierend auf Rollen. Sobald ein Angreifer Zugriff auf die Anwendung hat, kann er wie bei Oldsmar die Fernsteuerung über das Steuerungssystem erhalten, mit dem er verbunden ist.
Aufgrund der Konfiguration von TeamViewer ermöglicht es Remote-Verbindungen zu Netzwerken, die Network Address Translation (NAT) und Firewalls umgehen. Endpunkte, die sich in zwei verschiedenen Netzwerken befinden, können sich weiterhin verbinden und es jedem mit dem richtigen Passwort ermöglichen, sich mit einem Computer zu verbinden, auf dem TeamViewer ausgeführt wird. Dies steht im Gegensatz zum Remote Desktop Protocol (RDP) von Microsoft, bei dem beispielsweise beide Computer auf demselben Netzwerk installiert sein müssen. In diesen Fällen kann die Benutzerfreundlichkeit die Sicherheit beeinträchtigen.
Die Warnung von CISA umfasst eine lange Liste von Minderungsmaßnahmen, einschließlich der Empfehlung, dass Industrieunternehmen mit aktuellen Windows-Versionen arbeiten, Multi-Faktor-Authentifizierung und starke Passwörter verwenden, um Remote-Verbindungen zu sichern. Es wird auch empfohlen, Netzwerkkonfigurationen zu prüfen, ebenso wie Segmentierungssysteme, die nicht aktualisiert werden können.
CISA warnte außerdem, dass die Verwendung von TeamViewer und anderen ähnlichen Anwendungen nicht nur für den Fernzugriff auf kritische Prozesse missbraucht werden kann, sondern auch, um sich seitlich über ein Netzwerk zu bewegen, bösartigen Code wie Remote Access Trojaner (RATs) einzuschleusen und andere bösartige Aktivitäten zu verschleiern.
„Die legitime Nutzung von TeamViewer macht jedoch anomale Aktivitäten für Endbenutzer und Systemadministratoren im Vergleich zu RATs weniger verdächtig“, sagte die Warnung.
Darüber hinaus sollten Unternehmen sichere Zugriffslösungen bereitstellen, die für ICS-Umgebungen entwickelt wurden, die es nur autorisierten Benutzern ermöglichen, Sitzungen zu erstellen, und Administratoren sollten diese Sitzungen im Falle bösartiger Aktivitäten überwachen und trennen. Es ist auch wichtig, über eine Netzwerkerkennungssoftware zu verfügen, die Einblick in Assets bietet, die in einem OT-Netzwerk ausgeführt werden, einschließlich veralteter Betriebssysteme und Software, sowie aller CVEs, die mit diesen Produkten verbunden sind, sodass Administratoren Maßnahmen ergreifen können.
CWE-23 RELATIVER PFADVERLAUF:
Ein „Arbitary File Deletion“ in Samsung DMS (Data Management Server) ermöglicht es Angreifern, beliebige Dateien von unbeabsichtigten Speicherorten im Dateisystem zu löschen. Die Nutzung ist auf bestimmte, autorisierte private IP-Adressen beschränkt.
Samsung empfiehlt Benutzern, sich für ein Software-Update an ein Samsung Callcenter oder ein Installationsprogramm zu wenden.
Dieses Produkt ist nicht für die Verbindung mit dem Internet bestimmt. Trennen Sie es daher vom Internet. Beachten Sie die folgende Aussage im Handbuch: „Verwenden Sie dieses Produkt nur in einem separaten dedizierten Netzwerk. Samsung Electronics haftet nicht für Probleme, die durch die Verbindung mit dem Internet oder einem Intranet verursacht werden.“
CVSS v3: 8.1
CWE-22 UNZULÄSSIGE EINSCHRÄNKUNG EINES PFADNAMENS AUF EINEN BESCHRÄNKTEN VERZEICHNISPFADNAMEN AUF EIN BESCHRÄNKTES VERZEICHNIS („PFADTRAVERSAL“):
Eine „Arbitary File Creation“ in Samsung DMS (Data Management Server) ermöglicht es Angreifern, beliebige Dateien an unbeabsichtigten Speicherorten im Dateisystem zu erstellen. Die Nutzung ist auf bestimmte, autorisierte private IP-Adressen beschränkt.
Samsung empfiehlt Benutzern, sich für ein Software-Update an ein Samsung Callcenter oder ein Installationsprogramm zu wenden.
Dieses Produkt ist nicht für die Verbindung mit dem Internet bestimmt. Trennen Sie es daher vom Internet. Beachten Sie die folgende Aussage im Handbuch: „Verwenden Sie dieses Produkt nur in einem separaten dedizierten Netzwerk. Samsung Electronics haftet nicht für Probleme, die durch die Verbindung mit dem Internet oder einem Intranet verursacht werden.“
CVSS v3: 7.2
CWE-22 UNZULÄSSIGE BESCHRÄNKUNG EINES PFADNAMENS AUF EINEN BESCHRÄNKTEN VERZEICHNISPFADNAMEN AUF EIN BESCHRÄNKTES VERZEICHNIS („PFADTRAVERSAL“):
Die unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Path Traversal“) in Samsung DMS (Data Management Server) ermöglicht es authentifizierten Angreifern, beliebige Dateien an unbeabsichtigten Speicherorten im Dateisystem zu erstellen.
Samsung empfiehlt Benutzern, sich für ein Software-Update an ein Samsung Callcenter oder ein Installationsprogramm zu wenden.
Dieses Produkt ist nicht für die Verbindung mit dem Internet bestimmt. Trennen Sie es daher vom Internet. Beachten Sie die folgende Aussage im Handbuch: „Verwenden Sie dieses Produkt nur in einem separaten dedizierten Netzwerk. Samsung Electronics haftet nicht für Probleme, die durch die Verbindung mit dem Internet oder einem Intranet verursacht werden.“
CVSS v3: 7.1
CWE-36 ABSOLUTER PFADVERLAUF:
Absolute Path Traversal in Samsung DMS (Data Management Server) ermöglicht es authentifizierten Angreifern (Administratoren), sensible Dateien zu lesen.
Samsung empfiehlt Benutzern, sich für ein Software-Update an ein Samsung Callcenter oder ein Installationsprogramm zu wenden.
Dieses Produkt ist nicht für die Verbindung mit dem Internet bestimmt. Trennen Sie es daher vom Internet. Beachten Sie die folgende Aussage im Handbuch: „Verwenden Sie dieses Produkt nur in einem separaten dedizierten Netzwerk. Samsung Electronics haftet nicht für Probleme, die durch die Verbindung mit dem Internet oder einem Intranet verursacht werden.“
CVSS v3: 4.9
CWE-502 DESERIALISIERUNG NICHT VERTRAUENSWÜRDIGER DATEN:
Die Deserialisierung nicht vertrauenswürdiger Daten in Samsung DMS (Data Management Server) ermöglicht es Angreifern, beliebigen Code über eine Schreibdatei in das System auszuführen.
Samsung empfiehlt Benutzern, sich für ein Software-Update an ein Samsung Callcenter oder ein Installationsprogramm zu wenden.
Dieses Produkt ist nicht für die Verbindung mit dem Internet bestimmt. Trennen Sie es daher vom Internet. Beachten Sie die folgende Aussage im Handbuch: „Verwenden Sie dieses Produkt nur in einem separaten dedizierten Netzwerk. Samsung Electronics haftet nicht für Probleme, die durch die Verbindung mit dem Internet oder einem Intranet verursacht werden.“
CVSS v3: 8.0
