Skip to main

Im Jahr 2020 identifizierte das Kaspersky ICS CERT (Industrial Control Systems Emergency Response Team) [1] neun Schwachstellen in der ISaGRAF Runtime-Plattform [2], die als Automatisierungs-Framework in zahlreichen Produkten verschiedener Branchen weltweit eingesetzt wird. Zu den Anwendungsbereichen von ISaGRAF gehören neben industriellen Kontrollsystemen (ICS) auch das Transportwesen, die Energieversorgung und weitere Industriebereiche; dies macht die Sicherheit der Plattform zum nationalen Interesse. Die Schwachstellen wurden vom Hersteller Rockwell Automation Anfang 2022 behoben. Eine nun von Kaspersky veröffentlichte Studie [3] bietet einen Überblick über das ISaGRAF-Framework und behandelt die kritischsten Schwachstellen sowie mögliche Angriffsvektoren.

ISaGRAF, eine Programmiertechnologie und Ausführungsumgebung, die von Industrieunternehmen weltweit eingesetzt wird, ist Eigentum von Rockwell Automation und wird heute für verschiedene Steuerungsgeräte unterschiedlicher Hersteller angepasst und erweitert. Da das ISaGRAF-Framework vom Hersteller des Endprodukts angepasst werden muss, kann die Sicherheit der Anwender zur Herausforderung werden.  Um herauszufinden, ob die ein Produkt angreifbar ist, muss der Anwender darauf warten, dass Rockwell Automation die Schwachstellen behebt, eine Empfehlung veröffentlicht und der Hersteller des Produkts diesem folgt. In einigen Fällen ist die ISaGRAF-Lieferkette bei Drittanbietern sogar noch länger. Komplizierte Patching-Verfahren erschweren den Behebungsprozess zusätzlich, da Sicherheits-Patches nur während eines bestimmten Zeitraums (geplantes Wartungsfenster) installiert werden können.

Neun Schwachstellen identifiziert

Kaspersky ICS CERT analysierte die Funktionalität des ISaGRAF-Frameworks und entdeckte neun Schwachstellen, die von einem Angreifer remote oder lokal ausgenutzt werden können – beispielsweise um aus der eingeschränkten ISaGRAF-Umgebung heraus die vollständige Kontrolle über ein Gerät zu übernehmen. Die Untersuchung ergab, dass ein Angreifer in der Lage war, über das ISaGRAF eXchange Layer (IXL)-Protokoll, das zur Datenübertragung innerhalb des Frameworks verwendet wird, per Fernzugriff in das System einzudringen. Rockwell Automation hat hierzu einen Sicherheitshinweis herausgegeben [4], ein Update veröffentlicht, um einige der Schwachstellen zu beheben, und Maßnahmen zur Beseitigung weiterer Schwachstellen veröffentlicht.

„Die ISaGRAF-Runtime-Umgebung gilt als wesentliches Programmiertool, das in verschiedenen Branchen auf der ganzen Welt eingesetzt wird, auch in solchen von nationaler Bedeutung“, kommentiert Evgeny Goncharov, Head of Kaspersky ICS CERT. „Bei Kaspersky haben wir mehrere Schwachstellen entdeckt, die dieses System und seine Funktionalität stark beeinträchtigen könnten. Obwohl einige Hersteller Sicherheits-Patches herausgegeben haben, um die entdeckten Probleme zu beheben, unterstreicht unser Bericht, wie ernst diese Schwachstellen in Drittanbieterkomponenten sein können. Unser Ziel ist es, noch einmal die Aufmerksamkeit der Produkthersteller auf solche Hinweise und die Notwendigkeit einer entsprechenden Reaktion zu lenken.“

Kaspersky-Tipps zum Cyberschutz von ICS-Computern

  • Regelmäßige Betriebssysteme und jegliche Anwendungssoftware aktualisieren, die Teil des Industrienetzes eines Unternehmens sind. Sicherheitskorrekturen und Patches auf ICS-Netzwerkgeräte anwenden, sobald sie verfügbar sind.
  • Regelmäßige Sicherheitsprüfungen von OT-Systemen durchführen, um mögliche Schwachstellen zu ermitteln und zu beseitigen.
  • Lösungen zur Überwachung, Analyse und Erkennung des ICS-Netzwerkverkehrs für einen besseren Schutz vor Angriffen einsetzen, die technologische Prozesse und wichtige Unternehmensressourcen bedrohen könnten.
  • Spezielle ICS-Sicherheitsschulungen [5] für IT-Sicherheitsteams und OT-Ingenieure durchführen. Dies ist entscheidend für eine bessere Reaktion auf neue und fortgeschrittene bösartige Techniken.
  • Aktuelle Bedrohungsdaten für das Sicherheitsteam bereitstellen, das für den Schutz industrieller Kontrollsysteme verantwortlich ist. Der ICS Threat Intelligence Reporting [6] Service bietet Einblicke in aktuelle Bedrohungen und Angriffsvektoren sowie in die anfälligsten Elemente in OT- und Industriesteuerungssystemen und Empfehlungen, wie diese entschärft werden können.
  • Sicherheitslösungen für OT-Endpunkte und -Netzwerke wie Kaspersky Industrial CyberSecurity [7] einsetzen, um einen umfassenden Schutz für alle kritischen Industriesysteme zu gewährleisten.
  • IT-Infrastruktur mit Integrated Endpoint Security [8] schützen. Diese sichert die Endpunkte des Unternehmens und ermöglicht eine automatische Erkennung von und Reaktion auf Bedrohungen.

 

Weitere Informationen zum ISaGRAF-Framework und die aufgedeckten Schwachstellen unter https://kas.pr/v51q 

 

[1] https://ics-cert.kaspersky.com/

[2] https://www.rockwellautomation.com/en-us/support/documentation/technical-data/isagraf_20190326-0743.html

[3] https://kas.pr/v51q

[4] https://idp.rockwellautomation.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Drockwellautomation.custhelp.com%26RelayState%3Danswers%2Fanswer_view%2Fa_id%2F1131699

[5] https://ics.kaspersky.de/trainings-and-awareness/

[6] https://tip.kaspersky.com/

[7] https://www.kaspersky.de/enterprise-security/industrial

[8] https://www.kaspersky.de/enterprise-security/endpoint


Nützliche Links:

ISaGRAF-Plattform: Schwachstellen könnten diverse Branchen auf Jahre hinaus beeinträchtigen

Kaspersky-Bericht inklusive Handlungsempfehlungen für Industrieanwender
Kaspersky Logo