Schwachstellen in der Gebäudeautomation
Das angreifbare Haus
Mittlerweile ist sich jeder IT-Entscheider bewusst, dass vernetzte Geräte ein höheres Sicherheitsrisiko bergen als klassische Endpunkte. Vorfälle wie ein gehackter Staubsaugerroboter verdeutlichen die Bedrohung. Allerdings denken viele Unternehmen, dass für sie kein Risiko bestehe, da sie solche Vorfälle nicht beträfen - ein gefährlicher Trugschluss.
Zwar ist es unwahrscheinlich, dass eine Organisation genau jenen Staubsauger im Netz hat, allerdings können nur wenige Unternehmen den nötigen Durchblick über ihre Geräte im Netzwerk herstellen. Oft unterschätzen IT-Abteilungen die Menge an Endpunkten in ihren Umgebungen und sind sich nicht bewusst, wie viele Bereiche heute bereits vernetzt sind. Dies verdeutlicht eine aktuelle Untersuchung von Gebäudeautomationssystemen (Building Automation System, BMS). Diese - zuständig für die Steuerung von Klimaanlagen, Aufzügen und weiterer Gebäudetechnik - kommen in vielen Büros seit Jahren zum Einsatz. Ziel der Untersuchung war es, eine Proof-of-Concept-Malware zum Angriff auf Gebäudeautomationsnetze zu entwickeln und so das Bewusstsein für ein Problem zu schärfen, das sich in den kommenden Jahren zunehmen wird.
Gebäudeautomationssysteme, einst als Insellösung geplant, werden in den letzten Jahren zunehmend "smart", also direkt mit dem Internet verbunden. Hier setzten die Forscher an: Sie suchten nach neuen Schwachstellen (wie Pufferüberlauf, hartcodierte Geheimnisse und Fehlkonfigurationen), nutzten aber auch aktuelle Sicherheitslücken, die von anderen gefunden wurden. Zwar gibt es noch keine nachgewiesene Malware, die speziell für intelligente Gebäude entwickelt wurde, doch Schadsoftware, die auf Industriesteuerungssysteme (ICS) abzielt, lässt sich ebenfalls für solche Angriffe nutzen. Hier hat die Zahl der Attacken in den letzten zehn Jahren enorm zugenommen - man denke an Industroyer, Triton oder neuerdings GreyEnergy. Daher werden Angriffe, die auf vernetzte Gebäude abzielen, ein unvermeidlicher nächster Schritt sein.
Im Detail haben die Sicherheitsforscher zwei Systeme geprüft: eine Klimaanlage und ein Zugangskontrollsystem. Wenn Angreifer Temperatursollwerte durch Manipulation der Klimaanlage verändern oder HLK-Geräte (Heizung, Lüftung und Klima) zum Absturz bringen, können Rechenzentren vom Netz gehen, in denen große Unternehmen sensible Daten speichern und verarbeiten. Auch könnten Menschen in Anlagen zu Schaden kommen, in denen solche Vorrichtungen lebenswichtig sind, zum Beispiel in Tunneln und Bergwerken. Zugangskontrollsystem wiederum dienen dazu, den Zutritt zu bestimmten Bereichen eines Gebäudes zu gewähren oder zu verweigern, etwa in Büros, aber auch in kritischen Einrichtungen wie Flughäfen und Krankenhäusern. Ein Angreifer, der Zugriff auf das Automationsnetzwerk solcher Gebäude hat, könnte die Türen steuern, um sich Zugang zu Sperrbereichen zu verschaffen oder befugtes Personal am Zutritt zu hindern.
Gravierende Schwachstellen
Details zu den gestesten Systemen wollen die Forscher nicht preisgeben, da es ihnen gelang, aus der Ferne auf den Zielgeräten über eine gängige speicherprogrammierbare Steuerung (SPS) zur Zugangskontrolle beliebigen Code auszuführen und das Gerät komplett zu übernehmen. Als sie den Hersteller über diese Sicherheitslücken informierten, teilte dieser mit, diese seien bereits bekannt und geschlossen worden; man habe sie jedoch nie öffentlich gemacht. Wie sich zeigte, sind viele dieser Geräte immer noch angreifbar und nicht gepatcht. Deshalb werden der Anbieter und das betroffene Gerät hier nicht genannt. Allerdings sollte man trotzdem einige Details zu den Sicherheitslücken genauer betrachten:
- hartcodierte Schlüssel: Es wurde eine Verschlüsselungsfunktion gefunden, die ein hartcodiertes Geheimnis verwendet, um Benutzerpasswörter zu speichern. Diese Schwachstelle gibt einem Angreifer die Möglichkeit, die Zugangsdaten legitimer Benutzer des Geräts zu erhalten.
- Pufferüberlauf: Per Buffer Overflow gelang den Forschern Remote-Code-Ausführung auf der Steuerung, wodurch ein Angreifer die volle Kontrolle über das Gerät erhalten kann.
Diese beiden Schwachstellen sind zwar keine Zero-Day-Lücken im eigentlichen Sinne (da sie dem Anbieter bekannt waren und ein Patch existiert); außerdem betreffen sie ältere Versionen des von der SPS verwendeten Frameworks (die Version im Test war von Juni 2013).
Trotzdem sind diese Lücken zumindest aus einem Grund schwerwiegend, der bei ICS-, IoT- und BMS-Geräten häufig zutrifft: Es gibt unzählige online erreichbare Geräte (und wahrscheinlich noch viel mehr nicht direkt exponierte), die ein Angreifer immer noch ins Visier nehmen kann, weil sie nie gepatcht wurden.
Während man bei den geprüften Anlagen von der Nennung der Hersteller abgesehen hat, werden die Forscher bei den ebenfalls geprüften Gateways deutlicher: Sie stellten fest, dass sich durch die Verbindungshardware ebenfalls Angriffsvektoren ausnutzen lassen. Mehrere Angriffe waren durchführbar. Diese Schwachstellen rühren daher, dass die Software Datenausgaben - zum Beispiel bei Cross-Site Scripting (XSS) - nicht genügend bereinigt oder Benutzereingaben nicht richtig validiert, zum Beispiel bei Path Traversal und dem Umgehen der Authentifizierung. Die Tabelle (siehe Seite 45) gibt eine Übersicht über die Schwachstellen, die das Forscherteam gefunden hat.
Jeder Fall wurde dem zuständigen Anbieter gemeldet. Diese haben reagiert und Patches bereitgestellt. Von den Schwachstellen auf dem Loytec-Gerät (CVE-2018-14919, CVE-2018-1491818 und CVE-2018-14916) erfuhr der Hersteller Ende Juli, er patchte sie am 13.11.18. Die Schwachstellen auf dem EasyIO-Gerät meldeten die Forscher Anfang August, der Patch des Herstellers folgte am 8.10.18. Mithilfe der XSS-Schwachstellen (CVE-2018-14919, CVE-2018-15820) kann ein Angreifer auf anfälligen Geräten bösartige Skripte in vertrauenswürdige Web-Schnittstellen einbinden. Angreifer führen diese Programmzeilen über den Browser eines ahnungslosen Geräteadministrators aus, um auf Cookies, Sitzungs-Token oder andere sensible Informationen zuzugreifen und bösartige Aktionen im Namen des Benutzers durchzuführen. Neben dem Zugriff auf sensible Informationen können solche XSS-Angriffe auch zum Einsatz kommen, um das interne Netzwerk zu erkunden und mit Tools wie BeEF Datenverkehr zu tunneln. Gespeichertes XSS ermöglicht einem Angreifer, das bösartige Skript in der Anwendung zu speichern, sodass es potenziell für jeden Benutzer ausgeführt wird, der auf die Anwendung zugreift. Bei reflektiertem XSS sendet der Angreifer dagegen eine nicht dauerhaft gespeicherte Anfrage mit dem bösartigen Skript an einen bestimmten Benutzer.
Die Path-Traversal-Schwachstelle und die Sicherheitslücke mit Dateilöschung (CVE-2018-14918 und CVE-2018-14916) versetzen einen Angreifer in die Lage, Dateipfade zu manipulieren und Dateien wie auch Verzeichnisse einschließlich kritischer Systemdateien einzusehen oder zu löschen, die außerhalb des Stammverzeichnisses der Web-Anwendung auf dem Gerät gespeichert sind. So können Angreifer System- und Konfigurationsdateien lesen oder löschen, die beispielsweise Benutzernamen und Passwörter enthalten. Die Authentification-Bypass-Lücke (CVE-2018-15819) schließlich ermöglicht einem Angreifer, ohne gültige Zugangsdaten Anfragen mit erweiterten Rechten in der verwundbaren Anwendung auszuführen, indem er die bei der Anfrage gesendete Sitzungs-ID manipuliert. Jede Zeichenkette von gleicher Größe wie eine gültige ID wird akzeptiert. In diesem speziellen Fall kann der Angreifer sogar die Zugangsdaten von Benutzern stehlen, einschließlich Klartext-Passwörtern.
Mehrzahl der Unternehmen ist angreifbar
IT-Verantwortliche müssen sich klar machen, dass viele Gebäude bereits vernetzt sind, obwohl sie nicht das Label "smart" tragen. Zahlreiche Einrichtungen nutzen ein BMS, um physische Komponenten zu steuern: Videoüberwachung, Fahrstühle, Belüftung oder Heizung. In Rechenzentren, Bürogebäuden, Krankenhäusern oder öffentlichen Institutionen gehören sie seit Jahren zum Standard. Die Untersuchung kommt zu dem Schluss, dass letztes Jahr 20 Prozent alle vernetzten Gebäude Opfer von digitalem Vandalismus wurden. Ein Beispiel, wie dies in der Praxis aussehen kann, ist ein Vorfall aus dem Jahr 2016 in einem österreichischen Hotel: Angreifer sperrten dort Gäste in ihrem Zimmer ein öffneten die Zimmer erst wieder, nachdem das Hotel Lösegeld gezahlt hatte.
Die Gefahr wächst durch die sukzessive Erneuerung von Gebäudeautomationssystemen: Anbieter ersetzen Bauteile bei der Wartung durch moderne IoT-Geräte. Anstatt einer Verwaltung vor Ort findet deren Verwaltung über WLAN oder Bluetooth statt. Mit jedem "smarten" Gerät wächst der Vernetzungsgrad und damit die Erreichbarkeit aus dem Internet. Immer mehr Prozesse lassen sich so aufeinander abstimmen - und Kriminelle finden neue Wege, um Unternehmensnetzwerke zu kompromittieren.
Die meisten Unternehmen erkennen nicht, wie umfangreich ihre Infrastruktur mittlerweile ist, und dass sie im Zuge der Digitalisierung nicht nur neue Endgeräte, sondern ganze zusätzliche Bereiche wie eben BMS umfassen. So konnten die Forscher im Rahmen der Untersuchung über Suchmaschinen wie Shodan und Censys 214 verwundbare Geräte finden, zudem 21.621 Geräte mit Schwachstellen in der Zugangskontroll-SPS. Die Forscher gehen davon aus, dass sie bei 7.980 (37 Prozent) dieser Anlagen über die Steuerung hätten eindringen können.
Risiko Cloud-Anbindung
Sowohl beim anfangs erwähnten Saugroboter als auch bei den untersuchten Gebäudeautomationssystemen bestanden Schwachstellen bei der Cloud-Anbindung. Eine Absicherung solcher Geräte ist gleich aus zwei Gründen über reine Endpunktsicherheit nicht sinnvoll oder gar unmöglich: Erstens bedeutet eine immer stärkere Vernetzung einen immer größeren Bedarf an Intelligenz und Einblickt in Netzwerkprozesse; Tools auf dem Gerät haben aber in der Regel nicht die Möglichkeit, kontextbezogene Informationen zu nutzen. Zweitens sind Agenten häufig nicht für IoT-Geräte ausgelegt. Selbst wenn man die Verwaltungssoftware anpassen könnte, ließe sie sich nur mit eingeschränkter Funktionalität betreiben. Der Aufwand ist für IT-Abteilungen nicht zu leisten und steht in keinem Gegenwert zum eher geringen Sicherheitsvorteil. Grundsätzlich muss eine IT-Organisatione aber alle Endgeräte verwalten. Nur so kann sie Schwachstellen konsequent finden und Patches aufspielen. Kriminellen fällt es über Suchmaschinen sonst leicht, einen Angriffsvektor zu finden. Gefordert ist hier ein agentloser Ansatz, der die automatische Erkennung von Geräten ebenso ermöglicht wie kontextbezogene Reaktionen auf Vorfälle.
Fazit
Vernetzte Geräte sind grundsätzlich angreifbar. Deren Hersteller müssen neben bestmöglichen Sicherheitsvorkehrungen auch dafür Sorge tragen, dass sich ihre Produkte mit Updates versorgen lassen. Jedes Gerät muss auf bestmögliche Robustheit (Security by Design) ausgerichtet und standardmäßig für höchstmögliche Sicherheit konfiguriert sein (Security by Default). Diese Ansprüche sind nicht neu, die Hersteller halten erfüllen sie aber längst nicht immer. IoT-Anbieter und IT-Sicherheitsexperten müssen ihre Zusammenarbeit verstärken, um Schwachstellen zu schließen, bevor Kriminelle sie entdecken und ausnutzen. Eben deshalb sollten Unternehmen aktiv werden, denn viele haben unsichere Endgeräte im Netzwerk, ohne es zu wissen. Im Zeitalter der Digitalisierung reicht der alleinige Schutz auf dem Endpunkt und am Perimeter nicht mehr aus. Erforderlich sind zudem Schutzmechanismen auf Netzwerkebene.
Lesen Sie mehr zum Thema
