Schutz für URGENT/11-Schwachstellen

Schutz für URGENT/11-Schwachstellen

Schützen Sie Ihre VxWorks-Automatisierungskomponenten vor Angriffen und unbefugten Zugriffen.

Im Juli 2019 gab Armis Inc., ein IoT-Sicherheitsunternehmen, die Entdeckung von elf Zero-Day-Sicherheitsschwachstellen im Echtzeitsystem Wind River VxWorks bekannt. Viele industrielle Automatisierungskomponenten sind betroffen. Mit den mGuard Security-Komponenten können Sie Ihr Netzwerk schützen.

VxWorks – was ist das?

VxWorks ist das am weitesten verbreitete Echtzeitbetriebssystem, welches Verwendung in über zwei Milliarden Geräten findet. Die typischen Anwendungsgebiete sind sowohl in der Luft-, Raumfahrt und Verteidigung, als auch in Maschinensteuerungen, medizinischen Geräten und der Netzwerk Infrastruktur.

URGENT/11

Malware verbreitet sich zwischen Maschinen  

Die elf Sicherheitsschwachstellen ermöglichen eine Verbreitung von Malware im Netzwerk

Urgent/11 umfasst elf Sicherheitsschwachstellen von VxWorks, die im TCP/IP-Stack (IPnet) aufzufinden sind und teilweise bis zu 13 Jahren unentdeckt blieben. Dementsprechend betreffen sie zahlreiche Versionen von VxWorks. Die elf Sicherheitslücken werden differenziert zwischen sechs kritischen und fünf Informationslecks oder logischen Fehlern.

Die Sicherheitslücken ermöglichen es entfernten Angreifern, die Kontrolle über Geräte aus der Ferne ohne jede Nutzerinteraktion zu übernehmen und Malware im Netzwerk zu verbreiten. Dazu werden Firewalls und NAT-Lösungen umgangen. Ein solcher Angriff ähnelt der EternalBlue-Schwachstelle, über die WannaCry-Malware verbreitet wurde. Angriffsziele können sowohl SCADA-Systeme als auch Industriesteuerungen, Firewalls, Router, Drucker oder auch MRT-Geräte sein.

Die Angriffsszenarien

Grundsätzlich wird zwischen drei Arten von Angriffen unterschieden, je nach Standort des Gerätes im Netzwerk und Position des Angreifers. Jedoch kann in allen Szenarien die vollständige Kontrolle über das Zielgerät aus der Ferne und ohne jegliche Benutzerinteraktion erlangt werden.

Das erste Szenario umfasst einen Angriff auf die Verteidigung des Netzwerks, wie z. B. Firewalls. Nutzen die Firewalls jedoch VxWorks, ist es durch URGENT/11 möglich, einen direkten Angriff zu starten und die vollständige Kontrolle über diese und die von ihnen bewachten Geräte zu übernehmen.

Beim zweiten Szenario erfolgt ein Angriff über eine externe Netzwerkverbindung. URGENT/11 ermöglicht es, Geräte mit einer solchen Verbindung trotz Firewall- oder NAT-Lösungen unbemerkt zu kontrollieren.

Im dritten Szenario wird aus dem Netzwerk heraus angegriffen. Sofern sich der Angreifer bereits im Netzwerk befindet (z. B. durch Szenario 1 oder 2), kann er durch Urgent/11 ohne jegliche Benutzerinteraktion die volle Kontrolle über Geräte übernehmen. Somit können alle Geräte einer Produktionsstätte auf einmal beeinträchtigt werden, indem die bösartigen Pakete im gesamten Netzwerk verbreitet werden. So ist es beispielsweise möglich, eine ganze Produktionslinie zu kontrollieren oder sogar herunter zu fahren.

Was kann man tun?

mGuard Security-Router von Phoenix Contact  

mGuard Security-Komponenten schützen Ihr Netzwerk

Die Aktualisierung aller Geräte, auf denen VxWorks läuft, ist in der Regel nicht so einfach oder überhaupt nicht möglich: Zunächst müssen alle VxWorks-Geräte identifiziert werden, was bereits eine anspruchsvolle Aufgabe sein kann. Darüber hinaus sind Updates teilweise noch nicht für alle Geräte verfügbar. Selbst wenn Updates verfügbar sind, kann die Installation riskant und langwierig sein und es besteht die Gefahr, dass die Anlage im Anschluss nicht mehr wie erwartet läuft.

Eine deutlich einfachere Lösung besteht im Einbau diskreter Security-Komponenten, wie z. B. den mGuard Security-Routern, die das Netzwerk vor den bekannten Risiken schützen. mGuards verfügen über eine Funktion, die jedes TCP-Paket blockiert, in dem das Urgent Flag gesetzt ist. Die Aktivierung dieser und weiterer Security-Konfigurationen in einem mGuard Security-Router schützen die VxWorks-Geräte vollständig vor der Ausnutzung aller sechs kritischen Sicherheitsschwachstellen. Außerdem bietet der mGuard innerhalb eines LANs den gleichen Schutz, wenn er im Stealth-Modus betrieben wird. Weitere Informationen zur Konfiguration eines mGuard Security-Routers zum Schutz vor Urgent/11 finden Sie im unten angebotenen Whitepaper.

Sollten Sie sich unsicher sein, ob Sie betroffen sind oder wenn Sie Hilfe bei der Umsetzung benötigen, sprechen Sie uns gerne an. Unsere Spezialisten überprüfen Ihr Netzwerk und erarbeiten auf Basis Ihrer Anforderungen ein individuelles Konzept für Ihre Anlage.

Mehr Infos zu den mGuards finden Sie unter dem folgenden Link.

Sie wollen mehr erfahren?

Laden Sie das Whitepaper herunter oder kontaktieren uns.

PHOENIX CONTACT AG

Zürcherstrasse 22
CH-8317 Tagelswangen
+41 (0) 52 354 55 55