Kritische Lücke in älterem ENIP-Stack für industrielle Steuerungssysteme entdeckt.

0

Das “IP” in EtherNet/IP steht für “Industrial Protocol”.

RTAs 499ES wird für die Ethernet-Implementierung in industriellen Steuerungssystemen verwendet und ist eines der weltweit am weitesten verbreiteten Protokolle in OT-Netzwerken (Operational Technology), so eine Beschreibung der Schwachstelle im Blog der Firma Claroty.

RTA hat den Stack bereits 2012 repariert

Sicherheitsforscher haben eine kritische Schwachstelle in älteren Versionen des 499ES EtherNet/IP (ENIP)-Stacks von Real Time Automation (RTA) entdeckt.

Sie könnte von Angreifern sowohl für Denial-of-Service-Angriffe als auch für Angriffe auf die entfernte Codeausführung ausgenutzt werden.

Forscher haben eine kritische Schwachstelle in älteren Versionen des 499ES EtherNet/IP (ENIP)-Stacks von 499ES EtherNet/IP (ENIP) entdeckt, der weltweit von kritischen Infrastrukturen genutzt wird.

Vor der Schwachstelle CVE-2020-25159 (CVSS-Score 9.

8 von 10) warnt auch das ICS-CERT der US-Behörde CISA im Advisory ICSA-20-324-03: Es sieht kritische Infrastrukturen (CRITIS) weltweit als potenziell bedroht an und rät, die verwendete Protokollversion zu überprüfen und zusätzliche Vorsichtsmaßnahmen zu ergreifen.

Allerdings ist sie (noch) nicht auf öffentlich zugänglichen Exploit-Code gestoßen.

Daher liegt es letztlich an den Herstellern von OT/ICS-Geräten, gegebenenfalls gegen CVE-2020-25159 vorzugehen.

Admins und OT-Sicherheitsmanager sollten nach Aktualisierungen Ausschau halten und die vom ICS-CERT der CISA vorgeschlagenen Sicherheitsmaßnahmen befolgen.

Anfällig sind alle 499ES-Protokollversionen vor Version 2.

28, die am 21. Januar veröffentlicht wurden.

21. November 2012 veröffentlicht wurden: Der fragliche Code wurde zu diesem Zeitpunkt entfernt (aber nicht aufgrund der jetzt entdeckten Schwachstelle).

Claroty und CISA gehen jedoch davon aus, dass viele Geräte in OT-Netzwerken immer noch mit anfälligen Versionen laufen.

Der Grund dafür: Viele Hersteller kaufen (oder kaufen) der Einfachheit halber das vorgefertigte ENIP-Stack-SDK von RTA, um es für ihre eigene Firmware zu verwenden.

Bilden Sie Quellcode-Versionen vor 2.

28 dieser Basis, ist es daher wahrscheinlich, dass die Lücke in der Firmware noch vorhanden ist.

Um CVE-2020-25159 auszunutzen, müssten Angreifer speziell gestaltete Datenpakete verwenden, um einen Stack-basierten Pufferüberlauf zu provozieren; siehe Clarotys Blog-Eintrag für weitere Einzelheiten.

Die Komplexität des Fernangriffs ist laut CISA gering.

..

Share.

Leave A Reply