Bei der Untersuchung von Cyber-Risiken in Protokollen von M2M-, also intermaschinellen Anwendungen und Asset-Registrierungsprozessen haben Experten des israelischen Sicherheitsanbieters Otorio gravierende Sicherheitslücken aufgespürt. Wie Otario, ein international agierender Anbieter von Cyber-Sicherheitslösungen im Bereich der Operational Technology (OT), bekanntgab, hat ein Forschungsteam des Unternehmens Schwachstellen in den Plattformen für das Cloud-Management von drei bedeutenden Herstellern von Mobilfunk-Routern für die Industrie entdeckt.
Mobilfunk-Router werden häufig in industriellen Umgebungen eingesetzt, wenn herkömmliche kabelgebundene Internet-Verbindungen nicht zur Verfügung stehen (auf Bohrinseln) oder nicht zuverlässig arbeiten (spezifische Fertigungsumgebungen). Die Hersteller dieser Geräte verwenden Cloud-Plattformen, um ihren Kunden Funktionen wie zum Beispiel die Fernverwaltung, die Skalierbarkeit oder die Analysefähigkeit und Security zu den Anwendungen und Daten zu liefern. In den untersuchten Cloud-Plattformen ermittelten die Otorio-Sicherheitsexperten elf Schwachstellen, die eine Ausführung von Remote-Code und die Übernahme der vollständigen Kontrolle von außen über Hunderttausende von Geräten und OT-Netzwerken ermöglichen – in einigen Fällen sogar inklusive solcher Geräte, die ursprünglich gar nicht aktiv für die Nutzung in der Cloud konfiguriert gewesen sind.
„Da der Einsatz von IIoT-Geräten immer beliebter wird, ist es besonders wichtig, sich darüber klar zu sein, dass die Plattformen von Cloud-Management von Bedrohungsakteuren ins Visier genommen werden können“, mahnt denn auch Roni Gavrilov, Security Researcher bei Otorio. Bei den Untersuchungen sei eine breite Palette von Angriffsvektoren entdeckt worden, die auf dem Sicherheitsniveau der Cloud-Plattform des jeweiligen Anbieters beruhen. In einigen Fällen ermöglichten diese Sicherheitslücken den externen Angreifern Root-Zugriff über eine Reverse-Shell zu erlangen, Geräte im Produktionsnetzwerk zu kompromittieren, um sich unbefugt Zugriff und Kontrolle mit Root-Rechten zu verschaffen sowie die Funktionsfähigkeit von Geräten zu beeinträchtigen, sensible Informationen herauszuschleusen und sogar Operationen wie einen Shutdown durchzuführen.
Ein ernsthaftes Problem, das bei allen drei Herstellern auftritt, sieht Gavrilov in dem Befund, dass sich über den Umweg über die Plattformen offensichtlich Geräte hacken ließen, die nicht für die Verwendung in der Cloud konfiguriert wurden. In Bezug auf die Modelle verschiedener Anbieter habe gezeigt werden können, dass Attacken auf solche Geräte alle Sicherheitsebenen des Purdue Enterprise Reference Architecture Model umgehen können. „Eine einzelne IIoT-Plattform eines Herstellers, die für die Zwecke der Angreifer ausgenutzt wird“, so Gavrilov, „könnte als Dreh- und Angelpunkt funktionieren und auf Tausende von Umgebungen gleichzeitig zugreifen.“
