Schwachstellen im Rockwell ThinManager könnten industrielle HMIs Angriffen aussetzen

Schwachstellen im ThinManager ThinServer von Rockwell Automation könnten Remote-Angreifern ermöglichen, die Kontrolle über Server zu übernehmen und HMIs zu hacken.

Von

Flipboard

Reddit

Pinterest

WhatsApp

WhatsApp

Email

Von Forschern entdeckte Schwachstellen im Produkt ThinManager ThinServer von Rockwell Automation könnten für Angriffe auf industrielle Steuerungssysteme (ICS) ausgenutzt werden.

Forscher des Cybersicherheitsunternehmens Tenable entdeckten eine kritische und zwei Schwachstellen mit hohem Schweregrad in ThinManager ThinServer, einer von Rockwell angebotenen Verwaltungssoftware für Thin Clients und RDP-Server. Die Fehler werden als CVE-2023-2914, CVE-2023-2915 und CVE-2023-2917 verfolgt.

Die Sicherheitslücken wurden als fehlerhafte Eingabevalidierungsprobleme beschrieben, die zu einem Ganzzahlüberlauf oder Pfaddurchquerung führen können. Die Schwachstellen können von Remote-Angreifern – ohne vorherige Authentifizierung – ausgenutzt werden, indem sie speziell gestaltete Synchronisierungsprotokollnachrichten senden.

Durch die Ausnutzung der Sicherheitslücken kann ein Denial-of-Service (DoS)-Zustand verursacht, beliebige Dateien mit Systemrechten gelöscht und beliebige Dateien in einen beliebigen Ordner auf dem Laufwerk hochgeladen werden, auf dem ThinServer.exe installiert ist.

Die Schwachstellen wurden dem Anbieter im Mai gemeldet und Tenable veröffentlichte technische Details am 17. August, am selben Tag, an dem Rockwell Automation Kunden über die Verfügbarkeit von Patches informierte (Hinweis für registrierte Benutzer). Tenable hat auch Proof-of-Concept-Exploits (PoC) entwickelt, diese jedoch nicht veröffentlicht.

Tenable teilte SecurityWeek mit, dass die einzige Voraussetzung für eine Ausnutzung der Zugriff auf das Netzwerk sei, auf dem sich der anfällige Server befindet. Eine Ausnutzung direkt aus dem Internet ist auch möglich, wenn der Server mit dem Internet verbunden und offengelegt ist. Dies verstößt jedoch gegen die empfohlenen Best Practices des Anbieters.

„Eine erfolgreiche Ausnutzung kann dem Angreifer die vollständige Kontrolle über den ThinServer ermöglichen“, sagte Tenable. „Die tatsächlichen Auswirkungen dieses Zugriffs hängen von der Umgebung, der Serverkonfiguration und den Inhaltstypen ab, für die der Server konfiguriert ist und auf die er zugreifen soll.“

Das Unternehmen stellte fest, dass das Produkt typischerweise für Mensch-Maschine-Schnittstellen (HMIs) zur Steuerung und Überwachung von Industrieanlagen verwendet wird.

„Ein Angreifer könnte sich Zugriff auf diese HMIs verschaffen. Ein Angreifer könnte sich auch vom Server aus bewegen, um andere Assets im Netzwerk anzugreifen“, sagte Tenable.

Auch die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat diese Woche eine Empfehlung veröffentlicht, um Organisationen über diese Schwachstellen zu informieren.

Schwachstellen in Rockwell Automation-Produkten könnten von Bedrohungsakteuren in ihrem Betrieb angegriffen werden. Kürzlich wurde bekannt, dass ein namenloser APT zwei ControlLogix-Schwachstellen im Visier hat, die ausgenutzt werden könnten, um Störungen oder Zerstörungen in kritischen Infrastrukturorganisationen zu verursachen.

Rockwell entdeckte etwas, was es als „neue Exploit-Fähigkeit“ bezeichnete, es gab jedoch keine Hinweise auf eine Exploit-Funktion in freier Wildbahn.

Verwandt: Neue Schwachstellen ermöglichen Angriffe im Stuxnet-Stil auf Rockwell-SPS

Verwandt: Organisationen wurden über über ein Dutzend Schwachstellen in Rockwell Automation-Produkten informiert

Verwandt: USA untersuchen Cybersicherheitsrisiken der China-Aktivitäten von Rockwell Automation

Eduard Kovacs (@EduardKovacs) ist leitender Redakteur bei SecurityWeek. Er arbeitete zwei Jahre lang als IT-Lehrer an einer High School, bevor er eine journalistische Karriere als Sicherheitsnachrichtenreporter bei Softpedia begann. Eduard hat einen Bachelor-Abschluss in Industrieinformatik und einen Master-Abschluss in Computertechnik für die Elektrotechnik.

Abonnieren Sie das E-Mail-Briefing von SecurityWeek, um über die neuesten Bedrohungen, Trends und Technologien sowie aufschlussreiche Kolumnen von Branchenexperten informiert zu bleiben.

Besprechen Sie mit Sicherheitsexperten das ungenutzte Potenzial von ZTNA zur Reduzierung von Cyber-Risiken und zur Stärkung des Unternehmens.

Nehmen Sie an einem Webinar von Microsoft und Finite State teil, in dem eine neue Strategie zur Sicherung der Software-Lieferkette vorgestellt wird.

Während quantenbasierte Angriffe noch in der Zukunft liegen, müssen Unternehmen darüber nachdenken, wie sie Daten während der Übertragung schützen können, wenn die Verschlüsselung nicht mehr funktioniert. (Marie Hattar)

So wie eine professionelle Fußballmannschaft Koordination, Strategie und Anpassungsfähigkeit benötigt, um einen Sieg auf dem Spielfeld zu sichern, muss eine umfassende Cybersicherheitsstrategie spezifische Herausforderungen und Bedrohungen bewältigen. (Matt Wilson)

Mit Inkrafttreten der SEC-Regeln zur Offenlegung von Cyber-Vorfällen werden Unternehmen gezwungen sein, ernsthaft darüber nachzudenken, Sicherheitsverantwortlichen einen Platz am Tisch zu geben. (Marc Solomon)

Die Arbeit aus der Ferne wird uns erhalten bleiben und Unternehmen sollten weiterhin sicherstellen, dass ihre grundlegenden Kommunikationsformen ordnungsgemäß konfiguriert und gesichert sind. (Matt Honea)

Die Komplexität und Herausforderung verteilter Cloud-Umgebungen erfordert oft die Verwaltung mehrerer Infrastruktur-, Technologie- und Sicherheits-Stacks, mehrerer Richtlinien-Engines, mehrerer Kontrollsätze und mehrerer Asset-Inventare. (Joshua Goldfarb)

Flipboard

Reddit

Pinterest

WhatsApp

WhatsApp

Email

Der Gesamteffekt der aktuellen globalen geopolitischen Bedingungen besteht darin, dass Nationalstaaten einen größeren Anreiz haben, das ICS/OT kritischer Industrien ins Visier zu nehmen, während ...

Das mit der Cybersicherheit verbundene Risiko ist ein Hauptanliegen, daher müssen Vorstände wissen, dass sie über die richtige Aufsicht verfügen. Erfolgreiche CISOs machen schon als Berufseinsteiger...

Wago hat kritische Schwachstellen behoben, die es Hackern ermöglichen können, die vollständige Kontrolle über seine speicherprogrammierbaren Steuerungen (SPS) zu übernehmen.

Otorio hat ein kostenloses Tool veröffentlicht, mit dem Unternehmen Probleme im Zusammenhang mit der DCOM-Authentifizierung erkennen und beheben können.

Das Cybersicherheitsunternehmen Forescout zeigt, wie verschiedene ICS-Schwachstellen für einen Exploit verkettet werden können, der es Hackern ermöglicht, Schäden an einer Brücke anzurichten.

Der Internet-of-Things- (IoT) und industrielle IoT-Sicherheitsanbieter Shield-IoT gab diese Woche bekannt, dass er eine Serie-A-Finanzierungsrunde in Höhe von 7,4 Millionen US-Dollar abgeschlossen hat.

Im Jahr 2022 wurden mehr als 1.300 ICS-Schwachstellen entdeckt, darunter fast 1.000 mit einem hohen oder kritischen Schweregrad.