Every industrial cybersecurity question demands a tailor-made answer and solution. Our focused team of professionals who understand your business are here to assist your company in securing your mission critical facilities to the highest level.
Oktober 2022 – Siemens industriële apparaten in datacenters kwetsbaar voor hackers. Onlangs ontdekte een onderzoeksteam van het cyberbeveiligingsbedrijf Claroty een methode om private encryptiesleutels uit Siemens industriële apparaten te halen en hele productlijnen van Siemens te compromitteren.
Volgens de onderzoekers introduceerde Siemens tien jaar geleden de praktijk van het opslaan van wereldwijde hard gecodeerde cryptografische sleutels om de integriteit van software en hardware te garanderen. De in München, Duitsland gevestigde fabrikant koos voor het hard coderen van de referenties om gebruikers en integrators de complexiteit van sleutelbeheersystemen te besparen, die toen nog niet bestonden voor industriële systemen. De technologische vooruitgang en het steeds groter wordende bedreigingslandschap maakten de praktijk echter onveilig en vormden een onaanvaardbaar risico.
De onvoldoende beschermde geloofsbrieven kritieke kwetsbaarheid CVE-2022-38465 (CVSS 9.3) kon aanvallers de globale privésleutel laten ontdekken door een offline aanval. Vervolgens zouden zij meerdere geavanceerde aanvallen kunnen uitvoeren op Siemens SIMATIC S7-1200, S7-1500 PLC’s (Programmable Logic Controllers) en aanverwante producten, waardoor een volledige overname mogelijk is. “De sleutel, indien verkregen door een aanvaller, zou hen volledige controle geven over elke PLC per getroffen Siemens productlijn.” Claroty waarschuwde dat de aanvallen de getroffen industriële apparaten onherstelbaar kunnen compromitteren. “Een kwaadwillende zou deze geheime informatie kunnen gebruiken om de gehele SIMATIC S7 1200/1500 productlijn op onherstelbare wijze te compromitteren.”
Claroty had een soortgelijke kwetsbaarheid CVE-2021-22681 in Rockwell Automation PLC’s ontdekt, waardoor een aanvaller op afstand code kon uploaden, gegevens van industriële apparaten kon downloaden en mogelijk nieuwe firmware kon installeren. Deze laatste ontdekking van kwetsbaarheden in PLC’s van Siemens toont duidelijk aan dat de beveiliging van PLC’s voor alle gebruikers van belang zou moeten zijn, vooral als deze PLC’s worden toegepast in kritieke infrastructuren, zoals datacenters. Een dreigingsactor zou deze kwetsbaarheden kunnen gebruiken om alle beschermingsniveaus te omzeilen en geavanceerde aanvallen op industriële apparaten uit te voeren, wat van onschatbare waarde zou kunnen zijn voor aanvallers uit natiestaten die geïnteresseerd zijn in cyberoorlog tegen de kritieke infrastructuur van tegenstanders.
Als standaardprocedure deelde Claroty haar bevindingen met Siemens, die nieuwe versies van de PLC’s uitbracht om de kwetsbaarheid te verhelpen. Bovendien introduceerde Siemens een nieuwe dynamische publieke sleutelinfrastructuur (PKI) die de praktijk van het hardcoderen van encryptiesleutels overbodig maakt. Vervolgens adviseerde Siemens organisaties ook om te migreren van oudere systemen naar de nieuwe versies. In hun beveiligingsbulletin beschrijven ze dat een update van de firmware op het apparaat niet voldoende is. Daarnaast moet ook de hardwareconfiguratie in het TIA Portal project (V17 of later) worden bijgewerkt naar de bijbehorende CPU-versie en worden gedownload naar de PLC. Daarom is het raadzaam kennis te nemen van dit beveiligingsbulletin van Siemens, dat te vinden is op https://cert-portal.siemens.com/productcert/html/ssb-898115.html.