Rockwell empfiehlt, internetfähige ICS-Geräte angesichts von Cyberbedrohungen zu trennen

22. Mai 2024LeitartikelICS-Sicherheit/Schwachstellen

Rockwell Automation bittet seine Kunden, alle industriellen Steuerungssysteme (ICS), die nicht für die Verbindung mit dem öffentlichen Internet vorgesehen sind, zu trennen, um unbefugte oder böswillige Cyberaktivitäten einzudämmen.

Das Unternehmen gab an, dass es diese Warnung aufgrund „erhöhter geopolitischer Spannungen und feindlicher Cyber-Aktivitäten weltweit“ herausgebe.

Zu diesem Zweck werden die Kunden gebeten, umgehend zu prüfen, ob sie über Geräte verfügen, auf die über das Internet zugegriffen werden kann. Wenn dies der Fall ist, müssen Sie die Geräte, die nicht über das Internet erreichbar sind, vom Internet trennen.

„Benutzer sollten ihre Anlagen niemals so konfigurieren, dass sie eine direkte Verbindung zum öffentlichen Internet herstellen“, fügte Rockwell Automation hinzu.

„Das Entfernen dieses Links als proaktiver Schritt verringert die Angriffsfläche und kann die Gefährdung durch unbefugte und böswillige Cyberaktivitäten externer Bedrohungsakteure sofort verringern.“

Darüber hinaus müssen Unternehmen sicherstellen, dass sie die erforderlichen Maßnahmen zur Schadensbegrenzung und zum Schutz ihrer Produkte vor den folgenden Schwachstellen ergriffen haben:

Die Warnung wurde auch von der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) weitergegeben und empfiehlt Benutzern und Administratoren, die in der Anleitung beschriebenen geeigneten Maßnahmen zur Verringerung der Gefährdung zu befolgen.

Eine webbasierte PLC-Malware

Hierzu gehört eine im Jahr 2020 gemeinsam von CISA und der National Security Agency (NSA) herausgegebene Warnung vor böswilligen Akteuren, die über das Internet zugängliche Betriebstechnologieressourcen (OT) ausnutzen, um Cyberaktivitäten durchzuführen, die eine ernsthafte Bedrohung für kritische Infrastrukturen darstellen könnten.

„Cyber-Akteure, darunter Advanced Persistent Threat Groups (APTs), haben in den letzten Jahren OT/ICS-Systeme ins Visier genommen, um politische Gewinne und wirtschaftliche Vorteile zu erzielen und möglicherweise zerstörerische Effekte auszuführen“, stellte die NSA im September 2022 fest.

Es wurde außerdem beobachtet, dass Angreifer eine Verbindung zu öffentlich zugänglichen speicherprogrammierbaren Steuerungen (SPS) herstellten und die Steuerlogik änderten, um unerwünschtes Verhalten zu verursachen.

Tatsächlich hat eine aktuelle Studie, die von einer Gruppe von Akademikern des Georgia Institute of Technology auf dem NDSS-Symposium im März 2024 vorgestellt wurde, ergeben, dass es möglich ist, einen Angriff im Stuxnet-Stil durchzuführen, indem die Webanwendung (oder Mensch-Maschine-Schnittstellen) von in SPS eingebetteten Webservern kompromittiert wird.

Dabei wird die webbasierte Schnittstelle der SPS ausgenutzt, die zur Fernüberwachung, -programmierung und -konfiguration verwendet wird, um zunächst Zugriff zu erhalten und anschließend legitime Anwendungsprogrammierschnittstellen (APIs) auszunutzen und die grundlegende Maschinerie der realen Welt zu sabotieren.

„Zu solchen Angriffen gehören das Verfälschen von Sensordaten, das Deaktivieren von Sicherheitsalarmen und das Manipulieren physischer Auslöser“, so die Forscher. „Das Aufkommen der Internettechnologie in industriellen Steuerungsumgebungen hat neue Sicherheitsbedenken mit sich gebracht, die im Bereich der IT oder von IoT-Geräten für Verbraucher nicht vorhanden sind.“

Die neue webbasierte PLC-Malware weist gegenüber vorhandenen PLC-Malware-Techniken erhebliche Vorteile auf, beispielsweise Plattformunabhängigkeit, einfache Bereitstellung und höhere Persistenz. Dadurch kann ein Angreifer heimlich bösartige Aktionen ausführen, ohne Steuerlogik-Malware installieren zu müssen.

Um OT- und ICS-Netzwerke zu sichern, empfiehlt es sich, die Offenlegung von Systeminformationen zu begrenzen, Remote-Zugriffspunkte zu kontrollieren und zu sichern, den Netzwerkzugriff zu beschränken und Systemanwendungstools und -skripte für legitime Benutzer zu kontrollieren, regelmäßige Sicherheitsüberprüfungen durchzuführen und eine dynamische Netzwerkumgebung zu implementieren.