Sicherheitsforscher haben zahlreiche Schwachstellen in Honeywell-Geräten entdeckt, die in kritischen Industriezweigen eingesetzt werden. Wenn diese ausgenutzt werden, könnten Hacker physische Störungen verursachen und möglicherweise die Sicherheit von Menschenleben gefährden.
Forscher von Armis, einem auf Anlagensicherheit spezialisierten Cybersicherheitsunternehmen, haben neun Schwachstellen in den Experion-DCS-Produkten (Distributed Control System) von Honeywell aufgedeckt. Hierbei handelt es sich um digitale automatisierte Industriesteuerungssysteme, die zur Steuerung großer Industrieprozesse in kritischen Branchen – wie der Energie- und Pharmaindustrie – eingesetzt werden, in denen hohe Verfügbarkeit und kontinuierlicher Betrieb von entscheidender Bedeutung sind.
Laut Armis könnten die Schwachstellen, von denen sieben als kritisch eingestuft wurden, es einem Angreifer ermöglichen, aus der Ferne nicht autorisierten Code sowohl auf dem Honeywell-Server als auch auf den Controllern auszuführen. Ein Angreifer benötigt Netzwerkzugriff, um die Schwachstellen auszunutzen, die durch die Kompromittierung eines Geräts innerhalb eines Netzwerks, vom Laptop bis zum Verkaufsautomaten, entstehen können. Die Fehler ermöglichen jedoch einen nicht authentifizierten Zugriff, was bedeutet, dass sich ein Angreifer nicht beim Controller anmelden müsste, um ihn auszunutzen.
Obwohl es keine Hinweise auf eine aktive Ausnutzung gibt, erklärt Armis gegenüber Tech, dass Hacker diese Schwachstellen ausnutzen könnten, um die Geräte zu übernehmen und den Betrieb des DCS-Controllers zu verändern.
„Worst-Case-Szenarien, die man sich aus geschäftlicher Sicht vorstellen kann, sind Totalausfälle und mangelnde Verfügbarkeit. Aber es gibt noch schlimmere Szenarien, einschließlich Sicherheitsproblemen, die sich auf Menschenleben auswirken können“, sagte Curtis Simpson, CISO bei Armis, gegenüber Tech.
Simpson sagte, dass die Art der Fehler dazu führt, dass ein Angreifer diese Änderungen vor der Engineering-Workstation verbergen kann, die den DCS-Controller verwaltet. „Stellen Sie sich vor, Sie haben einen Bediener mit allen Displays, der die Informationen aus der Anlage kontrolliert. In dieser Umgebung ist alles in Ordnung“, fügte er hinzu. „Wenn es unten im Werk darum geht, brennt praktisch alles.“
Laut Armis ist dies besonders problematisch für die Öl- und Gasbergbauindustrie, in der Honeywell DCS-Systeme eingesetzt werden. Zu den Kunden von Honeywell gehören laut Honeywells Website der Energieriese Shell, US-Regierungsbehörden wie das Verteidigungsministerium und die NASA sowie das forschungsbasierte biopharmazeutische Unternehmen AstraZeneca.
„Wenn Sie in der Lage sind, kritische Infrastrukturen zu stören, können Sie die Funktionsfähigkeit eines Landes auf viele verschiedene Arten beeinträchtigen“, sagte Simpson. „Es wäre auch ein Albtraum, sich davon zu erholen. Wenn man sich die Verbreitung dieser Art von Angriffen in Verbindung mit dem mangelnden Cyber-Bewusstsein für dieses Ökosystem ansieht, könnte der Wiederaufbau Unternehmen Millionen von Dollar pro Stunde kosten.“
Armis teilt Tech mit, dass Honeywell im Mai auf die Schwachstellen aufmerksam gemacht wurde, die eine Reihe seiner DCS-Plattformen betreffen, darunter das Honeywell Experion Process Knowledge System, die LX- und PlantCruise-Plattformen sowie den C300 DCS-Controller. Honeywell stellte im darauffolgenden Monat Patches zur Verfügung und fordert alle betroffenen Organisationen auf, diese umgehend anzuwenden.
Als Honeywell-Sprecherin Caitlin E. Leopold um einen Kommentar gebeten wurde, sagte sie: „Wir haben im Rahmen eines Prozesses zur verantwortungsvollen Offenlegung mit ARMIS an diesem Thema zusammengearbeitet. Wir haben Patches zur Behebung der Sicherheitslücke veröffentlicht und betroffene Kunden benachrichtigt. Derzeit sind keine Exploits für diese Sicherheitslücke bekannt. Besitzer von Experion C300 sollten ihr Prozesssteuerungsnetzwerk weiterhin isolieren und überwachen und verfügbare Patches so schnell wie möglich anwenden.“