Modicon-Hardcoded-Credentials
Ethernet-Module der Modicon-Quantum-Steuerungen enthielten feste Zugangsdaten — Vollzugriff auf die SPS war möglich.
Modicon-Quantum-Steuerungen (SPS) arbeiten weltweit in Fabriken und Infrastruktur. Ethernet-Module verbinden sie mit dem Netzwerk.
In 30 Sekunden
Im Dezember 2011 zeigte der Forscher Rubén Santamarta fest einprogrammierte Zugangsdaten in Ethernet-Modulen der Modicon-Quantum-Steuerungsfamilie von Schneider Electric. Dienste wie Telnet und FTP liefen mit festen Konten — wer sie kannte und das Modul erreichte, konnte bis zur Übernahme der Steuerung (SPS) gehen. Wenige Wochen später demonstrierte das Projekt «Basecamp» von Digital Bond öffentlich, wie verwundbar verbreitete SPS-Produkte insgesamt waren: «insecure by design» — unsicher konstruiert. Der Fall machte den Konstruktionszustand einer ganzen Geräteklasse sichtbar.
Was geschah
2011/2012
Betroffen waren Ethernet-Kommunikationsmodule der Modicon-Quantum-Familie von Schneider Electric — speicherprogrammierbare Steuerungen (SPS), wie sie weltweit in Fabriken, Energie- und Wasseranlagen Prozesse steuern.
Der Angriffsweg
- Die Ethernet-Module der Quantum-SPS bringen Dienste wie Telnet (Fernzugriff) und FTP (Dateizugriff) mit — teils mit fest einprogrammierten Konten.
- Der Forscher Rubén Santamarta analysiert die Firmware der Module und findet die festen Zugangsdaten (Dezember 2011).
- Wer die Konten kennt und das Modul im Netz erreicht, erhält weitreichenden Zugriff — bis zum Ändern von Firmware und Speicher der Steuerung.
- ICS-CERT koordiniert die Meldung mit Schneider Electric und warnt noch im Dezember 2011 öffentlich.
- Im Januar 2012 zeigt «Project Basecamp» von Digital Bond an sechs verbreiteten Steuerungen, dass solche Schwächen die Regel sind — «insecure by design».
- Schneider Electric liefert in der Folge Patches und Firmware-Updates für betroffene Module.
Auswirkung
Ein realer Angriff über diese Konten wurde nicht bekannt. Die Wirkung lag im Prinzip: Vielfach verbaute Steuerungen liessen sich mit ab Werk bekannten Zugangsdaten übernehmen, sofern sie im Netz erreichbar waren. «Project Basecamp» machte daraus eine Grundsatzdebatte — SPS waren schlicht nie für feindliche Netze gebaut worden. Der öffentliche Druck bewegte Hersteller zu Patches und langfristig zu sichereren Produktlinien.
So schützt du dich
Fakten
- Dezember 2011 / Januar 2012
- Ethernet-Module der Modicon-Quantum-SPS
- Schneider Electric
- feste Konten für Dienste wie Telnet und FTP
- Rubén Santamarta
- «Project Basecamp» (Digital Bond, Januar 2012)
- «insecure by design» — unsicher konstruiert
- ICS-CERT-Warnung, Patches von Schneider Electric
Im Detail
Eine SPS, viele offene Türen
Speicherprogrammierbare Steuerungen (SPS, englisch PLC) sind die Arbeitspferde der Automatisierung: Sie schalten Pumpen, Ventile und Antriebe. Ihre Ethernet-Module verbinden sie mit dem Anlagennetz — und brachten bei der Modicon-Quantum-Familie Dienste wie Telnet und FTP mit, teils mit fest einprogrammierten Konten. Solche Konten lassen sich vom Betreiber weder ändern noch entfernen: Wer sie kennt, hat einen Schlüssel, der auf viele Anlagen passt.
Der Fund von Santamarta
Rubén Santamarta analysierte im Dezember 2011 die Firmware der Ethernet-Module und veröffentlichte seine Erkenntnisse koordiniert: Über die festen Konten liessen sich je nach Dienst der Speicher des Moduls verändern, eigene Firmware einspielen oder Dienste lahmlegen — im Ergebnis Vollzugriff auf die Steuerung. ICS-CERT warnte umgehend, Schneider Electric arbeitete an Patches und Firmware-Updates.
«Project Basecamp»: die Grundsatzdebatte
Im Januar 2012 führte die Sicherheitsfirma Digital Bond auf ihrer S4-Konferenz das Projekt «Basecamp» vor: Ein Forscherteam prüfte sechs verbreitete Steuerungen verschiedener Hersteller — und fand überall gravierende Schwächen, von festen Konten bis zu fehlender Anmeldung. Die Botschaft war bewusst unbequem: Das Problem ist nicht ein einzelnes Produkt, sondern die Konstruktionsphilosophie einer ganzen Geräteklasse — «insecure by design».
Warum SPS so verwundbar waren
SPS stammen aus einer Zeit, in der Steuerungsnetze physisch abgeschottet waren: Wer am Kabel war, galt als vertrauenswürdig. Verschlüsselung, Anmeldung und Rechtekonzepte fehlten, weil sie schlicht nicht nötig schienen. Mit der Vernetzung der Anlagen wurde diese Annahme falsch — die Geräte aber blieben jahrzehntelang im Einsatz. Sicherheit muss deshalb um die Steuerungen herum gebaut werden: Zonen, Firewalls, kontrollierte Übergänge.
Die Lehre: Zonen sind Pflicht, Druck wirkt
Aus dem Fall folgen zwei Lehren. Erstens: Solange Steuerungen konstruktionsbedingt offen sind, sind Netzsegmentierung und Firewalls keine Kür, sondern Pflicht — eine erreichbare SPS ist eine übernehmbare SPS. Zweitens: Öffentlicher, verantwortungsvoller Forscherdruck wirkt. Nach Basecamp begannen Hersteller, Sicherheit ernsthaft in Produktlinien einzubauen — ein Prozess, der bis heute andauert.
