// Security

Modicon-Hardcoded-Credentials

Ethernet-Module der Modicon-Quantum-Steuerungen enthielten feste Zugangsdaten — Vollzugriff auf die SPS war möglich.

Modicon (2011/2012): Ethernet-Module der Schneider-Electric-Steuerungen enthielten feste Zugangsdaten — und «Project Basecamp» zeigte, wie unsicher SPS generell konstruiert warenNetzwerkAnlagen-LANEthernet-ModulTelnet/FTPSPSModicon QuantumAufbauModicon-Quantum-Steuerungen (SPS) arbeiten weltweit in Fabriken undInfrastruktur. Ethernet-Module verbinden sie mit dem Netzwerk.
Tempo:

Schritt 1 von 6

Modicon-Quantum-Steuerungen (SPS) arbeiten weltweit in Fabriken und Infrastruktur. Ethernet-Module verbinden sie mit dem Netzwerk.

In 30 Sekunden

Im Dezember 2011 zeigte der Forscher Rubén Santamarta fest einprogrammierte Zugangsdaten in Ethernet-Modulen der Modicon-Quantum-Steuerungsfamilie von Schneider Electric. Dienste wie Telnet und FTP liefen mit festen Konten — wer sie kannte und das Modul erreichte, konnte bis zur Übernahme der Steuerung (SPS) gehen. Wenige Wochen später demonstrierte das Projekt «Basecamp» von Digital Bond öffentlich, wie verwundbar verbreitete SPS-Produkte insgesamt waren: «insecure by design» — unsicher konstruiert. Der Fall machte den Konstruktionszustand einer ganzen Geräteklasse sichtbar.

Was geschah

Jahr

2011/2012

Ziel

Betroffen waren Ethernet-Kommunikationsmodule der Modicon-Quantum-Familie von Schneider Electric — speicherprogrammierbare Steuerungen (SPS), wie sie weltweit in Fabriken, Energie- und Wasseranlagen Prozesse steuern.

Der Angriffsweg

  1. Die Ethernet-Module der Quantum-SPS bringen Dienste wie Telnet (Fernzugriff) und FTP (Dateizugriff) mit — teils mit fest einprogrammierten Konten.
  2. Der Forscher Rubén Santamarta analysiert die Firmware der Module und findet die festen Zugangsdaten (Dezember 2011).
  3. Wer die Konten kennt und das Modul im Netz erreicht, erhält weitreichenden Zugriff — bis zum Ändern von Firmware und Speicher der Steuerung.
  4. ICS-CERT koordiniert die Meldung mit Schneider Electric und warnt noch im Dezember 2011 öffentlich.
  5. Im Januar 2012 zeigt «Project Basecamp» von Digital Bond an sechs verbreiteten Steuerungen, dass solche Schwächen die Regel sind — «insecure by design».
  6. Schneider Electric liefert in der Folge Patches und Firmware-Updates für betroffene Module.

Auswirkung

Ein realer Angriff über diese Konten wurde nicht bekannt. Die Wirkung lag im Prinzip: Vielfach verbaute Steuerungen liessen sich mit ab Werk bekannten Zugangsdaten übernehmen, sofern sie im Netz erreichbar waren. «Project Basecamp» machte daraus eine Grundsatzdebatte — SPS waren schlicht nie für feindliche Netze gebaut worden. Der öffentliche Druck bewegte Hersteller zu Patches und langfristig zu sichereren Produktlinien.

So schützt du dich

Stelle SPS und ihre Kommunikationsmodule nie direkt ins Internet.
Baue ein Zonenmodell mit Firewalls: Steuerungsnetz strikt vom Büro-Netz und vom Internet trennen.
Deaktiviere nicht benötigte Dienste (z. B. Telnet und FTP) auf Steuerungen und Modulen.
Spiele Hersteller-Patches für Steuerungen geplant ein und verfolge ICS-Sicherheitswarnungen (Advisories).
Berücksichtige Sicherheit beim Einkauf: Produkte ohne feste Konten und mit sicherer Anmeldung bevorzugen.

Fakten

Jahr
Dezember 2011 / Januar 2012
Betroffen
Ethernet-Module der Modicon-Quantum-SPS
Hersteller
Schneider Electric
Schwachstelle
feste Konten für Dienste wie Telnet und FTP
Entdecker
Rubén Santamarta
Folge-Projekt
«Project Basecamp» (Digital Bond, Januar 2012)
Schlagwort
«insecure by design» — unsicher konstruiert
Reaktion
ICS-CERT-Warnung, Patches von Schneider Electric

Im Detail

Eine SPS, viele offene Türen

Speicherprogrammierbare Steuerungen (SPS, englisch PLC) sind die Arbeitspferde der Automatisierung: Sie schalten Pumpen, Ventile und Antriebe. Ihre Ethernet-Module verbinden sie mit dem Anlagennetz — und brachten bei der Modicon-Quantum-Familie Dienste wie Telnet und FTP mit, teils mit fest einprogrammierten Konten. Solche Konten lassen sich vom Betreiber weder ändern noch entfernen: Wer sie kennt, hat einen Schlüssel, der auf viele Anlagen passt.

Der Fund von Santamarta

Rubén Santamarta analysierte im Dezember 2011 die Firmware der Ethernet-Module und veröffentlichte seine Erkenntnisse koordiniert: Über die festen Konten liessen sich je nach Dienst der Speicher des Moduls verändern, eigene Firmware einspielen oder Dienste lahmlegen — im Ergebnis Vollzugriff auf die Steuerung. ICS-CERT warnte umgehend, Schneider Electric arbeitete an Patches und Firmware-Updates.

«Project Basecamp»: die Grundsatzdebatte

Im Januar 2012 führte die Sicherheitsfirma Digital Bond auf ihrer S4-Konferenz das Projekt «Basecamp» vor: Ein Forscherteam prüfte sechs verbreitete Steuerungen verschiedener Hersteller — und fand überall gravierende Schwächen, von festen Konten bis zu fehlender Anmeldung. Die Botschaft war bewusst unbequem: Das Problem ist nicht ein einzelnes Produkt, sondern die Konstruktionsphilosophie einer ganzen Geräteklasse — «insecure by design».

Warum SPS so verwundbar waren

SPS stammen aus einer Zeit, in der Steuerungsnetze physisch abgeschottet waren: Wer am Kabel war, galt als vertrauenswürdig. Verschlüsselung, Anmeldung und Rechtekonzepte fehlten, weil sie schlicht nicht nötig schienen. Mit der Vernetzung der Anlagen wurde diese Annahme falsch — die Geräte aber blieben jahrzehntelang im Einsatz. Sicherheit muss deshalb um die Steuerungen herum gebaut werden: Zonen, Firewalls, kontrollierte Übergänge.

Die Lehre: Zonen sind Pflicht, Druck wirkt

Aus dem Fall folgen zwei Lehren. Erstens: Solange Steuerungen konstruktionsbedingt offen sind, sind Netzsegmentierung und Firewalls keine Kür, sondern Pflicht — eine erreichbare SPS ist eine übernehmbare SPS. Zweitens: Öffentlicher, verantwortungsvoller Forscherdruck wirkt. Nach Basecamp begannen Hersteller, Sicherheit ernsthaft in Produktlinien einzubauen — ein Prozess, der bis heute andauert.